Показать метаданные Скрыть метаданные

(19)

(11)

2 313 127

(13)

(51)

МПК

G06F12/14(2006-01-01)

G06F15/163(2006-01-01)

G06F21/20(2006-01-01)

(21) (22)

Заявка

2005123730/09, 2005-07-26

(24)

Дата начала отсчета патента

2005-07-26

(22)

дата подачи заявки

2005-07-26

(45)

опубликовано

2007-12-20

(72)

авторы

Климов Евгений АндреевичРоманов Дмитрий МихайловичХельвас Александр Валериевич

(73)

патентообладатели

Закрытое Акционерное Общество Открытых Систем И Высоких Технологий"

(56)

Документы, цитированные в отчете о поиске

US 2004187032 A, 23.09.2004US 2002095607 A1, 18.07.2002.

УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ Российский патент 2007 года по МПК G06F12/14 G06F15/163 G06F21/20

Описание патента на изобретение RU2313127C2

Изобретение относится к устройствам, предназначенным для защиты информационных ресурсов вычислительной сети, соединенной с внешней информационной сетью, от несанкционированного доступа пользователей и пересылки сообщений из внешней информационной сети в локальную вычислительную сеть при обмене информационными сообщениями.

Известна система защиты ресурсов виртуального канала корпоративной сети, построенной на каналах и средствах коммутации сети связи общего пользования-межсетевой экран, например, CyberGuard (Computerworld Россия, 27 августа 1996 г.), Black Hole (Computerworld Россия, 27 августа 1996 г.). Система содержит выделенный компьютер, работающий под операционной системой Unix (например, UnixWare 2.1., FreeBSD) и функциональным программным обеспечением. Данная система не дает возможности контролировать и управлять соединением, используются данные служебных заголовков стандартных протоколов для получения аутентификационных признаков, требуется установка данных экранов к каждой территориально локализованной группе компьютеров, нуждающихся в защите.

Известен способ передачи информации в режиме "электронной почты" (патент РФ №2163757), обеспечивающий высокую степень защиты информационных ресурсов локальной вычислительной сети, соединенной с глобальной информационной сетью, от несанкционированного доступа пользователей глобальной информационной сети в локальную вычислительную сеть при обмене сигналами сообщений электронной почты. Способ заключается в том, что сигнал сообщений электронной почты записывается в память сервера локальной вычислительной сети, а затем из памяти сервера локальной вычислительной сети осуществляется перезапись в память средства промежуточной записи сигналов для хранения в течение установленного времени, при этом удаляются сигналы сообщений электронной почты из памяти сервера локальной вычислительной сети, сигнал сообщений электронной почты из памяти средства промежуточной записи сигналов записывают в память сервера глобальной информационной сети. Аналогичным образом осуществляются операции при передаче сигнала сообщений электронной почты от пользователя глобальной информационной сети.

Устройство, реализующее указанный способ (патент РФ №2168757), содержит серверы, средство промежуточной записи сигналов и средства управления соединениями, средство формирования и приема сигналов сообщений электронной почты. Известное решение принято в качестве прототипа для заявленного изобретения.

Недостатком известных технических решений является то, что существующая система защиты не обеспечивает полностью защищенное взаимодействие двух различных сетей, не предусматривает возможность обмена структурированными сообщениями между двумя сегментами сети с контролем структуры и содержания сообщений, не позволяет осуществить регистрацию всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.

Целью предлагаемого изобретения является повышение уровня защищенности взаимодействия внешней и локальной сетей, создание возможностей обмена структурированными сообщениями между двумя сегментами сети с контролем структуры и содержания сообщений, и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.

