Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях.
Известна система защиты информационных ресурсов вычислительной сети - межсетевой экран, например, СyberGuard (см. Computerworld, Россия, 27 августа, 1996 года). Она содержит выделенный компьютер, работающий под операционнoй системой Unix (например, UnixWare 2.1.) и функциональным программным обеспечением. Решает задачу фильтрации пакетов, однако не позволяет осуществлять полную защиту ресурсов сети, так как использует стандартные протоколы для аутентификации и разграничения доступа, нет возможности быстрого пропуска приоритетного пакета и оперативного управления.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система защиты информационных ресурсов, включающая в себя межсетевой экран Black Hole (Computerworld Россия 27 августа, 1996 года). Она представлена на фиг. 1 в схеме защищенного взаимодействия клиент/сервер. Схема включает систему защиты 2, состоящую из межсетевого экрана 3; М стандартных клиентов (далее блок стандартного клиента) 1, N серверов 8 (как правило, М больше N). Причем вход/выход 4 блока стандартного клиента 1 является первым входом/выходом 5 межсетевого экрана 3, а вход/выход 6 межсетевого экрана 3 является вторым входом/выходом 7 сервера 8. Межсетевой экран 3 состоит из двух блоков приемo/передатчика 11 и блока проверки прав клиента 9 (см. фиг. 2), причем первый вход/выход межсетевого экрана является входом/выходом 5 блока приемо/передатчика 11, второй входом/выходом которого является вход/выход 12 блока проверки прав клиента 9, вход/выход 14 которого является первым входом/выходом блока приемо/передатчика 11, второй вход/выход 6 которого является вторым входом/выходом межсетевого экрана 3.
Защищенное взаимодействие клиент/сервер осуществляется следующим образом. Блок стандартного клиента 1 (см. фиг. 1), затребовав информацию у сервера 8, согласовывает свои права доступа с межсетевым экраном 3. С этой целью блок стандартного клиента соединяется с межсетевым экраном 3, который, зная формат стандартных команд, идентифицирует требуемый сервис, пароль, IP-адрес. Далее межсетевой экран 3 проверяет в блоке проверки прав клиента 9 (см. фиг. 2) права клиента и возвращает пакет с запретом либо пропускает пакет и соединяется по разрушенному IP-адресу с требуемым сервером 8 и передает серверу проверенный пакет клиента.
Однако система 2 не обеспечивает полной безопасности взаимодействия клиент/сервер. Это вызвано тем, что по существу протокол обмена между межсетевым экраном, стандартный, то есть с легкостью может быть атакован подменой служебных заголовков. Поскольку вся служебная информация поступает из заголовков, снижается уровень защиты информационных ресурсов. Из-за реализуемых в сети стандартных протоколов, обеспечивающих открытость системы, возможен несанкционированный доступ к информационному серверу практически с любой рабочей станции, так как протоколы TCP/IP известны, и клиент подключается через каналы WAN через маршрутизаторы, которые могут быть должным образом настроены.
Поскольку после установления соединения клиент/сервер их взаимодействие осуществляется автоматически, используя сведения на момент установления соединения, то есть фактически без прямого участия системы защиты 2 отсутствует возможность отключения блока стандартного клиента 1 даже в случае обнаружения его несанкционированных действий; например, средствами проверки целостности данных на сервере 8, кроме того, невозможно осуществлять контролирование взаимодействия клиент/сервер на всех стадиях.
Кроме того, такая структура системы защиты 2 нерационально используeт производительность системы, так как при функционировании системы обслуживание заявок реализуется согласно очередности поступления, не учитывая приоритет заявки, соответственно увеличивается время прохождения приоритетных заявок.
Задача изобретения состоит в повышении защищенности информационных ресурсов информационной вычислительной сети, уменьшении времени обработки приоритетных заявок, оперативном управлении ресурсами.
