RU2648942C1 - System of protection of information from unauthorized access - Google Patents

System of protection of information from unauthorized access Download PDF

Info

Publication number
RU2648942C1
RU2648942C1 RU2017125227A RU2017125227A RU2648942C1 RU 2648942 C1 RU2648942 C1 RU 2648942C1 RU 2017125227 A RU2017125227 A RU 2017125227A RU 2017125227 A RU2017125227 A RU 2017125227A RU 2648942 C1 RU2648942 C1 RU 2648942C1
Authority
RU
Russia
Prior art keywords
outputs
inputs
information
security
protection
Prior art date
Application number
RU2017125227A
Other languages
Russian (ru)
Inventor
Михаил Александрович Бирюков
Андрей Вячеславович Кий
Игорь Борисович Саенко
Фадей Александрович Скорик
Юлия Геннадьевна Туровец
Константин Анатольевич Чирушкин
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2017125227A priority Critical patent/RU2648942C1/en
Application granted granted Critical
Publication of RU2648942C1 publication Critical patent/RU2648942C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

FIELD: information technology; cryptography.
SUBSTANCE: invention relates to the field of information security systems. System of protection against unauthorized access contains automated workstations (AWS) with an information security system (ISS), AWS user's workstation, Information Security Administrator (ISA) protection unit, Functional Server, Domain Controller Server (DCS), AWS ISA, cryptographic information protection means (CIPM), network firewalls, and the DCS consists of a security server, a security server database, a cryptographic protection device for information over the Ethernet protocol, a device for cryptographic protection of information via the IP protocol, the hardware-software module of the trusted download (HSMTD), access control unit.
EFFECT: technical result is to increase the degree of protection against unauthorized access.
4 cl, 12 dwg

Description

Изобретение относится к электротехнике, а именно к техническим средствам защиты от несанкционированного доступа к информации в автоматизированных системах (АС), и в едином информационном пространстве (ЕИП)1 (1 Указ Президента РФ №1390 от 01.07.94 г. «Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов»), и может быть использовано для обработки конфиденциальной информации.The invention relates to electrical engineering, and in particular to technical means of protection against unauthorized access to information in automated systems (AS), and in a single information space (EIP) 1 ( 1 Decree of the President of the Russian Federation No. 1390 of 07/01/94, "The concept of formation and development a single information space of Russia and relevant state information resources ”), and can be used to process confidential information.

Известна система защиты от несанкционированного доступа к информации, содержащей конфиденциальные сведения, (RU 2443017, кл. G06F 21/22, G06F 12/14, 2012 г.). Система включает множество автоматизированных рабочих мест (АРМ) пользователей и функциональных серверов, по крайней мере, одно АРМ администратора безопасности информации (АБИ) и сервер-контроллер домена в компьютерной сети, которые соединены друг с другом по сетевой магистрали, множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых содержит соответствующие агенты безопасности2 (2 Агент безопасности - блок, отвечающий за автоматическое обнаружение и регистрацию событий информационной безопасности в реальном масштабе времени, уведомляет о таких событиях администратора безопасности. Может функционировать автономно, автоматически предупреждать о нарушении, блокировать работу на время восстановления соединения или действовать по заложенному алгоритму.) и систему разделения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего АРМ пользователя или функционального сервера. Систему защиты информации администратора от несанкционированного доступа, содержащую агент-администратор безопасности и систему разделения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего АРМ администратора безопасности информации, а также сервер безопасности и базу данных безопасности, подключенные к шине управления и обмена данными сервера-контроллера домена, при этом АРМ и функциональные серверы, сервер-контроллер домена и АРМ администратора безопасности информации содержат установленные на них аппаратно-программные модули доверенной загрузки (АПМДЗ), устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства криптографической защиты информации, передаваемой по протоколу IP, которые подключены к шинам управления и обмена данными соответствующих АРМ и функциональных серверов, сервер-контроллера домена и АРМ администратора безопасности, все устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet3 (3 Ethernet - протокол, определяющий проводные соединения и электрические сигналы на физическом уровне, формат кадров и протоколы управления доступом к среде на канальном уровне ЭМВОС.), и устройства криптографической защиты информации, передаваемой по протоколу IP4 (4 IP - протокол, обеспечивающий передачу блоков данных (дейтаграмм), от отправителя к получателю.), соединены друг с другом по сетевой магистрали причем, по крайней мере, одно АРМ содержит установленные на него и подключенные к его шине управления и обмена данными аппаратно-программный модуль доверенной загрузки, осуществляющий шифрование носителей информации, подключаемых по интерфейсу USB (АПМДЗ с USB5) (5 USB - последовательный интерфейс подключения периферийных устройств.),и аппаратно-программный модуль доверенной загрузки, вырабатывающий и проверяющий электронную цифровую подпись (АПМДЗ с ЭЦП6) (6 ЭЦП - информация в электронной форме, используемая для определения лица, подписавшего информацию.).A known system of protection against unauthorized access to information containing confidential information (RU 2443017, CL G06F 21/22, G06F 12/14, 2012). The system includes many automated workstations (AWS) of users and functional servers, at least one AWS of an information security administrator (ABI) and a server-domain controller in a computer network that are connected to each other via a network backbone, and a variety of user information protection systems from unauthorized access, each of which comprises two respective security agents (security Agent 2 - unit responsible for automatic detection and registration of event information without in real time, notifies the security administrator of such events, can operate autonomously, automatically warn of a violation, block operation for the time of reconnecting or act according to the built-in algorithm.) and a user access sharing system connected to the control and data exchange bus of the corresponding workstation user or functional server. A system for protecting the administrator’s information from unauthorized access, comprising a security administrator-agent and a security administrator’s access sharing system connected to the control and data exchange bus of the information security administrator’s automated workstation, as well as a security server and security database connected to the server’s control and data exchange bus -controller domain, while AWS and functional servers, server-domain controller and AWS administrator information security containing hardware-software modules of trusted loading (APMDZ) installed on them, cryptographic protection devices for information transmitted over a local area network via Ethernet, and cryptographic protection devices for information transmitted over IP, which are connected to the control and data exchange buses of the corresponding workstation and functional servers, a domain controller server and a security administrator workstation, all cryptographic protection devices for information transmitted over a local area network over Ethernet 3 protocol ( 3 Ethernet - a protocol that defines wired connections and electrical signals at the physical level, frame format and media access control protocols at the EMVOS link layer.), and cryptographic protection devices for information transmitted over IP 4 ( 4 IP - protocol that ensures the transfer of data blocks (datagrams) from the sender to the receiver.) are connected to each other via a network backbone, and at least one workstation contains an app installed on it and connected to its control and data exchange bus Conversely, a software module trusted boot, encryption of storage media connected via USB (APMDZ with USB 5) (5 USB - serial interface to connect peripherals.), and hardware and software module trusted boot generating and checking digital signatures (APMDZ with EDS 6 ) ( 6 EDS - information in electronic form used to determine the person who signed the information.).

Недостатком данного аналога, является относительно низкий уровень защиты системы, который проявляется в случае компрометации пароля или кражи смарткарты.The disadvantage of this analogue is the relatively low level of system protection, which is manifested in the event of a compromised password or theft of a smart card.

Известна также система защиты информации от несанкционированного доступа к информации, содержащей конфиденциальные сведения (RU 2504835, кл. G06F 21/62, G06F 12/14, G06F 21/31 2014 г.). Система содержит множество АРМ пользователей и функциональных серверов, по крайней мере, одно АРМ АБИ и сервер-контроллер домена в компьютерной сети, которые соединены друг с другом по сетевой магистрали. Система включает множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых содержит соответствующие агенты безопасности и систему разделения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего АРМ пользователя или функционального сервера. Систему защиты информации администратора от несанкционированного доступа, входящая в ее состав, содержащая агент-администратор безопасности и систему разделения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего АРМ администратора безопасности информации. Также Система содержит сервер безопасности и базу данных безопасности, подключенные к шине управления и обмена данными сервер-контроллера домена. АРМ пользователей и функциональные серверы, сервер-контроллер домена и АРМ администратора безопасности информации содержат установленные на них аппаратно-программные модули доверенной загрузки, устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства криптографической защиты информации, передаваемой по протоколу IP, которые подключены к шинам управления и обмена данными соответствующих автоматизированных рабочих мест и функциональных серверов, сервер-контроллер домена и АРМ администратора безопасности. Все устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства криптографической защиты информации, передаваемой по протоколу IP, соединены друг с другом по сетевой магистрали. По крайней мере одно АРМ пользователя содержит установленные на него и подключенные к его шине управления и обмена данными АПМДЗ с USB, АПМДЗ с ЭЦП. АРМ пользователей и АРМ АБИ содержат средства усиленной аутентификации, которые подключены соответственно к шинам управления и обмена данными АРМ пользователей и к шинам управления и обмена данными АРМ АБИ. Каждая система защиты информации пользователя от несанкционированного доступа и система защиты информации администратора от несанкционированного доступа содержат соответствующую базу данных средств усиленной аутентификации пользователя и базу данных средств усиленной аутентификации администратора безопасности, соединенные соответственно с шиной управления и обмена данными соответствующего АРМ пользователя или функционального сервера и с шиной управления и обмена данными АРМ АБИ. Кроме того, сетевая магистраль имеет, по крайней мере, один разрыв, с каждой стороны которого включено по одному средству криптографической защиты информации (СКЗИ), передаваемой по открытым каналам связи через неконтролируемую территорию.Also known is a system for protecting information from unauthorized access to information containing confidential information (RU 2504835, CL G06F 21/62, G06F 12/14, G06F 21/31 2014). The system contains many AWP users and functional servers, at least one ABI AWP and a server-domain controller in a computer network, which are connected to each other via a network backbone. The system includes many systems for protecting user information from unauthorized access, each of which contains the corresponding security agents and a user access sharing system connected to the control and data exchange bus of the corresponding user workstation or functional server. The system of protection of administrator information from unauthorized access, which is part of it, containing the security administrator agent and the security administrator’s access sharing system connected to the control and data exchange bus of the corresponding information security administrator workstation. The System also contains a security server and a security database connected to the control and data exchange bus of the domain controller server. Workstation of users and functional servers, server-domain controller and workstation of information security administrator contain hardware-software modules of trusted download installed on them, devices for cryptographic protection of information transmitted over a local area network via Ethernet protocol, and devices for cryptographic protection of information transmitted over IP protocol that are connected to the control and data exchange buses of the corresponding workstations and functional servers, the server-controller domain and workstation security administrator. All devices for cryptographic protection of information transmitted over a local area network via Ethernet, and devices for cryptographic protection of information transmitted over IP, are connected to each other via a network backbone. At least one user workstation contains APMDZ with USB, APMDZ with digital signature installed on it and connected to its control and data exchange bus. AWP of users and AWP ABI contain means of enhanced authentication, which are connected respectively to the bus control and data exchange AWP of users and to the bus control and data exchange AWP ABI. Each system for protecting user information from unauthorized access and a system for protecting administrator information from unauthorized access contain a corresponding database of enhanced user authentication means and a database of enhanced security administrator authentication means connected respectively to the control and data exchange bus of the corresponding user workstation or functional server and to the bus management and data exchange AWM ABI. In addition, the network backbone has at least one gap, on each side of which one means of cryptographic protection of information (CIP) is included, transmitted through open communication channels through an uncontrolled territory.

Недостатком данного аналога является также относительно низкий уровень защищенности системы доступа при обмене с внешними системами защиты информации, использующими отличающиеся классификации мандатных меток.The disadvantage of this analogue is also the relatively low level of security of the access system when exchanging with external information protection systems using different classification of credentials.

Наиболее близкой по своей технической сущности к заявленной является система защиты информации от несанкционированного доступа, по патенту (RU 2571372, кл. G06F 21/00, G06F 12/14, 2015 г). Система содержит множество АРМ пользователей и функциональных серверов, по крайней мере, одно АРМ АБИ и сервер-контроллер домена в компьютерной сети, соединенные друг с другом по сетевой магистрали. Система также включает множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых содержит соответствующие агенты безопасности и систему разделения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера. Система включает систему защиты информации администратора от несанкционированного доступа, содержащую агент-администратор безопасности и систему разделения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации. Также в систему входит сервер безопасности и база данных безопасности, подключенные к шине управления и обмена данными сервера-контроллера домена (СКД). АРМ и функциональные серверы, сервер-контроллер домена и автоматизированное рабочее место администратора безопасности информации содержат установленные на них аппаратно-программные модули доверенной загрузки, систему обмена с внешними системами защиты информации, устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства криптографической защиты информации, передаваемой по протоколу IP подключены к шинам управления и обмена данными соответствующих автоматизированных рабочих мест и функциональных серверов, сервер-контроллера домена и автоматизированного рабочего места администратора безопасности. Все устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства защиты информации, передаваемой по протоколу IP, соединены друг с другом по сетевой магистрали. По крайней мере одно автоматизированное рабочее место содержит установленные на него и подключенные к его шине управления и обмена данными аппаратно-программный модуль доверенной загрузки, осуществляющий шифрование носителей информации, подключаемых по интерфейсу USB, и аппаратно-программный модуль доверенной загрузки, вырабатывающий и проверяющий электронную цифровую подпись. АРМ пользователей и АРМ администраторов безопасности информации содержат средства усиленной аутентификации, которые подключены соответственно к шинам управления и обмена данными автоматизированных рабочих мест и к шинам управления и обмена данными автоматизированных рабочих мест администраторов безопасности информации. Каждая система защиты информации пользователя от несанкционированного доступа и система защиты информации администратора от несанкционированного доступа содержат соответствующую базу данных средств усиленной аутентификации пользователя и базу данных средств усиленной аутентификации администратора безопасности, соединенные соответственно с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера и с шиной управления и обмена данными автоматизированного рабочего места администратора безопасности информации. Сетевая магистраль имеет, по крайней мере, один разрыв, с каждой стороны которого включено по одному средству криптографической защиты информации, передаваемой по открытым каналам связи через неконтролируемую территорию. АРМ пользователей и функциональные сервера содержат системы обмена с внешними системами защиты информации, которые подключены соответственно к шинам управления и обмена данными автоматизированных рабочих мест и к шинам управления и обмена данными функциональных серверов.The closest in its technical essence to the claimed is a system for protecting information from unauthorized access, according to the patent (RU 2571372, CL G06F 21/00, G06F 12/14, 2015). The system contains many AWP users and functional servers, at least one ABI AWP and a server-domain controller in a computer network, connected to each other via a network backbone. The system also includes many systems for protecting user information from unauthorized access, each of which contains the corresponding security agents and a user access sharing system connected to the control and data exchange bus of the corresponding user workstation or functional server. The system includes a system for protecting administrator information from unauthorized access, comprising a security administrator agent and a security administrator access sharing system connected to the control and data exchange bus of the corresponding automated workstation of the information security administrator. The system also includes a security server and a security database connected to the control and data exchange bus of the domain controller server (ACS). AWS and functional servers, the domain controller server and the workstation of the information security administrator contain the hardware and software trusted boot modules installed on them, an exchange system with external information protection systems, cryptographic information protection devices transmitted over the local area network via Ethernet, and devices for cryptographic protection of information transmitted over IP are connected to the control and data exchange buses of the corresponding automation GOVERNMENTAL jobs and functional server, the domain controller server and automated desktop security administrator's workstation. All devices for cryptographic protection of information transmitted over a local area network over Ethernet, and devices for protecting information transmitted over IP, are connected to each other via a network backbone. At least one automated workstation contains a trusted boot hardware and software module installed on it and connected to its control and data exchange bus that encrypts storage media connected via USB and a trusted boot hardware and software module that generates and verifies electronic digital signature. Workstation of users and workstation of information security administrators contain enhanced authentication tools that are connected respectively to the control buses and data exchange of workstations and to the control bus and data exchange of workstations of information security administrators. Each system for protecting user information from unauthorized access and the system for protecting administrator information from unauthorized access contain a corresponding database of enhanced user authentication means and a database of enhanced security administrator authentication means connected respectively to the control and data exchange bus of the corresponding user workstation or functional server, and with bus control and data exchange ochego place information security administrator. The network backbone has at least one gap, on each side of which one means of cryptographic protection of information transmitted through open communication channels through an uncontrolled territory is included. Workstations of users and functional servers contain exchange systems with external information protection systems, which are connected respectively to the control buses and data exchange of workstations and to the control bus and data exchange of functional servers.

