RU2541170C2 - Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности - Google Patents

Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности Download PDF

Info

Publication number
RU2541170C2
RU2541170C2 RU2013108791/08A RU2013108791A RU2541170C2 RU 2541170 C2 RU2541170 C2 RU 2541170C2 RU 2013108791/08 A RU2013108791/08 A RU 2013108791/08A RU 2013108791 A RU2013108791 A RU 2013108791A RU 2541170 C2 RU2541170 C2 RU 2541170C2
Authority
RU
Russia
Prior art keywords
information
access
resources
gateway
verified
Prior art date
Application number
RU2013108791/08A
Other languages
English (en)
Other versions
RU2013108791A (ru
Inventor
Александр Владимирович Кирьянов
Екатерина Владимировна Кругленко
Антон Валентинович Нижегородов
Нина Владимировна Панкова
Юрий Иванович Стародубцев
Original Assignee
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет" filed Critical Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет"
Priority to RU2013108791/08A priority Critical patent/RU2541170C2/ru
Publication of RU2013108791A publication Critical patent/RU2013108791A/ru
Application granted granted Critical
Publication of RU2541170C2 publication Critical patent/RU2541170C2/ru

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к способу управления доступом к информационным ресурсам компьютерных сетей. Технический результат заключается в повышении защищенности доступа к ресурсам сети. Проверяют, содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов, отключают выход модуля шлюзов, включают вход модуля шлюзов, принимают запрашиваемую информацию в шлюз, записывают принятую информацию в ячейки памяти ОЗУ шлюза, копируют принятую информацию в шлюзы по числу средств защиты информации. По завершении копирования отключают вход модуля шлюзов, одновременно всеми средствами защиты информации проверяют принятую информацию. При успешном завершении работы всех средств защиты информации включают выход модуля шлюзов, записывают проверенную информацию в базу данных проверенных информационных ресурсов, удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно. 2 ил.

