RU2541170C2 - Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности - Google Patents
Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности Download PDFInfo
- Publication number
- RU2541170C2 RU2541170C2 RU2013108791/08A RU2013108791A RU2541170C2 RU 2541170 C2 RU2541170 C2 RU 2541170C2 RU 2013108791/08 A RU2013108791/08 A RU 2013108791/08A RU 2013108791 A RU2013108791 A RU 2013108791A RU 2541170 C2 RU2541170 C2 RU 2541170C2
- Authority
- RU
- Russia
- Prior art keywords
- information
- access
- resources
- gateway
- verified
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к способу управления доступом к информационным ресурсам компьютерных сетей. Технический результат заключается в повышении защищенности доступа к ресурсам сети. Проверяют, содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов, отключают выход модуля шлюзов, включают вход модуля шлюзов, принимают запрашиваемую информацию в шлюз, записывают принятую информацию в ячейки памяти ОЗУ шлюза, копируют принятую информацию в шлюзы по числу средств защиты информации. По завершении копирования отключают вход модуля шлюзов, одновременно всеми средствами защиты информации проверяют принятую информацию. При успешном завершении работы всех средств защиты информации включают выход модуля шлюзов, записывают проверенную информацию в базу данных проверенных информационных ресурсов, удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно. 2 ил.
Description
Изобретение относится к вычислительной технике и может быть использовано в области повышения информационной безопасности и управления доступом к информационным ресурсам компьютерных сетей.
Известен способ, реализованный в изобретении «Способ и устройство для управления доступом к Интернету в компьютерной системе и считываемый компьютером носитель информации для хранения компьютерной программы», по патенту РФ №2231115, кл. G06F 17/30, G06F 13/00, заявл. 23.03.2001. Способ позволяет осуществлять контроль и управление посредством фильтрации в отношении доступа компьютеров-клиентов к Интернет-сайтам, которые предоставляют разного рода информацию, информационное наполнение и услуги через Web-интерфейс. Решение о предоставлении доступа принимается на основе унифицированных указателей ресурсов (URL) Интернет-сайтов, содержащихся в базах данных. При их отсутствии проверяют информацию или информационное наполнение сайта на предмет наличия ключевых слов. Когда разрешенное (полезное) ключевое слово входит в состав информационного наполнения или информации из Интернета, пользователю разрешается доступ к этому информационному ресурсу, даже если он содержит запрещенное ключевое слово.
Недостатками описанного изобретения являются отсутствие в них базы проверенных информационных ресурсов для хранения проверенных данных, необходимость гибко изменять списки доступа в процессе работы в зависимости от изменившихся потребностей пользователей в доступе к информационным ресурсам, а также невозможность формирования списков доступа, разрешающих или запрещающих доступ к информационным ресурсам в зависимости от уровня конфиденциальности вновь устанавливаемых подключений. Это объясняется тем, что одновременный доступ пользователя к информационным ресурсам разных уровней конфиденциальности приводит к появлению множества угроз информационной безопасности, показанных, например, в кн.: Скибы В.Ю., Курбатова В.А. «Руководство по защите от внутренних угроз информационной безопасности» (СПб.: Питер, 2008, с.23-29).
Известен способ-аналог управления доступом к информационным ресурсам сети Интернет в зависимости от категории запрашиваемых ресурсов и принятой политики безопасности, реализованный, например, в изобретении по патенту РФ №2368004 «Система управления доступом к ресурсам сети Интернет», МПК G06F 17/30, G06F 21/22, опубл. 20.09.2009, где осуществляется фильтрация документов, передаваемых по высокоуровневым протоколам (в частности, HTTP) на основе анализа содержимого электронных документов. Разрешение или запрещение доступа к ресурсу осуществляется на основе классификации документа как допустимого либо нежелательного.
Наиболее важным недостатком данной системы является то, что возможно возникновение ошибок классификации, которые приведут к запрещению доступа пользователя к необходимому информационному ресурсу.
Наиболее близким по своей технической сущности к заявленному способу является способ, реализованный в изобретении «Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности и устройство его реализующее», по патенту РФ №2436154, кл. G06F 21/20, G06F 17/30, заявл. 01.12.2009. Изобретение предусматривает формирование базы данных для хранения информации о принадлежности информационных ресурсов к определенному уровню конфиденциальности. Также предусматривается управление безопасным доступом к информационным ресурсам различных уровней конфиденциальности на основе классификации информационных ресурсов на два основных класса: 1) по степени (типу) конфиденциальности информации и 2) по уровню риска или опасности их воздействия на конфиденциальную корпоративную (защищаемую) информацию.
Недостатком способа-прототипа является относительно низкая защищенность внутреннего сегмента сети, так как не учитывается прямое физическое и логическое соединение между разноуровневыми (по конфиденциальности) сегментами сети, а также дублирование средств защиты информации на каждом компьютере-клиенте при многопользовательском доступе к информационным ресурсам.
Защита информации от несанкционированного воздействия - защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации [ГОСТ Р 50922-2006. Защита информации. Основные термины и определения].