Однако, ближайший аналог: система защиты информации от несанкционированного доступа имеет также низкий уровень защиты АРМ от распределенных сетевых атак отказа в обслуживании. Кроме того, недостатком известной системы является относительно низкая защищенность информации, передаваемой сторонним абонентам, использующим ролевые модели доступа, присущие современным автоматизированным системам.However, the closest analogue: the system for protecting information from unauthorized access also has a low level of protection for workstations against distributed network denial of service attacks. In addition, the disadvantage of the known system is the relatively low security of information transmitted to third-party subscribers using role-based access models inherent in modern automated systems.

Целью изобретения является разработка системы защиты информации от несанкционированного доступа, обеспечивающей более высокую защиту от несанкционированного доступа при реализации распределенных сетевых атак отказа в обслуживании на АРМ системы, а также при передаче информации абонентам, использующим ролевую модель доступа.The aim of the invention is to develop a system for protecting information from unauthorized access, providing higher protection against unauthorized access when implementing distributed network denial of service attacks on the workstation of the system, as well as when transmitting information to subscribers using a role-based access model.

Поставленная цель достигается тем, что известная системе защиты информации от несанкционированного доступа (см. фиг. 1), включающая совокупность АРМ, содержащая первое АРМ с СЗИ 1, второе АРМ с СЗИ 2 и третье АРМ с СЗИ 3, первое АРМ пользователя 4, второе АРМ пользователя 5, блок защиты АБИ 7, функциональный сервер 9, СКД 8, АРМ АБИ 6, первое СКЗИ 10 и второе СКЗИ 11, связанных друг с другом по открытому каналу через неконтролируемую территорию 12, причем первый 1.5, второй 1.6, третий 1.7 и четвертый 1.8 входы/выходы первого АРМ с СЗИ 1 подключены соответственно к первому 4.9, второму 4.10, третьему 4.11 и четвертому 4.12 входам/выходам АРМ 4, а пятый 4.13 и шестой 4.14 входы/выходы АРМ 4 подключены к сетевой магистрали 13, кроме того первый 2.5, второй 2.6, третий 2.7 и четвертый 2.8 входы/выходы второго АРМ с СЗИ 2 подключены соответственно к первому 9.6, второму 9.7, третьему 9.8 и четвертому 9.9 входам/выходам функционального сервера 9, пятый 9.10 и шестой 9.11 входы/выходы которого подключены к сетевой магистрали 13, первый 7.4, второй 7.5 и третий 7.6 входы/выходы системы защиты АБИ 7 подключены соответственно к первому 6.6, второму 6.7 и третьему 6.8 входам/выходам АРМ АБИ 6, четвертый 6.9 и пятый 6.10 входы/выходы которого подключены к сетевой магистрали 13, первый 8.8 и второй 8.9 входы/выходы СКД 8 подключены к сетевой магистрали 13, первый 5.13 и второй 5.14 выходы АРМ 5 подключены к сетевой магистрали 13, а третий 5.9, четвертый 5.10, пятый 5.11 и шестой 5.12 входы/выходы АРМ 5 подключены соответственно к первому 3.5, второму 3.6, третьему 3.7 и четвертому 3.8 входам/выходам АРМ с СЗИЗ, в которую дополнительно в сетевую магистраль 13 перед входом первого СКЗИ 10 включен первый межсетевой экран МСЭ 14, а второй МСЭ 15 подключен к сетевой магистрали 13 после второго СКЗИ 11, причем СКД 8 состоит из сервера безопасности 8.1, базы данных сервера безопасности 8.2, устройства криптографической защиты информации по протоколу Ethernet 8.3, устройства криптографической защиты информации по протоколу IP 8.4, аппаратно-программного модуля доверенной загрузки (АПМДЗ) 8.5, блока управления разграничением доступа 8.6, входы/выходы которых подключены к шине 8.7 управления и обмена данными СКД, а входы/выходы устройства криптографической защиты информации по протоколу Ethernet 8.3 и устройство криптографической защиты информации по протоколу IP 8.4 являются первым и вторым выходом СКД 8.This goal is achieved by the fact that the known information protection system against unauthorized access (see Fig. 1), including a set of workstations containing the first workstation with SZI 1, the second workstation with SZI 2 and the third workstation with SZI 3, the first workstation of user 4, the second AWP of user 5, protection block ABI 7, functional server 9, SKD 8, AWP ABI 6, the first SKZI 10 and the second SKZI 11, connected to each other via an open channel through uncontrolled territory 12, the first 1.5, the second 1.6, the third 1.7 and fourth 1.8 inputs / outputs of the first workstation with SZI 1 connected respectively to the first 4.9, second 4.10, third 4.11 and fourth 4.12 inputs / outputs of AWP 4, and the fifth 4.13 and sixth 4.14 inputs / outputs of AWP 4 are connected to the network trunk 13, in addition, the first 2.5, second 2.6, third 2.7 and fourth 2.8 inputs / the outputs of the second workstation with SZI 2 are connected respectively to the first 9.6, second 9.7, third 9.8 and fourth 9.9 inputs / outputs of the functional server 9, the fifth 9.10 and sixth 9.11 the inputs / outputs of which are connected to the network backbone 13, the first 7.4, the second 7.5 and the third 7.6 inputs / outputs of the ABI 7 protection system are connected respectively to the first 6.6, second 6.7 and Network 6.8 I / O AWM ABI 6, the fourth 6.9 and fifth 6.10 I / O which is connected to the network trunk 13, the first 8.8 and second 8.9 inputs / outputs SKD 8 are connected to the network trunk 13, the first 5.13 and second 5.14 outputs of the AWP 5 are connected to network trunk 13, and the third 5.9, fourth 5.10, fifth 5.11 and sixth 5.12, the inputs / outputs of the AWP 5 are connected respectively to the first 3.5, second 3.6, third 3.7 and fourth 3.8 inputs / outputs of the AWP with SZIZ, which is additionally connected to the network trunk 13 before the input of the first cryptographic information protection system 10 includes the first ITU 14 firewall and the second ITU 15 is connected to the network backbone 13 after the second cryptographic information protection system 11, and ACS 8 consists of a security server 8.1, a security server database 8.2, a cryptographic information protection device using Ethernet 8.3 protocol, a cryptographic information protection device using IP 8.4 protocol, and a trusted hardware-software module boot (APMDZ) 8.5, access control control unit 8.6, the inputs / outputs of which are connected to the control and data exchange bus 8.7 ACS, and the inputs / outputs of the cryptographic information protection device via Ethernet 8.3 and a device for cryptographic protection of information using IP 8.4 is the first and second output of ACS 8.

Первый АРМ пользователя 4 состоит из устройства криптографической защиты информации по протоколу Ethernet 4.1, устройства криптографической защиты информации по протоколу IP 4.2, АПМДЗ 4.3, АПМДЗ с использованием шифрования носителей информации, подключаемых по интерфейсу USB (АПМДЗ с USB) 4.4, АПМДЗ с вырабатыванием и проверкой электронной цифровой подписи (АПМДЗ с ЭЦП) 4.5, средство 4.6 усиленной аутентификации, блок 4.7 обмена с внешними системами защиты информации входы/выходы которых подключены к шине 4.8 управления и обмена данными АРМ, причем входы/выходы 4.13, 4.14 являются первым и вторым входами/выходами первого АРМ 4, а его третий 4.9, четвертый 4.10, пятый 4.11 и шестой 4.12 входы/выходы подключены к шине 4.8 управления и обмена данными АРМ.The first workstation of user 4 consists of a cryptographic information protection device using Ethernet 4.1 protocol, a cryptographic information protection device using IP 4.2 protocol, APMDZ 4.3, APMDZ using encryption of storage media connected via USB (APMDZ with USB) 4.4, and APMDZ with generation and verification electronic digital signature (APMDZ with EDS) 4.5, means 4.6 enhanced authentication, block 4.7 exchange with external information protection systems, the inputs / outputs of which are connected to the bus 4.8 control and data exchange AWP, and inputs / you ode 4.13, 4.14 are first and second inputs / outputs of the first workstation 4, and its third 4.9 4.10 The fourth, fifth and sixth 4.11 4.12 inputs / outputs connected to the bus 4.8 management and exchange data APM.

Второе АРМ пользователя 5 состоит из устройства криптографической защиты информации по протоколу Ethernet 5.1, устройства криптографической защиты информации по протоколу IP 5.2, АПМДЗ 5.3, АПМДЗ с USB 5.4, АПМДЗ с ЭЦП 5.5, средство усиленной аутентификации 5.6, блок 5.7 обмена с внешними системами защиты информации входы/выходы которых подключены к шине управления и обмена данными 5.8, причем входы/выходы 5.13, 5.14 являются первым и вторым входами/выходами второго АРМ пользователя 5, а его третий 5.9, четвертый 5.10, пятый 5.11 и шестой 5.12 входы/выходы подключены к шине управления и обмена данными АРМ 5.8.The second workstation of user 5 consists of a cryptographic information protection device using Ethernet 5.1 protocol, a cryptographic information protection device using IP 5.2 protocol, APMDZ 5.3, APMDZ with USB 5.4, APMDZ with digital signature 5.5, enhanced authentication tool 5.6, and block 5.7 for exchanging with external information protection systems the inputs / outputs of which are connected to the control and data exchange bus 5.8, the inputs / outputs 5.13, 5.14 being the first and second inputs / outputs of the second workstation of user 5, and his third 5.9, fourth 5.10, fifth 5.11 and sixth 5.12 inputs / outputs connected to tire e management and data exchange AWP 5.8.

АРМ АБИ 6 состоит из устройства криптографической защиты информации по протоколу Ethernet 6.1, устройства криптографической защиты информации по протоколу IP 6.2, АПМДЗ 6.3, средства усиленной аутентификации 6.4, входы/выходы которых подключены к шине управления и обмена данными 6.5, причем входы/выходы 6.9, 6.10 являются первым и вторым входами/выходами АРМ АБИ6, а его третий 6.6, четвертый 6.7 и пятый 6.8 входы/выходы являются соответственно первым 7.4 вторым 7.5 и третьим 7.6 входами/выходами блока защиты АБИ 7.AWI ABI 6 consists of a cryptographic information protection device using Ethernet 6.1 protocol, a cryptographic information protection device using IP 6.2 protocol, APMDZ 6.3, enhanced authentication means 6.4, the inputs / outputs of which are connected to the control and data exchange bus 6.5, and the inputs / outputs 6.9, 6.10 are the first and second inputs / outputs of the ABI6 AWP, and its third 6.6, fourth 6.7 and fifth 6.8 inputs / outputs are the first 7.4, second 7.5 and third 7.6 inputs / outputs of the ABI 7 protection block.

Благодаря указанной новой совокупности существенных признаков в заявленной системе обеспечивается структура единой системы разграничения доступа. Единая система выражает дискреционную и мандатную модели средствами ролевой модели разграничения доступа, которая обеспечивает высокий уровень защищенности системы, при компрометации пароля или кражи смарткарты, при обмене с внешними системами защиты информации, использующими отличающиеся классификации мандатных меток и модели доступа, в случае распределенных сетевых атак отказа в обслуживании.Thanks to this new set of essential features, the claimed system ensures the structure of a unified access control system. The unified system expresses the discretionary and credential models using the role model of access control, which provides a high level of system security when a password is compromised or a smart card is stolen, when exchanging with external information protection systems using different classification of credentials and access models in case of distributed network failure attacks in service.

