СПОСОБ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРИ РАБОТЕ С ВНЕШНИМИ СЕТЯМИ И СИСТЕМА ДЛЯ ЕГО РЕАЛИЗАЦИИ Российский патент 2010 года по МПК H04L12/00 

Описание патента на изобретение RU2387086C1

Изобретение относится к вычислительным сетям, в частности к обеспечению их информационной безопасности.

Основным требованием к сетям с точки зрения безопасности является защита информационных ресурсов локальной вычислительной сети (ЛВС) от несанкционированного доступа, разрушения и искажения, а также от незаконной передачи данных за пределы ЛВС.

Способы и системы защиты информационных ресурсов сети в условиях ее взаимодействия с внешними (не контролируемыми предприятием) сетями, например сетью Internet, разрабатывают с момента появления компьютерных сетей и известны их многочисленные варианты (см., например патент RU №2318296, МПК Н04L 12/54, 2006 г., патент RU №2325694, МПК Н04L 12/00, 2008 г., патент RU №2327214, МПК G06F 21/22,2008 г.).

В простейшем случае используют системы на основе прав доступа по имени учетной записи и паролю в совокупности со специальным программным обеспечением таким, как брандмауэры, фильтрующее и маршрутизирующее оборудование (статья Ю. Рудакова «Технические решения для физически разделенных сетей», публикация ООО «ЕПОС», 17 декабря 2002 г., стр.1, рис.1). В некоторых случаях в качестве дополнительных мер безопасности используют двухфакторную аутентификацию.

Недостатками аналогов являются невозможность гарантировать абсолютную надежность брандмауэра, недостаточная защита от внутренних угроз безопасности и невозможность в полной мере обеспечить защиту от угроз передачи инфицированных вирусами программ и файлов.

Наиболее близким к предлагаемому техническому решению является схема локальной вычислительной сети учреждения с физическим разделением на внешнюю и внутреннюю сети с обменом данными между ними через оператора (статья Ю. Рудакова «Технические решения для физически разделенных сетей», публикация ООО «ЕПОС», 17 декабря 2002 г., стр.2, рис.2).

Система, принятая за прототип, содержит физически раздельные внутреннюю сеть - сеть без доступа к/из внешних сетей, и внешнюю сеть - сеть с доступом к внешним сетям. Во внутренней сети располагают информационные и вычислительные ресурсы предприятия и ПЭВМ пользователей. Во внешней - ПЭВМ с доступом в Internet через шлюз, брандмауэр с необходимыми средствами фильтрации и контроля трафика. Способ работы внутреннего пользователя во внешних сетях сводится к передаче во внешнюю сеть или получении из внешней сети данных на цифровых носителях информации (например, дискетах) или на бумажных носителях (например, машинописные тексты) через операторов ПЭВМ внешней сети.

Недостатком прототипа является то, что внутренний пользователь не имеет возможности самостоятельно работать с внешними сетями. Так же для известной системы характерна децентрализация и наличие рядом с каждой точкой доступа оператора выделенной сети, что в совокупности делает ее дорогой и сложной в эксплуатации. Кроме того, практика передачи файлов без их проверки службой безопасности не является безопасной.

Задача настоящего изобретения в том, чтобы дать внутренним пользователям возможность самостоятельно работать с внешними сетями, сделать работу с внешними сетями более безопасной, а саму систему удобной и экономичной в эксплуатации.

Технический результат предлагаемого изобретения состоит в повышении удобства использования, снижении стоимости эксплуатации системы по сравнению с прототипом, большей защищенности системы и возможности внутренним пользователям работать во внешней сети.

Решение поставленной задачи и технический результат достигаются тем, что в способе обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями обмен данных осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройство фильтрации трафика и преобразования формы представления данных, подключенное к внутренней сети.

