Изобретение относится к локальным вычислительным сетям, в частности к обеспечению их информационной безопасности.
Известны способы защиты локальной вычислительной сети от вредоносных программ из интернета, в которых используют шлюз-компьютер с установленным межсетевым экраном [1, 2, 3].
Недостатками аналогов являются невозможность гарантировать абсолютную надежность межсетевого экрана, недостаточная защита от внутренних угроз безопасности и невозможность в полной мере обеспечить защиту от угроз передачи инфицированных вирусами программ и файлов.
Известен способ защиты локальной сети от вредоносных программ из интернета, заключающийся в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере - шлюзе, который не имеет доступа в локальную сеть.
Полученные данные из интернета передают в защищаемую локальную сеть на бумажных носителях информации (машинописные или распечатанные на принтере тексты) через оператора компьютера - шлюза.
Способ реализован в системе с так называемыми физически разделенными внешней и внутренней локальными сетями. Внешняя сеть имеет доступ к компьютеру - шлюзу, внутренняя - защищаемая локальная сеть изолирована от интернета [4].
Недостатком способа является сверхнизкая скорость (оперативность) передачи информации на сервер защищаемой локальной сети.
Известен способ защиты локальной сети от вредоносных программ из интернета, заключающийся в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере - шлюзе, который не имеет доступа в локальную сеть.
Полученные данные из интернета передают на сервер локальной сети альтернативными вариантами:
1) переносят данные на двухвходовый накопитель цифровой информации, затем забирают их автоматически или при помощи оператора на устройство фильтрации трафика и преобразования формы представления данных, где они проходят соответствующую проверку и преобразование формы, после чего попадают на сервер;
2) переносят данные на накопитель информации, затем оператор вручную переносит накопитель на устройство фильтрации трафика и преобразования формы представления, где данные проходят проверку, после чего попадают на сервер;
3) переносят данные оператором на бумажный носитель (машинописные или распечатанные на принтере тексты), сканируют их и передают на устройство фильтрации трафика и преобразования формы представления, после чего данные попадают на сервер.
Способ реализован в системе с так называемыми физически разделенными внешней и внутренней локальными сетями. Где внешней сетью является терминальная сеть из терминалов на рабочих местах внутренних пользователей. Периферия (клавиатура, монитор и мышь) посредством KVM переключателя подключается к компьютеру пользователя для работы во внутренней сети, или к терминалу для работы во внешней сети [5].
Данное техническое решение принято за прототип способа.
Недостатком прототипа способа в вариантах 1 и 2, как следует из описания прототипа, является то, что проверка и преобразование формы представления данных осуществляется программным путем компьютером (устройством фильтрации трафика и преобразования формы представления данных), следовательно, присутствует риск проникновения на сервер вредоносных программ.
Недостатком прототипа в варианте 3 является низкая скорость (оперативность) передачи информации на сервер защищаемой локальной сети и непродуктивный расход бумаги.
Предлагаемым изобретением устраняются перечисленные недостатки прототипа, решается задача защиты локальной сети от проникновения вредоносных программ из интернета при высокой скорости передачи данных на сервер локальной сети.
Для достижения этого технического результата способ защиты локальной сети от вредоносных программ из интернета заключается в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть.
В отличие от прототипа проверенные данные в виде графических и/или текстовых файлов постранично отображают на дисплее устройства преобразования файлов, с частотой смены кадров без процесса регенерации кадра, там же синхронно фотографируют страницы, с помощью аппаратных средств, и отправляют фотографические файлы страниц на сервер локальной сети.
Благодаря совокупности отличительных признаков данные преобразуют в форму фотографических файлов аппаратно (см. ниже устройство преобразования файлов), данные поступают на сервер и хранятся в виде фотографий страниц в одном из графических форматов (RAW, JPEG, TIFF и т.п.). Следовательно, проникновение вредоносных программ в локальную сеть исключено, как впрочем, и любых программ.