Поставленная цель достигается за счет того, что в устройстве защиты информационных ресурсов компьютерной сети, содержащем серверы с блоками памяти, промежуточную память, коммутатор, коннекторы, линии обмена данными, блок управления, указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, при этом в каждый из указанных серверов вычислительной сети и сервера внешней вычислительной сети введены блоки проверки, предназначенные для проверки структуры сообщения и дополнительной информации в составе сообщения, указанные блоки памяти содержат первый, второй, третий, четвертый блок памяти указанного сервера вычислительной сети и пятый, шестой, седьмой, восьмой блоки памяти сервера внешней вычислительной сети, причем первый и седьмой блоки памяти предназначены для временного хранения сообщений от пользователей вычислительной сети и пользователей внешней вычислительной сети соответственно, второй и пятый блоки памяти - для копирования сообщений от пользователей вычислительной сети, прошедших проверку, третий и шестой блоки памяти - для записи сообщений из промежуточной памяти от пользователей внешней вычислительной сети и пользователей вычислительной сети соответственно, четвертый и восьмой блоки памяти - для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку, коннекторы выполнены в виде первого, второго, третьего коннекторов указанного коммутатора, причем указанные первый, второй, третий, четвертый блоки памяти и блок проверки сервера вычислительной сети соединены линиями обмена данными указанного сервера вычислительной сети, имеющими первый и второй входы, указанные пятый, шестой, седьмой, восьмой блоки памяти и блок проверки сервера внешней вычислительной сети соединены линиями обмена данными указанного сервера внешней вычислительной сети, имеющими первый и второй входы, при этом первый вход сервера вычислительной сети соединен с первым коннектором коммутатора, первый вход сервера внешней вычислительной сети соединен со вторым коннектором коммутатора, третий коннектор коммутатора соединен со входом промежуточной памяти, а блок управления соединен с управляющим входом коммутатора.

Изобретение поясняется чертежом, где изображена блок-схема устройства защиты информационных ресурсов компьютерной сети.

Изобретение реализуется следующим образом. Устройство содержит сервер 1 вычислительной сети с блоками памяти: первым - 2, предназначенным для временного хранения сообщений от пользователя вычислительной сети (далее по тексту - первым блоком памяти 2), вторым - 3, предназначенным для копирования сообщений от пользователей вычислительной сети, прошедших проверку (далее по тексту - вторым блоком памяти 3), третьим - 4, предназначенным для записи сообщений из промежуточной памяти 19 от пользователей внешней вычислительной сети (далее по тексту - третьим блоком памяти 4), четвертым - 5, предназначенным для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку (далее по тексту - четвертым блоком памяти 5), с первым блоком проверки 6, с линиями обмена данными 7 сервера 1 вычислительной сети, с первым входом 8 сервера 1 вычислительной сети и вторым входом 9 сервера 1 вычислительной сети; сервер 10 внешней вычислительной сети с блоками памяти: пятым - 11, предназначенным для копирования сообщений пользователей вычислительной сети, прошедших проверку (далее по тексту - пятым блоком памяти 11), шестым - 12, предназначенным для записи сообщений из промежуточной памяти 19 от пользователей вычислительной сети (далее по тексту - шестым блоком памяти 12), седьмым - 13, предназначенным для временного хранения сообщений от пользователей внешней вычислительной сети (далее по тексту - седьмым блоком памяти 13), восьмым - 14, предназначенным для копирования сообщений от пользователей внешней вычислительной сети, прошедших проверку (далее по тексту - восьмым блоком памяти 14), с вторым блоком проверки 15, с линиями обмена данными 16 сервера 10 внешней вычислительной сети, с первым входом 17 сервера 10 внешней вычислительной сети и вторым входом 18 сервера 10 внешней вычислительной сети; промежуточную память 19; коммутатор 20; блок управления 21; первый коннектор 22; второй коннектор 23; третий коннектор 24. Первый 2, второй 3, третий 4, четвертый 5 блоки памяти и первый блок проверки 6 соединены линиями обмена данными 7 сервера 1 вычислительной сети; аналогично пятый 11, шестой 12, седьмой 13, восьмой 14 блоки памяти и второй блок проверки 15 соединены линиями обмена данными 16 сервера 10 внешней вычислительной сети. Первый вход 8 сервера 1 вычислительной сети соединен первым коннектором 22 с коммутатором 20, первый вход 17 сервера 10 внешней вычислительной сети соединен вторым коннектором 23 с коммутатором 20, третий коннектор 24 коммутатора 20 соединен со входом 25 промежуточной памяти 19, блок управления 21 соединен с управляющим входом 26 коммутатора 20. Вторые входы 9 сервера 1 вычислительной сети и 18 сервера 10 внешней вычислительной сети предназначены для подключения других внешних устройств или пользователей.

