Данное изобретение относится к области управления средствами связи на ограниченной территории, в частности осуществляется идентификация, захват и управление средствами связи, а также отслеживание их местоположения.
В последнее время использование различных средств связи, таких как сотовый телефон, смартфон, коммуникатор, планшет, ноутбук и т.д. достигли очень высокого уровня. Такие устройства часто способны выполнять различные функции, некоторые из которых включают в себя фотосъемку, запись голоса или видео, а также передачу этих данных или каких-либо других файлов. В некоторых ситуациях такие расширенные возможности средств связи могут быть нежелательными, когда необходимо соблюдать тишину (лекции, конференции, кинотеатр), также такие широкие возможности могут привести к потере конфиденциальных данных на объекте (предприятии, НИУ, лаборатории). Кроме того, существует множество объектов, например, правительственные здания или исправительные учреждения, которые не позволяют использовать сотовые телефоны или другие средства связи, или даже обладать ими на территории.
Таким образом, задачей решаемой в настоящем изобретении, является повышение безопасности на объекте или на определенной территории с одновременным сохранением услуг обмена сообщениями, позиционирования или совершением звонков, предоставляемых через сеть мобильной радиосвязи.
В заявке US 2015050922 A1, H04L 29/06, опубл. 19.02.2015, раскрыта система и способ обеспечения безопасности мобильного устройства. В соответствии с решением, раскрытым в данной заявке, система безопасности мобильного устройства содержит сервер управления мобильными устройствами (MDM), выполненный с возможностью создания профиля и ведения записи каждого мобильного устройства и его пользователя, модуль управления безопасностью для регистрации мобильных устройств, систему безопасности на входе, выполненную с возможностью установки приложения безопасности на мобильное устройство, обеспечивающее регистрацию мобильного устройства и его пользователя, при этом, когда пользователи с мобильными устройствами входят в безопасную зону, осуществляется аутентификация пользователя.
Преимуществом данного решения является возможность полного охвата территории, а также наличие MDM клиента для управления приложениями на телефоне. Недостатком является отсутствие контроля контента трафика средств связи, кроме того установка приложения безопасности осуществляется только на входе предприятия, при этом существует возможность пронести несанкционированное устройство, если оно будет выключено и тем самым не будет идентифицировано.
Частично проблема идентификации решена в заявке US 2011086614 A1, Н04М 1/66, опубл. 14.04.2011, за счет получения уникальных идентификаторов в частности IMSI и IMEI. В указанной заявке раскрывается система, содержащая группу точек доступа для обслуживания ограниченной зоны услуг связи, в которой точка доступа из группы точек доступа выборочно блокирует беспроводный источник связи; группу точек передачи, распределенных в ограниченной зоне услуг связи, в которой точка передачи в группе точек передачи принимает и передает сигнал беспроводной линии связи, где ближайшие точки передачи в этой группе точек передачи передают сигналы с проверочными кодами, и которые управляют передачей сигнала устройства вблизи точек передач на одну или более точек доступа, находящихся в помещении; и управляющий компонент, который соединяет точку доступа и точку передачи и управляет трафиком и сигналом передаваемых в беспроводном сигнале. Система также содержит сканер для получения по меньшей мере одного уникального идентификатора.
Однако в данном решение отсутствует MDM система, что не позволяет управлять приложениями на телефоне, и осуществляется неполный контроль контента трафика, ввиду отсутствия DLP системы, что приводит к возможности использования средств связи не по назначению и недостаточной безопасности на определенной территории, в частности, на объекте.
Решаемая техническая задача, при разработке системы и способа для идентификации и управления средствами связи, заключается в достижении более высокой степени безопасности на объекте или на определенной территории.
Техническим результатом предлагаемого изобретения является повышение безопасности на объекте или на определенной территории, за счет контроля средств связи, трафика, а также за счет сокращения потенциальных промежутков времени для угроз информационной безопасности в случае остановки работы одной из систем MDM или DLP, за счет того, что каждая система частично дублирует функции другой системы.
Указанный технический результат в части системы достигается тем, что система для идентификации и управления средствами связи содержит по меньшей мере одну базовую станцию, MDM систему, DLP систему, блок управления и принятия решений, а также по меньшей мере один подавитель сигналов связи, при этом по меньшей мере одна базовая станция соединена с блоком управления и принятия решений и выполнена с возможностью получения по меньшей мере одного уникального идентификатора, a MDM система, DLP система и блок управления и принятия решений соединены между собой, кроме того MDM или DLP системы выполнены с возможностью частичного осуществления функций другой системы.
