Claims (2)
1. Способ управления потоками данных распределенной информационной системы, заключающийся в том, что в распределенной информационной системе, содержащей блок анализа и центр управления доступом, предварительно задают таблицу коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также задают параметры распределенной информационной системы, выявляют события безопасности в принимаемом потоке данных, анализируют их с целью принятия решения о допустимости передачи потока данных, связанного с этим событием, и, при допустимости передачи потока данных, передают его по назначению, отличающийся тем, что дополнительно задают таблицу эталонных файлов трассировки распределенной информационной системы в тестовом режиме ее функционирования, состоящую из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы, после разрешения на передачу потока данных в блоке коммутации на определенный сетевой узел на нем формируют текущие файлы трассировки при доступе i-го пользователя к информационным ресурсам и сервисам j-го сетевого узла распределенной информационной системы, передают полученные файлы трассировки в центр управления доступом, запоминают переданный файлы трассировки j-го сетевого узла распределенной информационной системы при доступе i-го пользователя, сравнивают полученные файлы трассировки с эталонными значениями, корректируют таблицу коммутации в случае несовпадения файлов трассировки, после чего, используя новые параметры сетевого взаимодействия, блокируют данный поток данных, а при совпадении продолжают его передачу.1. A method of managing data flows of a distributed information system, which consists in the fact that in a distributed information system containing an analysis unit and an access control center, a switching table is preliminarily defined that determines the correspondence between the network connection ports and the network addresses of network nodes connected to the network, and they also set the parameters of the distributed information system, identify security events in the received data stream, analyze them in order to decide on the admissibility of transmission over The data window associated with this event and, if the data stream is acceptable, transmit it as intended, characterized in that it additionally sets up a table of reference trace files of a distributed information system in a test mode of its operation, consisting of reference trace files for all authorized users with their access to information resources and services of certain network nodes of a distributed information system, after permission to transmit a data stream in the switching unit on A distributed network node on it forms the current trace files when the i-th user has access to information resources and services of the j-th network node of the distributed information system, transfer the received trace files to the access control center, remember the transferred trace files of the j-th network node of the distributed information system when the i-th user accesses, they compare the received trace files with the reference values, adjust the switching table in case of a trace file mismatch, after which, Using the new network interaction parameters, they block this data stream, and if they match, continue to transmit it.
2. Устройство управления потоками данных распределенной информационной системы, содержащее блок коммутации, блок запоминания таблицы коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, блок детектирования событий, блок управления таблицей коммутации, первый информационный вход блока коммутации является входом потока данных устройства, а первый информационный выход блока коммутации подключен к узлам сети, второй управляющий выход блока коммутации соединен с блоком детектирования событий, выход которого соединен с управляющим входом блока управления таблицей коммутации, выход которого соединен с первым управляющим входом блока запоминания таблицы коммутации, а выход которого соединен с вторым информационным входом блока коммутации, дополнительно введены модуль управления трассировкой сети, состоящий из блока сравнения трассировки, блока запоминания файлов трассировки и блока запоминания таблицы эталонных файлов трассировки состоящую из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы, модули формирования файлов трассировки, состоящие из блока формирования файлов трассировки, блока передачи файлов трассировки, в каждом модуле формирования файлов трассировки информационный выход блока формирования файлов трассировки соединен с информационным входом блока передачи файлов трассировки, информационный выход которого соединен с информационный входом блока запоминания файлов трассировки и с информационным входом блока запоминания таблицы эталонных файлов трассировки, первый информационный вход блока сравнения трассировки соединен с информационным выходом блока запоминания таблицы эталонных файлов трассировки, а второй информационный вход соединен с информационным выходом блока запоминания файлов трассировки, первый и второй управляющие выходы блока сравнения трассировки соединены с управляющими входами соответственно блока коммутации и блока запоминания таблицы коммутации.
2. The data flow control device of the distributed information system, comprising a switching unit, a switching table memory unit that determines the correspondence between network connection ports and network addresses of network nodes connected to the network, an event detection unit, a switching table control unit, the first information input of the switching unit is the input of the device data stream, and the first information output of the switching unit is connected to network nodes, the second control output of the switching unit is connected to the block m event detection, the output of which is connected to the control input of the switching table control unit, the output of which is connected to the first control input of the switching table storage unit, and whose output is connected to the second information input of the switching unit, a network trace control module consisting of a trace comparison unit is additionally introduced , a block for storing trace files and a block for storing a table of reference trace files consisting of reference trace files for all is authorized When accessing information resources and services of certain network nodes of a distributed information system, trace file generation modules, consisting of trace file generation unit, trace file transfer unit, in each trace file generation module, the information output of the trace file generation unit is connected to the information input trace file transfer unit, the information output of which is connected to the information input of the trace file storage unit And with the information input of the memory block of the table of trace trace files, the first information input of the trace comparison block is connected to the information output of the memory of the table trace file, and the second information input is connected to the information output of the trace memory block, the first and second control outputs of the trace comparison block connected to the control inputs of the switching unit and the storage unit of the switching table, respectively.