Достигается это тем, что в систему защиты информации 2 в корпоративной сети, построенной на каналах в средствах коммутации сети связи общего пользования, содержащую межсетевой экран 3, причем вход/выход 5 межсетевого экрана 3 является первым входом/выходом системы, второй вход/выход 6 межсетевого экрана 3 является вторым входом/выходом системы, дополнительно введен вход 16 межсетевого экрана 3, который является первым входом системы защиты 2, межсетевого экрана 3 (см. фиг. 4), а структура межсетевого экрана 3 изменена, введены клиентские части системы защиты 20, состоящие из блока стандартного клиента 1 и блока обработки закрытого протокола 13, первый вход/выход которого соединен с блоком стандартного клиента 1, а второй вход/выход соединен с входом/выходом 4, являющимся третьим входом/выходом системы, в межсетевой экран 3, состоящий их двух приемо/передатчиков 11 и блока проверки прав клиента 9 (см. фиг. 2), дополнительно (см. фиг. 4) введен блок обработки закрытого протокола 13 и блок оперативного управления 15, причем первый вход/выход 5 системы 2 соединен с входом/выходом блока 11, второй 17 вход/выход блока 11 соединен с первым входом/выходом блока обработки закрытого протокола 13, второй вход/выход которого соединен с входом/выходом 18 блока проверки прав клиента 9, второй вход/выход которого является первым входом/выходом 19 блока приемо/передатчика 11, а первый вход блока проверки прав клиента 9 является входом блока оперативного управления 15, вход которого является первым входом системы защиты 2; второй вход/выход 6 блока приемо/передатчика 11 является вторым входом/выходом системы защиты 2, клиентская часть системы защиты 20 состоит из блока обработки закрытого протокола 13, первый вход/выход которого соединен с блоком стандартного клиента 1, а второй вход/выход 4 блока обработки закрытого протокола 13 является третьим входом/выходом системы защиты.
На фиг. 3 представлена схема системы 2 защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования. Она содержит межсетевой экран 3 и М клиентских частей системы защиты 20, причем вход/выход 5 межсетевого экрана 3 является первым входом/выходом системы 2, второй вход/выход 6 межсетевого экрана 3 является вторым входом/выходом системы 2, а первый вход 16 межсетевого экрана 3 является первым входом системы 2 защиты. В межсетевой экран 3, состоящий из двух приемо/передатчиков 11 и блока проверки прав клиента 9 (см. фиг. 2), дополнительно (см. фиг. 4) введен блок обработки закрытого протокола 13 и блок оперативного управления 15, причем первый вход/выход 5 системы 2 соединен с входом/выходом блока приемо/передатчика 11, второй 17 вход/выход блока приемо/передатчика 11 соединен с первым входом/выходом блока обработки закрытого протокола 13, второй вход/выход которого соединен с входом/выходом 18 блока проверки прав клиента 9, второй вход/выход которого является первым входом/выходом 19 блока приемо/передатчика 11, а первый вход блока проверки прав клиента 9 является входом блока оперативного управления 15, вход которого является первым входом системы защиты 2; второй вход/выход 6 блока приемо/передатчика 11 является вторым входом/выходом системы защиты 2. Клиентская часть системы защиты 20 состоит из блока обработки закрытого протокола 13, первый вход/выход которого соединен с блоком стандартного клиента 1, а второй вход/выход 4 блока обработки закрытого протокола 13, является третьим входом/выходом системы 2 защиты.
Защищенная сеть содержит систему 2 защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования, причем межсетевой экран 3 состоит из двух блоков приемо/передатчиков 11 и блока проверки прав клиента 9, блока обработки закрытого протокола 13, блока оперативного управления 15, М блоков стандартных клиентов 1, N серверов 8, а клиентские части 20 системы 2 защиты содержат блок стандартного клиента корпорации 1 и блок обработки закрытого протокола 13.
Каждая из М клиентских частей 20 соединена входом/выходом 4 с первым входом/выходом системы 2, а второй вход/выход системы соединен с серверами 8, вход 16 предназначен для ввода управляющих сигналов для разрыва соединения или изменения в текущей настройке от терминала администратора безопасности или от какого-либо устройства (например, временного устройства).