Указанный технический результат в части способа достигается тем, что способ для идентификации и управления средствами связи реализуется на базе интеграции базовой станции, блока управления и принятий решений, а также с MDM и DLP системами, и включает в себя переключение средств связи на упомянутую базовую станцию, получение по меньшей мере одного уникального идентификатора, создание политики безопасности для каждого средства связи, установку агента на средство связи и его регистрацию, сравнение по меньшей мере одного полученного уникального идентификатора с зарегистрированными на сервере MDM системы, и контроль контента трафика средств связи DLP сервером, при этом в случае выхода из строя MDM или DLP системы другая берет на себя частичное выполнение ее функций.
Изобретение поясняется фиг. 1, на которой изображена система для идентификации и управления средствами связи.
Согласно изобретению, система для идентификации и управления средствами связи содержит базовую станцию (1), блок (2) управления и принятия решений, подавитель (5) сигналов связи, MDM система (3) и DLP система (4). Система также дополнительно может содержать облачный сервер (8) для хранения информации, систему (6) охраны и видеонаблюдения, а также устройство (7) детектирования для обнаружения выключенных средств связи или мобильных телефонов, находящихся в режиме "в полете". Необходимо понимать, что базовых станций (1) может быть и несколько, которые могут располагаться в каждом помещении или на каждом этаже, или по периметру объекта, что будет способствовать для наиболее полного покрытия определенной территории. В частности, базовая станция может быть установлена в лифтовой кабине для регистрации находящихся в ней средств связи.
Также может быть установлено один и более подавителей (5) сигналов связи в зависимости от требований безопасности на объекте, каждый из которых может быть настроен для блокирования определенной частоты. Подавитель (5) сигналов связи соединен с блоком (2) управления и принятий решений, но также может работать и автономно, в том числе может быть настроенным на блокировку определенной частоты.
Базовая станция (1) может быть выполнена в виде стандартной базовой станции или в виде мобильной (переносной) базовой станции, или в их комбинациях, а также содержит приемо-передающую антенну, приемопередающий блок, блок усиления мощности и дюплексер. Сама базовая станция (1) известна и поэтому не является предметом настоящего изобретения и не будет подробно описана, однако существенным является получение необходимой информации в зависимости от частоты, в частности, IMEI (International Mobile Equipment Identity), IMSI (International Mobile Subscriber Identity), MCC (Mobile Country Code), MNC (Mobile Network Code), CID (Cell ID), MAC адрес и др. Приемо-передающая антенна может быть настроена для приема частот в диапазоне от 300 до 3500 МГц, или если содержится несколько базовых станций, то каждая из них может быть настроена для приема определенного диапазона частоты. Таким образом субъектом базовой станции является большинство стандартов связи для беспроводных сигналов, в частности, Wi-Fi (wireless fidelity), Worldwide Interoperability for Microwave Access (WiMAX); IS-95; Enhanced General Packet Radio Service (Enhanced GPRS); Third Generation Partnership Project (3GPP) Long Term Evolution (LTE); Third Generation Partnership Project 2 (3GPP2) Ultra Mobile Broadband (UMB); 3GPP Universal Mobile Telecommunication System (UMTS); High Speed Packet Access (HSPA); High Speed Downlink Packet Access (HSDPA); High Speed Uplink Packet Access (HSUPA), или LTE. При включении базовой станции устройство реализует один из вышеперечисленных стандартов, например, подвижной сети GSM и мобильные аппараты регистрируются на нем согласно стандарту GSM, приемо-передающий блок генерирует сигнал для передачи мобильному устройству и обрабатывает полученный сигнал. При регистрации определяется по меньшей мере один уникальный идентификатор, в частности IMEI, IMSI, MCC, MNC (характерные данные для GSM сети). Таким образом мы получаем данные для регистрации самого аппарата, это может быть также важно, если мобильный телефон поддерживает две SIM-карты.
