ES2924436T3 - Sistema y procedimiento de protección de un sistema informático - Google Patents

Sistema y procedimiento de protección de un sistema informático Download PDF

Info

Publication number
ES2924436T3
ES2924436T3 ES18210861T ES18210861T ES2924436T3 ES 2924436 T3 ES2924436 T3 ES 2924436T3 ES 18210861 T ES18210861 T ES 18210861T ES 18210861 T ES18210861 T ES 18210861T ES 2924436 T3 ES2924436 T3 ES 2924436T3
Authority
ES
Spain
Prior art keywords
equipment
verification
storage device
computer system
portable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18210861T
Other languages
English (en)
Inventor
Sébastien Lenormand
Olivier Francillon
Séverine Lenormand
Antoine Brugeas
Frédéric Perez
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Application granted granted Critical
Publication of ES2924436T3 publication Critical patent/ES2924436T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Communication Control (AREA)

Abstract

La invención se refiere a un sistema y un método para proteger un sistema informático que comprende al menos un conector que permite la conexión de un dispositivo portátil externo de almacenamiento de datos (5). El sistema de protección (2) comprende un primer equipo portátil de protección (10) que comprende un conector de entrada adaptado para recibir dicho dispositivo portátil de almacenamiento de datos (5), y al menos un segundo equipo portátil de protección (12) que comprende un conector de salida adaptado para ser conectado a dicho sistema informático (4, 6). Los equipos primero (10) y segundo (12) están adaptados para comunicarse entre sí a través de un canal de comunicación por radio (16), comprendiendo además el primer equipo (10) un módulo de verificación de seguridad de datos, adaptado para ejecutar al menos software de verificación de seguridad de datos del dispositivo portátil de almacenamiento de datos (5) conectado a la entrada de dicho primer equipo (10) y para transmitir un informe de verificación al segundo equipo (12). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Sistema y procedimiento de protección de un sistema informático
[0001] La presente invención se refiere a un sistema y un procedimiento de protección de un sistema informático que incluye al menos un conector que permite la conexión de un dispositivo de almacenamiento de datos portátil externo.
[0002] La invención se sitúa en el campo de la seguridad de los sistemas informáticos.
[0003] El uso de dispositivos de almacenamiento de datos portátiles, extraíbles, adaptados para conectarse a un terminal de usuario, y más en general a un sistema informático, por medio de una conexión de tipo Universal Serial Bus o USB, es cada vez más corriente, incluido el campo de la empresa y el campo industrial.o de la empresa y en el campo industrial.
[0004] De manera conocida, la norma USB (en español, Bus en Serie Universal) es una norma relativa a una transmisión en serie de datos por un bus informático, que sirve para conectar un dispositivo periférico a un sistema informático de cualquier tipo previsto para este fin (ordenador, tableta, teléfono inteligente).
[0005] Es frecuente usar este tipo de dispositivo de almacenamiento de datos portátil, especialmente llaves USB, para transferir datos de manera bidireccional entre sistemas informáticos de niveles de seguridad diferentes.
[0006] Ahora bien, se sabe que existen programas de software maliciosos que tienen como objetivo perjudicar o bloquear el funcionamiento de los sistemas informáticos anfitriones o programas de software espías que tienen como fin copiar datos confidenciales almacenados en un sistema informático anfitrión.. Se trata, por ejemplo, de programas de software conocidos por los nombres virus, malware y ransomware.
[0007] La introducción de dichos programas de software maliciosos es totalmente indeseable en cualquier tipo de sistema informático, a la vez en un terminal de usuario personal y en un terminal de usuario conectado a una red de empresa. En este segundo caso, la introducción de un software malicioso es especialmente crítica en relación con la seguridad de datos de la empresa.
[0008] De manera clásica, un terminal de usuario incluye uno o varios conectores (o puertos USB) que permiten conectar un dispositivo compatible, por ejemplo una llave uSb , directamente al terminal de usuario, de manera que dicho dispositivo es portador de programas de software maliciosos.