Работает устройство следующим образом. Структурированное (например, в формате XML) сообщение от пользователя вычислительной сети через второй вход 9 сервера 1 вычислительной сети поступает в первый блок памяти 2. Далее сообщение по линиям обмена данными 7 сервера 1 вычислительной сети передается в первый блок проверки 6, где осуществляется проверка структуры сообщения (в случае применения XML структуры для этого используют DTD или XML SCHEMA файлы, содержащие описание структуры сообщений) и дополнительной информации в составе сообщения (в том числе ЭЦП пользователя вычислительной сети). После этого сообщение, прошедшее проверку, передается по линиям обмена данными 7 сервера 1 вычислительной сети и копируется во второй блок памяти 3 сервера 1 вычислительной сети. При очередном подключении промежуточной памяти 19 с первого входа 8 сервера 1 вычислительной сети через первый коннектор 22 и третий коннектор 24 на вход 25 осуществляется копирование сообщений из второго блока памяти 3 сервера 1 вычислительной сети в промежуточную память 19. Далее, при подключении промежуточной памяти 19 к серверу 10 внешней вычислительной сети со входа 25 через второй коннектор 23 и третий коннектор 24 к первому входу 17 сервера 10 внешней вычислительной сети производится копирование сообщения из промежуточной памяти 19 в шестой блок памяти 12 сервера 10 внешней вычислительной сети, при этом промежуточная память 19 уже отсоединена от сервера 1 вычислительной сети. После этого сообщение отправляется по линиям обмена данными 16 сервера 10 внешней вычислительной сети во второй блок проверки 15, где осуществляется проверка структуры сообщения, дополнительной информации в составе сообщения (в том числе ЭЦП пользователя вычислительной сети). Затем сообщение пользователей вычислительной сети, прошедшее проверку, отсылается по линиям обмена данными 16 сервера 10 внешней вычислительной сети и копируется в пятый блок памяти 11 сервера 10 внешней вычислительной сети. При этом пятый блок памяти 11 сервера 10 внешней вычислительной сети доступен приложениям пользователей внешней вычислительной сети через второй вход 18 сервера 10 внешней вычислительной сети. Все коммутации производятся командами блока управления 21, передаваемыми с управляющего входа коммутатора 26 через первый коннектор 22 на первый вход 8 сервера 1 вычислительной сети и/или через второй коннектор 23 на первый вход 17 сервера 10 внешней вычислительной сети.

Аналогичным образом, сообщения от пользователей внешней вычислительной сети, поступающие через второй вход 18 сервера 10 внешней вычислительной сети, вначале записываются в седьмой блок памяти 13 сервера 10 внешней вычислительной сети. Затем сообщения по линиям обмена данными 16 сервера 10 внешней вычислительной сети передаются во второй блок проверки 15, где проверяется структура сообщений и дополнительная информация в составе сообщений (в том числе ЭЦП пользователей внешней вычислительной сети). После этого сообщения от пользователей внешней вычислительной сети, прошедшие проверки, по линиям обмена данными 16 сервера 10 внешней вычислительной сети передаются и копируются в восьмой блок памяти 14 сервера 10 внешней вычислительной сети. При очередном подключении промежуточной памяти 19 со входа 25 через третий коннектор 24 и второй коннектор 23 к первому входу 17 сервера 10 внешней вычислительной сети сообщения копируются из восьмого блока памяти 14 сервера 10 внешней вычислительной сети в промежуточную память 19. Затем при очередном подключении промежуточной памяти 19 со входа 25 к первому входу 8 сервера 1 вычислительной сети через третий коннектор 24 и первый коннектор 22 осуществляется копирование сообщений из промежуточной памяти 19 в третий блок памяти 4 сервера 1 вычислительной сети (при этом промежуточная память 19 уже отсоединена от сервера 10 внешней вычислительной сети), откуда сообщения передаются в первый блок проверки 6 по линиям обмена данными 7 сервера 1 вычислительной сети. Там осуществляется проверка структуры сообщений, дополнительной информации в составе сообщений (в том числе ЭЦП пользователя внешней вычислительной сети). Затем прошедшие проверки сообщения пользователей внешней вычислительной сети по линиям обмена данными 7 сервера 1 вычислительной сети передаются и копируются в четвертый блок памяти 5 сервера 1 вычислительной сети. При этом четвертый блок памяти 5 сервера 1 вычислительной сети доступен приложениям пользователей вычислительной сети через второй вход 9 сервера 1 вычислительной сети.