Далее приведен пример типичный пример работы базовой станции. Базовая станция (1) устанавливается в помещении или на какой-либо территории, их количество выбирается, таким образом, чтобы происходило наиболее полное покрытие контролируемой зоны. В пределах контролируемой зоны средства связи будут производить переключение на данную базовую станцию. Данный эффект достигается за счет подбора мощности, частотного канала, критериев переключения С1 (критерий запаса мощности) и С2 (критерий перевыбора соты), подбора нескольких МСС и MNC, подбора LAC. После переключение на частотный канал базовой станции (1) средство связи производит информационный обмен. В ходе этого обмена базовая станция получает в явном виде по меньшей мере один уникальный идентификатор, например, IMEI, IMSI, MCC, MNC, CID, MAC адрес и др., а затем и следующую информацию или что-то выборочно из этой информации: версию стандарта 3GPP поддерживаемого мобильным устройством, поддерживаемые кодеки и алгоритмы шифрования, fingerprint информационного взаимодействия с устройством, метаинформация (например мощность сигнала, качество, сектор используемой антенны, параметры задержек и т.д.), страна и оператор SIM-карты, производитель и модель телефона, классификация мобильного устройства и т.д. Вся полученная информация с по меньшей мере одной базовой станции собирается и хранится в блоке управления и принятий решений.
Система также дополнительно может содержать устройство (7) детектирования, которое связано с блоком (2) управления и принятий решений и с системой охраной и видеонаблюдения или может работать автономно. Само устройство (7) детектирования может быть установлено на входе в контролируемую зону или на входе предприятия, а также может быть выполнено мобильным, чтобы помещаться в карман сотрудника службы охраны и служит для выявления выключенных средств связи, и мобильных телефонов, находящихся в режиме "полета", у которых не могут быть определены их уникальные идентификаторы до их включения. Поскольку любое электронное средство содержит электронные компоненты (диоды, транзисторы, микросхемы), то при их облучении устройством (7) детектирования сигнал возвращается на разных гармонических частотах (гармониках), за счет этого могут быть обнаружены выключенные средства связи, например, посредством сравнения уровней сигналов 2-ой и 3-ей гармоник. Например, при обнаружение выключенного мобильного телефона такое устройство (7) детектирования может завибрировать, если находится в кармане или подать сигнал оповещения для системы (6) охраны, а также передать информацию о выключенном мобильном телефоне в блок (2) центра управления и принятий решений, который в свою очередь отдаст команду по меньшей мере одному подавителю (5) сигналов связи для блокирования сигнала в определенной зоне.
В рамках данного изобретения предусмотрена интеграция базовой станции (1) с блоком (2) управления и принятий решений, а также с MDM системой (3) и DLP системой (4), которые соединены между собой, а также соединены с блоком (2) управления и принятий решений. Блок (2) управления и принятий решений может включать в себя несколько модулей, каждый из которых будет работать или с сервером MDM системы (3), или с сервером DLP системы (4), кроме того, он также может быть снабжен модулем с приемо-передающей антенной.
Настоящее изобретение обеспечивает создание уникальной системы с возможностью объединения защиты на уровне агента (на мобильном устройстве) и инфраструктурном уровне. В такой системе политики безопасности на мобильном устройстве становятся зависимы от подключения (или нахождения в радиусе действия) к заданным базовым станциям (1). MDM система (3) служит для управления устройствами, а также для разрешения или запрета функций средств связи. При обнаружении в контролируемой зоне нового средства связи, его владельцу может приходить уведомление о необходимости регистрации нового устройства и установки агента (MDM агента или DLP агента). Принятие решения о установке агента осуществляется в зависимости от типа средства связи и политики безопасности предприятии (обычно MDM агент устанавливается на телефон, a DLP агент на планшет или ноутбук, но могут быть и другие варианты). После этого становится возможным управлять функционалом телефона, в частности, разрешение и запрещение вызовов, голосовой почты, SMS сообщений и др. DLP система (4) предназначена для контроля контента трафика средств связи, а также для предотвращения утечки данных путем обнаружения возможных нарушений при их отправке и фильтрации. Таким образом осуществляется фильтрация контента трафика. Кроме того, также осуществляется мониторинг, обнаружение и блокирование конфиденциальной информации и доступа к ней при ее использовании, движении и хранении. Для ускорения мониторинга информации DLP система может быть выполнена с возможностью преобразования голосового трафика в текстовый. Полученная и обработанная информация может направляться в блок (2) управления и принятия решений. Таким образом, за счет использования MDM системы (3) и DLP системы (4) осуществляется наиболее полный контроль над средствами связи. При этом, каждая из систем выполняет свою функцию, но в случае выхода из строя одной из них, другая берет на себя частичное выполнение задач другой системы. Примерами таких задач могут быть:
1) Контроль включенных мобильных устройств, которые могут передавать конфиденциальную и другую информацию.