Доступность информации является ключевым звеном, при котором субъекты, имеющие право доступа, могут реализовывать эти права беспрепятственно, в режиме реального времени, с заданной степенью защищенности от несанкционированного доступа. Доступность информации является одной из трех главных составляющих информационной безопасности помимо ее конфиденциальности и целостности информации.
Техническим результатом заявленного технического решения является разработка способа управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности, обеспечивающего повышение защищенности путем исключения прямого физического и логического соединения между разноуровневыми (по конфиденциальности) сегментами сети, сокращение количества средств защиты и времени реализации запроса на доступ к информационным ресурсам за счет использования дополнительной базы данных, в которой хранятся проверенные информационные ресурсы.
Технический результат достигается тем, что в заявленном способе принимают запрос от компьютера-клиента, анализируют запрос доступа в отношении, разрешено ли компьютеру-клиенту только просматривать Интернет-сайты или разрешено записывать информацию на Web-серверы, проверяют, разрешен или запрещен доступ к информационному ресурсу, запрещают или разрешают доступ к информационным ресурсам, заносят указатели URL на все информационные ресурсы с указанием их уровня конфиденциальности и перечень имеющихся средств защиты информации с указанием видов доступа, при реализации которых требуется применение данных средств защиты информации, дополнительно проверяют содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов. Потом отключают выход модуля шлюзов и включают вход модуля шлюзов. Принимают запрашиваемую информацию в шлюз. После чего записывают принятую информацию в ячейки памяти ОЗУ шлюза и копируют принятую информацию в шлюзы по числу средств защиты информации. По завершении копирования отключают вход модуля шлюзов. Одновременно всеми средствами защиты информации проверяют принятую информацию. При успешном завершении работы всех средств защиты информации включают выход модуля шлюзов. Записывают проверенную информацию в базу данных проверенных информационных ресурсов. Удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно.
Заявленный способ поясняется чертежами, на которых:
фиг.1 - схема компьютерной сети, содержащая совокупность компьютеров-клиентов 1.1-1.N, базу данных проверенных информационных ресурсов 2, выход модуля шлюзов 3, вход модуля шлюзов 7, совокупность средств защиты информации 5.1-5.L, совокупность шлюзов 6.1-6.L, совокупность компьютеров-серверов, входящих в состав сети Интернет 9, и вторая совокупность компьютеров-серверов, входящих в состав корпоративной компьютерной сети 10, маршрутизатор периметра 8 и устройство управления доступом к информационным ресурсам 4, которое работает согласно способу, отвечающему варианту осуществления настоящего изобретения;
фиг.2 - блок-схема алгоритма, иллюстрирующая этапы способа настоящего изобретения.
Реализация заявленного способа поясняется схемой (фиг.1), алгоритмом (фиг.2) и объясняется следующим образом.
1. Пользователь компьютера-клиента 1.1-1.N (фиг.1) в процессе работы указывает URL информационного ресурса 9-10, к которому желает получить доступ. На основе указанного URL программным обеспечением компьютера-клиента 1-1.N формируется запрос, который поступает в базу данных проверенных информационных ресурсов 2.
2. Если информационный ресурс содержится в базе данных проверенных информационных ресурсов 2, тогда устанавливается подключение к требуемому информационному ресурсу.
3. Если информационного ресурса нет в базе данных проверенных информационных ресурсов 2, запрос поступает на устройство управления доступом к информационным ресурсам 4.
4. Устройство управления доступом к информационным ресурсам 4 регистрирует попытку установления подключения компьютера-клиента 1.1-1.N к информационному ресурсу 9-10.
5. Устройство управления доступом 4 проверяет уровень конфиденциальности нового информационного ресурса 9-10.
5.1. Если уровень конфиденциальности совпадает с требуемым уровнем, происходит отключение выхода модуля шлюзов 3 и включение входа модуля шлюзов 7, после чего принимают запрашиваемую информацию в шлюз 6.1-6.L, отключают вход модуля шлюзов 7, записывают принятую информацию в ячейки памяти ОЗУ шлюза 6.1-6.L и копируют принятую информацию в шлюзы по числу средств защиты информации 5.1-5.L.
5.2. Если уровень конфиденциальности не совпадает с требуемым уровнем, происходит уведомление пользователя 1.1-1.N об отказе в получении доступа.
6. Одновременно всеми средствами защиты информации 5.1-5.L проверяют принятую информацию.
6.1. Если все средства защиты информации 5.1-5.L выдали сигнал об успешном завершении проверки, то включают выход модуля шлюзов 6.1-6.L.
6.2. Если хотя бы одно средство защиты информации 5.1-5.L выдало сигнал о неудачном завершении проверки, то удаляют принятую информацию из шлюзов 6.1-6.L и уведомляют пользователя 1.1-1.L об отказе в получении доступа.
7. Записывают проверенную информацию в базу данных проверенных информационных ресурсов 2.
8. Устанавливают подключение к требуемому проверенному информационному ресурсу.