[0009] El documento CA 2989064 A1 describe un sistema de protección de un sistema informático frente a la introducción de posibles virus o «malware» por un sistema periférico conectable al sistema informático.
[0010] Además de los ataques por medio de programas de software maliciosos, puede contemplarse prever un dispositivo portátil que tiene capacidades de conexión de tipo USB para realizar un ataque físico, por ejemplo por medio de una descarga eléctrica, del sistema informático anfitrión.
[0011] Es necesario implementar sistemas de seguridad para impedir cualquier ataque, físico o lógico, por medio de un dispositivo de almacenamiento portátil.
[0012] Para este fin, la invención propone, según un primer aspecto, un sistema de protección de un sistema informático según la reivindicación 1.
[0013] Ventajosamente, la presencia de un primer equipo adaptado para recibir el dispositivo de almacenamiento portátil y de un segundo equipo conectado al sistema informático, separados físicamente y adaptados para comunicarse entre sí según un modo de comunicación de radio, permite proteger el sistema informático a la vez de las amenazas físicas y de las amenazas lógicas.
[0014] Ventajosamente, el sistema propuesto permite aislar, a la vez para el hardware y el software, los posibles dispositivos de almacenamiento portátiles infectados.
[0015] El sistema de protección según la invención puede presentar una o varias de las características citadas anteriormente en las reivindicaciones dependientes 2 a 5, tomadas independientemente o en combinación, según todas las combinaciones técnicamente aceptables.
[0016] Según un segundo aspecto, la invención se refiere a un procedimiento de protección de un sistema informático según la reivindicación 6.
[0017] El procedimiento de protección según la invención puede presentar una o varias de las características citadas anteriormente en las reivindicaciones 7 a 10, tomadas independientemente o en combinación, según todas las combinaciones técnicamente aceptables.
[0018] Otras características y ventajas de la invención se desprenderán de la descripción que se ofrece a continuación, a título indicativo y en ningún modo limitativo, en referencia a las figuras anexas, en las que:
- la figura 1 es un ejemplo esquemático de un sistema de protección según una realización en un contexto de uso; - la figura 2 es una ilustración esquemática de bloques funcionales de los equipos primero y segundo de un sistema de protección según una primera realización;
- la figura 3 es una ilustración esquemática de bloques funcionales de un sistema de protección según una segunda realización;
- la figura 4 es un diagrama de bloques de las principales etapas de un procedimiento de protección según una realización de la invención.
[0019] La figura 1 ilustra un sistema de protección de un sistema informático en un contexto de uso.
[0020] El sistema global 1 aquí descrito a modo de ejemplo incluye un sistema de protección 2 de un sistema informático 4 con respecto a cualquier tipo de ataque proveniente de un dispositivo de almacenamiento de datos portátil externo 5.
[0021] El dispositivo externo 5 es en este ejemplo una llave USB adaptada para conectarse de manera conocida, por medio de un conector USB a cualquier sistema informático que incluye un conector USB o puerto USB adecuado.
[0022] El sistema informático 4 del ejemplo de la figura 1 comprende un terminal de usuario 6, por ejemplo un ordenador personal (PC) portátil, conectado a una red de comunicación 8, que es por ejemplo una red de empresa a la cual se conectan otros diversos subsistemas informáticos 8a, 8b, 8c.
[0023] En este caso se entiende por sistema informático cualquier hardware informático, ya se trate de un terminal en solitario o de un sistema que incluye una pluralidad de terminales adaptados para comunicarse según un protocolo de comunicaciones conocido. Un subsistema informático es una parte de un sistema informático.
[0024] Por ejemplo, el terminal de usuario 6 está conectado a la red 8 por una conexión por cable 9 de tipo Ethernet. Naturalmente, se trata de un ejemplo no limitativo. Como variante, el terminal de usuario 6 está conectado a la red por una conexión inalámbrica.
[0025] El sistema de protección 2 según una realización de la invención incluye un primer equipo 10 de seguridad y un segundo equipo 12 de seguridad, que son los dos de tipo portátil, ya que incluyen, cada uno, un alojamiento de tamaño reducido. Por ejemplo, el segundo equipo tiene un tamaño similar al tamaño de una llave USB.