2) Контроль попыток отправки информации мобильными устройствами, например, посредством SMS сообщений.
3) Блокирование попыток отправки информации мобильными устройствами, например, посредством SMS сообщений.
4) Предотвращение утечек информации путем контроля поведения мобильных устройств.
5) Предотвращение утечек информации путем контроля перемещения мобильных устройств.
6) Обнаружение использования работниками корпоративных информационных ресурсов в личных целях.
7) Предотвращение использования работниками корпоративных информационных ресурсов в личных целях.
8) Обнаружение использования работниками услуг связи в личных целях.
9) Предотвращение использования работниками услуг связи в личных целях.
10) Контроль присутствия работников на рабочем месте.
При этом, существенным является наличие двух разных систем (MDM и DLP), поскольку ни одна из них не способна полностью заменить другую, в частности MDM не способна анализировать текстовую и звуковую информацию, а DLP не способна управлять приложениями на устройстве.
Ниже приведен пример работы системы.
При развертывании системы для идентификации и управления средствами связи, изображенной на фиг. 1 происходит процесс захвата средств связи в определенной зоне и осуществляется процесс их регистрации согласно стандарту, а их владельцам может приходить уведомление о необходимости регистрации и установки MDM агента. Базовая станция (1) осуществляет получение по меньшей мере одного уникального идентификатора (IMEI, IMSI, MCC, MNC, CID, MAC адрес в зависимости от диапазона частот), а затем и другой информации, например, версию стандарта 3GPP поддерживаемого мобильным устройством, поддерживаемые кодеки и алгоритмы шифрования, fingerprint информационного взаимодействия с устройством, метаинформация (например мощность сигнала, качество связи, сектор используемой антенны, параметры задержек и т.д.), страна и оператор SIM-карты, производитель и модель телефона, классификация мобильного устройства и т.д. Полученная информация передается в блок (2) управления и принятий решений, в котором происходит создание политики безопасности для средств связи. Если в контролируемой зоне обнаруживается новое средство связи (ранее незарегистрированное), то владельцу приходит уведомление о необходимости установки агента (MDM агента или DLP агента). Данные, содержащие информацию об уникальных идентификаторах, направляются на сервер MDM системы (3), где данные сверяются. Если абонент зарегистрирован в системе MDM - клиенту MDM системы может быть отправлен сигнал на включение мониторинга. Если абонент в системе не зарегистрирован, то абоненту ограничивается связь, в частности, может быть заблокирована определенная частота за счет подавителя (5) сигналов связи или происходит точечная блокировка средства связи, что является возможным за счет полученных уникальных идентификаторов, кроме того, происходит оповещение системы (6) охраны и видеонаблюдения. Как уже описывалось ранее для выявления выключенных средств связи или мобильных телефонов, находящихся в режиме "в полете" может быть использовано устройство (7) детектирования. Одновременно с регистрацией средства связи, DLP система (4) может также осуществлять теневое копирование и архивирование всех данных, в частности, различных документов, фотографий, сообщений, находящихся на устройстве, которые поступают на обработку на сервер DLP системы (4), тем самым, осуществляя контроль контента трафика средств связи. MDM система (3) и DLP система (4), а также блок (2) управления и принятий решений соединены между собой, и между ними происходит процесс обмена информацией, в частности, MDM система (3) может передать информацию о зарегистрированных абонентах серверу DLP системы (4), а тот, в свою очередь, может передать информацию, что такой-то абонент нарушает условия конфиденциальности, при этом информация собирается в блоке (2) управления и принятий решений, в котором на основе полученной информации осуществляется создание политики безопасности для средств связи. Информация также может быть собрана на сервере MDM системы или на сервере DLP системы. Вся собранная и содержащаяся информация может быть также сохранена на облачном сервере (8). Если какая-либо информация нарушает условия конфиденциальности, то сигнал передается в блок (2) управления и принятия решений, где в соответствии с правилами безопасности предприятия может быть принято решение о применении правил белого и черного списков, разрешенных и запрещенных приложений, например:
В случае выхода из строя MDM системы (3) или DLP системы (4), другая может взять на себя частичное выполнение функций другой системы, так, например, если выключается MDM система, то DLP система осуществляет контроль включенных мобильных устройств. Если выключается DLP система, то MDM система осуществляет предотвращение утечек информации путем контроля поведения мобильных устройств. Таким образом осуществляется сокращение потенциальных промежутков времени для угроз информационной безопасности.