Заявленная система поясняется чертежами, на которых показано:The claimed system is illustrated by drawings, which show:

на фиг. 1 - представлена структурная схема заявленной системы защиты информации от несанкционированного доступа;in FIG. 1 - presents a structural diagram of the claimed system for protecting information from unauthorized access;

на фиг. 2 - представлена схема первого автоматизированного рабочего места с системой защиты информации;in FIG. 2 is a diagram of a first workstation with an information security system;

на фиг. 3 - представлена схема второго автоматизированного рабочего места с системой защиты информации;in FIG. 3 is a diagram of a second workstation with an information security system;

на фиг. 4 - представлена схема третьего автоматизированного рабочего места с системой защиты информации;in FIG. 4 - presents a diagram of a third workstation with an information security system;

на фиг. 5 - представлена схема первого автоматизированного рабочего места;in FIG. 5 is a diagram of a first workstation;

на фиг. 6 - представлена схема второго автоматизированного рабочего места;in FIG. 6 is a diagram of a second workstation;

на фиг. 7 - представлена схема автоматизированного рабочего места администратора безопасности информации;in FIG. 7 is a diagram of an automated workstation of an information security administrator;

на фиг. 8 - представлена схема блока защиты администратора безопасности информации;in FIG. 8 is a diagram of an information security administrator protection block;

на фиг. 9 - представлена схема сервер-контроллера домена;in FIG. 9 is a diagram of a domain controller server;

на фиг. 10 - представлена схема функционального сервера;in FIG. 10 is a diagram of a functional server;

на фиг. 11 - представлена схема подключения устройств к сетевой магистрали.in FIG. 11 - shows a diagram of connecting devices to a network backbone.

на фиг. 12 - представлена диаграмма зависимости вероятности несанкционированного доступа от количества сущностей модели управления доступом.in FIG. 12 is a diagram of the probability of unauthorized access versus the number of entities of the access control model.

Заявленная система, показанная на см. фиг. 1, состоит из совокупности АРМ: первого АРМ с СЗИ 1, второго АРМ с СЗИ 2 и третьего АРМ с СЗИ 3, первого АРМ пользователя 4, второго АРМ пользователя 5, блока защиты АБИ 7, функционального сервера 9, СКД 8, АРМ АБИ 6, первого СКЗИ 10 и второго СКИЗ 11, связанных друг с другом по открытому каналу через неконтролируемую территорию 12. Первый 1.5, второй 1.6, третий 1.7 и четвертый 1.8 входы/выходы первого АРМ с СЗИ 1 подключены соответственно к первому 4.9, второму 4.10, третьему 4.11 и четвертому 4.12 входу/выходу АРМ 4. Пятый 4.13 и шестой 4.14 входы/выходы АРМ 4 подключены к сетевой магистрали 13. Первый 2.5, второй 2.6, третий 2.7 и четвертый 2.8 входы/выходы второго АРМ с СЗИ 2 подключены соответственно к первому 9.6, второму 9.7, третьему 9.8 и четвертому 9.9 входу/выходу функционального сервера 9, а пятый 9.10 и шестой 9.11 входы/выходы которого подключены к сетевой магистрали 13. Первый 7.4, второй 7.5 и третий 7.6 входы/выходы блока защиты АБИ 7 подключены соответственно к первому 6.6, второму 6.7 и третьему 6.8 входу/выходу АРМ АБИ 6, четвертый 6.9 и пятый 6.10 входы/выходы которого подключены к сетевой магистрали 13. Первый 8.8 и второй 8.9 входы/выходы СКД 8 подключены к сетевой магистрали 13. Первый 5.13 и второй 5.14 выходы АРМ пользователя 5 подключены к сетевой магистрали 13, а третий 5.9, четвертый 5.10, пятый 5.11 и шестой 5.12 входы/выходы АРМ 5 подключены соответственно к первому 3.5, второму 3.6, третьему 3.7 и четвертому 3.8 входу/выходу АРМ с СЗИ 3. Дополнительно в сетевую магистраль 13 перед входом первого СКЗИ 10 включен первый межсетевой экран (МСЭ) 14. Второй МСЭ 15 подключен к сетевой магистрали 13 после второго СКЗИ 11. СКД 8 состоит из сервера безопасности 8.1, базы данных сервера безопасности 8.2, устройства криптографической защиты информации, передаваемой по протоколу Ethernet 8.3, устройства криптографической защиты информации, передаваемой по протоколу IP 8.4, АПМДЗ 8.5, блока управления разграничением доступа 8.6, входы/выходы которых подключены к шине управления и обмена данными СКД 8.7. Входы/выходы устройства криптографической защиты информации по протоколу Ethernet 8.3 и устройства криптографической защиты информации по протоколу IP 8.4 являются первым и вторым выходом СКД 8.The claimed system shown in FIG. 1, consists of a set of workstations: the first workstation with SZI 1, the second workstation with SZI 2 and the third workstation with SZI 3, the first workstation of user 4, the second workstation of user 5, protection block ABI 7, functional server 9, ACS 8, workstation ABI 6 , the first cryptographic information protection system 10 and the second cryptographic information protection device 11 connected to each other through an open channel through uncontrolled territory 12. The first 1.5, second 1.6, third 1.7 and fourth 1.8 inputs / outputs of the first workstation with SZI 1 are connected respectively to the first 4.9, second 4.10, third 4.11 and fourth 4.12 input / output of AWP 4. Fifth 4.13 and sixth 4.14 inputs / outputs of AWP 4 are connected to the network Highway 13. The first 2.5, second 2.6, third 2.7 and fourth 2.8 inputs / outputs of the second workstation with SZI 2 are connected respectively to the first 9.6, second 9.7, third 9.8 and fourth 9.9 input / output of functional server 9, and the fifth 9.10 and sixth 9.11 the inputs / outputs of which are connected to the network backbone 13. The first 7.4, second 7.5 and third 7.6 inputs / outputs of the ABI 7 protection unit are connected respectively to the first 6.6, second 6.7 and third 6.8 input / output of the ABI AWP 6, fourth 6.9 and fifth 6.10 inputs / the outputs of which are connected to the network backbone 13. The first 8.8 and second 8.9 inputs / outputs ACS 8 odes are connected to the network trunk 13. The first 5.13 and second 5.14 outputs of the workstation 5 are connected to the network 13, and the third 5.9, fourth 5.10, fifth 5.11 and sixth 5.12 inputs / outputs of the workstation 5 are connected respectively to the first 3.5, second 3.6, the third 3.7 and the fourth 3.8 input / output of the workstation with SZI 3. Additionally, the first firewall (ITU) 14 is included in the network backbone 13 before the entrance of the first SKZI 14. The second ITU 15 is connected to the network 13 after the second SKZI 11. SKD 8 consists of a server security 8.1, security server database 8.2, device CTBA cryptographic protection information transmitted via Ethernet 8.3 protocol, devices cryptographic protection of the information transmitted by protocol IP 8.4, 8.5 APMDZ, enclosure management access unit 8.6, the inputs / outputs of which are connected to the control bus and the data exchange DLE 8.7. The inputs / outputs of the cryptographic information protection device using Ethernet 8.3 protocol and the cryptographic information protection device using IP 8.4 protocol are the first and second output of ACS 8.

Система защиты информации от несанкционированного доступа к конфиденциальной информации (см. фиг. 1), предназначена для организации защищенного обмена между информационными процессами в ЕИП содержит совокупность АРМ с СЗИ 1, АРМ с СЗИ 2, и АРМ с СЗИ 3, связанную шиной управления и обмена данными с АРМ пользователя 4, АРМ пользователя 5 и функциональными серверами 9 в компьютерной сети, соединенные друг с другом по сетевой магистрали 13, к которой подключен сервер-контроллер 8 домена. Система содержит также, по крайней мере, одно АРМ АБИ 6, подключенное к сетевой магистрали 13, имеющее внутреннюю шину 6.5 управления и обмена данными, и, по крайней мере, один блок 7 защиты АБИ.The system for protecting information from unauthorized access to confidential information (see Fig. 1), designed to organize a secure exchange between information processes in the EIP, contains a set of AWP with SZI 1, AWP with SZI 2, and AWP with SZI 3, connected by a control and exchange bus data from the workstation of user 4, the workstation of user 5 and functional servers 9 in a computer network, connected to each other via a network backbone 13 to which a server-controller 8 of the domain is connected. The system also contains at least one AWI ABI 6 connected to a network backbone 13, having an internal control and data exchange bus 6.5, and at least one ABI protection unit 7.

Первое АРМ с СЗИ 1 (см. фиг. 2) предназначено для оперативного управления информационно-вычислительными потребностями, реализации обеспечивающей информационной технологии, простоты доступа к информации, ее защиты от несанкционированного доступа на рабочем месте пользователя, обработки критически важной информации, оно состоит из агента безопасности 1.1., схемы разделения доступа пользователя 1.2, базы данных средств усиленного аудит 1.3, базы данных обмена с внешними системами защиты информации 1.4, причем его первый 1.5, второй 1.6, третий 1.7 и четвертый 1.8 входы/выходы, подключены, соответственно, к третьему 4.9, четвертому 4.10, пятому 4.11 и шестому 4.12 входам/выходам АРМ 4The first workstation with SZI 1 (see Fig. 2) is intended for operational management of information and computing needs, implementation of information technology, ease of access to information, its protection against unauthorized access at the user's workplace, processing of critical information, it consists of an agent security 1.1., user access sharing schemes 1.2, enhanced audit tools database 1.3, data exchange databases with external information protection systems 1.4, with its first 1.5, second 1.6, third 1.7 and four fourth 1.8 inputs / outputs, connected, respectively, to the third 4.9, fourth 4.10, fifth 4.11 and sixth 4.12 inputs / outputs AWP 4

Второе АРМ с СЗИ 2 (см. фиг. 3) предназначено для оперативного управления информационно-вычислительными потребностями, реализации обеспечивающей информационной технологии, простоты доступа к информации, ее защиты от несанкционированного доступа на рабочем месте пользователя, обработки критически важной информации, оно состоит из агента безопасности 2.1., схемы разделения доступа пользователя 2.2, базы данных средств усиленного аудит 2.3, базы данных обмена с внешними системами защиты информации 2.4, причем его первый 2.5, второй 2.6, третий 2.7 и четвертый 2.8 входы/выходы, подключены, соответственно, к третьему 9.6, четвертому 9.7, пятому 9.8 и шестому 9.9 входам/выходам функционального сервера 9The second workstation with SZI 2 (see Fig. 3) is intended for operational management of information and computing needs, implementation of information technology, ease of access to information, its protection against unauthorized access at the user's workplace, processing of critical information, it consists of an agent security 2.1., user access sharing schemes 2.2, enhanced audit tools database 2.3, data exchange databases with external information protection systems 2.4, with its first 2.5, second 2.6, third 2.7 and four the second 2.8 inputs / outputs are connected, respectively, to the third 9.6, fourth 9.7, fifth 9.8 and sixth 9.9 inputs / outputs of the functional server 9

Третье автоматизированное рабочее место 3 с системой защиты информации (см. фиг. 4) предназначено для оперативного управления информационно-вычислительными потребностями, реализации обеспечивающей информационной технологии, простоты доступа к информации, ее защиты от несанкционированного доступа на рабочем месте пользователя, обработки критически важной информации, оно состоит из агента безопасности 3.1., схемы разделения доступа пользователя 3.2, базы данных средств усиленного аудит 3.3, базы данных обмена с внешними системами защиты информации 3.4, причем его первый 3.5, второй 3.6, третий 3.7 и четвертый 3.8 входы/выходы, подключены, соответственно, к третьему 5.9, четвертому 5.10, пятому 5.11 и шестому 5.12 входам/выходам функционального сервера 9The third automated workstation 3 with an information protection system (see Fig. 4) is intended for the operational management of information and computing needs, the implementation of information technology, ease of access to information, its protection against unauthorized access at the user's workplace, processing of critical information, it consists of a security agent 3.1., a user access sharing scheme 3.2, a database of enhanced audit tools 3.3, a database exchange with external security systems inf formations 3.4, with its first 3.5, second 3.6, third 3.7 and fourth 3.8 inputs / outputs, connected, respectively, to the third 5.9, fourth 5.10, fifth 5.11 and sixth 5.12 inputs / outputs of functional server 9

Первое автоматизированное рабочее место 4 пользователя (см. фиг. 5) предназначено для оперативного управления информационно-вычислительными потребностями, реализации обеспечивающей информационной технологии, простоты доступа к информации, ее защиты от несанкционированного доступа на рабочем месте пользователя. Оно состоит из устройства 4.1 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, устройства 4.2 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу IP, аппаратно-программного модуля доверенной загрузки 4.3, АПМДЗ, осуществляющего шифрование носителей информации, подключаемых по интерфейсу USB 4.4, АПМДЗ, вырабатывающий и проверяющий электронную цифровую подпись 4.5, средства усиленной аутентификации 4.6, средства обмена с внешними системами защиты информации 4.7, шины управления и обмена данными АРМ 4.8, причем его первый 4.13 и второй 4.14 входы/выходы подключены к сетевой магистрали 13, а его третий 4.9, четвертый 4.10, пятый 4.11 и шестой 4.12 входы/выходы подключены к шине управления и обмена данными АРМ 4.8.The first automated workstation 4 of the user (see Fig. 5) is intended for the operational management of information and computing needs, the implementation of providing information technology, ease of access to information, and its protection against unauthorized access at the user's workplace. It consists of a device 4.1 of cryptographic protection of information transmitted over a local area network via Ethernet, device 4.2 of cryptographic protection of information transmitted over a local area network via IP, a hardware-software trusted boot module 4.3, and APMDZ encrypting storage media connected via USB 4.4 interface, APMDZ, which generates and verifies electronic digital signature 4.5, means of enhanced authentication 4.6, means of exchange with external security systems and formations 4.7, control and data exchange buses AWP 4.8, with its first 4.13 and second 4.14 inputs / outputs connected to the network trunk 13, and its third 4.9, fourth 4.10, fifth 4.11 and sixth 4.12 inputs / outputs connected to the control and data exchange bus AWP 4.8.

Второе АРМ пользователя 5 (см. фиг. 6) предназначено для оперативного управления информационно-вычислительными потребностями, реализации обеспечивающей информационной технологии, простоты доступа к информации, ее защиты от несанкционированного доступа на рабочем месте пользователя. Оно состоит из устройства 5.1 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, устройства 5.2 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу IP, АПМДЗ 5.3, АПМДЗ с USB 5.4, АПМДЗ с ЭЦП 5.5, средства усиленной аутентификации 5.6, средства обмена с внешними системами защиты информации 5.7, шины управления и обмена данными АРМ 5.8, причем его первый 5.13 и второй 5.14 входы/выходы подключены к сетевой магистрали 13, а его третий 5.9, четвертый 5.10, пятый 5.11 и шестой 5.12 входы/выходы подключены к шине управления и обмена данными АРМ 5.8.The second workstation of user 5 (see Fig. 6) is intended for the operational management of information and computing needs, the implementation of providing information technology, ease of access to information, and its protection against unauthorized access at the user's workplace. It consists of a device 5.1 cryptographic protection of information transmitted over a local area network via Ethernet, device 5.2 cryptographic protection of information transmitted over a local area network via IP, APMDZ 5.3, APMDZ with USB 5.4, APMDZ with digital signature 5.5, enhanced authentication 5.6 , means of exchange with external information protection systems 5.7, control and data exchange buses AWP 5.8, with its first 5.13 and second 5.14 inputs / outputs connected to the network trunk 13, and its third 5.9, fourth 5.10, fifth 5.11 and sixth 5.12 inputs / outputs are connected to the control and data exchange bus AWP 5.8.

