RU185049U1 - Двухконтурный моноблочный комплекс - Google Patents

Двухконтурный моноблочный комплекс Download PDF

Info

Publication number
RU185049U1
RU185049U1 RU2018121411U RU2018121411U RU185049U1 RU 185049 U1 RU185049 U1 RU 185049U1 RU 2018121411 U RU2018121411 U RU 2018121411U RU 2018121411 U RU2018121411 U RU 2018121411U RU 185049 U1 RU185049 U1 RU 185049U1
Authority
RU
Russia
Prior art keywords
monoblock
circuit
complex
software
double
Prior art date
Application number
RU2018121411U
Other languages
English (en)
Inventor
Сергей Вадимович Эскин
Original Assignee
Общество с ограниченной ответственностью "ДЕПО Электроникс"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "ДЕПО Электроникс" filed Critical Общество с ограниченной ответственностью "ДЕПО Электроникс"
Priority to RU2018121411U priority Critical patent/RU185049U1/ru
Application granted granted Critical
Publication of RU185049U1 publication Critical patent/RU185049U1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06EOPTICAL COMPUTING DEVICES; COMPUTING DEVICES USING OTHER RADIATIONS WITH SIMILAR PROPERTIES
    • G06E3/00Devices not provided for in group G06E1/00, e.g. for processing analogue or hybrid data

Abstract

Полезная модель относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности работы пользователя в нескольких компьютерных сетях, за счет возможности физически разделять вычислительную систему на два независимых друг от друга вычислительных узла. Двухконтурный моноблочный комплекс, содержащий: корпус комплекса, со встроенным дисплеем; внутри корпуса расположены два независимых друг от друга вычислительных узла, выполненных с возможностью переключения между друг другом, каждый из которых содержит процессор, ОЗУ и по меньшей мере один диск с возможностью установки защищенной ОС (операционная система).