При регистрации нового средства связи, может также происходить создание профиля самого средства связи, а также его владельца, а если на предприятии используется система пропусков, то при входе сотрудника на посту охраны вместе с фотографией сотрудника одновременно может появляться список принадлежащих ему устройств, и могут быть обнаружены средства связи, проносимые сотрудником.
Изобретение относится к области управления средствами связи на ограниченной территории. Технический результат заключается в повышении безопасности на объекте или на определенной территории. Система для идентификации и управления средствами связи содержит по меньшей мере одну базовую станцию, систему управления мобильными устройствами (MDM систему), систему, предназначенную для контроля контента трафика средств связи, а также для предотвращения утечки данных путем обнаружения возможных нарушений при их отправке и фильтрации (DLP систему), блок управления и принятия решений в соответствии с правилами информационной безопасности средств связи, а также по меньшей мере один подавитель сигналов связи. При этом по меньшей мере одна базовая станция соединена с блоком управления и принятия решений и выполнена с возможностью получения по меньшей мере одного уникального идентификатора средства связи, блок управления и принятий решений соединен с по меньшей мере одним подавителем сигналов связи, a MDM система, DLP система и блок управления и принятия решений соединены между собой, кроме того MDM система или DLP система выполнены с возможностью частичного осуществления функций другой системы. 2 н. и 3 з.п. ф-лы, 1 ил.
1. Система для идентификации и управления средствами связи, содержащая по меньшей мере одну базовую станцию, систему управления мобильными устройствами (MDM систему), систему DLP, предназначенную для контроля контента трафика средств связи, а также для предотвращения утечки данных путем обнаружения возможных нарушений при их отправке и фильтрации (DLP систему), блок управления и принятия решений в соответствии с правилами информационной безопасности средств связи, а также по меньшей мере один подавитель сигналов связи, при этом по меньшей мере одна базовая станция соединена с блоком управления и принятия решений и выполнена с возможностью получения по меньшей мере одного уникального идентификатора средства связи, блок управления и принятия решений соединен с по меньшей мере одним подавителем сигналов связи, a MDM система, DLP система и блок управления и принятия решений соединены между собой, кроме того MDM система или DLP система выполнены с возможностью частичного осуществления функций другой системы.
2. Система по п. 1, отличающаяся тем, что дополнительно содержит устройство детектирования.
3. Система по п. 1, отличающаяся тем, что при развертывании системы осуществляется захват средств связи и их переключение на базовую станцию.
4. Система по п. 1, отличающаяся тем, что уникальным идентификатором является параметр из ряда, включающего в себя IMEI, IMSI, MCC, MNC, CID, MAC адрес.
5. Способ для идентификации и управления средствами связи, реализуемый на базе интеграции базовой станции, блока управления и принятия решений в соответствии с правилами информационной безопасности средств связи, а также с системой управления мобильными устройствами (MDM система) и системой DLP, предназначенной для контроля контента трафика средств связи, а также для предотвращения утечки данных путем обнаружения возможных нарушений при их отправке и фильтрации (DLP система), включающий в себя:
переключение средств связи на упомянутую базовую станцию,
получение по меньшей мере одного уникального идентификатора средства связи,
создание политики безопасности для средств связи,
установку MDM агента или DLP агента на средство связи и его регистрацию,
сравнение по меньшей мере одного полученного уникального идентификатора средства связи с зарегистрированными на сервере MDM системы и
контроль контента трафика средств связи DLP системой,
при этом в случае выхода из строя MDM системы или DLP системы другая берет на себя частичное выполнение ее функций.
СИСТЕМА И СПОСОБ ЦЕЛЕВОЙ УСТАНОВКИ СКОНФИГУРИРОВАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ | 2012 |
|
RU2523113C1 |
СИСТЕМА И СПОСОБ ПОДБОРА ФУНКЦИЙ УПРАВЛЕНИЯ МОБИЛЬНЫМИ УСТРОЙСТВАМИ | 2012 |
|
RU2526754C2 |
US 2015050922 A1, 19.02.2015 | |||
US 9762444 B1, 12.09.2017 | |||
US 9785779 B1, 10.10.2017. |
Авторы
Даты
2019-06-11—Публикация
2017-12-04—Подача