Description

Изобретение относится к вычислительной технике и может быть использовано в области повышения информационной безопасности и управления доступом к информационным ресурсам компьютерных сетей.
Известен способ, реализованный в изобретении «Способ и устройство для управления доступом к Интернету в компьютерной системе и считываемый компьютером носитель информации для хранения компьютерной программы», по патенту РФ №2231115, кл. G06F 17/30, G06F 13/00, заявл. 23.03.2001. Способ позволяет осуществлять контроль и управление посредством фильтрации в отношении доступа компьютеров-клиентов к Интернет-сайтам, которые предоставляют разного рода информацию, информационное наполнение и услуги через Web-интерфейс. Решение о предоставлении доступа принимается на основе унифицированных указателей ресурсов (URL) Интернет-сайтов, содержащихся в базах данных. При их отсутствии проверяют информацию или информационное наполнение сайта на предмет наличия ключевых слов. Когда разрешенное (полезное) ключевое слово входит в состав информационного наполнения или информации из Интернета, пользователю разрешается доступ к этому информационному ресурсу, даже если он содержит запрещенное ключевое слово.
Недостатками описанного изобретения являются отсутствие в них базы проверенных информационных ресурсов для хранения проверенных данных, необходимость гибко изменять списки доступа в процессе работы в зависимости от изменившихся потребностей пользователей в доступе к информационным ресурсам, а также невозможность формирования списков доступа, разрешающих или запрещающих доступ к информационным ресурсам в зависимости от уровня конфиденциальности вновь устанавливаемых подключений. Это объясняется тем, что одновременный доступ пользователя к информационным ресурсам разных уровней конфиденциальности приводит к появлению множества угроз информационной безопасности, показанных, например, в кн.: Скибы В.Ю., Курбатова В.А. «Руководство по защите от внутренних угроз информационной безопасности» (СПб.: Питер, 2008, с.23-29).
Известен способ-аналог управления доступом к информационным ресурсам сети Интернет в зависимости от категории запрашиваемых ресурсов и принятой политики безопасности, реализованный, например, в изобретении по патенту РФ №2368004 «Система управления доступом к ресурсам сети Интернет», МПК G06F 17/30, G06F 21/22, опубл. 20.09.2009, где осуществляется фильтрация документов, передаваемых по высокоуровневым протоколам (в частности, HTTP) на основе анализа содержимого электронных документов. Разрешение или запрещение доступа к ресурсу осуществляется на основе классификации документа как допустимого либо нежелательного.
Наиболее важным недостатком данной системы является то, что возможно возникновение ошибок классификации, которые приведут к запрещению доступа пользователя к необходимому информационному ресурсу.
Наиболее близким по своей технической сущности к заявленному способу является способ, реализованный в изобретении «Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности и устройство его реализующее», по патенту РФ №2436154, кл. G06F 21/20, G06F 17/30, заявл. 01.12.2009. Изобретение предусматривает формирование базы данных для хранения информации о принадлежности информационных ресурсов к определенному уровню конфиденциальности. Также предусматривается управление безопасным доступом к информационным ресурсам различных уровней конфиденциальности на основе классификации информационных ресурсов на два основных класса: 1) по степени (типу) конфиденциальности информации и 2) по уровню риска или опасности их воздействия на конфиденциальную корпоративную (защищаемую) информацию.
Недостатком способа-прототипа является относительно низкая защищенность внутреннего сегмента сети, так как не учитывается прямое физическое и логическое соединение между разноуровневыми (по конфиденциальности) сегментами сети, а также дублирование средств защиты информации на каждом компьютере-клиенте при многопользовательском доступе к информационным ресурсам.
Защита информации от несанкционированного воздействия - защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации [ГОСТ Р 50922-2006. Защита информации. Основные термины и определения].
Доступность информации является ключевым звеном, при котором субъекты, имеющие право доступа, могут реализовывать эти права беспрепятственно, в режиме реального времени, с заданной степенью защищенности от несанкционированного доступа. Доступность информации является одной из трех главных составляющих информационной безопасности помимо ее конфиденциальности и целостности информации.
Техническим результатом заявленного технического решения является разработка способа управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности, обеспечивающего повышение защищенности путем исключения прямого физического и логического соединения между разноуровневыми (по конфиденциальности) сегментами сети, сокращение количества средств защиты и времени реализации запроса на доступ к информационным ресурсам за счет использования дополнительной базы данных, в которой хранятся проверенные информационные ресурсы.