Description

Область техники
Настоящая полезная модель относится в целом к вычислительным устройствам и, более конкретно, к двухконтурному моноблочному комплексу.
Уровень техники
Из уровня техники известно устройство (US 7356677 B1, Flash Vos Inc, опубл. 08.04.2008), которое позволяет быстро переключаться без перезагрузки, выключения и смены сеансов, между несколькими операционными системами на одном компьютере с использованием специальной операционной системы, работающей между уровнем прошивки компьютерной системы и множеством загрузочных операционных систем и приложений.
Недостатком данного устройства является единая вычислительная система, которая не позволяет пользователю вести работу одновременно в нескольких вычислительных узлах с различными операционными системами. Кроме того, известна многопроцессорная система (US 6647508 В2, Hewlett-Packard Development Company L.P, опубл. 11.11.2003), которая содержит: несколько физических процессора и ресурсы такие как память и носители информации, которые подразделяются программным обеспечением на несколько разделов, каждый из которых имеет возможность запускать отдельную копию или экземпляр операционной системы. Ресурсы, такие как процессоры и память, могут быть динамически назначены для разных разделов и использоваться экземплярами операционных систем, работающих на машине, путем изменения конфигурации.
Недостатками данной системы является так же отсутствие возможности физические разделить систему на несколько независимых вычислительных узлов.
Раскрытие полезной модели
Технический результат заключается в повышении безопасности работы пользователя в нескольких компьютерных сетях, за счет возможности физически разделять вычислительную систему на два независимых друг от друга вычислительных узла.
Заявленный результат достигается с помощью двухконтурного моноблочного комплекса, содержащего:
- корпус комплекса, со встроенным дисплеем;
- внутри корпуса расположены два независимых друг от друга вычислительных узла, выполненных с возможностью переключения между друг другом, каждый из которых содержит процессор, ОЗУ и по меньшей мере, один диск с возможностью установки защищенной ОС (операционная система).
В частных вариантах осуществления технического решения в двухконтурный моноблочный комплекс содержит на корпусе камеру с механической шторкой.
В частных вариантах осуществления технического решения в двухконтурный моноблочный комплекс содержит на корпусе активные динамики.
В частных вариантах осуществления технического решения в двухконтурный моноблочный комплекс содержит на корпусе интегрированные интерфейсные порты, выполненные с функцией защиты от съема информации для подключения внешних устройств.
В частных вариантах осуществления технического решения в двухконтурный моноблочный комплекс содержит на корпусе датчик вскрытия, функционирующий как во включенном, так и в выключенном состоянии, фиксирующий факт вскрытия и выдающий сервисное сообщение о факте вскрытия, и блокирующий дальнейшую работу терминала при следующем после вскрытия включении.
Осуществление полезной модели
Двухконтурный моноблок - это, моноблок, позволяющий пользователю работать в одной из двух защищенных ОС (в общем случае одна из них Windows, а вторая - Linux), но при необходимости можно установить любую известную из уровня техники ОС. ОС Windows загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО и инициировать любые подключения в рамках, заданных для него правил разграничения доступа.
При запуске двухконтурного моноблока во втором режиме ОС Linux загружается из защищенного от записи раздела памяти микрокомпьютера, то есть не просто с другого жесткого диска, а с другого компьютера. Принципиальное отличие этого решения от решений на базе подключаемых носителей доверенной среды состоит в том, что он не мобилен, но при этом предоставляет пользователю две полнофункциональные среды в одном корпусе, а не только защищенный доступ к некоторой системе, при этом работа в этих средах может вестись параллельно, а не последовательно, для переключения не требуется ни перезагрузка, ни смена сеанса, все процессы продолжаются в каждой ОС своим чередом.
Двухконтурный моноблок имеет ряд преимуществ перед известными решениями, а именно:
использует все возможности полноценного ПК;
обеспечивает полноценную одновременную работу пользователя в любом режиме (удаленного доступа или локальном);
позволяет использовать любой из режимов в качестве основного;
обеспечивает необходимый уровень безопасности информации в каждом из режимов;
позволяет легко осуществлять переход от одного режима обработки данных к другому.
На базе такой конструкции может создаваться целая палитра решений в зависимости от задач, определенных при проектировании системы: при желании может быть реализован вариант исполнения, для которого оба режима работы подразумевают терминальное соединение или, наоборот, локальную обработку данных.
Неизменной остается идея продукта, подразумевающая реализацию следующих принципов:
- возможность работы на одном СВТ (средство вычислительной техники) одновременно (насколько позволяет использование общего монитора, клавиатуры и мыши) с одним из двух контуров безопасности, изолированных друг от друга;
- соответствие каждому из режимов работы собственной ОС: ОС первого режима доступна только для чтения и содержит ПО (программное обеспечение), предустановленное на этапе производства, ОС второго - доступна для записи (следовательно, возможна самостоятельная установка ПО пользователем) и содержит СЗИ (систему защиты информации);
- надежное обеспечение информационной безопасности в каждом из режимов работы при правильной настройке двухконтурного моноблока. Переключение между режимами выполняется посредством нажатия: кнопки переключения для смены экрана, расположенной на копусе моноблока, и встроенного KVM (keyboard, video, mouse) - переключателя, установленного внутрь моноблока, для передачи сигналов клавиатуры и мыши к текущей системе.
Рассмотрим требования по защите информации, предъявляемые к такому решению.
Очевидно, что на любом терминале должна обеспечиваться целостность клиентского ПО:
- системного, которое предназначено для доступа к терминальному серверу,
- функционального - необходимого для работы в рамках терминальной сессии. Именно обеспечиваться, а не контролироваться, так как в режиме терминального доступа корректность работы этого ПО критически важна.
Также пользователь должен быть лишен возможности установки лишнего ПО, так как оно может повлиять на работоспособность клиентской станции в целом.
Следовательно, ОС и все клиентское ПО, так или иначе применяемое для работы терминального клиента, должно запускаться из некоторой памяти, защищенной от несанкционированной модификации.
Однако в случае использования полноценного ПК состав установленного программного обеспечения не ограничивается клиентским ПО для доступа к терминальному серверу. Для локальной обработки данных используются свои программы, причем в процессе работы может понадобиться как установка дополнительных программ, так и обновление, перенастройка или удаление уже имеющегося ПО. Это означает, что такое ПО должно загружаться из другого раздела памяти - уже доступного для модификации. Так как ПО функционирует в рамках некоей операционной среды, должна существовать вторая ОС, в которой пользователь может выполнять все необходимые действия, так, как это происходит при работе на традиционном ПК.
Если предполагается, что данные, обрабатываемые в локальном режиме, подвержены постоянному санкционированному изменению, то пытаться обеспечивать целостность этих данных бессмысленно. Но возможно ее контролировать. Для этого в режиме локальной обработки информации должно быть установлено СЗИ, оснащенное собственной подсистемой контроля целостности. Далее, очевидно, что в общем случае к данным на ПК необходимо разграничивать доступ, а значит, это СЗИ должно также обладать собственными подсистемами идентификации/аутентификации и разграничения доступа.
Система защиты выглядит достаточно сложной, но поставленная задача не имеет целью разработку простого решения, а направлена на разработку решения надежного.
В результате анализа требований к защите информации вырисовывается следующая картина: полноценный ПК, с которого осуществляется доступ к терминальному серверу, должен иметь две ОС. Одна из них должна быть размещена в защищенной от несанкционированной модификации памяти и иметь в своем составе ПО, позволяющее пользователю инициировать соединение с терминальным сервером. Это ПО также должно загружаться из защищенной от модификации памяти. Вторая ОС должна запускаться из доступной для модификации памяти и позволять пользователю выполнять установку/изменение/удаление пользовательского ПО. В этой ОС должно быть установлено СЗИ, позволяющее, как минимум, выполнять процедуры разграничения доступа и контроля целостности.
В одном из вариантов исполнения двухконтурный моноблок предоставляет пользователю два режима на выбор:
- локальный режим обработки данных (используется ОС семейства Windows);
- терминальный режим обработки данных (используется ОС Linux).
В локальном режиме ОС загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО (в рамках назначенных ему прав) и инициировать любые подключения.
При запуске двухконтурного моноблока во втором режиме ОС загружается из защищенного от записи раздела памяти микрокомпьютера.
При работе в этом режиме пользователю доступно только ПО для доступа к терминальному серверу и дополнительное ПО, необходимое для работы в рамках терминальной сессии.
Представленное описание заявленной полезной модели раскрывает предпочтительные варианты исполнения заявленного решения и не должно трактоваться как ограничивающее иные, частные варианты реализации, не выходящие за рамки испрашиваемого объема правовой охраны, которые должны быть понятны для специалиста в данной области техники.