[0026] Preferentemente, el primer equipo 10 incluye un alojamiento, por ejemplo paralelepipédico de tamaño del orden de 10 cm * 5 cm * 1 cm.
[0027] El segundo equipo 12 está adaptado para conectarse al terminal de usuario 6 por cable USB 14, como se ilustra en la figura 1. Como variante, el segundo equipo 12 incluye un conector USB, no representado en la figura 1, adaptado para conectarse directamente en un conector USB complementario del terminal de usuario 6.
[0028] El primer equipo 10 está adaptado para comunicarse con el segundo equipo 12 por un canal de radio 16.
[0029] En la figura 2 se ilustran esquemáticamente módulos funcionales de estos diversos elementos.
[0030] El primer equipo 10 comprende un conector de entrada 20, adaptado para recibir un conector 22 del dispositivo de almacenamiento 5.
[0031] El alojamiento del primer equipo comprende, en la realización de la figura 1, un indicador luminoso 15, por ejemplo un diodo electroluminiscente, que permite indicar visualmente al usuario, cuando conecta un dispositivo de almacenamiento 5, si la verificación de los datos almacenados es positiva o negativa. Por ejemplo, el indicador 15 se enciende en verde cuando la verificación es positiva, y en rojo cuando la verificación es negativa.
[0032] Naturalmente, como variante, es posible plantear colocar dos o varios indicadores luminosos distintos, que se encienden parcialmente en función del resultado de la verificación. Como variante o como complemento, es posible colocar indicadores de texto (por ejemplo, «scanning in progress», «scan OK,», «scan KO»). Como variante o como complemento, es posible colocar indicadores gráficos (IHM).
[0033] El primer equipo 10 comprende también un primer módulo de comunicación inalámbrica 24, por ejemplo un módulo emisor/receptor WiFi, que permite comunicarse con un segundo módulo de comunicación inalámbrica 26 del segundo equipo 12, adaptado para usar el mismo protocolo de comunicación inalámbrica que el módulo 24, por ejemplo WiFi.
[0034] Como variante se plantean otros protocolos de comunicación inalámbrica, por ejemplo Bluetooth.
[0035] El primer equipo 10 comprende también un procesador 28, adaptado para implementar un módulo 30 de verificación de seguridad de datos y un módulo 32 adaptado para generar un informe de verificación que es transmitido, por medio del primer módulo de comunicación inalámbrica 24, al segundo equipo 12.
[0036] Así, durante la inserción del dispositivo de almacenamiento de datos portátil 5 en el primer equipo 10, el módulo 30 de verificación de seguridad de datos implementa al menos un software de verificación, denominado habitualmente software antivirus, que permite verificar si los datos 34a, 34b, 34c almacenados en el dispositivo de almacenamiento portátil 5 están o no infectados por instrucciones de código malicioso.
[0037] Mediante el módulo 30 de verificación de seguridad puede implementarse cualquier tipo de software conocido de tipo antivirus, antimalware o antispyware.
[0038] El segundo equipo 12 incluye también un procesador 36 y un conector de salida 38, de tipo USB, adaptado para conectarse a un conector correspondiente 40 del terminal de usuario 6.
[0039] Si el módulo 30 de verificación de seguridad de datos valida los datos contenidos en el dispositivo de almacenamiento 5 como integrados, se suministra un acceso a los datos al terminal de usuario 6.
[0040] Entonces, un usuario o una aplicación del terminal de usuario 6 puede acceder a los datos 34a, 34b, 34c del dispositivo de almacenamiento 5 de manera transparente, como si el dispositivo de almacenamiento 5 estuviera conectado directamente en el conector USB 40. Esta transparencia se realiza, por ejemplo, a través de un protocolo específico de acceso a distancia al hardware conectado. Un ejemplo de protocolo que puede usarse es el protocolo NBD (por «Network Block Device» en inglés).
[0041] Además el informe de verificación generado, que es positivo en este caso, se transmite también al terminal de usuario 6.
[0042] Si el módulo 30 de verificación de seguridad de datos detecta la presencia o el riesgo de presencia de código malicioso en los datos contenidos en el dispositivo de almacenamiento 5, no se transmite ningún acceso a los datos al terminal de usuario 6. Solo se transmite el informe de verificación generado, que en este caso es negativo, al terminal de usuario 6. De hecho, dicho informe contiene, por ejemplo, informaciones en el tipo de código malicioso detectado, lo que permite efectuar un análisis más general con respecto al tipo de ataque constatado.