АРМ АБИ 6 (см. фиг. 7) предназначено для централизованного администрирования автоматизированных систем: управления защищаемыми ресурсами, управления доступом пользователей к системе (аудит действий пользователей в системе), проведения контроля целостности на управляемых устройствах, тестирования средств защиты информации на управляемых устройствах, резервное копирование и восстановление информации, формирование журнала регистрации событий информационной безопасности, предотвращения несанкционированного доступа к защищаемым информационным ресурсам и устройствам. Оно состоит из устройства 6.1 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, устройства 6.2 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу IP, АПМДЗ 6.3, средства усиленной аутентификации 6.4, шины управления и обмена данными 6.5 причем его первый 6.9, второй, 6.10 входы/выходы подключены к сетевой магистрали 13, а его третий 6.6, четвертый 6.7 и пятый 6.8 подключены соответственно к первому 7.4, второму, 7.5 и третьему 7.6 входу/выходу блока защиты 7 АБИ.AWI ABI 6 (see Fig. 7) is intended for centralized administration of automated systems: managing protected resources, controlling user access to the system (auditing user actions in the system), conducting integrity monitoring on managed devices, testing information security tools on managed devices, backup copying and restoring information, creating a log of information security events, preventing unauthorized access to protected information Discount resources and devices. It consists of a device 6.1 for cryptographic protection of information transmitted over a local area network via Ethernet, a device 6.2 for cryptographic protection of information transmitted over a local area network over IP, APMDZ 6.3, enhanced authentication means 6.4, control and data exchange buses 6.5 and its first 6.9, the second, 6.10 inputs / outputs are connected to the network backbone 13, and its third 6.6, fourth 6.7 and fifth 6.8 are connected respectively to the first 7.4, second, 7.5 and third 7.6 input / output of the 7 ABI protection block.

Блок защиты 7 АБИ (см. фиг. 8) предназначен для обеспечения безопасного функционирования АРМ 6 АБИ, разграничения доступа к ресурсам АС, усиленной аутентификации администратора безопасности, он состоит из агента администратора безопасности 7.1, схемы 7.2 разграничения доступа администратора безопасности, базы 7.3 данных средств усиленной аутентификации администратора безопасности, причем его первый 7.4, второй 7.5 и третий 7.6 входы/выходы подключены соответственно к третьему 6.6, четвертому 6.7 и пятому 6.8 входу/выходу АРМ 6 АБИ.The protection block 7 ABI (see Fig. 8) is designed to ensure the safe operation of AWP 6 ABI, to differentiate access to AS resources, to strengthen security administrator authentication, it consists of a security administrator agent 7.1, scheme 7.2 for restricting access to a security administrator, database 7.3 of the tools enhanced security administrator authentication, with its first 7.4, second 7.5, and third 7.6 inputs / outputs connected respectively to the third 6.6, fourth 6.7, and fifth 6.8 input / output of AWP 6 ABI.

Сервер-контроллер 8 домена (см. фиг. 9) предназначен для обеспечения бесперебойной работы критически важных сервисов аутентификации и авторизации и постоянно находятся в работе. Он состоит из сервера 8.1 безопасности, базы данных 8.2 сервера безопасности, устройства 8.3 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, устройства 8.4 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу IP, АПМДЗ 8.5, системы 8.6 управления разграничением доступа, шины 8.7 управления и обмен данными причем его первый 8.8 и второй 8.9 выходы/выходы подключены к сетевой магистрали 13.The server-controller 8 of the domain (see Fig. 9) is designed to ensure the smooth operation of critical authentication and authorization services and are constantly in operation. It consists of a security server 8.1, a security server database 8.2, a device 8.3 for cryptographic protection of information transmitted over a local area network via Ethernet, a device 8.4 for cryptographic protection of information transmitted over a local area network over IP, APMDZ 8.5, and a differentiation control system 8.6 access, control bus 8.7 and data exchange with its first 8.8 and second 8.9 outputs / outputs connected to the network backbone 13.

Функциональный 9 сервер (см. фиг. 10) предназначен для организации обмена с удаленными с системами защиты информации, он состоит из устройства 9.1 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, устройства 9.2 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу IP, АПМДЗ 9.3, средства 9.4 обмена с внешними системами защиты информации, шины 9.5 управления и обмены данным, причем его первый 9.10 и второй 9.11 входы/выходы подключены к сетевой магистрали 13, а третий 9.6, четвертый 9.7, пятый 9.8 и шестой 9.9.подключены соответственно к первому 2.5, второму 2.6, третьему 2.7 и четвертому 2.8 входу/выходу второго АРМ с СЗИ 2.Functional 9 server (see Fig. 10) is designed for exchanging information with remote information protection systems; it consists of a device 9.1 for cryptographic protection of information transmitted over a local area network via Ethernet, a device 9.2 for cryptographic protection of information transmitted over a local area network IP protocol, APMDZ 9.3, means of exchange 9.4 with external information protection systems, control buses 9.5 and data exchanges, with its first 9.10 and second 9.11 inputs / outputs connected to the network trunk 13, and the third 9.6, fourth 9.7, fifth 9.8 and sixth 9.9. are connected respectively to the first 2.5, second 2.6, third 2.7 and fourth 2.8 input / output of the second AWP with SZI 2.

Сетевая 13 магистраль (см. фиг. 11) предназначена для обмена информацией между всеми устройствами локальной вычислительной сети, в том числе через неконтролируемую территорию по открытым каналам связи. В сетевую магистраль, в местах разрыва и придачи информации по открытым 12 каналам связи через неконтролируемую территорию с каждой стороны после разрыва подключены первое 10 и второе 11 средство криптографической защиты информации, затем, последовательно первый МСЭ 14 и второй МСЭ 15.The network 13 backbone (see Fig. 11) is intended for the exchange of information between all devices of the local computer network, including through an uncontrolled territory via open communication channels. The first 10 and second 11 means of cryptographic protection of information are connected to the network backbone, at the places of breaking and transmitting information via open 12 communication channels through an uncontrolled territory, on each side after the breaking, then the first ITU 14 and the second ITU 15.

В состав системы защиты могут быть включены несколько АРМ 6 АБИ и несколько соответственно соединенных с их шинами 6.5 управления и обмена данными агентов администратора 7.1 безопасности, схем 7.2 разграничения доступа администраторов безопасности, баз 7.3 данных средств усиленной аутентификации администратора безопасности. В этом случае каждый из администраторов безопасности информации может оперативно контролировать работу пользователей в сети.The security system can include several AWP 6 ABIs and several, respectively, control and exchange data for security administrator 7.1 agents, security administrators 7.1 schemes, security administrator access control schemes 7.2, and security administrator enhanced authentication databases 7.3. In this case, each of the information security administrators can quickly monitor the operation of users on the network.

Заявленная система защиты информации от несанкционированного доступа, работает следующим образом.The claimed system of protecting information from unauthorized access, works as follows.

Входящие в состав АРМ с СЗИ 1, АРМ с СЗИ 2, АРМ с СЗИ 3 агенты 1.1, 2.1, 3.1 безопасности, входящие в состав блоков 7 защиты АБИ от несанкционированного доступа агент-администраторы 7.1 безопасности, а также входящие в состав СКД 8 сервер 8.1 безопасности и база 8.2 данных безопасности образуют систему контроля и управления профилями.The security agents 1.1, 2.1, 3.1, which are part of the workstation with SZI 1, the workstation with SZI 2, the workstation with SZI 3, are included in the security protection blocks 7 from the unauthorized access of the security agent-administrators 7.1, as well as the server 8.1 included in the access control system 8 security and security database 8.2 form a system for monitoring and managing profiles.

Входящие в состав АРМ с СЗИ 1, АРМ с СЗИ 2, АРМ с СЗИ 3 схемы 1.2, 2.2, 3.2 разделения доступа пользователя, входящие в состав блока 7 защиты АБИ схемы 7.2 разделения доступа администратора безопасности, а также система 8.6 управления разграничением доступа, входящая в состав СКД 8 образуют систему разграничения доступа.Included in the workstation with SZI 1, the workstation with SZI 2, the workstation with SZI 3, user access separation circuits 1.2, 2.2, 3.2, which are part of the ABI protection block 7 of the security administrator’s access separation scheme 7.2, as well as the access control system 8.6 included ACS 8 form a system of access control.

Входящие в состав АРМ с СЗИ 1, АРМ с СЗИ 2, АРМ с СЗИ 3 базы 1.3, 2.3, 3.3 данных средств усиленной аутентификации пользователя, а также входящие в состав блока 7 защиты АБИ базы 7.3 данных средств усиленной аутентификации администратора безопасности образуют систему дополнительной защиты информации.Included in the workstation with SZI 1, the workstation with SZI 2, the workstation with SZI 3 databases 1.3, 2.3, 3.3 of the enhanced user authentication means data, as well as the security administrator’s database 7.3 of the enhanced security authentication data of the security administrator form an additional protection system information.

Система контроля и управления профилями выполняет следующие функции:The profile control and management system performs the following functions:

управление профилями безопасности пользователей, групп пользователей и компьютеров;Manage security profiles for users, user groups, and computers

разграничение доступа пользователей к функциям любой программы-файлового менеджера;differentiation of user access to the functions of any file manager program;

определение списка разрешенных для запуска приложений (обеспечение замкнутой программной среды) путем формирования пользовательского меню в программе - файловом менеджере и контроль запуска несанкционированных приложений;determining the list of applications allowed to run (providing a closed software environment) by creating a user menu in the program - file manager and controlling the launch of unauthorized applications;

контроль состояния компьютеров в сети, сбор статистики работы (время старта, время непрерывной работы);monitoring the status of computers on the network, collecting work statistics (start time, continuous operation time);

контроль сеанса работы интерактивных пользователей и сетевых пользователей, получивших доступ к разделяемым ресурсам;control of the session of interactive users and network users who gained access to shared resources;

протоколирование действий администратора безопасности информации и пользователей;logging the actions of the information security administrator and users;

разграничение полномочий администраторов безопасности информации на АРМ 6 АБИ (оператор, администратор);differentiation of powers of information security administrators on AWP 6 ABI (operator, administrator);

оповещение администратора безопасности информации о попытках несанкционированного доступа, нарушениях работы комплексной системы защиты информации от несанкционированного доступа и других критических ситуациях в сети.notification of the security administrator of information about unauthorized access attempts, violations of the integrated system for protecting information from unauthorized access and other critical network situations.

Система контроля и управления профилями реализует функции по разграничению доступа к приложениям (программам), запускаемым на АРМ пользователя 4, АРМ пользователя 5 и функциональных серверах 9, регистрации событий защиты (аудит), контролю целостности программных файлов и данных, защите от ввода/вывода на отчуждаемый носитель. Входными данными для системы контроля и управления профилями являются: информация о составе зарегистрированных пользователей в центральной базе 8.2 данных сервера безопасности СКД 8 автоматизированной системы (на контроллере домена), записи в системных журналах и журналах безопасности в АРМ пользователя 4, АРМ пользователя 5 или функциональном сервере 9 и команды администратора безопасности информации.The profile control and management system implements the functions of differentiating access to applications (programs) running on user workstation 4, user workstation 5 and functional servers 9, registering protection events (audit), monitoring the integrity of program files and data, and protecting against I / O on disposable carrier. The input data for the control and management system for profiles are: information on the composition of registered users in the central database 8.2 of the ACS security server 8 data of the automated system (on the domain controller), entries in system and security logs in the AWP of user 4, AWP of user 5 or the functional server 9 and information security administrator commands.

Выходными данными системы контроля и управления профилями являются протоколы действий администраторов на АРМ 6 АБИ и событий-попыток несанкционированного доступа к информации, контроля целостности, работы с внешними носителями в автоматизированной системе, информация о состоянии компьютеров, служб, приложений и настройках политики безопасности.The output data of the control and profile management system are protocols of actions of administrators on AWP 6 ABI and events-attempts of unauthorized access to information, integrity control, work with external media in an automated system, information about the status of computers, services, applications and security policy settings.

Система контроля и управления профилями использует объектную идеологию, т.е. вся структура компьютерной сети и управляющая информация представлена в виде объектов управления. Все устройства оперируют с объектами управления. Все объекты управления хранятся в базе 8.2 данных сервера безопасности сервер-контроллера 8 домена.The profile control and management system uses an object ideology, i.e. the entire structure of the computer network and control information is presented as control objects. All devices operate with control objects. All management objects are stored in the database 8.2 of the security server of the server-controller 8 of the domain.

База 8.2 данных сервера безопасности сервер-контроллера 8 домена содержит основной корневой объект управления, который содержит в себе такие объекты управления, как домены или рабочие группы базовой операционной системы, содержащие в свою очередь такие объекты, как компьютеры, пользовательские приложения, профили пользователей, профили групп пользователей, профили безопасности и устройства (дисководы, порты и т.д.).The database 8.2 of the security server of the server-controller 8 of the domain contains the main root management object, which contains such management objects as domains or workgroups of the base operating system, which in turn contain such objects as computers, user applications, user profiles, profiles user groups, security profiles, and devices (drives, ports, etc.).

Каждый объект управления характеризует основные атрибуты и свой специфический набор дополнительных атрибутов, методов доступа и управления этим объектом управления.Each control object characterizes the basic attributes and its specific set of additional attributes, access and control methods for this control object.