В этом заключается существенное отличие от способов программного преобразования текстовых данных в графический файл. Например, известен способ преобразования текстового документа Word в формат JPEG с помощью стандартной утилиты "Ножницы" ОС Windows 7 [6]. Припередаче на сервер такого программно преобразованного файла существует риск проникновения вредоносных программ в локальную сеть.
В силу отображения страниц файла на дисплее с частотой смены кадров, страницы фотографируют с той же частотой. К примеру, при частоте смены кадров в 100 Гц стостраничный документ будет отправлен на сервер за 1 секунду. Скорость (оперативность) передачи информации на сервер защищаемой локальной сети многократно превышает скорость передачи способа прототипа по схеме "принтер - сканер". Так отправка на сервер такого же документа по способу прототипа займет сотни минут.
Устройство преобразования файлов состоит из корпуса, в котором размещены дисплей, цифровая фото/видео камера, блок синхронизации спуска затвора цифровой фото/видео камеры, вход блока синхронизации спуска затвора цифровой фото/видео камеры подключен к внешнему видеоинтерфейсу дисплея, выход блока синхронизации спуска затвора цифровой фото/видео камеры соединен с цифровой фото/видео камерой, матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры, внешний видеоинтерфейс дисплея предназначен для соединения с видеоадаптером компьютера, внешний интерфейс цифровой фото/видео камеры предназначен для соединения с сервером локальной сети.
Блок синхронизации спуска затвора цифровой фото/видео камеры включает последовательно соединенные буфер, элемент задержки, формирователь сигнала управления спуском и элемент управления спуском затвора цифровой фото/видео камеры.
Матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры посредством объектива.Матрицы дисплея и цифровой фото/видео камеры выполнены с идентичными габаритными размерами полей пикселей (активных областей), установлены вплотную друг к другу с совмещением полей пикселей.
Разрешающая способность матрицы цифровой фото/видео камеры равна или больше разрешающей способности матрицы дисплея.
Матрицы дисплея и цифровой фото/видео камеры соединены между собой оптическим клеем.
Изобретение проиллюстрировано чертежами:
Фиг. 1 - пример схемы системы защиты локальной сети от вредоносных программ с одним рабочим местом оператора компьютера, соединенного с интернетом;
Фиг. 2 - блок-схема устройства преобразования файлов;
Фиг. 3 - структурная схема блока синхронизации спуска затвора цифровой фото/видео камеры;
Фиг. 4 - пример принципиальной схемы блока синхронизации спуска затвора цифровой фото/видео камеры, реализованного на прецизионных таймерах;
Фиг. 5 - эпюры сигналов видеоинтерфейса и блока синхронизации спуска затвора цифровой фото/видео камеры;
Фиг. 6 - вариант узла оптического сопряжения матриц дисплея и цифровой фото/видео камеры;
Реализация способа защиты локальной сети от вредоносных программ из интернета осуществляется в системе защиты локальной сети, пример которой изображен на Фиг. 1. Система включает компьютер 101 доступа в интернет с периферией (монитор, клавиатура, мышь) 102, устройство преобразования файлов 103, защищаемую локальную сеть 104. Локальная сеть 104 включает сервер 105 и множество рабочих станций 106. Компьютер 101 портом 107 интерфейса видеоадаптера соединен с портом 108 внешнего видеоинтерфейса дисплея устройства преобразования файлов 103, выход которого соединен с сервером 105. Первый этап способа, а именно - данные из интернета предварительно проверяют программными средствами защиты, реализуется компьютером 101, соединенным с интернетом, а последующие этапы реализуются компьютером 101 и устройством преобразования файлов 103.
Устройство преобразования файлов (Фиг. 2) состоит из корпуса 201, в котором размещены дисплей 202, цифровая фото/видео камера 203, блок синхронизации 204 спуска затвора цифровой фото/видео камеры 203. Вход блока синхронизации 204 спуска затвора цифровой фото/видео камеры 203 подключен к внешнему видеоинтерфейсу 205 дисплея 202, выход блока синхронизации 204 спуска затвора соединен с цифровой фото/видео камерой 203. Матрица 206 дисплея 202 оптически сопряжена с матрицей 207 цифровой фото/видео камеры 203 посредством объектива 208. Внешний интерфейс 209 цифровой фото/видео камеры предназначен для соединения с сервером локальной сети. Порт 210 внешнего видеоинтерфейса 205 дисплея 202 предназначен для соединения (например, посредством разъема DVI-D) с видеоадаптером (не показан) компьютера (101 на Фиг. 1), который имеет доступ в интернет в системе защиты локальной сети (Фиг. 1).
