Изобретение относится к устройствам, предназначенным для защиты информационных ресурсов вычислительной сети, соединенной с внешней информационной сетью, от несанкционированного доступа пользователей и пересылки сообщений из внешней информационной сети в локальную вычислительную сеть при обмене информационными сообщениями.
Известна система защиты ресурсов виртуального канала корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования-межсетевой экран, например, CyberGuard (Computerworld Россия, 27 августа 1996 г.), Black Hole (Computerworld Россия, 27 августа 1996 г.). Система содержит выделенный компьютер, работающий под операционной системой Unix (например, UnixWare 2.1., FreeBSD) и функциональным программным обеспечением. Данная система не дает возможности контролировать и управлять соединением, используются данные служебных заголовков стандартных протоколов для получения аутентификационных признаков, требуется установка данных экранов к каждой территориально локализованной группе компьютеров, нуждающихся в защите.
Известен способ передачи информации в режиме "электронной почты" (патент РФ №2163757), обеспечивающий высокую степень защиты информационных ресурсов локальной вычислительной сети, соединенной с глобальной информационной сетью, от несанкционированного доступа пользователей глобальной информационной сети в локальную вычислительную сеть при обмене сигналами сообщений электронной почты. Способ заключается в том, что сигнал сообщений электронной почты записывается в память сервера локальной вычислительной сети, а затем из памяти сервера локальной вычислительной сети осуществляется перезапись в память средства промежуточной записи сигналов для хранения в течение установленного времени, при этом удаляются сигналы сообщений электронной почты из памяти сервера локальной вычислительной сети, сигнал сообщений электронной почты из памяти средства промежуточной записи сигналов записывают в память сервера глобальной информационной сети. Аналогичным образом осуществляются операции при передаче сигнала сообщений электронной почты от пользователя глобальной информационной сети.
Устройство, реализующее указанный способ (патент РФ №2168757), содержит серверы, средство промежуточной записи сигналов и средства управления соединениями, средство формирования и приема сигналов сообщений электронной почты. Известное решение принято в качестве прототипа для заявленного изобретения.
Недостатком известных технических решений является то, что существующая система защиты не обеспечивает полностью защищенное взаимодействие двух различных сетей, не предусматривает возможность обмена структурированными сообщениями между двумя сегментами сети с контролем структуры и содержания сообщений, не позволяет осуществить регистрацию всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.
Целью предлагаемого изобретения является повышение уровня защищенности взаимодействия внешней и локальной сетей, создание возможностей обмена структурированными сообщениями между двумя сегментами сети с контролем структуры и содержания сообщений, и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.
Поставленная цель достигается за счет того, что в устройстве защиты информационных ресурсов компьютерной сети, содержащем серверы с блоками памяти, промежуточную память, коммутатор, коннекторы, линии обмена данными, блок управления, указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, при этом в каждый из указанных серверов вычислительной сети и сервера внешней вычислительной сети введены блоки проверки, предназначенные для проверки структуры сообщения и дополнительной информации в составе сообщения, указанные блоки памяти содержат первый, второй, третий, четвертый блок памяти указанного сервера вычислительной сети и пятый, шестой, седьмой, восьмой блоки памяти сервера внешней вычислительной сети, причем первый и седьмой блоки памяти предназначены для временного хранения сообщений от пользователей вычислительной сети и пользователей внешней вычислительной сети соответственно, второй и пятый блоки памяти - для копирования сообщений от пользователей вычислительной сети, прошедших проверку, третий и шестой блоки памяти - для записи сообщений из промежуточной памяти от пользователей внешней вычислительной сети и пользователей вычислительной сети соответственно, четвертый и восьмой блоки памяти - для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку, коннекторы выполнены в виде первого, второго, третьего коннекторов указанного коммутатора, причем указанные первый, второй, третий, четвертый блоки памяти и блок проверки сервера вычислительной сети соединены линиями обмена данными указанного сервера вычислительной сети, имеющими первый и второй входы, указанные пятый, шестой, седьмой, восьмой блоки памяти и блок проверки сервера внешней вычислительной сети соединены линиями обмена данными указанного сервера внешней вычислительной сети, имеющими первый и второй входы, при этом первый вход сервера вычислительной сети соединен с первым коннектором коммутатора, первый вход сервера внешней вычислительной сети соединен со вторым коннектором коммутатора, третий коннектор коммутатора соединен со входом промежуточной памяти, а блок управления соединен с управляющим входом коммутатора.