Сервер 8.1 безопасности СКД 8 обеспечивает синхронизацию объектов управления с агентами 1.1, 2.1, 3.1 безопасности, агентами администраторами 7.1 безопасности и другими серверами безопасности: установление логических соединений с агентами 1.1, 2.1, 3.1 безопасности и агентами администраторами 7.1 безопасности, проверку наличия логических соединений с агентами 1.1, 2.1, 3.1 безопасности и агентами администраторами 7.1 безопасности, прием и обработку запросов от агента администратора 7.1 безопасности на добавление исключение объектов управления в базе данных профилей и модификацию их атрибутов, прием и обработку запросов от агентов администраторов 7.1 безопасности на получение профиля пользователя и составе доступных ему приложений, формирование ответов на эти запросы, прием и обработку сообщений от агентов 1.1, 2.1, 3.1 безопасности и агентов администраторов 7.1 безопасности, при появлении событий - попыток несанкционированного доступа к информации в системных журналах агентов 1.1, 2.1, 3.1 безопасности, ведение протокола действий администраторов безопасности на АРМ 6 АБИ в части контроля и управления профилями.Security server 8.1 ACS 8 provides synchronization of management objects with security agents 1.1, 2.1, 3.1, security administrators 7.1 and other security servers: establishing logical connections with security agents 1.1, 2.1, 3.1 and security administrators 7.1, checking for logical connections with agents 1.1, 2.1, 3.1 security and 7.1 security administrators, receiving and processing requests from the 7.1 security administrator agent to add exception management objects to the database x profiles and modification of their attributes, receiving and processing requests from 7.1 security administrators agents for receiving a user profile and the composition of applications available to them, generating answers to these requests, receiving and processing messages from security agents 1.1, 2.1, 3.1 and 7.1 security administrators agents, upon the occurrence of events - attempts of unauthorized access to information in the system logs of security agents 1.1, 2.1, 3.1, maintaining a protocol of actions of security administrators on AWP 6 ABI regarding control and management ia profiles.

Между сервером 8.1 безопасности СКД 8, агентами 1.1, 2.1, 3.1 безопасности и агентами администраторами 7.1 безопасности устанавливаются логические соединения. Каждое установленное логическое соединение имеет свой идентификатор, что позволяет серверу 8.1 безопасности определять, с какими агентами 1.1, 2.1, 3.1 безопасности или агентами администраторами 7.1 безопасности производится обмен информацией. При успешном установлении соединением ему присваивается идентификатор, а агентам 1.1, 2.1, 3.1 безопасности или агентам администраторам 7.1 безопасности посылается соответствующее сообщение.Logical connections are established between security server SKD 8, security agents 1.1, 2.1, 3.1 and security administrators 7.1. Each established logical connection has its own identifier, which allows the security server 8.1 to determine with which security agents 1.1, 2.1, 3.1 or security administrators 7.1 the information is exchanged. Upon successful connection establishment, an identifier is assigned to it, and a corresponding message is sent to security agents 1.1, 2.1, 3.1 or security administrators 7.1.

Сервер 8.1 безопасности СКД 8 производит проверку наличия логических соединений с агентами 1.1, 2.1, 3.1 безопасности и агентами администраторами 7.1 безопасности по таймеру. Запрос на разрыв соединения с сервером 8.1 безопасности посылают агенты 1.1, 2.1, 3.1 безопасности или агенты-администраторы 7.1 безопасности. При этом соединение удаляется из базы 8.2 данных сервера безопасности сервер-контроллера 8 домена.Security server 8.1 SKD 8 checks for logical connections with security agents 1.1, 2.1, 3.1 and security administrators 7.1 by timer. A request to disconnect from the security server 8.1 is sent by the security agents 1.1, 2.1, 3.1 or security administrators 7.1. In this case, the connection is deleted from the database 8.2 of the security server of the server-controller 8 of the domain.

После установления соединения сервер 8.1 безопасности сервер-контроллера 8 домена, агенты 1.1, 2.1, 3.1 безопасности и агенты-администраторы 7.1 безопасности обмениваются сообщениями, содержащими запросы и ответы.After the connection is established, the security server 8.1 of the server-controller of the domain 8, security agents 1.1, 2.1, 3.1 and security administrators 7.1 exchange messages containing requests and responses.

Агенты 1.1, 2.1, 3.1 безопасности посылают серверу 8.1 безопасности сервер-контроллера 8 домена следующие типы запросов: информация о базовой операционной системе, на разрыв соединения, на проверку соединения, на перечисление приложений пользователя, на получение профиля пользователя, на обработку события на компьютере, на получение устройств компьютера, на получение списка файлов для проверки.Security agents 1.1, 2.1, 3.1 send the following types of requests to the security server 8.1 of the domain controller 8 domain: information about the base operating system, to disconnect, to check the connection, to list user applications, to obtain a user profile, to process an event on a computer, to receive computer devices, to receive a list of files for verification.

При этом агентами 1.1, 2.1, 3.1 безопасности передается информация о компьютере, текущем пользователе и событиях, а сервер 8.1 безопасности сервер-контроллера 8 домена передает агентам 1.1, 2.1, 3.1 безопасности информацию о профилях, о составе приложений, проверяемых файлов и устройств.At the same time, security agents 1.1, 2.1, 3.1 transmit information about the computer, the current user and events, and the security server 8.1 of the server-controller of the 8 domain transmits information about profiles, the composition of applications, scanned files and devices to security agents 1.1, 2.1, 3.1.

Агенты администраторы 7.1 безопасности посылают серверу 8.1 безопасности СКД 8 следующие типы запросов: на регистрацию соединения, на перечисление доменов, на добавление домена, на удаление домена, на перечисление компьютеров домена, на добавление компьютера, на удаление компьютера, на перечисление приложений домена, на добавление приложения, на удаление приложения, на перечисление пользователей домена, на добавление пользователя, на удаление пользователя, на изменение состояния компьютера в базе, на изменение свойств пользователя, на изменение свойств компьютера, на изменение свойств домена, на изменение свойств приложения, на удаленное управление компьютером, на перечисление групп пользователей, на добавление группы пользователей, на удаление группы пользователей, на изменение свойств группы пользователей, на запись протокола работы администратора, на чтение протокола работы администратора, на получение списка запущенных приложений, на завершение приложения, на очистку протокола работы администратора, на очистку тревоги, на установку свойств группе пользователей, на чтение протокола событий, на перечисление профилей безопасности, на добавление профиля безопасности, на удаление профиля безопасности, на изменение свойств профиля безопасности, на перечисление устройств, на изменение свойств устройства, на добавление устройства, на удаление устройства, на изменение списка файлов для проверки, на очистку протокола событий, на получение свойств ГМД, на чтение архива, протокола событий, на чтение архива протокола работы.Agents 7.1 security administrators send ACS 8 security server 8.1 the following types of requests: to register a connection, to transfer domains, to add a domain, to remove a domain, to transfer computers to a domain, to add a computer, to remove a computer, to transfer domain applications, to add applications, to delete an application, to list domain users, to add a user, to delete a user, to change the state of a computer in the database, to change user properties, to change changing computer properties, changing the properties of a domain, changing the properties of an application, remotely controlling a computer, listing user groups, adding a user group, deleting a user group, changing the properties of a user group, writing an administrator log, reading a log administrator, to receive a list of running applications, to complete the application, to clear the administrator’s protocol, to clear alarms, to set properties for a group of users, n reading the event log, listing security profiles, adding a security profile, deleting a security profile, changing properties of a security profile, listing devices, changing device properties, adding a device, deleting a device, changing a list of files to scan, cleaning the event log, obtaining the properties of the HDD, reading the archive, event log, reading the archive of the work log.

Сервер 8.1 безопасности СКД 8производит опрос состояния агентов 1.1, 2.1, 3.1 безопасности (о составе запущенных приложений, текущем пользователе), а также осуществляет перезагрузку, выключение компьютеров, выход из системы, запуск/останов приложений.Security server 8.1 SKD 8 polls the status of security agents 1.1, 2.1, 3.1 (on the composition of running applications, the current user), and also reboots, shuts down computers, logs out, starts / stops applications.

Сервер 8.1 безопасности СКД 8 передает агенту-администратору 7.1 безопасности запросы о состоянии компьютеров агентов безопасности, составе запущенных приложений, запуске приложения и о происшедших событиях.Security server 8.1 SKD 8 transmits to agent-administrator 7.1 security requests about the status of computers of security agents, the composition of running applications, application startup, and events that have occurred.

Агент 1.1, 2.1, 3.1 безопасности выполняет следующие функции: контроль состояния автоматизированного рабочего места пользователя или функционального сервера, контроль состояния сеанса интерактивного пользователя, настройку рабочей среды пользователя и установление ограничений, слежение за состоянием приложений и процессов, слежение за содержимым системных журналов, выполнение команд от имени администратора безопасности (перезагрузку, запуск/останов приложений, блокировку системы).Security agent 1.1, 2.1, 3.1 performs the following functions: monitoring the state of the user's workstation or functional server, monitoring the session state of the interactive user, setting up the user's working environment and setting restrictions, monitoring the state of applications and processes, monitoring the contents of system logs, executing commands on behalf of the security administrator (rebooting, starting / stopping applications, locking the system).

Агент 1.1, 2.1, 3.1 безопасности устанавливает соединение (регистрацию) с сервером 8.1 безопасности и затем периодически отправляет серверу 8.1 безопасности сервер-контроллера 8 домена запрос на проверку наличия соединения и обрабатывает ответ. Взаимодействие с сервером 8.1 безопасности СКД 8 после установления логического соединения осуществляется на основе запрос-ответного механизма.The security agent 1.1, 2.1, 3.1 establishes a connection (registration) with the security server 8.1 and then periodically sends the security server 8.1 of the server-controller of the domain 8 a request to check for a connection and processes the response. Interaction with security server 8.1 ACS 8 after establishing a logical connection is based on a request-response mechanism.

Агент 1.1, 2.1, 3.1 безопасности отвечает за контроль событий попыток несанкционированного доступа к информации, сбор статистической информации (имя пользователя, время начала и завершения сеанса работы пользователя, время включения и выключения компьютера и т.д.), информации о состоянии задач и запущенных процессов, контроль целостности файлов на автоматизированном рабочем месте пользователя или функциональном сервере.Security agent 1.1, 2.1, 3.1 is responsible for monitoring the events of attempts of unauthorized access to information, collecting statistical information (username, start and end time of a user’s session, time to turn on and off a computer, etc.), information about the status of tasks and running processes, integrity control of files on the user's workstation or functional server.

Агент 1.1, 2.1, 3.1 безопасности выполняет управляющие команды, поступившие от агента-администратора 7.1 через сервер 8.1 безопасности СКД 8 по сети, и передает серверу 8.1 безопасности СКД 8 информацию о компьютере, о текущем пользователе, профилях, составе приложений, результатах контроля целостности проверяемых файлов и о событиях-попытках несанкционированного доступа к информации.The security agent 1.1, 2.1, 3.1 executes control commands received from the administrative agent 7.1 through the ACS 8 security server 8.1 over the network and transmits the ACS 8 security server 8.1 information about the computer, about the current user, profiles, application composition, and the results of integrity checks of the audited files and about events-attempts of unauthorized access to information.

Агент 1.1, 2.1, 3.1 безопасности после установления логического соединения с сервером 8.1 безопасности получает от него сообщение с системной политикой компьютера. Серверу 8.1 безопасности передается информация о типе базовой операционной системы.Security agent 1.1, 2.1, 3.1, after establishing a logical connection with security server 8.1, receives a message from it with the computer system policy. Security server 8.1 receives information about the type of underlying operating system.

При входе пользователя в систему агент 1.1, 2.1, 3.1 безопасности передает серверу 8.1 безопасности СКД 8 информацию о пользователе (имя пользователя, время начала сеанса). Сервер 8.1 безопасности СКД 8 передает информацию о системной политике для пользователя. При установке системной политики компьютера и пользователя агент 1.1, 2.1, 3.1 безопасности изменяет значения в реестре. Далее агент 1.1, 2.1, 3.1 безопасности формирует и посылает серверу 8.1 безопасности СКД 8 запросы на перечисление приложений пользователя, на получение профиля, на получение устройств компьютера и списка файлов для проверки.When a user logs on to the system, the security agent 1.1, 2.1, 3.1 sends information about the user (user name, session start time) to the security server 8.1 ACS 8. Security server 8.1 ACS 8 transmits system policy information to the user. When installing the system policy of the computer and the user, the security agent 1.1, 2.1, 3.1 changes the values in the registry. Further, the security agent 1.1, 2.1, 3.1 generates and sends to the security server 8.1 ACS 8 requests for listing user applications, for obtaining a profile, for receiving computer devices and a list of files for verification.

К приложениям пользователя относятся основные исполняемые модули, запускаемые через пользовательское меню, и вспомогательные исполняемые модули, запускаемые из основных приложений.User applications include the main executable modules launched through the user menu, and auxiliary executable modules launched from the main applications.

Ответы от сервера 8.1 безопасности СКД 8 обрабатываются агентом 1.1, 2.1, 3.1 безопасности, производится установка профиля пользователя в реестре, состава ему доступных основных приложений в пользовательского меню и состава вспомогательных приложений, запускаемых из основных приложений. Агент 1.1, 2.1, 3.1 безопасности производит контроль целостности путем вычисления контрольных сумм файлов системы защиты информации, системных и пользовательских файлов и сравнение их с соответствующими эталонными значениями.Responses from SKD 8 security server 8.1 are processed by the security agent 1.1, 2.1, 3.1, the user profile is set in the registry, the composition of the main applications available to him in the user menu, and the composition of the auxiliary applications launched from the main applications. Security agent 1.1, 2.1, 3.1 performs integrity control by calculating checksums of information protection system files, system and user files and comparing them with the corresponding reference values.

Функция контроля целостности позволяет обнаруживать любое изменение (удаление, добавление, замену) данных файла и файловой структуры в целом. Контроль целостности производится путем вычисления имитовставки.The integrity control function allows you to detect any change (deletion, addition, replacement) of the file data and the file structure as a whole. Integrity control is performed by calculating the insert.

При изменении контрольных сумм файлов или отсутствии какого-либо файла формируется сообщение для сервера 8.1 безопасности сервер-контроллера 8 домена о нарушении целостности. Агент 1.1, 2.1, 3.1 безопасности осуществляет контроль над процессами, работающими в системе. Производится сбор информации о файлах-процессах, поиск окон процессов, и передача информации о процессах серверу 8.1 безопасности СКД 8.When changing the checksums of the files or the absence of any file, a message is generated for the security server 8.1 of the server-controller 8 domain integrity violation. Security agent 1.1, 2.1, 3.1 exercises control over the processes running in the system. Information about process files is collected, process windows are searched, and information about processes is transmitted to security server 8.1 ACS 8.