Блок синхронизации спуска затвора цифровой фото/видео камеры Фиг. 3 включает последовательно соединенные буферный усилитель 301, элемент задержки 302, формирователь сигнала управления 303 и элемент управления 304 спуском затвора. В общем случае цифровой фото/видео камеры элемент управления 304 встроен в разрыв цепи спуска затвора (не показано). В частном случае исполнения цифровой фото/видео камеры в виде фотоаппарата элемент управления 304 шунтирует кнопку спуска фотоаппарата.
В примере Фиг. 4 блок синхронизации построен на последовательно соединенных прецизионных таймерах 401 и 402 (ИС 1006ВИ1 [6 стр. 93-94]). Таймер 401 является элементом задержки (302 на Фиг. 3) Компаратор на входе ИС 1006ВИ1 (вывод 2) таймера 401 одновременно выполняет функцию буфера (301 на Фиг. 3). Таймер 402 является формирователем сигнала управления (303 на Фиг. 3) и одновременно выполняет функцию элемента управления (304 на Фиг. 3) спуском затвора. Вывод 3 ИС 1006ВИ1 таймера 402 соединен с кнопкой спуска 403 фотоаппарата.
В варианте оптического сопряжения матриц дисплея и цифровой фото/видео камеры, на Фиг. 6, матрица 601 дисплея размещена на плате драйверов (управления) 602 и установлена вплотную к матрице 603 размещенной на плате управления 604 цифровой фото/видео камеры. Матрицы 601 и 603 выполнены с идентичными габаритными размерами полей пикселей (не показаны) и совмещены полями пикселей.
Матрицы 601 и 603 соединены между собой оптическим клеем с минимально возможным зазором 605. Оптический клей одновременно выполняет функцию иммерсионной среды, уменьшая в зазоре 605 расходимость пучка лучей излучаемых пикселем матрицы 601.
Работает устройство преобразования файлов (Фиг. 2) совместно с вычислительным блоком (процессор, ОЗУ, внешняя память) компьютера 101 доступа в интернет (Фиг. 1).
Компьютер 101 имеет два видеоадаптера (предпочтительный вариант), один из которых соединен видеоинтерфейсом с монитором периферии 102, а другой - с портом 210 (порт 108 на Фиг. 1) внешнего видеоинтерфейса 205 дисплея 202. На компьютере 101 установлены: программа раздельной работы на два монитора (дисплея) (см. [9]) и программа автоматического постраничного листания, например Cool Reader [7].
Данные из интернета, предварительно проверяются программными средствами защиты на компьютере 101 (Фиг. 1). Там же из графических и/или текстовых файлов формируются страницы с масштабом, соответствующим полному заполнению габарита поля пикселей дисплея 202 и отправляются на устройство преобразования файлов, пролистывая страницы автоматически. Дисплей 202 постранично отображает страницы с частотой смены кадров. Объектив 208 строит изображение страницы с матрицы 206 дисплея 202 на матрицу 207 цифровой фото/видео камеры 203, вписывая ее в поле пикселей матрицы (не показано). Цифровая фото/видео камера 203 производит фотосъемку страницы синхронно с отображением страницы дисплеем 202. Сигнал управления цифровой фото/видео камеры 203 формируется блоком 204 синхронизации спуска затвора цифровой фото/видео камеры 203 из сигнала кадровой синхронизации VSYNC (vertical synchronization) интерфейса видеоадаптера компьютера 101 (Фиг. 1)
В блоке 204 синхронизации спуска затвора (см. Фиг. 3) импульс кадровой синхронизации VSYNC инвертируется буфером 301. Инвертированный импульс задерживается элементом 302 до начала интервала отображения страницы на дисплее. Затем элемент 303 формирует импульс управления спуском затвора в пределах интервала отображения страницы, который управляет элементом 304.