[0043] Preferentemente, cada uno del primer equipo 10 y el segundo equipo 12 se implementa mediante un sistema integrado SoC (por «System on Chip»), que integra las funcionalidades de cálculo, de memoria, de comunicación en un mismo sustrato. Por ejemplo, se usa un procesador Raspberry Pi®.
[0044] Ventajosamente, dicho sistema está miniaturizado, es poco costoso y fácil de transportar, y comprende un microcontrolador que tiene suficiente potencia de cálculo para efectuar todas las operaciones que se van a realizar mediante un procedimiento de protección de un sistema informático tal como se describe.
[0045] La figura 3 ilustra otra realización de un sistema de protección 21, que comprende un primer equipo 10, tal como se describe anteriormente, y una pluralidad de segundos equipos 12a, 12b, 12c, análogos al segundo equipo 12 descrito anteriormente. Los módulos funcionales de los segundos equipos son análogos a los de la figura 2, y llevan referencias análogas en la figura 3.
[0046] Cada segundo equipo 6a, 6b, 6c está adaptado para comunicarse con el primer equipo 10 por un canal de radio 16a, 16b, 16c.
[0047] Dicho sistema de protección 21 puede usarse ventajosamente para compartir datos 34a, 34b, 34c, después de la validación por el módulo 30 de verificación de seguridad, entre varios terminales de usuario 6a, 6b, 6c, que incluyen cada uno un conector USB 40a, 40b, 40c adaptado para recibir una conexión con el segundo equipo 12a, 12b, 12c.
[0048] Dicha compartición es útil, por ejemplo, en una situación de reunión de trabajo entre diversos participantes, por ejemplo para compartir datos suministrados por un proveedor exterior a la empresa de total seguridad.
[0049] La figura 4 es un cuadro sinóptico de las principales etapas de un procedimiento de protección de un sistema informático según una realización.
[0050] El conjunto 50A de las etapas del procedimiento es implementado en el primer equipo, y el conjunto 50B de las etapas es implementado por el segundo equipo.
[0051] En el primer equipo, durante una primera etapa 52, se detecta la conexión de un dispositivo de almacenamiento 5 externo en el conector 20 del primer equipo.
[0052] A continuación se implementa una etapa 54 de verificación de seguridad de datos, seguida por una etapa 56 de generación o actualización de un informe de verificación.
[0053] En la etapa 54 puede implementarse cualquier software de verificación de tipo antivirus, antimalware o antispyware.
[0054] Preferentemente, las etapas 54 y 56 se repiten, de manera que se acumulen las verificaciones por medio de la implementación de varios programas de software de verificación de la seguridad de datos que permiten detectar un posible intento de introducción de código malicioso, de manera que el informe de verificación se actualiza en cada verificación.
[0055] Dichos programas de software son conocidos, y puede usarse cualquier software existente.
[0056] Como variante, el software de verificación es un software de propiedad exclusiva, que implementa controles específicos, por ejemplo la verificación de los formatos de archivo cuando solo se autoriza un número restringido de formatos de archivo en una red de empresa.
[0057] Para cada uno de dichos programas de software, se verifica si el resultado de la verificación es positivo o negativo. Cuando uno de los programas de software de verificación genera un resultado negativo, se considera que los datos 34a, 34b, 34c están infectados y que el sistema informático debe protegerse con respecto a estos datos.
[0058] Por ejemplo, en caso de resultado de verificación negativo, el informe de verificación incluye informaciones marcadas como, por ejemplo, el nombre del dispositivo portátil 5 verificado, el o los nombres de los archivos infectados, informaciones de entrada del software de verificación implementado, y opcionalmente el nombre del virus detectado.
[0059] Si el resultado de la verificación es positivo, el informe de verificación incluye por ejemplo las informaciones marcadas siguientes: nombre del dispositivo portátil 5 verificado, mención que indica que el dispositivo se considera no infectado, informaciones de entrada al software de verificación implementado.