Осуществляется запуск и остановка процессов по запросу от сервера 8.1 безопасности, СКД 8 формируемому в свою очередь по команде агента администратора 7.1 безопасности. Агент 1.1, 2.1, 3.1 безопасности осуществляет контроль за системными событиями путем слежения за содержимым системных журналов и при появлении событий-попыток несанкционированного доступа к информации и других критических событий, передает сообщения об их возникновении серверу безопасности 8.1 СКД 8.The processes start and stop upon request from the security server 8.1, ACS 8, which is formed in turn by the command of the security administrator 7.1 agent. Security agent 1.1, 2.1, 3.1 monitors system events by monitoring the contents of system logs and when events occur, attempts to unauthorized access to information and other critical events, sends messages about their occurrence to security server 8.1 ACS 8.

Агент 1.1, 2.1, 3.1 безопасности выполняет контроль запуска всех приложений и определяет, относится основное или вспомогательное приложение к числу разрешенных для запуска. Если нет, то приложение не запускается, а серверу 8.1 безопасности СКД 8передается сообщение о событии-попытке несанкционированного доступа к информации.Security agent 1.1, 2.1, 3.1 controls the launch of all applications and determines whether the primary or secondary application is allowed to run. If not, then the application does not start, and the security server 8.1 ACS 8 receives a message about the event-attempt of unauthorized access to information.

Кроме того, агент 1.1, 2.1, 3.1 безопасности производит контроль сообщений о начале работы схемы разграничения доступа. При успешном начале работы системы разграничения доступа в реестре сохраняются соответствующие настройки. В противном случае осуществляется восстановление настроек схемы разграничения доступа в реестре и перезапуск компьютера. Если восстановление не приводит к успешному запуску схемы разграничения доступа, то создается запись для администратора о неуспешном восстановлении системы и блокируется инициализация агента 1.1, 2.1, 3.1 безопасности.In addition, the security agent 1.1, 2.1, 3.1 performs monitoring of messages about the beginning of the work of the access control scheme. Upon successful start of the access control system, the corresponding settings are saved in the registry. Otherwise, the settings of the access control scheme in the registry are restored and the computer is restarted. If the recovery does not lead to the successful launch of the access control scheme, an entry is created for the administrator about the failed system recovery and the initialization of the security agent 1.1, 2.1, 3.1 is blocked.

Агент 1.1, 2.1, 3.1 безопасности выполняет контроль установки внешних носителей информации по сообщениям от монитора файловой системы о монтировании тома. Далее агент 1.1, 2.1, 3.1 безопасности формирует запрос о профиле безопасности (дескрипторе) устройства серверу 8.1 безопасности СКД 8. После получения профиля безопасности схемы разграничения доступа производит контроль доступа пользователя, работающего на компьютере, к устройству.Security agent 1.1, 2.1, 3.1 monitors the installation of external storage media according to messages from the file system monitor about mounting the volume. Next, the security agent 1.1, 2.1, 3.1 generates a request for the security profile (descriptor) of the device to the security server 8.1 ACS 8. After receiving the security profile of the access control scheme, it controls access of the user working on the computer to the device.

При разрешении доступа осуществляются операции с внешним носителем информации. После этого доступ к устройству закрывается. При копировании на носитель факт копирования передается серверу 8.1 безопасности СКД 8. Сервер безопасности передает факты выполнения операций с носителем информации, в том числе события-попытки несанкционированного доступа к информации, на АРМ АБИ 6 в журнал регистрации.When access is granted, operations with an external storage medium are performed. After that, access to the device is closed. When copying to the medium, the fact of copying is transmitted to the security server 8.1 ACS 8. The security server transmits the facts of operations with the information carrier, including events-attempts of unauthorized access to information, to the automated workstation ABI 6 in the registration log.

Агент-администратор 7.1 безопасности выполняет следующие функции: ведение базы данных сервера безопасности (создание, изменение, удаление объектов), мониторинг состояния объектов (компьютеров, приложений), управление компьютером и сеансами работы пользователей, протоколирование действий администраторов и операторов, вывод на экран и печать протоколов действий администраторов и операторов. Агент администратор 7.1 безопасности является основным модулем для осуществления управляющих функций, задания основных параметров и мониторинга событий в сети.Security agent-administrator 7.1 performs the following functions: maintaining a security server database (creating, changing, deleting objects), monitoring the status of objects (computers, applications), managing a computer and user sessions, logging the actions of administrators and operators, displaying and printing protocols of actions of administrators and operators. Agent administrator 7.1 security is the main module for implementing control functions, setting basic parameters and monitoring events on the network.

Агент-администратор 7.1 безопасности взаимодействует с сервером 8.1 безопасности СКД 8. В обмене участвует управляющая и настроечная информация о задачах, процессах и событиях на АРМ 4, АРМ 5 пользователей или функциональных серверах 9.Agent-administrator 7.1 security interacts with security server 8.1 ACS 8. The exchange includes control and configuration information about tasks, processes and events on AWP 4, AWP 5 users or functional servers 9.

Отображение информации и интерфейс с пользователем осуществляются в графическом виде. При включении агента-администратора 7.1 безопасности производится инициализация процесса установления соединения (регистрации) с сервером 8.1 безопасности. Агент-администратор 7.1 безопасности формирует запрос на регистрацию (установление) соединения с сервером 8.1 безопасности сервер-контроллера 8 домена и обрабатывает ответ.The display of information and the user interface are carried out in graphical form. When you enable the security administrator 7.1, the process of establishing a connection (registration) with the security server 8.1 is initialized. The security administrative agent 7.1 generates a request for registration (establishment) of a connection with the security server 8.1 of the domain controller 8 and processes the response.

Периодически агент-администратор 7.1 безопасности отправляет серверу 8.1 безопасности запрос на проверку наличия соединения и обрабатывает ответ. Взаимодействие агента администратора 7.1 безопасности с сервером 8.1 безопасности СКД 8 после установления логического соединения, в основном, осуществляется на основе запрос - ответного механизма.Periodically, the security agent 7.1 will send a request to the security server 8.1 to check for a connection and process the response. The interaction of the security administrator 7.1 agent with the security server 8.1 ACS 8 after establishing a logical connection is mainly carried out on the basis of a request-response mechanism.

Агент-администратор 7.1 реализует следующие группы функций.The 7.1 administrative agent implements the following groups of functions.

Группа функций по работе с объектами базы 8.2 данных сервера 8.1 безопасности сервер-контроллера 8 домена позволяет агенту-администратору 7.1 формировать запросы для сервера 8.1 безопасности сервер-контроллера 8 домена на получение списка объектов, на добавление, удаление и изменение свойств объектов (доменов, компьютеров, пользователей, групп пользователей, приложений, профилей безопасности). Запросы формируются по команде администратора 7.1 безопасности посредством графического интерфейса и обрабатываются полученные ответы.The group of functions for working with objects of the database 8.2 of the security server 8.1 of the server 8 domain controller 8 allows the agent administrator 7.1 to generate requests for the security server 8.1 of the server controller 8 domain to receive a list of objects, to add, delete and change properties of objects (domains, computers , users, user groups, applications, security profiles). Requests are generated by the command of the security administrator 7.1 through the graphical interface and the responses received are processed.

В оперативной памяти хранится информация о составе и состоянии управляемых объектов, их атрибутов и параметров, аналогичная информации в базе 8.2 данных сервера безопасности сервер-контроллера 8 домена.The RAM stores information about the composition and condition of the managed objects, their attributes and parameters, similar to the information in the database 8.2 of the security server of the server-controller 8 domain.

При получении ответа от сервера 8.1 безопасности изменяется состояние базы 8.2 данных СКД 8 в оперативной памяти АРМ 6 АБИ. Хранение объектов в оперативной памяти позволяет повысить быстродействие операций по графическому отображению состояния объектов. Например, для компьютера к этой группе функций относятся: запросы/ответы на получение списка компьютеров домена, на добавление компьютера, удаление компьютера, изменение свойств компьютера.Upon receipt of a response from the security server 8.1, the state of the data base 8.2 of the ACS 8 in the RAM of the AWP 6 ABI changes. Storing objects in RAM allows you to increase the speed of operations for graphically displaying the state of objects. For example, for a computer, this group of functions includes: requests / responses for obtaining a list of domain computers, for adding a computer, deleting a computer, changing computer properties.

Группа функций по работе с протоколом (журналом) событий позволяет обрабатывать запросы/ответы на просмотр и очистку протокола событий, на получение архива протокола событий.The group of functions for working with the protocol (log) of events allows you to process requests / responses to view and clear the protocol of events, to receive an archive of the protocol of events.

Группа функций по работе с протоколом (журналом) работы администратораThe group of functions for working with the protocol (log) of the administrator

безопасности информации позволяет обрабатывать запросы/ответы на просмотр и очистку протокола работы администратора 7.1 безопасности информации, на получение архива протокола работы администратора 7.1 безопасности информации.information security allows you to process requests / responses to view and clear the protocol of work of the administrator 7.1 security information, to obtain the archive of the protocol of work of the administrator 7.1 security information.

Группа функций по управлению компьютером обеспечивает формирование запросов серверу 8.1 безопасности сервер-контроллера 8 домена и обработку ответов на получение информации, списке запущенных приложений, удаленную перезагрузку, выключение компьютера или выход из системы, удаленный запуск приложения, формирование запросов на удаленное завершения приложения, на получение информации о текущем пользователе компьютера.A group of computer management functions provides the formation of requests to the security server 8.1 of the server of the domain controller 8 of the domain and the processing of responses to receive information, a list of running applications, remote reboot, shutdown the computer or exit the system, remotely launch the application, generate requests for remote completion of the application, to receive information about the current computer user.

Группа функций по обработке запросов от сервера 8.1 безопасности сервер-контроллера 8 домена о состоянии объектов обеспечивает обработку и отображение информации об изменении состояния компьютеров, запуске приложений пользователями, событиях-попытках несанкционированного доступа к информации.A group of functions for processing requests from the security server 8.1 of the server-controller 8 of the domain about the state of the objects provides the processing and display of information about changes in the status of computers, launching applications by users, events-attempts of unauthorized access to information.

Группа функций по контролю целостности предназначена для формирования запросов серверу 8.1 безопасности сервер-контроллера 8 домена и обработку ответов на получение или изменение списка файлов для проверки контрольных сумм для компьютеров домена.The integrity control group of functions is designed to formulate requests to the security server 8.1 of the server-controller 8 of the domain and process responses to receive or modify the list of files to check checksums for domain computers.

Система разграничения доступа является встроенной в базовую операционную систему системы безопасности мандатной моделью доступа, подразумевающей наличие для каждого субъекта и объекта доступа иерархических атрибутов и неиерархических атрибутов (категорий доступа).The access control system is a mandatory access model built into the basic operating system of the security system, which implies the existence of hierarchical attributes and non-hierarchical attributes (access categories) for each subject and access object.

Основным принципом работы системы безопасности базовой операционной системы является сосредоточение центральных процедур проверки прав доступа в мониторе безопасности, являющемся составной частью ядра базовой операционной системы. Функции монитора безопасности вызываются менеджером объектов базовой операционной системы при обращении к любому системному объекту с целью подтверждения полномочий обращающегося субъекта. При этом в монитор безопасности передается вся информация, необходимая для анализа атрибутов безопасности субъекта и объекта доступа.The basic principle of the security system of the base operating system is the concentration of central procedures for checking access rights in the security monitor, which is an integral part of the core of the base operating system. The security monitor functions are called by the object manager of the base operating system when accessing any system object in order to confirm the authority of the contacting entity. In this case, all the information necessary for the analysis of the security attributes of the subject and access object is transmitted to the security monitor.

Основным методом изменения системы безопасности базовой операционной системы в предлагаемой системе разграничения доступа является перехват функции проверки прав доступа в мониторе без опасности и дополнение описателей безопасности объектов и субъектов доступа мандатными атрибутами без нарушения внутренней структуры описателей. При этом сопоставление описателя объекту, его хранение и ограничение доступа к нему реализуется стандартными функциями базовой операционной системы.The main method for changing the security system of the base operating system in the proposed access control system is to intercept the function of checking access rights in the monitor without danger and supplement security descriptors of objects and access subjects with mandatory attributes without violating the internal structure of descriptors. In this case, the descriptor is compared to the object, its storage and access restriction to it are realized by standard functions of the base operating system.

В описатель безопасности субъекта доступа (маркер доступа, Token) мандатные атрибуты заносятся на этапе регистрации пользователя в системе и находятся в специально отмеченных элементах списка групп, к которым принадлежит пользователь.In the security descriptor of the access subject (access token, Token), credentials are entered at the stage of user registration in the system and are located in specially marked elements of the list of groups to which the user belongs.

Эти атрибуты состоят из уровня конфиденциальности, представляемого предопределенным при создании системы идентификатором безопасности (SID), и нескольких категорий доступа, каждая из которых представляется идентификатором безопасности определенных в агентстве безопасности групп пользователей. Хранение этой информации производится в базе 8.2 данных системы безопасности СКД 8 базовой операционной системы, при этом каждому пользователю системы соответствует несколько записей в базе 8.2 данных СКД 8: базовая запись, содержащая стандартные атрибуты пользователя в базовой операционной системе, и по одной записи для каждого грифа секретности, к работе с которым допущен пользователь, содержащей список категорий для соответствующего грифа и пользователя.These attributes consist of the level of confidentiality represented by the security identifier (SID) predefined when creating the system, and several access categories, each of which is represented by the security identifier of user groups defined in the security agency. This information is stored in the database 8.2 of the security system ACS 8 of the base operating system, while each user of the system has several entries in the database 8.2 of the ACS 8: a base record containing the standard user attributes in the base operating system, and one record for each neck secrecy, which the user is allowed to work with, containing a list of categories for the corresponding neck and user.