Преимущество изобретения состоит в исключении прямого физического и логического соединения между разноуровневыми (по конфиденциальности) сегментами сети. Кроме этого, происходит сокращение времени задействования инфотелекоммуникационных ресурсов сети и времени реализации запроса на доступ к проверенным информационным ресурсам. Перемещение средств защиты информации 5.1-5.L от компьютеров-клиентов 1.1-1.N в модуль шлюзов 6.1-6.N дает их количественное сокращение.
Заявленный способ позволяет осуществить управление доступом к информационным ресурсам в зависимости от уровня их конфиденциальности, обеспечивает повышение защищенности путем исключения прямого физического и логического соединения между разноуровневыми (по конфиденциальности) сегментами сети, сокращает количество средств защиты и времени реализации запроса на доступ к информационным ресурсам за счет использования дополнительной базы данных, в которой хранятся проверенные информационные ресурсы, тем самым обеспечивается достижение технического результата.
Claims (1)
- Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности, заключающийся в том, что принимают запрос от компьютера-клиента, анализируют запрос доступа в отношении разрешено, ли компьютеру-клиенту только просматривать Интернет-сайты или разрешено записывать информацию на Web-серверы, проверяют, разрешен или запрещен доступ к информационному ресурсу, запрещают или разрешают доступ к информационным ресурсам, заносят указатели URL на все информационные ресурсы с указанием их уровня конфиденциальности и перечень имеющихся средств защиты информации с указанием видов доступа, при реализации которых требуется применение данных средств защиты информации, отличающийся тем, что проверяют, содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов, отключают выход модуля шлюзов, включают вход модуля шлюзов, принимают запрашиваемую информацию в шлюз, записывают принятую информацию в ячейки памяти ОЗУ шлюза, копируют принятую информацию в шлюзы по числу средств защиты информации, по завершении копирования отключают вход модуля шлюзов, одновременно всеми средствами защиты информации проверяют принятую информацию, при успешном завершении работы всех средств защиты информации включают выход модуля шлюзов, записывают проверенную информацию в базу данных проверенных информационных ресурсов, удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013108791/08A RU2541170C2 (ru) | 2013-02-26 | 2013-02-26 | Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013108791/08A RU2541170C2 (ru) | 2013-02-26 | 2013-02-26 | Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2013108791A RU2013108791A (ru) | 2014-09-10 |
RU2541170C2 true RU2541170C2 (ru) | 2015-02-10 |
Family
ID=51539696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013108791/08A RU2541170C2 (ru) | 2013-02-26 | 2013-02-26 | Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2541170C2 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2816181C1 (ru) * | 2023-06-06 | 2024-03-26 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и система для управления доступами к ресурсам программной среды в геонавигационных сервисах |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2436154C2 (ru) * | 2009-12-01 | 2011-12-10 | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности и устройство, его реализующее |
-
2013
- 2013-02-26 RU RU2013108791/08A patent/RU2541170C2/ru not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2436154C2 (ru) * | 2009-12-01 | 2011-12-10 | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности и устройство, его реализующее |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2816181C1 (ru) * | 2023-06-06 | 2024-03-26 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и система для управления доступами к ресурсам программной среды в геонавигационных сервисах |
Also Published As
Publication number | Publication date |
---|---|
RU2013108791A (ru) | 2014-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Alwan et al. | Detection and prevention of SQL injection attack: a survey | |
US8225390B2 (en) | Licensing protected content to application sets | |
Martin et al. | 2011 CWE/SANS top 25 most dangerous software errors | |
Muthukumaran et al. | FlowWatcher: Defending against data disclosure vulnerabilities in web applications | |
US11783016B2 (en) | Computing system and method for verification of access permissions | |
CN113315637A (zh) | 安全认证方法、装置及存储介质 | |
WO2007001046A1 (ja) | セキュリティ対策アプリケーションの機密ファイル保護方法、及び機密ファイル保護装置 | |
Morovati et al. | A network based document management model to prevent data extrusion | |
Gupta et al. | Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions | |
Joshi et al. | Encountering sql injection in web applications | |
Shrivastava et al. | SQL injection attacks: Technique and prevention mechanism | |
Delessy et al. | Patterns for access control in distributed systems | |
US10467423B1 (en) | Static analysis-based tracking of data in access-controlled systems | |
RU2541170C2 (ru) | Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности | |
Gharpure et al. | Vulnerabilities and Threat Management in Relational Database Management Systems | |
Kaluža et al. | Content management system security | |
Squicciarini et al. | Web-traveler policies for images on social networks | |
Muntjir et al. | Security Issues and Their Techniques in DBMS-A Novel Survey | |
Taelman et al. | A prospective analysis of security vulnerabilities within link traversal-based query processing | |
Fataniya | A Survey of Database Security Challenges, Issues and Solution | |
Pan | A unified network security and fine-grained database access control model | |
Cohen | A method for forensic analysis of control | |
Telikicherla et al. | A Formal Model of Web Security Showing Malicious Cross Origin Requests and Its Mitigation using CORP. | |
Pan et al. | Analysis of Database Security | |
Lamb | A survey of secure architectural principles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20160227 |