СИСТЕМА ЗАЩИТЫ КОМПЬЮТЕРНЫХ СЕТЕЙ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА Российский патент 2017 года по МПК G06F15/163 

Описание патента на изобретение RU2607997C1

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности и может быть использовано для управления взаимодействием двух автоматизированных систем.

Известны средства защиты периметра локальной (корпоративной) вычислительной сети, именуемые как межсетевой экран, сетевой экран, файервол, брандмауэр - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Известна система защиты сетей, содержащая две сетевые материнские платы, каждая из которых имеет сетевой интерфейсный адаптер для обмена данными с указанными сетями (RU 96118130 А).

В качестве ближайшего аналога может быть рассмотрена система защиты компьютерных сетей от несанкционированного доступа, в которой межсетевой экран содержит по меньшей мере два сетевых интерфейса для пакетной коммутации данных между сегментами вычислительной сети, выполняемой в соответствии с программой фильтрации пакетов (RU 2214623 C2).

К недостаткам известных систем можно отнести то, что они не защищают узлы сети от проникновения через разные уязвимости, не защищают от загрузки пользователями вредоносных программ, в том числе вирусов, а также не обеспечивают полную защиту от внутренних угроз, в первую очередь - утечки данных.

Задачей изобретения является создание системы защиты, основанной на анализе заголовка и информационной части сообщения. Заявленная система защиты, обладая сетевыми интерфейсами, рассматривается как адресуемый сетевой узел, то есть не использует при своем функционировании при обращении со стороны первой компьютерной сети (КС1) сетевой адрес ни одного из клиентов второй компьютерной сети (КС2).

При обращении клиента сети КС2 в сеть КС1 адрес клиента сети КС1 указывается.

Поставленная задача решается тем, что система защиты компьютерных сетей от несанкционированного доступа, представляющая собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными компьютерными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, отличается тем, что она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации.

Указанные правила фильтрации могут запрещать транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра, а интерфейс устройства управления узла обработки трафика защищен от несанкционированного доступа программно-аппаратными средствами.

Межсетевой фильтр (МСФ) представляет собой специализированное сетевое устройство, которое включается между двумя компьютерными сетями таким образом, что весь обмен информацией между ними ограничивается с помощью специальных правил фильтрации.

Согласно изобретению для управления процессами фильтрации трафика МСФ содержит специальный узел обработки трафика (УОТ), устройство управления которого информационно изолировано от сетевых интерфейсов, а взаимодействие с ним осуществляется через отдельный интерфейс управления.

Все изменения программы фильтрации трафика, а также управление соединениями могут быть выполнены исключительно через интерфейс устройства управления УОТ, что полностью устраняет возможность несанкционированного доступа с МСФ со стороны сетей КС1 и КС2.

Для формирования любого обращения к клиенту КС2 клиент КС1 должен обратиться по сетевому адресу МСФ с запросом, форма которого определена протоколом обмена. При поступлении запроса УОТ определяет, от какого клиента он поступил. Если приславший запрос клиент уполномочен иметь доступ к сети КС2, проверяется форма запроса и значения параметров. Если полномочия клиента, форма запроса, значения параметров не соответствуют допустимым, зафиксированным в файле конфигурации МСФ, запрос отклоняется, событие фиксируется в памяти МСФ.

При соответствии полномочий клиента КС1, формы запроса, значений параметров допустимым, УОТ на основе запроса клиента КС1 формирует запрос в формате, присущем КС2, и отправляет его на сетевой интерфейс второй сети.

Запрос поступает в КС2, подключенную ко второму интерфейсу МСФ, далее к запрашиваемому клиенту, который откликается на запрос.

Устройство УОТ принимает ответ, обрабатывает его, формирует в соответствии с установленными протоколами, ответ с адресом клиента, приславшего запрос, и направляет его на сетевой интерфейс КС1.

Схема информационного взаимодействия МСФ и КС показана на фиг. 1.

При функционировании МСФ реализуется принцип «разрешено только то, что разрешено в явном виде», относящийся к адресам клиентов, их полномочиям, формам и параметрам запросов, формам и параметрам ответов.

Применение МСФ полностью исключает несанкционированный доступ к защищенной КС2 со стороны клиентов, не имеющих соответствующих полномочий, а также проникновения через уязвимости ПО, обеспечивает полную защиту от внутренних угроз, в том числе утечки данных, защищает от загрузки клиентами КС1 вредоносных программ, в том числе вирусов, при отсутствии у клиентов информации о протоколах обмена, формах и параметрах запросов.

Средства программирования параметров фильтрации трафика обеспечивают возможность настройки МСФ для решения различных задач.