Изобретение поясняется чертежом, где изображена блок-схема устройства защиты информационных ресурсов компьютерной сети.
Изобретение реализуется следующим образом. Устройство содержит сервер 1 вычислительной сети с блоками памяти: первым - 2, предназначенным для временного хранения сообщений от пользователя вычислительной сети (далее по тексту - первым блоком памяти 2), вторым - 3, предназначенным для копирования сообщений от пользователей вычислительной сети, прошедших проверку (далее по тексту - вторым блоком памяти 3), третьим - 4, предназначенным для записи сообщений из промежуточной памяти 19 от пользователей внешней вычислительной сети (далее по тексту - третьим блоком памяти 4), четвертым - 5, предназначенным для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку (далее по тексту - четвертым блоком памяти 5), с первым блоком проверки 6, с линиями обмена данными 7 сервера 1 вычислительной сети, с первым входом 8 сервера 1 вычислительной сети и вторым входом 9 сервера 1 вычислительной сети; сервер 10 внешней вычислительной сети с блоками памяти: пятым - 11, предназначенным для копирования сообщений пользователей вычислительной сети, прошедших проверку (далее по тексту - пятым блоком памяти 11), шестым - 12, предназначенным для записи сообщений из промежуточной памяти 19 от пользователей вычислительной сети (далее по тексту - шестым блоком памяти 12), седьмым - 13, предназначенным для временного хранения сообщений от пользователей внешней вычислительной сети (далее по тексту - седьмым блоком памяти 13), восьмым - 14, предназначенным для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку (далее по тексту - восьмым блоком памяти 14), с вторым блоком проверки 15, с линиями обмена данными 16 сервера 10 внешней вычислительной сети, с первым входом 17 сервера 10 внешней вычислительной сети и вторым входом 18 сервера 10 внешней вычислительной сети; промежуточную память 19; коммутатор 20; блок управления 21; первый коннектор 22; второй коннектор 23; третий коннектор 24. Первый 2, второй 3, третий 4, четвертый 5 блоки памяти и первый блок проверки 6 соединены линиями обмена данными 7 сервера 1 вычислительной сети; аналогично пятый 11, шестой 12, седьмой 13, восьмой 14 блоки памяти и второй блок проверки 15 соединены линиями обмена данными 16 сервера 10 внешней вычислительной сети. Первый вход 8 сервера 1 вычислительной сети соединен первым коннектором 22 с коммутатором 20, первый вход 17 сервера 10 внешней вычислительной сети соединен вторым коннектором 23 с коммутатором 20, третий коннектор 24 коммутатора 20 соединен со входом 25 промежуточной памяти 19, блок управления 21 соединен с управляющим входом 26 коммутатора 20. Вторые входы 9 сервера 1 вычислительной сети и 18 сервера 10 внешней вычислительной сети предназначены для подключения других внешних устройств или пользователей.
Работает устройство следующим образом. Структурированное (например, в формате XML) сообщение от пользователя вычислительной сети через второй вход 9 сервера 1 вычислительной сети поступает в первый блок памяти 2. Далее сообщение по линиям обмена данными 7 сервера 1 вычислительной сети передается в первый блок проверки 6, где осуществляется проверка структуры сообщения (в случае применения XML структуры для этого используют DTD или XML SCHEMA файлы, содержащие описание структуры сообщений) и дополнительной информации в составе сообщения (в том числе ЭЦП пользователя вычислительной сети). После этого сообщение, прошедшее проверку, передается по линиям обмена данными 7 сервера 1 вычислительной сети и копируется во второй блок памяти 3 сервера 1 вычислительной сети. При очередном подключении промежуточной памяти 19 с первого входа 8 сервера 1 вычислительной сети через первый коннектор 22 и третий коннектор 24 на вход 25 осуществляется копирование сообщений из второго блока памяти 3 сервера 1 вычислительной сети в промежуточную память 19. Далее, при подключении промежуточной памяти 19 к серверу 10 внешней вычислительной сети со входа 25 через второй коннектор 23 и третий коннектор 24 к первому входу 17 сервера 10 внешней вычислительной сети производится копирование сообщения из промежуточной памяти 19 в шестой блок памяти 12 сервера 10 внешней вычислительной сети, при этом промежуточная память 19 уже отсоединена от сервера 1 вычислительной сети. После этого сообщение отправляется по линиям обмена данными 16 сервера 10 внешней вычислительной сети во второй блок проверки 15, где осуществляется проверка структуры сообщения, дополнительной информации в составе сообщения (в том числе ЭЦП пользователя вычислительной сети). Затем сообщение пользователей вычислительной сети, прошедшее проверку, отсылается по линиям обмена данными 16 сервера 10 внешней вычислительной сети и копируется в пятый блок памяти 11 сервера 10 внешней вычислительной сети. При этом пятый блок памяти 11 сервера 10 внешней вычислительной сети доступен приложениям пользователей внешней вычислительной сети через второй вход 18 сервера 10 внешней вычислительной сети. Все коммутации производятся командами блока управления 21, передаваемыми с управляющего входа коммутатора 26 через первый коннектор 22 на первый вход 8 сервера 1 вычислительной сети и/или через второй коннектор 23 на первый вход 17 сервера 10 внешней вычислительной сети.