В описателе безопасности (дескрипторе защиты) объекта доступа (Security Descriptor) мандатные атрибуты заносятся в дискреционный список доступа (Discretionary Access Control List, DACL) в виде специально отмеченных элементов (Access Control Element, АСЕ), при этом идентификаторы безопасности этих элементов соответствуют описанным выше. Хранение описателей безопасности объектов доступа возлагается на схемы 1.2, 2.2, 3.2 разделения доступа пользователей и на схему 7.2 разделения доступа администратора безопасности.In the security descriptor (Security descriptor) of the access object (Security Descriptor), credentials are entered in the Discretionary Access Control List (DACL) in the form of specially marked elements (Access Control Element, ACE), while the security identifiers of these elements correspond to those described above . The storage of security descriptors of access objects is assigned to schemes 1.2, 2.2, 3.2 for sharing access for users and to scheme 7.2 for sharing access for the security administrator.

Система разграничения доступа реализует алгоритм проверки прав доступа, созданный на базе стандартного алгоритма монитора безопасности и дополненный проверкой мандатных атрибутов объекта и субъекта. Обработка мандатных атрибутов субъекта и объекта осуществляется по следующим правилам:The access control system implements an access control verification algorithm created on the basis of the standard security monitor algorithm and supplemented by checking the credential attributes of the object and subject. The processing of the mandatory attributes of the subject and object is carried out according to the following rules:

Субъект имеет доступ к объекту, если все перечисленные в описателе безопасности (дескрипторе защиты) объекта категории доступа входят в маркер доступа субъекта.The subject has access to the object if all the access categories listed in the security descriptor (security descriptor) of the object are included in the subject's access token.

Субъект имеет доступ по чтению и изменению объекта, если гриф секретности объекта имеет значение не более грифа секретности субъекта.The subject has access to read and change the object, if the secrecy of the object has a value of no more than the secrecy of the subject.

Если гриф секретности объекта больше грифа секретности субъекта и объект является контейнерным (содержит другие объекты), субъект имеет доступ на добавление в объект подобъектов.If the secrecy of an object is greater than the secrecy of the subject and the object is containerized (contains other objects), the subject has access to add subobjects to the object.

Если доступ разрешен в соответствии только с мандатными правилами разграничения доступа, но не разрешен по дискреционным (или наоборот), Доступ запрещается.If access is permitted in accordance only with the mandatory rules of access control, but is not allowed for discretionary (or vice versa), Access is denied.

Система управления разграничением доступа 8.6 СКД 8 является дополнением в базовую операционную систему и обеспечивает взаимодействие с автоматизированными системами в рамках единого информационного пространства путем приведения мандатной модели доступа (Mandatory Access Control - MAC) или дискреционной модели доступа (Discretional Access Control - DAC) к единой ролевой модели доступа (Role Based Access Control - RBAC)7 (7 (Sandhu, Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control PoliciesACM Transactions on Information and System Security, Vol.3, No. 2, May 2000.) Аппаратно-программные модули 4.3, 9.3, 6.3, 5.3, 8.5 доверенной загрузки, аппаратно-программные модули 4.4, 5.4 доверенной загрузки, осуществляющие шифрование носителей информации, подключаемых по интерфейсу USB, и аппаратно-программные модули 4.5, 5.5 доверенной загрузки, вырабатывающие и проверяющие электронную цифровую подпись, обеспечивают контроль целостности файловой системы АРМ пользователя 4, АРМ пользователя 5 и функциональных серверов 9, а так же порядок загрузки программного обеспечения на них в соответствии с выбранным уровнем доступа к информации.Access control system 8.6 ACS 8 is an addition to the basic operating system and provides interaction with automated systems within a single information space by bringing the Mandatory Access Control (MAC) or Discretional Access Control (DAC) model into a single role access models (Role Based Access Control - RBAC) 7 ( 7 (Sandhu, Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies ACM Transactions on Information and System Security, Vol.3, No. 2, May 2000.) Hardware software modules 4.3, 9.3, 6.3, 5.3, 8.5 trusted zag narrow, hardware and software modules 4.4, 5.4 trusted boot, encrypting storage media connected via USB, and hardware and software modules 4.5, 5.5 trusted boot, generating and verifying electronic digital signature, provide integrity control of the file system AWP user 4, AWP user 5 and functional servers 9, as well as the procedure for downloading software to them in accordance with the selected level of access to information.

Устройства 4.1, 9.1, 6.1, 5.1, 8.3 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства 4.2, 9.2, 6.2, 5.2, 8.4 криптографической защиты информации, передаваемой по протоколу IP, обеспечивают шифрование информации, передаваемой по сетевой магистрали 13 между АРМ пользователя 4, АРМ пользователя 5, функциональными серверами 9, СКД 8 и АРМ 6 АБИ.Devices 4.1, 9.1, 6.1, 5.1, 8.3 cryptographic protection of information transmitted over a local area network via Ethernet, and devices 4.2, 9.2, 6.2, 5.2, 5.2, cryptographic protection of information transmitted over IP, provide encryption of information transmitted over a network line 13 between the AWP of user 4, AWP of user 5, functional servers 9, ACS 8 and AWP 6 ABI.

СКЗИ 10, СКЗИ 11 передаваемой по открытым каналам связи, обеспечивает шифрование информации при передаче ее через участки, выходящие за пределы контролируемой зоны 12.SKZI 10, SKZI 11 transmitted over open communication channels, provides encryption of information when it is transmitted through areas outside the controlled zone 12.

Система дополнительной защиты информации является дополнением встроенной в базовую операционную систему модифицированной системы безопасности, реализующей алгоритм проверки прав доступа, созданный на базе стандартного алгоритма монитора безопасности и дополненный проверкой мандатных атрибутов объекта и субъекта.The system of additional information protection is a supplement to the modified security system built into the base operating system, which implements an access control verification algorithm based on the standard security monitor algorithm and supplemented by checking the credential attributes of the object and subject.

Система дополнительной защиты информации при входе пользователя в систему реализует дополнительный алгоритм его аутентификации с помощью средств 4.6, 5.6, 6.4 усиленной аутентификации (биометрических датчиков, ключевых носителей, считывателей смарткарт и т.п.).The system of additional information protection when a user logs into the system implements an additional authentication algorithm using enhanced authentication tools 4.6, 5.6, 6.4 (biometric sensors, key carriers, smartcard readers, etc.).

Для этого к стандартным элементам модифицированной системы безопасности добавляют «библиотеку расширения базовой системы идентификации и аутентификации пользователя», хранение аутентификационных данных для которой возлагается на базы 1.3, 2.3, 3.3 данных средств усиленной аутентификации пользователя и базу 7.3 данных средств усиленной аутентификации администратора безопасности.To do this, add to the standard elements of the modified security system a “library for expanding the basic system of user identification and authentication”, the storage of authentication data for which is assigned to databases 1.3, 2.3, 3.3 of the means of enhanced user authentication and database 7.3 of the means of enhanced authentication of the security administrator.

При входе пользователя в систему соответствующий агент 1.3 безопасности и агент администратор 7.1 безопасности с помощью хранящегося в соответствующей базе 1.3, 2.3, 3.3 данных средств усиленной аутентификации пользователя и в базе 7.3 данных средств усиленной аутентификации администратора безопасности проверяют, установлены ли и разрешены ли на запуск дополнительные системы защиты информации (средства 4.6, 5.6, 6.4 усиленной аутентификации), и при положительном результате они выдают команды на проверку аутентификационной информации средствам 4.6, 5.6, 6.4 усиленной аутентификации (биометрическим датчикам, ключевым носителям, считывателям смарт-карт и т.п.).When a user logs on to the system, the corresponding security agent 1.3 and the security administrator administrator 7.1 use the data from the enhanced user authentication tools stored in the corresponding database 1.3, 2.3, 3.3 and the security administrator’s enhanced authentication tool database 7.3 to check if additional security devices are installed and allowed to run information protection systems (means 4.6, 5.6, 6.4 of strong authentication), and if the result is positive, they issue commands for checking authentication information to means 4.6, 5.6, 6.4 of enhanced authentication (biometric sensors, key carriers, smart card readers, etc.).

После успешной аутентификации пользователя средствами 4.6, 5.6, 6.4 усиленной аутентификации информация о пользователе передается в систему контроля и управления профилями для дальнейшей штатной работы.After successful authentication of the user by means of 4.6, 5.6, 6.4 strong authentication, information about the user is transferred to the control and management system profiles for further regular work.

Удобство использования средств 4.6, 5.6, 6.4 усиленной аутентификации обусловлено отсутствием необходимости запоминания пользователем сложных паролей, т.к. используются технические средства 4.6, 5.6, 6.4 усиленной аутентификации (биометрические датчики, ключевые носители, считыватели смарт-карт и т.п.).Ease of use of means 4.6, 5.6, 6.4 of enhanced authentication is due to the fact that the user does not need to remember complex passwords, because technical means 4.6, 5.6, 6.4 of enhanced authentication are used (biometric sensors, key carriers, smart card readers, etc.).

Средства 4.7, 5.7, 9.4 обмена с внешними системами защиты информации осуществляет передачу файлов между системами защиты информации с сохранением мандатных атрибутов пересылаемых файлов.Means 4.7, 5.7, 9.4 of exchanging with external information protection systems transfer files between information protection systems while preserving the credentials of the transferred files.

Для осуществления обмена информацией во внешней системе защиты информации также должны содержаться средства 4.7, 5.7, 9.4 обмена с внешними системами защиты информации.To carry out the exchange of information, an external information protection system should also contain means 4.7, 5.7, 9.4 of an exchange with external information protection systems.

Поскольку классификации мандатных меток в различных системах защиты информации могут различаться, мандатные метки файла одной системы защиты информации могут оказаться неприменимы в другой системе защиты информации. Для сохранения мандатных атрибутов пересылаемых файлов средства 4.7, 5.7, 9.4 обмена с внешними системами защиты информации осуществляет преобразование мандатных меток передаваемых файлов к виду, используемому во внешней системе защиты информации. Преобразование выполняется в соответствии с набором правил, содержащихся в базе 1.4, 2.4, 3.4 данных системы обмена с внешними системами защиты.Since the classification of credentials in different information protection systems may vary, credential file labels of one information protection system may not be applicable in another information protection system. To preserve the credentials of the transferred files, means of exchange 4.7, 5.7, 9.4 with external information protection systems transforms the credentials of the transferred files to the form used in the external information protection system. The conversion is performed in accordance with the set of rules contained in the database 1.4, 2.4, 3.4 of the data exchange system with external protection systems.

Правила представляют собой набор соответствий грифов секретности категорий доступа системы защиты информации от несанкционированного доступа к конфиденциальной информации, грифам секретности и категориям доступа одной или нескольких внешних систем защиты информации.The rules are a set of correspondence labels of security categories of access categories of an information protection system against unauthorized access to confidential information, privacy labels and access categories of one or more external information protection systems.

Передача информации выполняется следующим образом - мандатная метка пересылаемого файла считывается и преобразуется в соответствии с правилами, заданными в базе 1.4, 2.4, 3.4 данных системы обмена с внешними системами защиты. Файл и его преобразованная метка пересылаются и сохраняются во внешнюю систему защиты информации.Information transfer is performed as follows - the credential mark of the file being sent is read and converted in accordance with the rules specified in the database 1.4, 2.4, 3.4 of the data exchange system with external protection systems. The file and its converted label are sent and saved to an external information protection system.

Передача файла в обратную сторону выполняется аналогично.File transfer in the opposite direction is similar.

При использовании предлагаемой системы защиты информации от несанкционированного доступа к конфиденциальной информации, достигается возможность защищенного обмена информацией с внешними системами защиты информации, использующими отличающиеся классификации мандатных меток, за счет преобразования мандатных меток в процессе обмена к классификации внешней системы защиты информации при передаче файлов во внешнюю систему защиты информации и обратного преобразование при получении файлов из внешней системы.Using the proposed system for protecting information from unauthorized access to confidential information, the possibility of a secure exchange of information with external information protection systems using different classification of credentials is achieved by converting credentials in the exchange process to classify an external information protection system when transferring files to an external system information protection and reverse conversion when receiving files from an external system.

Повышения защищенности информации при реализации распределенных сетевых атак отказа в обслуживании на автоматизированные системы за счет выражения дискреционной и мандатной моделей доступа, используемых в наиболее близкой к предлагаемой системе, через ролевую модель доступа и реализации единой схемы разграничения доступа на базе ролевой модели оценивалась путем моделирования ролевой схемы разграничения доступа на основе экспериментально сформированных мандатной и дискреционной матриц доступа. В ходе моделирования количество субъектов и объектов доступа являлись константой, множество возможных операций доступа определялось возможностями операционной системы Astra Linux SE. Вероятность несанкционированного доступа к информации при применении для решения задачи гетерогенных моделей доступа оценивалась в соответствии с выражением:Increasing information security during the implementation of distributed network denial of service attacks on automated systems by expressing the discretionary and credential access models used in the closest to the proposed system through the role-based access model and implementing a single access differentiation scheme based on the role model was evaluated by modeling the role scheme access control based on experimentally generated credential and discretionary access matrices. During the simulation, the number of access subjects and objects was a constant; many possible access operations were determined by the capabilities of the Astra Linux SE operating system. The probability of unauthorized access to information when applied to solve the problem of heterogeneous access models was evaluated in accordance with the expression:

PНСД=1-(1-р)Nc,P NSD = 1- (1-p) Nc ,

где:Where:

p - условная вероятность осуществления НСД в результате использования одной сущности (правила доступа) модели доступа;p is the conditional probability of the implementation of the NSD as a result of using one entity (access rule) of the access model;

Nc - количество сущностей в модели доступа.Nc is the number of entities in the access model.

Результаты моделирования представлены на фиг. 12. В ходе моделирования предельно допустимый уровень вероятности НСД определялся на основании основных технических требований к защищенности информации в автоматизированных системах специального назначения.The simulation results are presented in FIG. 12. During the simulation, the maximum permissible level of probability of unauthorized access was determined on the basis of the main technical requirements for information security in automated systems for special purposes.

Характер зависимостей РНСД показывает, что использование единой для участвующих в информационном обмене автоматизированных систем ролевой схемы разграничения доступа приводит к снижению размерности задачи разграничения доступа путем определения близкого к оптимальному множества ролей и соответственно сущностей модели, а также исключению противоречивых прав доступа взаимодействующих систем защиты, что обеспечивает повышение защищенности информации от НСД.The nature of the dependencies R of the NSD shows that the use of a role-based access control scheme for the automated systems participating in the information exchange reduces the dimensionality of the access control task by determining a near-optimal set of roles and, accordingly, model entities, as well as eliminating conflicting access rights of interacting security systems, which provides increased information security from unauthorized access.