Межсетевой экран 3 может быть выполнен либо как функциональное программное обеспечение (ФПО) на выделенном компьютере (см. Computerworld, Россия, 27 августа, 1996 года), либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Блок обработки закрытого протокола 13 может быть выполнен либо как ФПО на выделенном компьютере, либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Блок оперативного управления 15 может быть выполнен либо как ФПО на выделенном компьютере, либо на выделенном процессоре или микроЭВМ, либо как часть комплекса ФПО на выделенном компьютере.
Система 2 в составе защищенной сети работает следующим образом.
Над протоколом транспортного уровня (семиуровневая иерархия протоколов OSI и место в ней закрытого протокола показано на фиг. 5), например, TCP, клиентом формируется команда (пакет) установления соединения с системой защиты 2. При этом структура пакета закрытого протокола может быть следующей (см. фиг. 6): идентификатор клиента 22, пaроль 23, IP-адрес 24, приоритет заявки 25, данные 26 (возможны другие поля для согласования при установлении соединения с системой 2). Пакет от клиентской части 20 поступает на вход/выход 5, далее через блок приемо/передатчика 11 поступает на обработчик закрытого протокола 13 и на блок проверки прав клиента 9, далее обслуживается согласно приоритету заявки, проходя блок обработки закрытого протокола 13 и приемо/передатчик 11. Блок 15 предназначен для принудительного окончания обслуживания, смены приоритета заявки.
Так как все пакеты проходят блок проверки прав клиента 9, то в блоке 9 системы 2 (система не отключается в фазе передачи данных) появляется возможность прервать информационное взаимодействие клиент/сервер с управляющего входа 16 на любом этапе этого взаимодействия.
К достоинствам предлагаемой системы комплексной защиты можно отнести следующее.
1. Закрытый протокол для соединения клиентов корпорацией и системой защиты.
2. Оперативное управление ресурсами системы защиты (обрыв соединения, смена приоритета).
3. Физическое разделение подсетей.
4. Трансляция адресов.
5. Согласование функций обслуживания и безопасности.
6. Эффективность использования ресурсов, уменьшение времени обслуживания (приоритетных) заявок.
Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях. Технический результат состоит в повышении защищенности информационных ресурсов информационной вычислительной сети, уменьшении времени обработки приоритетных заявок, оперативном управлении ресурсами. Достигается это тем, что в систему защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования, дополнительно добавлены клиентские части системы защиты. 6 ил.
Система защиты информации в корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования, содержащая межсетевой экран, причем первый вход/выход межсетевого экрана является первым входом/выходом системы, второй вход/выход межсетевого экрана является вторым входом/выходом системы, отличающаяся тем, что в межсетевой экран, содержащий два блока приемо/передатчика и блок проверки прав клиента, введены блок обработки закрытого протокола и блок оперативного управления, причем первый вход/выход межсетевого экрана соединен с первым входом/выходом приемо/передатчика, второй вход/выход которого соединен с первым входом/выходом блока обработки закрытого протокола, второй вход/выход которого соединен с первым входом/выходом блока проверки прав клиента, второй вход/выход которого соединен с первым входом/выходом блока приемо/передатчика, второй вход/выход которого является вторым входом/выходом межсетевого экрана, вход блока проверки прав клиента соединен с выходом блока оперативного управления, вход которого является третьим входом межсетевого экрана, кроме того, в систему добавлены клиентские части системы защиты, состоящие из блока стандартного клиента и блока обработки закрытого протокола, первый вход/выход которого соединен с входом/выходом блока стандартного клиента, а второй соединен с первым входом/выходом межсетевого экрана.
БРАНДМАУЭРЫ INTERNET /Обзор CW: Средства обеспечения безопасности в INTERNET, COMPUTERWORLD | |||
- М.: Открытые системы, 27.08.1996, с | |||
Выбрасывающий ячеистый аппарат для рядовых сеялок | 1922 |
|
SU21A1 |
СИСТЕМА СВЯЗИ | 1991 |
|
RU2110839C1 |
СИСТЕМА СВЯЗИ | 1991 |
|
RU2111532C1 |
US 5794039 A, 11.08.1998 | |||
US 5805820 A, 08.09.1998. |
Авторы
Даты
2001-02-27—Публикация
1998-09-11—Подача