Аналогичным образом, сообщения от пользователей внешней вычислительной сети, поступающие через второй вход 18 сервера 10 внешней вычислительной сети, вначале записываются в седьмой блок памяти 13 сервера 10 внешней вычислительной сети. Затем сообщения по линиям обмена данными 16 сервера 10 внешней вычислительной сети передаются во второй блок проверки 15, где проверяется структура сообщений и дополнительная информация в составе сообщений (в том числе ЭЦП пользователей внешней вычислительной сети). После этого сообщения от пользователей внешней вычислительной сети, прошедшие проверки, по линиям обмена данными 16 сервера 10 внешней вычислительной сети передаются и копируются в восьмой блок памяти 14 сервера 10 внешней вычислительной сети. При очередном подключении промежуточной памяти 19 со входа 25 через третий коннектор 24 и второй коннектор 23 к первому входу 17 сервера 10 внешней вычислительной сети сообщения копируются из восьмого блока памяти 14 сервера 10 внешней вычислительной сети в промежуточную память 19. Затем при очередном подключении промежуточной памяти 19 со входа 25 к первому входу 8 сервера 1 вычислительной сети через третий коннектор 24 и первый коннектор 22 осуществляется копирование сообщений из промежуточной памяти 19 в третий блок памяти 4 сервера 1 вычислительной сети (при этом промежуточная память 19 уже отсоединена от сервера 10 внешней вычислительной сети), откуда сообщения передаются в первый блок проверки 6 по линиям обмена данными 7 сервера 1 вычислительной сети. Там осуществляется проверка структуры сообщений, дополнительной информации в составе сообщений (в том числе ЭЦП пользователя внешней вычислительной сети). Затем прошедшие проверки сообщения пользователей внешней вычислительной сети по линиям обмена данными 7 сервера 1 вычислительной сети передаются и копируются в четвертый блок памяти 5 сервера 1 вычислительной сети. При этом четвертый блок памяти 5 сервера 1 вычислительной сети доступен приложениям пользователей вычислительной сети через второй вход 9 сервера 1 вычислительной сети.