Благодаря использованию предлагаемого изобретения повышается уровень защищенности взаимодействия внешней и локальной сетей, реализуются возможности обмена между двумя сегментами сети структурированными сообщениями с контролем структуры и содержания сообщений, и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена между сетями.

Реферат патента 2007 года УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

Изобретение относится к устройствам, предназначенным для защиты информационных ресурсов вычислительной сети, соединенной с внешней информационной сетью, от несанкционированного доступа пользователей и пересылки сообщений. Техническим результатом является повышение уровня защищенности взаимодействия внешней и локальной сетей и осуществления регистрации всех сообщений, переданных между сетями для протоколирования информационного обмена. Указанный результат достигается за счет того, что заявленное устройство содержит серверы с блоками памяти, промежуточную память, коммутаторы, коннекторы, линии обмена данными, блок управления. Указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, в которые введены блоки проверки. 1 ил.

Формула изобретения RU 2 313 127 C2

Устройство защиты информационных ресурсов компьютерной сети, содержащее серверы с блоками памяти, промежуточную память, коммутатор, коннекторы, линии обмена данными, блок управления, отличающееся тем, что указанные серверы выполнены в виде сервера вычислительной сети и сервера внешней вычислительной сети, при этом в каждый из указанных серверов вычислительной сети и сервера внешней вычислительной сети введены блоки проверки, предназначенные для проверки структуры сообщения и дополнительной информации в составе сообщения, указанные блоки памяти содержат первый, второй, третий, четвертый блок памяти указанного сервера вычислительной сети и пятый, шестой, седьмой, восьмой блоки памяти сервера внешней вычислительной сети, причем первый и седьмой блоки памяти предназначены для временного хранения сообщений от пользователя вычислительной сети и от пользователей внешней вычислительной сети соответственно, второй и пятый блоки памяти - для копирования сообщений от пользователей вычислительной сети, прошедших проверку, третий и шестой блоки памяти - для записи сообщений из промежуточной памяти от пользователей внешней вычислительной сети и пользователей вычислительной сети соответственно, четвертый и восьмой блоки памяти - для копирования сообщения от пользователей внешней вычислительной сети, прошедших проверку, коннекторы выполнены в виде первого, второго, третьего коннекторов указанного коммутатора, причем указанные первый, второй, третий, четвертый блоки памяти и блок проверки сервера вычислительной сети соединены линиями обмена данными указанного сервера вычислительной сети, имеющими первый и второй входы, указанные пятый, шестой, седьмой, восьмой блоки памяти и блок проверки сервера внешней вычислительной сети соединены линиями обмена данными указанного сервера внешней вычислительной сети, имеющими первый и второй входы, при этом первый вход сервера вычислительной сети соединен с первым коннектором коммутатора, первый вход сервера внешней вычислительной сети соединен со вторым коннектором коммутатора, третий коннектор коммутатора соединен со входом промежуточной памяти, а блок управления соединен с управляющим входом коммутатора.

Документы, цитированные в отчете о поиске Патент 2007 года RU2313127C2

СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ, СОЕДИНЕННОЙ С ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТЬЮ, ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТИ В ЛОКАЛЬНУЮ ВЫЧИСЛИТЕЛЬНУЮ СЕТЬ ПРИ ОБМЕНЕ СИГНАЛАМИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ	2000	Орлов В.Н. Крайнов Е.В. Сивенцев А.А.	RU2168757C1
ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН	2000	Купреенко С.В. Заборовский В.С. Шеманин Ю.А.	RU2214623C2
US 2004187032 A, 23.09.2004
US 2002095607 A1, 18.07.2002.