На Фиг. 5 работа блока 209 синхронизации спуска затвора пояснена эпюрами сигналов в варианте исполнения блока на двух таймерах (см. Фиг. 4). Импульс кадровой синхронизации подается на вывод 2 ИС1006ВИ1 таймера 401. Таймер запускается по переднему фронту импульса (эпюра 1) и формирует положительный импульс (время задержки), длительность которого задает RC-цепочка на схеме таймера (эпюра 2). По заднему фронту этого импульса таймер 402 формирует импульс управления спуском затвора на выводе 3 ИС1006ВИ1 (эпюра 3). В случае использования в качестве цифровой фото/видео камеры фотоаппарата, для управления спуском достаточно одного таймера 401 (см. пунктирную цепь на схеме Фиг. 4). Спуск происходит по заднему фронту импульса (эпюра 2) низким уровнем сигнала, который шунтирует кнопку спуска 403 фотоаппарата. Фотографический файл страницы в формате RAW через внешний интерфейс 214 цифровой фото/видео камеры 208 отправляется в автоматическом режиме на сервер 105 (см. Фиг. 1) локальной сети 104. В альтернативном варианте фотографические файлы в сжатом формате JPEG, TIFF и т.п. сохраняются в памяти цифровой фото/видео камеры 208 и поступают на сервер 105 уже по запросу (команде) с сервера.
Операторы рабочих станций 106 локальной сети 104 (Фиг. 1) работают с фотографическими файлами, а при необходимости редактирования документов - с восстановленными из фотографических файлов текстовыми файлами, если это допустимо политикой безопасности, принятой в локальной сети.
Отметим, что заявляемый способ защиты локальной сети от вредоносных программ из интернета и устройство преобразования файлов могут быть использованы в любой из известных систем защиты локальной сети, например, в системе прототипа.
Источники информации.
1. Патент РФ №2214623, класс G06F 15/163, публ. 20.10.2003, «Вычислительная сеть с межсетевым экраном и межсетевой экран».
2. Патент РФ №2304302, класс G06F 12/14, H04L 12/66, публ. 10.08.2007, «Способ обработки сетевых пакетов для обнаружения компьютерных атак».
3. Максимов В. Межсетевые экраны. Способы организации защиты. КомпьютерПресс №3, 2003.
4. Рудаков Ю. Технические решения для физически разделенных сетей. - ООО «ЕПОС». 2002 г, стр. 2.
5. Патент РФ №2387086, публ. 20.04.2010, "Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации" (прототип).
6. http://lumpics.ru/how-to-convert-word-document-to-jpq/
7. http://geek-nose.com/chitalka-knig-dlya-kompyutera/
8. Пухальский Г.И. Новосельцева Т.Я. Проектирование дискретных устройств на интегральных микросхемах: Справочник. - М.: Радио и связь. 1990.