Claims (7)

1. Двухконтурный моноблочный комплекс, содержащий:
- корпус комплекса, со встроенным дисплеем;
- внутри корпуса расположены два независимых друг от друга вычислительных узла, выполненных с возможностью переключения между друг другом, каждый из которых содержит процессор, ОЗУ и по меньшей мере, один диск с возможностью установки защищенной ОС (операционная система).
2. Двухконтурный моноблочный комплекс по п. 1, дополнительно содержащий на корпусе камеру с механической шторкой.
3. Двухконтурный моноблочный комплекс по п. 1, дополнительно содержащий на корпусе активные динамики.
4. Двухконтурный моноблочный комплекс по п. 1, дополнительно содержащий на корпусе интегрированные интерфейсные порты, выполненные с функцией защиты от съема информации для подключения внешних устройств.
5. Двухконтурный моноблочный комплекс по п. 1, дополнительно содержащий на корпусе датчик вскрытия, функционирующий как во включенном, так и в выключенном состоянии, фиксирующий факт вскрытия и выдающий сервисное сообщение о факте вскрытия и блокирующий дальнейшую работу терминала при следующем после вскрытия включении.
RU2018121411U 2018-06-09 2018-06-09 Двухконтурный моноблочный комплекс RU185049U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018121411U RU185049U1 (ru) 2018-06-09 2018-06-09 Двухконтурный моноблочный комплекс

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018121411U RU185049U1 (ru) 2018-06-09 2018-06-09 Двухконтурный моноблочный комплекс