Claims (4)

1. Система защиты информации от несанкционированного доступа, включающая первое автоматизированное рабочее место (АРМ) с системой защиты информации (СЗИ) 1, второе АРМ с СЗИ 2 и третье АРМ с СЗИ 3, первое АРМ пользователя 4, второе АРМ пользователя 5, блок защиты администратора безопасности информации (АБИ) 7, функциональный сервер 9, сервер контроллера домена (СКД) 8, АРМ АБИ 6, первое средство криптографической защиты информации (СКЗИ) 10 и второе СКЗИ 11, связанные друг с другом по открытому каналу через неконтролируемую территорию 12, причем первый 1.5, второй 1.6, третий 1.7 и четвертый 1.8 входы/выходы первого АРМ с СЗИ 1 подключены соответственно к первому 4.9, второму 4.10, третьему 4.11 и четвертому 4.12 входам/выходам АРМ 4, а пятый 4.13 и шестой 4.14 входы/выходы АРМ 4 подключены к сетевой магистрали 13, кроме того, первый 2.5, второй 2.6, третий 2.7 и четвертый 2.8 входы/выходы второго АРМ с СЗИ 2 подключены соответственно к первому 9.6, второму 9.7, третьему 9.8 и четвертому 9.9 входам/выходам функционального сервера 9, пятый 9.10 и шестой 9.11 входы/выходы которого подключены к сетевой магистрали 13, первый 7.4, второй 7.5 и третий 7.6 входы/выходы системы защиты АБИ 7 подключены соответственно к первому 6.6, второму 6.7 и третьему 6.8 входам/выходам АРМ АБИ 6, четвертый 6.9 и пятый 6.10 входы/выходы которого подключены к сетевой магистрали 13, первый 8.8 и второй 8.9 входы/выходы СКД 8 подключены к сетевой магистрали 13, первый 5.13 и второй 5.14 выходы АРМ 5 подключены к сетевой магистрали 13, а третий 5.9, четвертый 5.10, пятый 5.11 и шестой 5.12 входы/выходы АРМ 5 подключены соответственно к первому 3.5, второму 3.6, третьему 3.7 и четвертому 3.8 входам/выходам АРМ с СЗИ 3, отличающаяся тем, что дополнительно в сетевую магистраль 13 перед входом первого СКЗИ 10 включен первый межсетевой экран (МСЭ) 14, а второй МСЭ 15 подключен к сетевой магистрали 13 после второго СКЗИ 11, причем СКД 8 состоит из сервера безопасности 8.1, базы данных сервера безопасности 8.2, устройства криптографической защиты информации по протоколу Ethernet 8.3, устройства криптографической защиты информации по протоколу IP 8.4, аппаратно-программного модуля доверенной загрузки (АПМДЗ) 8.5, блока управления разграничением доступа 8.6, входы/выходы которых подключены к шине 8.7 управления и обмена данными СКД 8, а входы/выходы устройства криптографической защиты информации по протоколу Ethernet 8.3 и устройство криптографической защиты информации по протоколу IP 8.4 являются первым и вторым выходом СКД 8.1. Information protection system against unauthorized access, including the first automated workstation (AWS) with information security system (SZI) 1, the second AWP with SZI 2 and the third AWP with SZI 3, the first AWP of user 4, the second AWP of user 5, protection unit Information Security Administrator (ABI) 7, functional server 9, domain controller server (ACS) 8, AWM ABI 6, the first cryptographic information protection tool (CIP) 10 and the second cryptographic information protection device 11 connected to each other via an open channel through an uncontrolled territory 12, and the first 1.5, second 1.6, third 1.7 and fourth 1.8 inputs / outputs of the first workstation with SZI 1 are connected respectively to the first 4.9, second 4.10, third 4.11 and fourth 4.12 inputs / outputs of workstation 4, and the fifth 4.13 and sixth 4.14 inputs / outputs of workstation 4 are connected to the network backbone 13, in addition, the first 2.5, second 2.6, third 2.7 and fourth 2.8 inputs / outputs of the second workstation with SZI 2 are connected respectively to the first 9.6, second 9.7, third 9.8 and fourth 9.9 inputs / outputs of the functional server 9, fifth 9.10 and the sixth 9.11, the inputs / outputs of which are connected to the network trunk 13, the first 7.4, the second 7.5 and the third 7.6 inputs / outputs of the ABI 7 protection system are connected respectively to the first 6.6, second 6.7 and third 6.8 inputs / outputs of the AWI 6 automated workstation, the fourth 6.9 and fifth 6.10 inputs / outputs of which are connected to the network trunk 13, the first 8.8 and second 8.9 inputs / outputs ACS 8 are connected to the network trunk 13, the first 5.13 and second 5.14 outputs of the AWP 5 are connected to the network trunk 13, and the third 5.9, fourth 5.10, fifth 5.11 and sixth 5.12 inputs / outputs of the AWP 5 are connected respectively to the first 3.5, second 3.6, third 3.7 and the fourth 3.8 inputs / outputs AWP with SZI 3, characterized in that In addition, the first firewall (ITU) 14 is included in the network highway 13 before the entrance of the first CPSI 10, and the second ITU 15 is connected to the network highway 13 after the second CPSI 11, where the ACS 8 consists of a security server 8.1, a database of the security server 8.2, and a cryptographic device protection of information via Ethernet 8.3, devices of cryptographic protection of information according to IP 8.4, hardware-software module of trusted boot (APMDZ) 8.5, access control control unit 8.6, the inputs / outputs of which are connected to the control bus 8.7 tions and data exchange DLE 8, and input / output devices for cryptographic protection of Ethernet protocol data unit 8.3 and cryptographic protection protocol IP 8.4 are the first and second output SKD 8. 2. Система защиты по п. 1, отличающаяся тем, что первое АРМ пользователя 4 состоит из устройства криптографической защиты информации по протоколу Ethernet 4.1, устройства криптографической защиты информации по протоколу IP 4.2, АПМДЗ 4.3, АПМДЗ с использованием шифрования носителей информации, подключаемых по интерфейсу USB 4.4, АПМДЗ с вырабатыванием и проверкой электронной цифровой подписи (ЭЦП) 4.5, средства 4.6 усиленной аутентификации, блока 4.7 обмена с внешними системами защиты информации, входы/выходы которых подключены к шине 4.8 управления и обмена данными АРМ, причем входы/выходы 4.13, 4.14 являются первым и вторым входами/выходами первого АРМ пользователя 4, а его третий 4.9, четвертый 4.10, пятый 4.11 и шестой 4.12 входы/выходы подключены к шине 4.8 управления и обмена данными АРМ.2. The security system according to claim 1, characterized in that the first AWP of user 4 consists of a cryptographic information protection device using Ethernet 4.1 protocol, a cryptographic information protection device using IP 4.2 protocol, APMDZ 4.3, APMDZ using encryption of storage media connected via the interface USB 4.4, APMDZ with the generation and verification of electronic digital signatures (EDS) 4.5, means 4.6 enhanced authentication, block 4.7 exchange with external information protection systems, the inputs / outputs of which are connected to the bus 4.8 control and exchange AWP data, and the inputs / outputs 4.13, 4.14 are the first and second inputs / outputs of the first AWP of user 4, and his third 4.9, fourth 4.10, fifth 4.11 and sixth 4.12 inputs / outputs are connected to the workstation control and communication bus 4.8. 3. Система защиты информации по п. 1, отличающаяся тем, что второе АРМ пользователя 5 состоит из устройства криптографической защиты информации по протоколу Ethernet 5.1, устройства криптографической защиты информации по протоколу IP 5.2, АПМДЗ 5.3, АПМДЗ с USB 5.4, АПМДЗ с ЭЦП 5.5, средства усиленной аутентификации 5.6, блока 5.7 обмена с внешними системами защиты информации, входы/выходы которых подключены к шине управления и обмена данными 5.8, причем входы/выходы 5.13, 5.14 являются первым и вторым входами/выходами второго АРМ пользователя 5, а его третий 5.9, четвертый 5.10, пятый 5.11 и шестой 5.12 входы/выходы подключены к шине управления и обмена данными АРМ 5.8.3. The information protection system according to claim 1, characterized in that the second AWP of user 5 consists of a cryptographic information protection device using Ethernet 5.1 protocol, a cryptographic information protection device using IP 5.2 protocol, APMDZ 5.3, APMDZ with USB 5.4, and APMDZ with digital signature 5.5 , means of enhanced authentication 5.6, block 5.7 exchange with external information protection systems, the inputs / outputs of which are connected to the control and data exchange bus 5.8, the inputs / outputs 5.13, 5.14 being the first and second inputs / outputs of the second workstation of user 5, and his third 5.9 Thursday rty 5.10, fifth and sixth 5.11 5.12 inputs / outputs connected to the control bus and the data exchange APM 5.8. 4. Система защиты по п. 1, отличающаяся тем, что АРМ АБИ 6 состоит из устройства криптографической защиты информации по протоколу Ethernet 6.1, устройства криптографической защиты информации по протоколу IP 6.2, АПМДЗ 6.3, средства усиленной аутентификации 6.4, входы/выходы которых подключены к шине управления и обмена данными 6.5, причем входы/выходы 6.9, 6.10 являются первым и вторым входами/выходами АРМ АБИ 6, а его третий 6.6, четвертый 6.7 и пятый 6.8 входы/выходы являются соответственно первым 7.4 вторым 7.5 и третьим 7.6 входами/выходами блока защиты АБИ 7.4. The security system according to claim 1, characterized in that the ABI 6 workstation consists of a cryptographic information protection device using Ethernet 6.1 protocol, a cryptographic information protection device using IP 6.2 protocol, APMDZ 6.3, enhanced authentication means 6.4, the inputs / outputs of which are connected to the control and data exchange bus 6.5, with the inputs / outputs 6.9, 6.10 being the first and second inputs / outputs of the AWI AWP 6, and its third 6.6, fourth 6.7 and fifth 6.8 inputs / outputs, respectively, the first 7.4, second 7.5 and third 7.6 inputs / outputs ABI protection unit 7.
RU2017125227A 2017-07-13 2017-07-13 System of protection of information from unauthorized access RU2648942C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017125227A RU2648942C1 (en) 2017-07-13 2017-07-13 System of protection of information from unauthorized access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017125227A RU2648942C1 (en) 2017-07-13 2017-07-13 System of protection of information from unauthorized access

Publications (1)

Publication Number Publication Date
RU2648942C1 true RU2648942C1 (en) 2018-03-28

Family

ID=61867030

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017125227A RU2648942C1 (en) 2017-07-13 2017-07-13 System of protection of information from unauthorized access

Country Status (1)

Country Link
RU (1) RU2648942C1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6324647B1 (en) * 1999-08-31 2001-11-27 Michel K. Bowman-Amuah System, method and article of manufacture for security management in a development architecture framework
US20110167256A1 (en) * 2010-01-05 2011-07-07 Ade Lee Role-based access control utilizing token profiles
RU2444057C1 (en) * 2010-07-01 2012-02-27 Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" System for preventing unauthorised access to confidential information and information containing personal details
US20130159021A1 (en) * 2000-07-06 2013-06-20 David Paul Felsher Information record infrastructure, system and method
US20150281278A1 (en) * 2014-03-28 2015-10-01 Southern California Edison System For Securing Electric Power Grid Operations From Cyber-Attack
RU2571372C1 (en) * 2014-07-17 2015-12-20 Российская Федерация, от имени которой выступает государственный заказчик Министерство промышленности и торговли Российской Федерации (Минпромторг России) System for protecting information containing state secrets from unauthorised access

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6324647B1 (en) * 1999-08-31 2001-11-27 Michel K. Bowman-Amuah System, method and article of manufacture for security management in a development architecture framework
US20130159021A1 (en) * 2000-07-06 2013-06-20 David Paul Felsher Information record infrastructure, system and method
US20110167256A1 (en) * 2010-01-05 2011-07-07 Ade Lee Role-based access control utilizing token profiles
RU2444057C1 (en) * 2010-07-01 2012-02-27 Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" System for preventing unauthorised access to confidential information and information containing personal details
US20150281278A1 (en) * 2014-03-28 2015-10-01 Southern California Edison System For Securing Electric Power Grid Operations From Cyber-Attack
RU2571372C1 (en) * 2014-07-17 2015-12-20 Российская Федерация, от имени которой выступает государственный заказчик Министерство промышленности и торговли Российской Федерации (Минпромторг России) System for protecting information containing state secrets from unauthorised access

Similar Documents

Publication Publication Date Title
US10063594B2 (en) Network access control with compliance policy check
US9866566B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
EP2345977B1 (en) Client computer for protecting confidential file, server computer therefor, method therefor, and computer program
EP1842127B1 (en) Method and system for securely identifying computer storage devices
US9288199B1 (en) Network access control with compliance policy check
CN110892691A (en) Secure execution platform cluster
EP2575070B1 (en) Classification-based digital rights management
CN114553540B (en) Zero trust-based Internet of things system, data access method, device and medium
EP3884405B1 (en) Secure count in cloud computing networks
EP2509026A1 (en) System for enterprise digital rights management
CN102667792B (en) For the method and apparatus of the file of the file server of access security
CN109936555A (en) A kind of date storage method based on cloud platform, apparatus and system
RU2434283C1 (en) System for protecting information containing state secrets from unauthorised access
US11770363B2 (en) Systems and methods for secure access smart hub for cyber-physical systems
EP3902225A1 (en) Systems and methods for secure over-the-air updates for cyber-physical systems
RU2443017C1 (en) System of data protection from unauthorized access to the data that constitutes national security information
RU2648942C1 (en) System of protection of information from unauthorized access
CN108347411B (en) Unified security guarantee method, firewall system, equipment and storage medium
RU2571372C1 (en) System for protecting information containing state secrets from unauthorised access
RU2444057C1 (en) System for preventing unauthorised access to confidential information and information containing personal details
AT&T
RU2504835C1 (en) System for protecting information containing state secrets from unauthorised access
KR20100067383A (en) Server security system and server security method
RU2504834C1 (en) System for protecting information containing state secrets from unauthorised access
Shiu et al. Security for digital manufacturing

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20190714