[0060] Opcionalmente, la etapa 56 se sigue de una etapa 58 de control de un indicador luminoso o de texto que permite indicar visualmente a un usuario el resultado positivo o negativo de la verificación. Por ejemplo, en caso de resultado positivo se enciende un indicador luminoso de color verde, y en caso de resultado negativo se enciende un indicador luminoso de color rojo. Por ejemplo, el indicador de texto es un texto visualizado, por ejemplo «OK» en caso de resultado positivo, y «Not OK» en caso de resultado negativo. Naturalmente pueden contemplarse numerosas variantes de indicadores luminosos o de textos.
[0061] Según una variante, se efectúa un control de encendido de indicadores en paralelo a la implementación de las verificaciones de seguridad, por ejemplo controlando un parpadeo de los indicadores luminosos durante la fase de verificación, y después un encendido coherente y fijo, como se explica anteriormente, en función del resultado.
[0062] El primer equipo está adaptado para comunicarse con el segundo equipo por radio.
[0063] Para ello se establece un canal de comunicación mediante intercambios 60, 62 implementado respectivamente por el primer equipo y por el segundo equipo.
[0064] Se efectúan varios intercambios según un protocolo de comunicación predeterminado, por ejemplo el protocolo WiFi, lo que se simboliza esquemáticamente mediante la flecha bidireccional representada en la figura 4.
[0065] Debe observarse que las etapas de establecimiento de un canal de comunicación de radio 60 y 62 pueden realizarse también, como variante, previamente a la detección de la introducción de un dispositivo portátil 5 en el primer equipo.
[0066] Preferentemente, el establecimiento de un canal de comunicación comprende un emparejamiento de los equipos primero y segundo.
[0067] Por ejemplo, el primer equipo memoriza un conjunto de identificadores únicos IDi de segundos equipos autorizados, de manera que este conjunto puede reducirse a un único segundo equipo autorizado.
[0068] Un identificador es, por ejemplo, una cadena de caracteres de longitud predeterminada, generada por un proceso seudoaleatorio y de longitud suficiente único.
[0069] El segundo equipo memoriza también su propio identificador IDj, que envía al primer equipo para verificación. Si el identificador IDj pertenece al conjunto de identificadores memorizados en el primer equipo, se implementa el canal de comunicación.
[0070] El primer equipo envía a continuación al segundo equipo el informe de verificación, durante la etapa de transmisión 64.
[0071] En la recepción, el segundo equipo analiza el informe de verificación recibido en la etapa 66, y en función del resultado de la verificación, autoriza o prohíbe (etapa 68) al terminal de usuario 6 el acceso a los datos memorizados en el dispositivo portátil 5.
[0072] Cuando el resultado de la verificación es positivo, además del informe, el segundo equipo crea (etapa 70) un canal de comunicación con el dispositivo externo USB conectado a través del canal inalámbrico. El dispositivo de almacenamiento externo se presenta al terminal 6 como parte del sistema de información.
[0073] Así, en este caso, el usuario obtiene los datos 34a, 34b, 34c del dispositivo de almacenamiento externo como si este dispositivo de almacenamiento externo estuviera directamente conectado físicamente al terminal de usuario 6.
[0074] Ventajosamente, la seguridad se refuerza mediante la separación física entre el primer equipo que recibe el dispositivo portátil externo y el segundo equipo que está conectado físicamente al sistema informático por medio del terminal de usuario.
[0075] Además, la seguridad se refuerza también mediante el uso de modos de comunicación diferentes, lo que necesita una ruptura del protocolo de comunicación, normalmente entre la comunicación de radio WiFi y la comunicación por cable USB.
[0076] Preferentemente, para reforzar aún más la seguridad, los equipos primero y segundo implementan un sistema de explotación diferente del sistema de explotación del sistema informático que se va a proteger. Por ejemplo, cuando el sistema informático de empresa es un sistema suministrado por Microsoft®, los equipos primero y segundo implementan un sistema de tipo Linux.
[0077] Finalmente, es más sencillo actualizar los programas de software de verificación de seguridad a bordo incluidos en cada primer equipo que actualizar cada terminal de usuario de una red de empresa.
[0078] Otra ventaja es que el sistema de protección es portátil, con lo que también puede usarse fuera del recinto de una empresa, por ejemplo por un usuario en desplazamiento profesional, o desplazado en el interior de una empresa según las necesidades.

