RU2801247C1 - Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации - Google Patents
Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации Download PDFInfo
- Publication number
- RU2801247C1 RU2801247C1 RU2022119279A RU2022119279A RU2801247C1 RU 2801247 C1 RU2801247 C1 RU 2801247C1 RU 2022119279 A RU2022119279 A RU 2022119279A RU 2022119279 A RU2022119279 A RU 2022119279A RU 2801247 C1 RU2801247 C1 RU 2801247C1
- Authority
- RU
- Russia
- Prior art keywords
- firewall
- network
- external
- corporate network
- external network
- Prior art date
Links
Abstract
Изобретение относится к области защиты вычислительных сетей. Технический результат заключается в повышении защищенности информации, циркулирующей в корпоративной сети, подключенной к внешней сети, без усложнения процедуры доступа пользователей к внешней сети и процедуры обмена данными между корпоративной и внешней сетью. Система содержит внутреннюю корпоративную и внешнюю сети, а также дополнительно содержит межсетевой экран, выполненный с возможностью анализа и фильтрации входящего и исходящего трафика на основе правил, разрабатываемых администратором безопасности, и с применением механизмов проверки трафика на наличие вредоносных программ и уязвимостей, соединенный с одной стороны с ядром внутренней корпоративной сети, к которому подключено n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn, а с другой стороны - с системой защиты от DDoS-атак, подключенной, в свою очередь, к внешней сети, и обеспечивающей защиту межсетевого экрана от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени. 2 н. и 1 з.п. ф-лы, 1 ил.
Description
Изобретение относится к области защиты вычислительных сетей и может использоваться для защиты информации, циркулирующей во внутренних корпоративных сетях организаций, от несанкционированного доступа и внешних компьютерных атак.
Из уровня техники известны способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации (патент RU №2387086, МПК: H04L 12/00, опубликован 20.04.2010), выбранные в качестве прототипа для заявляемых способа и системы. В указанном способе при работе с внешними сетями обмен данными осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройство фильтрации трафика и преобразования формы представления данных, подключенное к внутренней сети. Система обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями содержит внутреннюю сеть и внешнюю выделенную сеть. Выделенная сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети. При этом система также содержит двухвходовый накопитель цифровой информации, соединенный с виртуальными операционными средами внутренних пользователей на сервере, и устройство фильтрации трафика и преобразования формы представления данных, соединенное с двухвходовым накопителем цифровой информации напрямую или через сетевое оборудование, и накопителем цифровой информации во внутренней локальной вычислительной сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети при помощи устройства для переключения одного набора периферии между ПЭВМ внутренних пользователей и терминалами.
Недостатком прототипа является невозможность гарантировать достаточную защиту от компьютерных атак из внешней сети и невозможность в полной мере обеспечить защиту от угроз передачи инфицированных вирусами программ и файлов. Также недостатком прототипа является усложнение процедуры доступа пользователей к внешней сети и обмена данными между внешней сетью и корпоративной сетью передачи данных.
Технической проблемой, решаемой созданием данного изобретения, является невысокая защищенность информации, циркулирующей в корпоративной сети, а также сложность процедуры доступа пользователей к внешней сети и процедуры обмена данными между корпоративной и внешней сетью.
Техническим результатом предлагаемого изобретения является повышение защищенности информации, циркулирующей в корпоративной сети, подключенной к внешней сети (например, к сети Internet) за счет применения комбинации средств защиты информации, выбранных с учетом возможных компьютерных атак на корпоративную сеть, без усложнения процедуры доступа пользователей к внешней сети и процедуры обмена данными между корпоративной и внешней сетью.
Технический результат для способа достигается тем, что в способе обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак осуществляется обмен данными между внешней сетью и внутренней корпоративной сетью. При этом он отличается от прототипа тем, что обмен данными осуществляют через межсетевой экран нового поколения и последовательно соединенную с ним систему защиты от DDoS-атак, которые подключают на границе периметра внутренней корпоративной сети с внешней сетью.