Похожие патенты RU2607997C1

название год авторы номер документа
Система и способ анализа входящего потока трафика 2023
  • Черешнев Владимир Сергеевич
  • Самохвалов Виктор Евгеньевич
  • Пуц Алексей Юрьевич
  • Пеников Павел Викторович
  • Садовников Владимир Владимирович
  • Васьков Егор Русланович
RU2812087C1
ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН 2000
  • Купреенко С.В.
  • Заборовский В.С.
  • Шеманин Ю.А.
RU2214623C2
АППАРАТНО-ВЫЧИСЛИТЕЛЬНЫЙ КОМПЛЕКС С ПОВЫШЕННЫМИ НАДЕЖНОСТЬЮ И БЕЗОПАСНОСТЬЮ В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ 2013
  • Гаврилов Дмитрий Александрович
  • Щелкунов Николай Николаевич
RU2557476C2
СПОСОБ УДАЛЕННОГО МОНИТОРИНГА И УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ СЕТЕВОГО ВЗАИМОДЕЙСТВИЯ НА ОСНОВЕ ИСПОЛЬЗОВАНИЯ СИСТЕМЫ ДОМЕННЫХ ИМЕН 2012
  • Маркин Дмитрий Олегович
  • Аксаментов Максим Сергеевич
RU2503059C1
СПОСОБ ОБРАБОТКИ ДЕЙТАГРАММ СЕТЕВОГО ТРАФИКА ДЛЯ РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫМ РЕСУРСАМ КОМПЬЮТЕРНЫХ СЕТЕЙ 2006
  • Хади Роман Ахмедович
  • Лежнев Александр Васильевич
  • Мамай Владимир Иванович
  • Селин Роман Николаевич
RU2314562C1
АВТОМАТИЧЕСКИЙ МЕЖСЕТЕВОЙ ЭКРАН 2014
  • Михайлов Андрей Витальевич
RU2580004C2
СПОСОБ ОБРАБОТКИ СЕТЕВЫХ ПАКЕТОВ ДЛЯ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК 2005
  • Аграновский Александр Владимирович
  • Алиев Александр Тофикович
  • Репалов Сергей Анатольевич
  • Селин Роман Николаевич
  • Хади Роман Ахмедович
RU2304302C2
Система обнаружения атак с адаптивным распределением вычислительных ресурсов 2023
  • Добрышин Михаил Михайлович
  • Шугуров Дмитрий Евгеньевич
  • Реформат Андрей Николаевич
  • Белов Андрей Сергеевич
  • Филимонов Алексей Валерьевич
  • Громов Юрий Юрьевич
  • Анисимов Владимир Георгиевич
RU2813461C1
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОТ ВТОРЖЕНИЙ 2021
  • Чайковский Сергей Станиславович
RU2758997C1
СИСТЕМЫ И СПОСОБЫ ДЛЯ ЗАЩИТЫ СЕТЕВЫХ УСТРОЙСТВ ПОСРЕДСТВОМ МЕЖСЕТЕВОГО ЭКРАНА 2016
  • Глэйзмэйкерс Курт
  • Селлерье Тома Брюно Эмманюэль
  • Аболафия Натан
  • Бербероглу Гокхан
  • Итурри Айтор Перес
  • Лейно Пер
  • Бодли-Скотт Джейми
RU2714367C1

Иллюстрации к изобретению RU 2 607 997 C1

Реферат патента 2017 года СИСТЕМА ЗАЩИТЫ КОМПЬЮТЕРНЫХ СЕТЕЙ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности. Техническим результатом является защита узлов сети на основе анализа заголовка и информационной части сообщения. Система защиты компьютерных сетей от несанкционированного доступа представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, при этом она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра. 1 з.п. ф-лы, 1 ил.

Формула изобретения RU 2 607 997 C1

1. Система защиты компьютерных сетей от несанкционированного доступа, представляющая собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, отличающаяся тем, что она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра.

2. Система по п. 1, отличающаяся тем, что интерфейс устройства управления узла обработки трафика защищен от несанкционированного доступа программно-аппаратными средствами.

Документы, цитированные в отчете о поиске Патент 2017 года RU2607997C1

ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН 2000
  • Купреенко С.В.
  • Заборовский В.С.
  • Шеманин Ю.А.
RU2214623C2
Способ приготовления мыла 1923
  • Петров Г.С.
  • Таланцев З.М.
SU2004A1
Способ приготовления лака 1924
  • Петров Г.С.
SU2011A1
Пресс для выдавливания из деревянных дисков заготовок для ниточных катушек 1923
  • Григорьев П.Н.
SU2007A1
Изложница с суживающимся книзу сечением и с вертикально перемещающимся днищем 1924
  • Волынский С.В.
SU2012A1

RU 2 607 997 C1

Авторы

Стародымов Георгий Александрович

Чикалев Игорь Александрович

Даты

2017-01-11Публикация

2015-08-05Подача