Claims (10)

REIVINDICACIONES
1. Sistema de protección (2) de un sistema informático que incluye al menos un conector (40) que permite la conexión de un dispositivo (5) de almacenamiento de datos portátil externo, caracterizado porque incluye:
- un primer equipo (10) de protección portátil que incluye un conector de entrada (20) adaptado para recibir dicho dispositivo (5) de almacenamiento de datos portátil,
- al menos un segundo equipo (12) de protección portátil que incluye un procesador (36, 36A, 36B, 36C) y un conector de salida (38) adaptado para conectarse a dicho sistema informático (4, 6),
estando dichos equipos primero (10) y segundo (12) adaptados para comunicarse entre sí por un canal de comunicación de radio (16),
incluyendo el primer equipo (10) además un módulo (30) de verificación de seguridad de datos, adaptado para ejecutar al menos un software de verificación de seguridad de datos del dispositivo (5) de almacenamiento de datos portátil conectado en entrada con dicho primer equipo (10) y para transmitir un informe de verificación al segundo equipo (12),
después de la recepción de un informe de verificación, el procesador (36) del segundo equipo (12) está adaptado para verificar si dicho informe es positiva, y en este caso únicamente, para suministrar a dicho sistema informático (4, 6) un acceso a los datos (34a, 34b, 34c) almacenados en dicho dispositivo (5) de almacenamiento de datos externo.
2. Sistema según la reivindicación 1, en el que el acceso a los datos almacenados en el dispositivo de almacenamiento de datos externo es un acceso directo, realizado a través de un protocolo específico de acceso a distancia a un hardware conectado.
3. Sistema según cualquiera de las reivindicaciones 1 o 2, en el que dicho segundo equipo (12) está adaptado para suministrar dicho informe de verificación al sistema informático (4, 6).
4. Sistema según cualquiera de las reivindicaciones 1 a 3, en el que el primer equipo comprende un alojamiento (10) y al menos un indicador luminoso o de texto dispuesto en una de las paredes del alojamiento, que permite indicar, después de la verificación de seguridad de datos, si el informe de verificación es positivo o negativo.
5. Sistema según cualquiera de las reivindicaciones 1 a 4, que incluye una pluralidad de segundos equipos (12a, 12b, 12c), estando cada uno de los segundos equipos (12a, 12b, 12c) adaptado para comunicarse con dicho primer equipo (10) por un canal de comunicación de radio (16a, 16b, 16c).
6. Procedimiento de protección de un sistema informático implementado en un sistema de protección de un sistema informático según las reivindicaciones 1 a 5, que incluye al menos un conector que permite la conexión de un dispositivo de almacenamiento de datos portátil externo, que incluye un primer equipo de protección portátil que incluye un conector de entrada adaptado para recibir dicho dispositivo de almacenamiento de datos portátil, y un segundo equipo de protección portátil que incluye un conector de salida adaptado para conectarse a dicho sistema informático,
caracterizado porque incluye las etapas de:
- detección (52) de conexión de un dispositivo de almacenamiento de datos portátil a dicho primer equipo, - verificación (54) de seguridad de datos, por ejecución de al menos un software de verificación de seguridad de datos del dispositivo de almacenamiento de datos portátil conectado en entrada de dicho primer equipo, y generación (56) de un informe de verificación,
- transmisión (64) de un informe de verificación al segundo equipo de protección por un canal de comunicación de radio,
- en caso de verificación de seguridad de datos positiva, suministro (70) a dicho sistema informático de un acceso a los datos almacenados en dicho dispositivo de almacenamiento de datos externo.
7. Procedimiento según la reivindicación 6, en el que la etapa de verificación implementa una pluralidad de programas de software de verificación de seguridad.
8. Procedimiento según cualquiera de las reivindicaciones 6 o 7, que comprende además una etapa (58) de control de un indicador luminoso o de texto que permite indicar visualmente a un usuario el resultado positivo o negativo de la verificación.
9. Procedimiento según cualquiera de las reivindicaciones 6 a 8, que comprende además una etapa de establecimiento (60, 62) de un canal de comunicación de radio entre el primer equipo (10) y el segundo equipo (12) según un protocolo de comunicación predeterminado, que incluye una etapa de emparejamiento entre dichos equipos primero y segundo.
10. Procedimiento según la reivindicación 9, en el que la etapa de emparejamiento implementa una verificación de correspondencia entre un identificador único asociado al segundo equipo y un identificador previamente memorizado por el primer equipo.
ES18210861T 2017-12-07 2018-12-06 Sistema y procedimiento de protección de un sistema informático Active ES2924436T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1701282A FR3074934B1 (fr) 2017-12-07 2017-12-07 Systeme et procede de protection d'un systeme informatique