Решение поставленной задачи и технический результат также достигаются тем, что в системе информационной безопасности локальной вычислительной сети, содержащей внутреннюю и внешнюю сети, внешняя сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети, дополнительно система содержит двухвходовый накопитель цифровой информации, соединенный с виртуальной операционной средой внутренних пользователей на сервере, и устройство фильтрации трафика и преобразования формы представления передаваемых между сетями данных, соединенное с сетевым накопителем цифровой информации напрямую или через сетевое оборудование, и накопителем цифровой информации во внутренней локальной вычислительной сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети, при помощи устройств типа KVM для переключения одного набора периферии (клавиатуры, монитора и мыши) между ПЭВМ внутренних пользователей и терминалами.

Для пояснения изобретения обратимся к чертежу, на котором приведена схема системы обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями.

Локальная вычислительная сеть разделена на две физически несвязанные части - внутреннюю и внешнюю. Внешняя сеть предназначена для работы внутренних пользователей 1 с внешними сетями. Внутренняя сеть предназначена для работы внутренних пользователей 1 с локальными информационными и вычислительными ресурсами.

Рабочее место внутреннего пользователя 1 состоит из необходимой периферии 2, например клавиатуры, монитора, мыши, соединенной через переключатель 3 типа KVM с ПЭВМ 4 для работы во внутренней сети и с терминалом 5 для работы во внешней сети. Множество терминалов 5 внутренних пользователей 1 подключают напрямую или через систему специализированного программного обеспечения и/или сетевого оборудования 6, например коммутатор, к одной или нескольким виртуальным средам, расположенным на сервере 7 или ином подходящем вычислительном оборудовании. Виртуальные среды имеют возможность взаимодействовать с внешними сетями через канал 8. Виртуальные среды по отдельному каналу соединены с двухвходовым накопителем цифровой информации 9, обеспечивающим доступ к данным только по одному из входов в каждый конкретный момент за счет физического отключения второго входа, который в свою очередь соединен с устройством 11 фильтрации трафика и преобразования формы представления данных между внутренней и внешней сетями. Устройство 11 соединено напрямую или через подходящую сетевую инфраструктуру 10 с накопителем цифровой информации 16, к которому внутренний пользователь 1 может получить доступ со своей ПЭВМ 4. В системе также предусмотрены альтернативные способы обмена данными между внутренней и внешней сетями, в которых в одном случае данные на переносном накопителе информации 12 оператором 14 переносятся вручную на устройство 11 фильтрации трафика и преобразования формы представления данных между сетями, откуда по описанному выше маршруту данные попадают на ПЭВМ 4 внутреннего пользователя 1. В другом случае данные оператором 14 на бумажном носителе 15, либо посредством преобразования формы представления, например, распечатки и последующего сканирования 13 попадают на устройство 11 фильтрации трафика и преобразования формы представления данных, откуда по уже описанному маршруту попадают на ПЭВМ 4 внутреннего пользователя 1.

Система работает следующим образом.

В исходной ситуации внутренний пользователь 1 работает через устройства периферии 2 с ПЭВМ 4 во внутренней сети. Для того чтобы начать работу во внешней сети внутренний пользователь 1 переключает устройство 3 (переключатель типа KVM) на терминал 5 и регистрируется в общей или в специально для него выделенной виртуальной операционной среде на сервере 7. После чего начинает работу при помощи стандартных программ, например браузера. При необходимости перенести данные из внешней сети во внутреннюю внутренний пользователь 1 сохраняет их сначала в операционной среде на сервере 7, затем переносит данные на двухвходовый накопитель цифровой информации 9. После чего данные забираются автоматически или при помощи оператора 14 на устройство 11 фильтрации трафика и преобразования формы представления данных, где проходят соответствующую проверку и преобразование формы, после чего попадают на внутренний сервер 16, откуда могут быть получены внутренним пользователем 1 на ПЭВМ 4, после того как он переключит устройство 3 типа KVM 3 на работу с ПЭВМ 4. Как вариант преобразование формы на устройстве фильтрации трафика и преобразования формы представления данных может быть заменено на описанную систему принтер-сканер 13 с участием оператора 14 или перенос данных на бумажном носителе 15 с последующим вводом текста оператором 14. Также оператором 14 данные могут быть перенесены из виртуальной среды пользователя на сервере 7 на переносимом носителе 12 сразу на устройство 11 фильтрации трафика и преобразования формы представления данных.