Технический результат достигается тем, что в заявленном способе принимают запрос от компьютера-клиента, анализируют запрос доступа в отношении, разрешено ли компьютеру-клиенту только просматривать Интернет-сайты или разрешено записывать информацию на Web-серверы, проверяют, разрешен или запрещен доступ к информационному ресурсу, запрещают или разрешают доступ к информационным ресурсам, заносят указатели URL на все информационные ресурсы с указанием их уровня конфиденциальности и перечень имеющихся средств защиты информации с указанием видов доступа, при реализации которых требуется применение данных средств защиты информации, дополнительно проверяют содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов. Потом отключают выход модуля шлюзов и включают вход модуля шлюзов. Принимают запрашиваемую информацию в шлюз. После чего записывают принятую информацию в ячейки памяти ОЗУ шлюза и копируют принятую информацию в шлюзы по числу средств защиты информации. По завершении копирования отключают вход модуля шлюзов. Одновременно всеми средствами защиты информации проверяют принятую информацию. При успешном завершении работы всех средств защиты информации включают выход модуля шлюзов. Записывают проверенную информацию в базу данных проверенных информационных ресурсов. Удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно.
Заявленный способ поясняется чертежами, на которых:
фиг.1 - схема компьютерной сети, содержащая совокупность компьютеров-клиентов 1.1-1.N, базу данных проверенных информационных ресурсов 2, выход модуля шлюзов 3, вход модуля шлюзов 7, совокупность средств защиты информации 5.1-5.L, совокупность шлюзов 6.1-6.L, совокупность компьютеров-серверов, входящих в состав сети Интернет 9, и вторая совокупность компьютеров-серверов, входящих в состав корпоративной компьютерной сети 10, маршрутизатор периметра 8 и устройство управления доступом к информационным ресурсам 4, которое работает согласно способу, отвечающему варианту осуществления настоящего изобретения;
фиг.2 - блок-схема алгоритма, иллюстрирующая этапы способа настоящего изобретения.
Реализация заявленного способа поясняется схемой (фиг.1), алгоритмом (фиг.2) и объясняется следующим образом.
1. Пользователь компьютера-клиента 1.1-1.N (фиг.1) в процессе работы указывает URL информационного ресурса 9-10, к которому желает получить доступ. На основе указанного URL программным обеспечением компьютера-клиента 1-1.N формируется запрос, который поступает в базу данных проверенных информационных ресурсов 2.
2. Если информационный ресурс содержится в базе данных проверенных информационных ресурсов 2, тогда устанавливается подключение к требуемому информационному ресурсу.
3. Если информационного ресурса нет в базе данных проверенных информационных ресурсов 2, запрос поступает на устройство управления доступом к информационным ресурсам 4.
4. Устройство управления доступом к информационным ресурсам 4 регистрирует попытку установления подключения компьютера-клиента 1.1-1.N к информационному ресурсу 9-10.
5. Устройство управления доступом 4 проверяет уровень конфиденциальности нового информационного ресурса 9-10.
5.1. Если уровень конфиденциальности совпадает с требуемым уровнем, происходит отключение выхода модуля шлюзов 3 и включение входа модуля шлюзов 7, после чего принимают запрашиваемую информацию в шлюз 6.1-6.L, отключают вход модуля шлюзов 7, записывают принятую информацию в ячейки памяти ОЗУ шлюза 6.1-6.L и копируют принятую информацию в шлюзы по числу средств защиты информации 5.1-5.L.
5.2. Если уровень конфиденциальности не совпадает с требуемым уровнем, происходит уведомление пользователя 1.1-1.N об отказе в получении доступа.
6. Одновременно всеми средствами защиты информации 5.1-5.L проверяют принятую информацию.
6.1. Если все средства защиты информации 5.1-5.L выдали сигнал об успешном завершении проверки, то включают выход модуля шлюзов 6.1-6.L.
6.2. Если хотя бы одно средство защиты информации 5.1-5.L выдало сигнал о неудачном завершении проверки, то удаляют принятую информацию из шлюзов 6.1-6.L и уведомляют пользователя 1.1-1.L об отказе в получении доступа.
7. Записывают проверенную информацию в базу данных проверенных информационных ресурсов 2.
8. Устанавливают подключение к требуемому проверенному информационному ресурсу.
Преимущество изобретения состоит в исключении прямого физического и логического соединения между разноуровневыми (по конфиденциальности) сегментами сети. Кроме этого, происходит сокращение времени задействования инфотелекоммуникационных ресурсов сети и времени реализации запроса на доступ к проверенным информационным ресурсам. Перемещение средств защиты информации 5.1-5.L от компьютеров-клиентов 1.1-1.N в модуль шлюзов 6.1-6.N дает их количественное сокращение.
Заявленный способ позволяет осуществить управление доступом к информационным ресурсам в зависимости от уровня их конфиденциальности, обеспечивает повышение защищенности путем исключения прямого физического и логического соединения между разноуровневыми (по конфиденциальности) сегментами сети, сокращает количество средств защиты и времени реализации запроса на доступ к информационным ресурсам за счет использования дополнительной базы данных, в которой хранятся проверенные информационные ресурсы, тем самым обеспечивается достижение технического результата.