Publications (1)

Publication Number Publication Date
ES2924436T3 true ES2924436T3 (es) 2022-10-06

Family

ID=61750182

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18210861T Active ES2924436T3 (es) 2017-12-07 2018-12-06 Sistema y procedimiento de protección de un sistema informático

Country Status (3)

Country Link
EP (1) EP3495977B1 (es)
ES (1) ES2924436T3 (es)
FR (1) FR3074934B1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114189373B (zh) * 2021-12-01 2024-05-07 湖北华丛科技有限公司 一种人工智能数据处理存储设备及其存储系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101414332A (zh) * 2007-10-15 2009-04-22 鸿富锦精密工业(深圳)有限公司 防病毒装置和方法
FR2949888B1 (fr) * 2009-09-04 2014-12-26 Thales Sa Dispositif de protection contre les logiciels malveillants et ordinateur comprenant le dispositif.
KR101042246B1 (ko) * 2009-10-09 2011-06-17 한국전자통신연구원 침해방지용 보안 usb 커넥터 및 이를 이용한 침해 방지 시스템
US20180203809A1 (en) * 2015-07-16 2018-07-19 Deutsche Telekom Ag Intermediate module for controlling communication between a data processing device and a peripheral device

Also Published As

Publication number Publication date
EP3495977B1 (fr) 2022-05-18
EP3495977A1 (fr) 2019-06-12
FR3074934B1 (fr) 2019-12-20
FR3074934A1 (fr) 2019-06-14

Similar Documents

Publication Publication Date Title
CN100484020C (zh) 用于在安全通信中保护计算设备不受网络环境散布的计算机恶意行为危害的系统和方法
US8935530B2 (en) Control device and computer readable medium
EP2834957B1 (en) Anti-tamper device, system, method, and computer-readable medium
US11061832B2 (en) Hacking-resistant computer design
WO2018062761A1 (ko) 보안 기능이 강화된 디바이스의 초기화 방법 및 디바이스의 펌웨어 업데이트 방법
CN106055502A (zh) 通用串行总线(usb)过滤集线器
US10693656B2 (en) Method and device for scanning for data processing devices
Lau et al. Mactans: Injecting malware into ios devices via malicious chargers
US9426652B2 (en) High assurance authorization device
CA2806699A1 (en) Hacker virus security-integrated control device
US20170061131A1 (en) Side-Channel Integrity Validation of Devices
WO2010076987A2 (ko) 펌웨어의 원격 업데이트 방법
CN103763101A (zh) 一种用户登录验证的方法、装置及系统
ES2924436T3 (es) Sistema y procedimiento de protección de un sistema informático
CN104834874A (zh) 建立安全执行环境之间的物理局部性
KR101366771B1 (ko) 네트워크 보안 장치 및 그 방법
JP2022517043A (ja) 耐改ざんデータ処理装置
JP2016058997A (ja) セキュアサイト内のネットワークへのアクセス監視システム、方法
CN107566365B (zh) 机顶盒网络应用安全保护方法及系统
US10715517B2 (en) Retrieval device for authentication information, system and method for secure authentication
KR102398108B1 (ko) 병렬 인터페이스 보안 장치
CN103218562A (zh) 一种移动终端可信防护方法及系统
ES2954418T3 (es) Método de gestión de acceso a red de un dispositivo y dispositivo
KR20130040662A (ko) 휴대용 저장 장치에 방화벽 시스템 구축 및 방법
US20240256669A1 (en) System and method for decontaminating and certifying external storage devices