В ситуации обратной исходной внутренний пользователь 1 работает за ПЭВМ 4. Если возникает необходимость передать данные во внешнюю сеть, он копирует их с ПЭВМ 4 на сервер хранения цифровых данных 16 в локальной вычислительной сети, откуда они в ручном режиме оператором 14 или в автоматическом режиме попадают на устройство 11 фильтрации трафика и преобразования формы представления данных, где проходят необходимые проверки и преобразования формы. После чего они оператором 14 или в автоматическом режиме переносятся на двухвходовый накопитель цифровой информации 9. Далее внутренний пользователь 1 при помощи переключателя 3 типа KVM переключается на терминал 5, регистрируется в виртуальной среде пользователя на сервере 7. После этого он может забрать данные с устройства 9 и отправить их во внешнюю сеть по каналу 8. Альтернативными путями данные при участии оператора 14 могут быть перенесены с устройства 11 фильтрации трафика и преобразования формы представления данных непосредственно в виртуальную среду пользователя на сервере 4 или на двухвходовый накопитель цифровой информации 9 на бумажном носителе 15 с последующим набором в виртуальной среде пользователя на сервере 7, либо через систему принтер-сканер 13, либо, если преобразование формата представления данных было произведено на устройстве фильтрации трафика и преобразования формы представления данных 11, на переносном накопителе информации 12 в цифровом виде.

Технический эффект предлагаемого изобретения состоит в том, что за счет введения в локальную вычислительную сеть терминальной сети и использования двухвходового накопителя цифровой информации и устройства фильтрации трафика и преобразования формы представления данных значительно повышается уровень защищенности локальных информационных ресурсов предприятия, удобство использования и обслуживания сети и общая экономическая эффективность. Кроме того, повышается эффективность работы пользователя за счет предоставления ему возможности самостоятельно работать во внешних сетях.

Похожие патенты RU2387086C1

название год авторы номер документа
Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации 2022
  • Конкин Александр Андреевич
  • Лынов Евгений Васильевич
  • Никифоров Максим Сергеевич
  • Румянцев Илья Евгеньевич
  • Юрьева Ольга Александровна
RU2801247C1
Способ защиты локальной сети от вредоносных программ из интернета и устройство преобразования файлов 2017
  • Попов Александр Геннадиевич
  • Попов Владимир Иванович
  • Сухоруков Макар Анатольевич
RU2681340C1
Способ защиты локальной сети от вредоносных программ из интернета и устройство преобразования файлов 2017
  • Попов Александр Геннадиевич
  • Попов Владимир Иванович
  • Сухоруков Макар Анатольевич
RU2681338C1
СИСТЕМА И СПОСОБ ВИРТУАЛИЗАЦИИ ФУНКЦИИ МОБИЛЬНОЙ СЕТИ 2014
  • Сиф Мехди
  • Рамчандран Пракаш
  • Тянь Хунбо
  • Хань Хоусяо
  • Ли Хунлинь
  • Хуан Марк С.
  • Сунавала Фархад
  • Дэвис Гален Ким
RU2643451C2
Способ защиты системы связи, система связи и устройство преобразования файлов 2018
  • Попов Александр Геннадиевич
  • Попов Владимир Иванович
  • Сухоруков Макар Анатольевич
RU2749496C2
СИСТЕМЫ И СПОСОБЫ АНАЛИЗА СЕТИ И ОБЕСПЕЧЕНИЯ ОТЧЕТОВ 2015
  • Рик Малкольм
RU2677378C2
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОТ ВТОРЖЕНИЙ 2021
  • Чайковский Сергей Станиславович
RU2758997C1
ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН 2000
  • Купреенко С.В.
  • Заборовский В.С.
  • Шеманин Ю.А.
RU2214623C2
ПОСРЕДНИК В ЛОКАЛЬНОЙ СЕТИ ДЛЯ УДАЛЕННО ПОДКЛЮЧЕННОГО МОБИЛЬНОГО УСТРОЙСТВА, РАБОТАЮЩЕГО В РЕЖИМЕ ПОНИЖЕННОГО ЭНЕРГОПОТРЕБЛЕНИЯ 2006
  • Стирбу Влад
RU2370916C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ С ВЫДЕЛЕННЫМ СЕРВЕРОМ 2009
  • Ветошкин Иван Сергеевич
  • Дрозд Юрий Анатольевич
  • Ефимов Андрей Анатольевич
  • Зорин Кирилл Михайлович
  • Игнатенко Александр Витальевич
  • Кожевников Дмитрий Анатольевич
  • Краснов Василий Александрович
  • Кузнецов Владимир Евгеньевич
  • Максимов Роман Викторович
RU2449361C2