9. http://www.compdoc.ru/comp/video/several_monitors/
| название | год | авторы | номер документа |
|---|---|---|---|
| Способ защиты локальной сети от вредоносных программ из интернета и устройство преобразования файлов | 2017 |
|
RU2681340C1 |
| Способ защиты системы связи, система связи и устройство преобразования файлов | 2018 |
|
RU2749496C2 |
| Система и способ шифрования при передаче веб-страницы приложению пользователя | 2015 |
|
RU2614928C1 |
| Система и способ определения измененных веб-страниц | 2015 |
|
RU2610254C2 |
| УСТРОЙСТВА, СПОСОБЫ И СИСТЕМЫ ОБЕСПЕЧЕНИЯ ДИНАМИЧЕСКОЙ КНОПКИ ОФОРМЛЕНИЯ ЗАКАЗА | 2015 |
|
RU2666301C2 |
| Способ снижения нагрузки на сканирующую подсистему путем дедупликации сканирования файлов | 2018 |
|
RU2702053C1 |
| ОБНАРУЖЕНИЕ ОБЪЕКТОВ ИЗ ЗАПРОСОВ ВИЗУАЛЬНОГО ПОИСКА | 2017 |
|
RU2729956C2 |
| ИНТЕРФЕЙСЫ ДЛЯ ПРИКЛАДНОГО ПРОГРАММИРОВАНИЯ ДЛЯ КУРИРОВАНИЯ КОНТЕНТА | 2014 |
|
RU2666302C2 |
| КОМПАКТНОЕ АВТОНОМНОЕ СЕТЕВОЕ УСТРОЙСТВО ХРАНЕНИЯ И ПРОСМОТРА ДАННЫХ | 2016 |
|
RU2653229C2 |
| Способ подбора персонализированного обучающего контента пользователю и система для его реализации | 2022 |
|
RU2801432C1 |
Изобретение относится к локальным вычислительным сетям, а именно к обеспечению их информационной безопасности. Технический результат – обеспечение защиты локальной сети от проникновения вредоносных программ из интернета при высокой скорости передачи данных на сервер локальной сети. Способ защиты локальной сети включает этапы, на которых данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть, проверенные данные в виде графических и/или текстовых файлов постранично отображают на дисплее устройства преобразования файлов, при этом синхронно фотографируют страницы и отправляют фотографические файлы страниц на сервер локальной сети. 2 н. и 5 з.п. ф-лы, 6 ил.
1. Способ защиты локальной сети от вредоносных программ из интернета, заключающийся в том, что данные из интернета предварительно проверяют программными средствами защиты на компьютере, который не имеет доступа в локальную сеть, отличающийся тем, что проверенные данные в виде графических и/или текстовых файлов постранично отображают на дисплее устройства преобразования файлов, с частотой смены кадров без процесса регенерации кадра, там же синхронно фотографируют страницы с помощью аппаратных средств и отправляют фотографические файлы страниц на сервер локальной сети.
2. Устройство преобразования файлов, отличающееся тем, что состоит из корпуса, в котором размещены дисплей, цифровая фото/видео камера, блок синхронизации спуска затвора цифровой фото/видео камеры, вход блока синхронизации спуска затвора цифровой фото/видео камеры подключен к внешнему видеоинтерфейсу дисплея, выход блока синхронизации спуска затвора цифровой фото/видео камеры соединен с цифровой фото/видео камерой, матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры, внешний видеоинтерфейс дисплея предназначен для соединения с видеоадаптером компьютера, внешний интерфейс цифровой фото/видео камеры предназначен для соединения с сервером локальной сети.
3. Устройство по п. 2, отличающееся тем, что блок синхронизации спуска затвора цифровой фото/видео камеры включает последовательно соединенные буфер, элемент задержки, формирователь сигнала управления спуском и элемент управления спуском затвора цифровой фото/видео камеры.
4. Устройство по п. 2, отличающееся тем, что матрица дисплея оптически сопряжена с матрицей цифровой фото/видео камеры посредством объектива.
5. Устройство по п. 2, отличающееся тем, что матрицы дисплея и цифровой фото/видео камеры выполнены с идентичными габаритными размерами полей пикселей (активных областей), установлены вплотную друг к другу с совмещением полей пикселей.
6. Устройство по п. 4 или 5, отличающееся тем, что разрешающая способность матрицы цифровой фото/видео камеры равна или больше разрешающей способности матрицы дисплея.
7. Устройство по п. 5, отличающееся тем, что матрицы дисплея и цифровой фото/видео камеры соединены между собой оптическим клеем.
| Способ и приспособление для нагревания хлебопекарных камер | 1923 |
|
SU2003A1 |
| СПОСОБ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРИ РАБОТЕ С ВНЕШНИМИ СЕТЯМИ И СИСТЕМА ДЛЯ ЕГО РЕАЛИЗАЦИИ | 2008 |
|
RU2387086C1 |
| Приспособление для точного наложения листов бумаги при снятии оттисков | 1922 |
|
SU6A1 |
| US 6901519 B1, 31.05.2005 | |||
| Токарный резец | 1924 |
|
SU2016A1 |
| RU 2006147184 A, 27.07.2008. | |||