Publications (1)

Publication Number Publication Date
RU185049U1 true RU185049U1 (ru) 2018-11-19

Family

ID=64325292

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018121411U RU185049U1 (ru) 2018-06-09 2018-06-09 Двухконтурный моноблочный комплекс

Country Status (1)

Country Link
RU (1) RU185049U1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU216964U1 (ru) * 2022-03-03 2023-03-13 Акционерное общество "КОНСТРУКТОРСКОЕ БЮРО "КОРУНД-М" Двухконтурный вычислительный моноблок

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6647508B2 (en) * 1997-11-04 2003-11-11 Hewlett-Packard Development Company, L.P. Multiprocessor computer architecture with multiple operating system instances and software controlled resource allocation
RU2004131030A (ru) * 2003-10-23 2006-04-10 Майкрософт Корпорейшн (Us) Предоставление графического интерфейса пользователя в системе с высокозащищенной исполнительной средой
US7356677B1 (en) * 2001-10-19 2008-04-08 Flash Vos, Inc. Computer system capable of fast switching between multiple operating systems and applications
EP2034405A1 (en) * 2007-09-05 2009-03-11 HTC Corporation Mobile device with two operating systems and method for sharing hardware device between two operating systems thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6647508B2 (en) * 1997-11-04 2003-11-11 Hewlett-Packard Development Company, L.P. Multiprocessor computer architecture with multiple operating system instances and software controlled resource allocation
US7356677B1 (en) * 2001-10-19 2008-04-08 Flash Vos, Inc. Computer system capable of fast switching between multiple operating systems and applications
RU2004131030A (ru) * 2003-10-23 2006-04-10 Майкрософт Корпорейшн (Us) Предоставление графического интерфейса пользователя в системе с высокозащищенной исполнительной средой
EP2034405A1 (en) * 2007-09-05 2009-03-11 HTC Corporation Mobile device with two operating systems and method for sharing hardware device between two operating systems thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU216964U1 (ru) * 2022-03-03 2023-03-13 Акционерное общество "КОНСТРУКТОРСКОЕ БЮРО "КОРУНД-М" Двухконтурный вычислительный моноблок

Similar Documents

Publication Publication Date Title
CN110073355B (zh) 用于提供安全执行环境的服务器和用于保护服务器上的非易失性存储器中的固件的方法
US10742427B2 (en) Tamper-proof secure storage with recovery
US9934022B2 (en) Secured firmware updates
US10754955B2 (en) Authenticating a boot path update
US9965270B2 (en) Updating computer firmware
KR101019937B1 (ko) 보안 운영 시스템 스위칭
US8838948B2 (en) Remote management of UEFI BIOS settings and configuration
US8971538B1 (en) Firmware validation from an external channel
US10177934B1 (en) Firmware updates inaccessible to guests
US9565207B1 (en) Firmware updates from an external channel
US10896266B1 (en) Computer hardware attestation
US9721102B2 (en) Boot mechanisms for bring your own management
US10831897B2 (en) Selective enforcement of secure boot database entries in an information handling system
CN109670349B (zh) 可信计算机的硬件架构及计算机的可信启动方法
US10467439B2 (en) Detecting tampering of memory contents in an information handling system
US10824724B2 (en) Detecting runtime tampering of UEFI images in an information handling system
US10303487B2 (en) System and method for booting an information handling system
KR20090091148A (ko) 신뢰 플랫폼 모듈(tpm) 공유 방법 및 신뢰 플랫폼 모듈(tpm) 공유 시스템
KR101498965B1 (ko) 가상화 기술을 이용한 내외부망 격리 시스템 및 방법
US10938782B1 (en) Secure hardware signal filtering
RU185049U1 (ru) Двухконтурный моноблочный комплекс
US20200410104A1 (en) Secure boot process
US11625338B1 (en) Extending supervisory services into trusted cloud operator domains
US10162986B2 (en) Techniques of improving KVM security under KVM sharing
US20190356655A1 (en) Techniques of using facial recognition to authenticate kvm users at service processor