Реферат патента 2010 года СПОСОБ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРИ РАБОТЕ С ВНЕШНИМИ СЕТЯМИ И СИСТЕМА ДЛЯ ЕГО РЕАЛИЗАЦИИ

Изобретение относится к области защиты вычислительных сетей. Технический результат заключается в повышении безопасности при работе с внешними сетями. Сущность изобретения заключается в том, что при работе с внешними сетями обмен данными осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройства фильтрации графика и преобразования формы представления данных, подключенные к внутренней сети. Локальная вычислительная сеть разделена на внутреннюю сеть и внешнюю выделенную сеть. Выделенная сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети. При этом система содержит двухвходовый накопитель цифровой информации, соединенный с виртуальными средами пользователей на сервере, и устройство фильтрации графика и преобразования формы представления данных, соединенное с двухвходовым накопителем цифровой информации напрямую или через сетевое оборудование и накопителем цифровой информации во внутренней сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети. 2 н.п. ф-лы, 1 ил.

Формула изобретения RU 2 387 086 C1

1. Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями, отличающийся тем, что обмен данными осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройство фильтрации трафика и преобразования формы представления данных, подключенное к внутренней сети.

2. Система обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями, содержащая внутреннюю и внешнюю сети, отличающаяся тем, что внешняя сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети, дополнительно система содержит двухвходовый накопитель цифровой информации, соединенный с виртуальными операционными средами внутренних пользователей на сервере и устройство фильтрации трафика и преобразования формы представления данных, соединенное с сетевым накопителем цифровой информации напрямую или через сетевое оборудование, и накопителем цифровой информации во внутренней локальной вычислительной сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети при помощи устройства для переключения одного набора периферии между ПЭВМ внутренних пользователей и терминалами.

Документы, цитированные в отчете о поиске Патент 2010 года RU2387086C1

СПОСОБ ЗАЩИТЫ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРИ ПЕРЕДАЧЕ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ ПОСРЕДСТВОМ ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТИ 2006
  • Борисов Михаил Анатольевич
  • Кожевников Дмитрий Анатольевич
  • Максимов Роман Викторович
  • Осадчий Александр Иванович
  • Павловский Антон Владимирович
  • Стародубцев Геннадий Юрьевич
  • Худайназаров Юрий Кахрамонович
RU2318296C1
WO 9618253 А1, 13.06.1996
СИСТЕМЫ И СПОСОБЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЯ ДЛЯ СЕТЕВЫХ СЕРВЕРОВ 2003
  • Сэмпл Чар
RU2327214C2
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ, СОЕДИНЕННОЙ С ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТЬЮ, ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ ГЛОБАЛЬНОЙ ИНФОРМАЦИОННОЙ СЕТИ В ЛОКАЛЬНУЮ ВЫЧИСЛИТЕЛЬНУЮ СЕТЬ ПРИ ОБМЕНЕ СИГНАЛАМИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ 2000
  • Орлов В.Н.
  • Крайнов Е.В.
  • Сивенцев А.А.
RU2168757C1
US 6222856 В1, 24.04.2001.

RU 2 387 086 C1

Авторы

Криворученко Владимир Степанович

Кочерженко Николай Гаврилович

Павлов Вячеслав Григорьевич

Руденко Борис Александрович

Фомин Александр Львович

Даты

2010-04-20Публикация

2008-11-21Подача