RU 2 313 127 C2

Авторы

Климов Евгений Андреевич

Романов Дмитрий Михайлович

Хельвас Александр Валериевич

Даты

2007-12-20—Публикация

2005-07-26—Подача

название	год	авторы	номер документа
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ, СОЕДИНЕННОЙ С ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТЬЮ, ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТИ В ЛОКАЛЬНУЮ ВЫЧИСЛИТЕЛЬНУЮ СЕТЬ ПРИ ОБМЕНЕ СИГНАЛАМИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ	2000	Орлов В.Н. Крайнов Е.В. Сивенцев А.А.	RU2168757C1
МОБИЛЬНЫЙ МНОГОФУНКЦИОНАЛЬНЫЙ КОМПЛЕКС СВЯЗИ	2020	Васильев Андрей Иванович Вергелис Николай Иванович Долматов Евгений Александрович Карпухин Николай Николаевич Петров Антон Владимирович Шурлыкин Евгений Николаевич Головачев Александр Александрович	RU2749879C1
ПЕРЕНОСНОЙ МНОГОФУНКЦИОНАЛЬНЫЙ КОМПЛЕКС СВЯЗИ	2017	Булынин Андрей Геннадьевич Васильев Андрей Иванович Вергелис Николай Иванович Карпухин Николай Николаевич Петров Антон Владимирович Здоровьев Александр Юрьевич	RU2649414C1
СИСТЕМА ОБМЕНА ИНФОРМАЦИЕЙ МЕЖДУ ЛЕТАТЕЛЬНЫМ АППАРАТОМ И ЕГО ЦИФРОВЫМ ДВОЙНИКОМ	2023	Солдатов Алексей Сергеевич	RU2796694C1
МНОГОФУНКЦИОНАЛЬНАЯ КОМАНДНО-ШТАБНАЯ МАШИНА	2022	Вергелис Николай Иванович Головачев Александр Александрович Карпухин Сергей Николаевич Яшков Алексей Владимирович Фотин Евгений Евгеньевич Ануфриев Николай Валерьевич Козырев Валерий Васильевич Курашев Заур Валерьевич	RU2788156C1
МНОГОФУНКЦИОНАЛЬНАЯ СТАНЦИЯ ОБМЕНА ДОКУМЕНТАЛЬНОЙ ИНФОРМАЦИЕЙ	2011	Смирнов Олег Всеволодович Селезенев Николай Витальевич Вергелис Николай Иванович Зеленко Олег Валерьевич Уланов Андрей Вячеславович Михайлов Сергей Васильевич Кожин Юрий Иванович Беспалов Андрей Николаевич Бобков Алексей Николаевич Головачев Александр Александрович Воронцов Артем Валерьевич Игнатьев Вячеслав Михайлович	RU2474869C1
УСТРОЙСТВО ОБНАРУЖЕНИЯ УДАЛЕННЫХ КОМПЬЮТЕРНЫХ АТАК	2014	Васюков Дмитрий Юрьевич Коцыняк Михаил Антонович Коцыняк Михаил Михайлович Лаута Олег Сергеевич Лаута Александр Сергеевич	RU2540838C1
МОБИЛЬНЫЙ УЗЕЛ ПОДВИЖНОЙ СВЯЗИ	2005	Азаров Геннадий Иванович Скобельцын Валерий Алексеевич Кривенков Михаил Викторович Липатов Александр Анатольевич Рапопорт Владимир Марксович Вергелис Николай Иванович	RU2293442C1
ПОДВИЖНАЯ АВТОМАТИЗИРОВАННАЯ МАШИНА УПРАВЛЕНИЯ	2019	Жужома Валерий Михайлович Вергелис Николай Иванович Селезенев Николай Витальевич Карпухин Сергей Николаевич Головачев Александр Александрович Игнатьев Вячеслав Михайлович Шакуров Радик Шамильевич	RU2705217C1
ПОДВИЖНАЯ АППАРАТНАЯ СЛУЖБЫ ОБМЕНА ДОКУМЕНТИРОВАННОЙ ИНФОРМАЦИЕЙ	2017	Булынин Андрей Геннадьевич Васильев Андрей Иванович Вергелис Николай Иванович Карпухин Николай Николаевич Гудим Семен Сергеевич Петров Антон Владимирович	RU2646310C1