Благодаря использованию предлагаемого изобретения повышается уровень защищенности взаимодействия внешней и локальной сетей, реализуются возможности обмена между двумя сегментами сети структурированными сообщениями с контролем структуры и содержания сообщений, и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ, СОЕДИНЕННОЙ С ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТЬЮ, ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТИ В ЛОКАЛЬНУЮ ВЫЧИСЛИТЕЛЬНУЮ СЕТЬ ПРИ ОБМЕНЕ СИГНАЛАМИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ | 2000 |
|
RU2168757C1 |
КОМПЛЕКС СРЕДСТВ УПРАВЛЕНИЯ И СВЯЗИ ДЛЯ АВТОМАТИЗИРОВАННОЙ ПЕРЕДВИЖНОЙ ЕДИНИЦЫ | 2023 |
|
RU2822692C1 |
МОБИЛЬНЫЙ МНОГОФУНКЦИОНАЛЬНЫЙ КОМПЛЕКС СВЯЗИ | 2020 |
|
RU2749879C1 |
ПЕРЕНОСНОЙ МНОГОФУНКЦИОНАЛЬНЫЙ КОМПЛЕКС СВЯЗИ | 2017 |
|
RU2649414C1 |
СИСТЕМА ОБМЕНА ИНФОРМАЦИЕЙ МЕЖДУ ЛЕТАТЕЛЬНЫМ АППАРАТОМ И ЕГО ЦИФРОВЫМ ДВОЙНИКОМ | 2023 |
|
RU2796694C1 |
МНОГОФУНКЦИОНАЛЬНАЯ КОМАНДНО-ШТАБНАЯ МАШИНА | 2022 |
|
RU2788156C1 |
МНОГОФУНКЦИОНАЛЬНАЯ СТАНЦИЯ ОБМЕНА ДОКУМЕНТАЛЬНОЙ ИНФОРМАЦИЕЙ | 2011 |
|
RU2474869C1 |
УСТРОЙСТВО ОБНАРУЖЕНИЯ УДАЛЕННЫХ КОМПЬЮТЕРНЫХ АТАК | 2014 |
|
RU2540838C1 |
МОБИЛЬНЫЙ УЗЕЛ ПОДВИЖНОЙ СВЯЗИ | 2005 |
|
RU2293442C1 |
ПОДВИЖНАЯ АВТОМАТИЗИРОВАННАЯ МАШИНА УПРАВЛЕНИЯ | 2019 |
|
RU2705217C1 |
Изобретение относится к устройствам, предназначенным для защиты информационных ресурсов вычислительной сети, соединенной с внешней информационной сетью, от несанкционированного доступа пользователей и пересылки сообщений. Техническим результатом является повышение уровня защищенности взаимодействия внешней и локальной сетей и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена. Указанный результат достигается за счет того, что заявленное устройство содержит серверы с блоками памяти, промежуточную память, коммутаторы, коннекторы, линии обмена данными, блок управления. Указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, в которые введены блоки проверки. 1 ил.
Устройство защиты информационных ресурсов компьютерной сети, содержащее серверы с блоками памяти, промежуточную память, коммутатор, коннекторы, линии обмена данными, блок управления, отличающееся тем, что указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, при этом в каждый из указанных серверов вычислительной сети и сервера внешней вычислительной сети введены блоки проверки, предназначенные для проверки структуры сообщения и дополнительной информации в составе сообщения, указанные блоки памяти содержат первый, второй, третий, четвертый блок памяти указанного сервера вычислительной сети и пятый, шестой, седьмой, восьмой блоки памяти сервера внешней вычислительной сети, причем первый и седьмой блоки памяти предназначены для временного хранения сообщений от пользователя вычислительной сети и от пользователей внешней вычислительной сети соответственно, второй и пятый блоки памяти - для копирования сообщений от пользователей вычислительной сети, прошедших проверку, третий и шестой блоки памяти - для записи сообщений из промежуточной памяти от пользователей внешней вычислительной сети и пользователей вычислительной сети соответственно, четвертый и восьмой блоки памяти - для копирования сообщения от пользователей внешней вычислительной сети, прошедших проверку, коннекторы выполнены в виде первого, второго, третьего коннекторов указанного коммутатора, причем указанные первый, второй, третий, четвертый блоки памяти и блок проверки сервера вычислительной сети соединены линиями обмена данными указанного сервера вычислительной сети, имеющими первый и второй входы, указанные пятый, шестой, седьмой, восьмой блоки памяти и блок проверки сервера внешней вычислительной сети соединены линиями обмена данными указанного сервера внешней вычислительной сети, имеющими первый и второй входы, при этом первый вход сервера вычислительной сети соединен с первым коннектором коммутатора, первый вход сервера внешней вычислительной сети соединен со вторым коннектором коммутатора, третий коннектор коммутатора соединен со входом промежуточной памяти, а блок управления соединен с управляющим входом коммутатора.
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ, СОЕДИНЕННОЙ С ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТЬЮ, ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТИ В ЛОКАЛЬНУЮ ВЫЧИСЛИТЕЛЬНУЮ СЕТЬ ПРИ ОБМЕНЕ СИГНАЛАМИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ | 2000 |
|
RU2168757C1 |
ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН | 2000 |
|
RU2214623C2 |
US 2004187032 A, 23.09.2004 | |||
US 2002095607 A1, 18.07.2002. |
Авторы
Даты
2007-12-20—Публикация
2005-07-26—Подача