Claims (1)

  1. Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности, заключающийся в том, что принимают запрос от компьютера-клиента, анализируют запрос доступа в отношении разрешено, ли компьютеру-клиенту только просматривать Интернет-сайты или разрешено записывать информацию на Web-серверы, проверяют, разрешен или запрещен доступ к информационному ресурсу, запрещают или разрешают доступ к информационным ресурсам, заносят указатели URL на все информационные ресурсы с указанием их уровня конфиденциальности и перечень имеющихся средств защиты информации с указанием видов доступа, при реализации которых требуется применение данных средств защиты информации, отличающийся тем, что проверяют, содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов, отключают выход модуля шлюзов, включают вход модуля шлюзов, принимают запрашиваемую информацию в шлюз, записывают принятую информацию в ячейки памяти ОЗУ шлюза, копируют принятую информацию в шлюзы по числу средств защиты информации, по завершении копирования отключают вход модуля шлюзов, одновременно всеми средствами защиты информации проверяют принятую информацию, при успешном завершении работы всех средств защиты информации включают выход модуля шлюзов, записывают проверенную информацию в базу данных проверенных информационных ресурсов, удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно.
RU2013108791/08A 2013-02-26 2013-02-26 Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности RU2541170C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013108791/08A RU2541170C2 (ru) 2013-02-26 2013-02-26 Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013108791/08A RU2541170C2 (ru) 2013-02-26 2013-02-26 Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности

Publications (2)

Publication Number Publication Date
RU2013108791A RU2013108791A (ru) 2014-09-10
RU2541170C2 true RU2541170C2 (ru) 2015-02-10

Family

ID=51539696

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013108791/08A RU2541170C2 (ru) 2013-02-26 2013-02-26 Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности

Country Status (1)

Country Link
RU (1) RU2541170C2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2816181C1 (ru) * 2023-06-06 2024-03-26 Общество С Ограниченной Ответственностью "Яндекс" Способ и система для управления доступами к ресурсам программной среды в геонавигационных сервисах

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2436154C2 (ru) * 2009-12-01 2011-12-10 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности и устройство, его реализующее

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2436154C2 (ru) * 2009-12-01 2011-12-10 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности и устройство, его реализующее

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2816181C1 (ru) * 2023-06-06 2024-03-26 Общество С Ограниченной Ответственностью "Яндекс" Способ и система для управления доступами к ресурсам программной среды в геонавигационных сервисах

Also Published As

Publication number Publication date
RU2013108791A (ru) 2014-09-10

Similar Documents

Publication Publication Date Title
Alwan et al. Detection and prevention of SQL injection attack: a survey
US8225390B2 (en) Licensing protected content to application sets
Martin et al. 2011 CWE/SANS top 25 most dangerous software errors
Muthukumaran et al. FlowWatcher: Defending against data disclosure vulnerabilities in web applications
US11783016B2 (en) Computing system and method for verification of access permissions
CN113315637A (zh) 安全认证方法、装置及存储介质
WO2007001046A1 (ja) セキュリティ対策アプリケーションの機密ファイル保護方法、及び機密ファイル保護装置
Morovati et al. A network based document management model to prevent data extrusion
Gupta et al. Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions
Joshi et al. Encountering sql injection in web applications
Shrivastava et al. SQL injection attacks: Technique and prevention mechanism
Delessy et al. Patterns for access control in distributed systems
US10467423B1 (en) Static analysis-based tracking of data in access-controlled systems
RU2541170C2 (ru) Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности
Gharpure et al. Vulnerabilities and Threat Management in Relational Database Management Systems
Kaluža et al. Content management system security
Squicciarini et al. Web-traveler policies for images on social networks
Muntjir et al. Security Issues and Their Techniques in DBMS-A Novel Survey
Taelman et al. A prospective analysis of security vulnerabilities within link traversal-based query processing
Fataniya A Survey of Database Security Challenges, Issues and Solution
Pan A unified network security and fine-grained database access control model
Cohen A method for forensic analysis of control
Telikicherla et al. A Formal Model of Web Security Showing Malicious Cross Origin Requests and Its Mitigation using CORP.
Pan et al. Analysis of Database Security
Lamb A survey of secure architectural principles

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160227