Технический результат для системы достигается тем, что система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак содержит внутреннюю корпоративную и внешнюю сети, а также дополнительно содержит межсетевой экран нового поколения, выполненный с возможностью анализа и фильтрации входящего и исходящего трафика на основе правил, разрабатываемых администратором безопасности, и с применением механизмов проверки трафика на наличие вредоносных программ и уязвимостей, соединенный с одной стороны с ядром внутренней корпоративной сети, к которому подключено n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn, а с другой стороны - с системой защиты от DDoS-атак, подключенной, в свою очередь, к внешней сети, и обеспечивающей защиту межсетевого экрана нового поколения от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени.
Сущность заявляемых способа обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и системы для его реализации поясняется рисунком.
При работе с внешними сетями обмен данными осуществляют с применением ряда средств защиты информации, а именно через межсетевой экран нового поколения и последовательно соединенную с ним систему защиты от DDoS-атак, подключенных на границе периметра внутренней корпоративной сети с внешней сетью (например, Internet). Корпоративная сеть представляет собой сеть передачи данных, включающую n рабочих станций на рабочих местах внутренних пользователей, соединенных через активное сетевое оборудование с серверами.
На границе периметра внутренней корпоративной сети 1 с внешней сетью 2 система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак содержит межсетевой экран 3 нового поколения (NGFW - Next-Generation Firewall), позволяющий фильтровать проходящий через него трафик, как из внешней сети 2, так и из внутренней корпоративной сети 1, в соответствии с политиками безопасности, разрабатываемых администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана посредством использования изолированной среды для проверки потенциально вредоносных программ (sandbox, песочница). На случай выхода из строя межсетевого экрана 3 в системе может быть установлен дублирующий его и связанный с ним аналогичный межсетевой экран, который с заданным интервалом времени синхронизирует свои настройки и политики безопасности с основным межсетевым экраном 3. Последовательно к межсетевому экрану 3 с одной стороны подключается система защиты от DDoS-атак (Distributed Denial of Service распределенный отказ в обслуживании) 4, соединенная, в свою очередь, с внешней сетью 2. Система защиты от DDoS-атак 4 позволяет защитить межсетевой экран 3 от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени, анализируемых межсетевым экраном 3. В данной системе n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn 5, подключены через сетевую инфраструктуру (активное сетевое оборудование) к ядру корпоративной сети 6. При этом межсетевой экран 3 нового поколения с другой стороны соединен с указанным ядром корпоративной сети 6.
Корпоративная сеть 1 физически представляет собой единую сеть, позволяющую пользователям со своего рабочего места одновременно иметь безопасный доступ к внешним сетям и локальным информационным и вычислительным ресурсам.
Система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак работает следующим образом.
В исходной ситуации внутренний пользователь одновременно работает и во внутренней корпоративной 1 и во внешней 2 сетях при помощи стандартных программ. При необходимости переноса информации из внешней сети 2 во внутреннюю 1 пользователь сохраняет информацию. При этом на межсетевом экране 3 создается сессия, в рамках которой межсетевой экран 3 поочередно проверяет легитимность данной сессии в рамках настроенных политик NAT (Network Address Translation - подмена сетевого адреса), политик безопасности (разрешения либо запрета доступа определенных пользователей, групп пользователей, рабочих станций и т.д. до определенных ресурсов либо приложений), политик QoS (Quality of Service - политики приоритезации трафика). В случае, если в разрезе политик сессия является не легитимной, она обрывается. Если сессия является легитимной, происходит анализ трафика в соответствии с сигнатурами межсетевого экрана 3 на наличие вредоносных программ и уязвимостей. Если информация о файлах в сигнатурах отсутствует, файл перенаправляется в «песочницу» (sandbox), предназначенную для запуска виртуальных машин с типовыми операционными системами. На этих виртуальных машинах воспроизводят файлы, которые нужно проверить. «Песочница» анализирует, что файл делает в системе: соединяется ли с интернетом, меняет ли реестр, удаляет ли системные файлы. Так определяется, является ли проверяемый файл вредоносным. Информация о новых вирусах из «песочницы» передается вендору, чтобы он занес их в базу и впоследствии другие клиенты отсекали эти вирусы уже с помощью межсетевого экрана 3 и сигнатурного подхода. В случае если файлы безопасны они сохраняются на рабочей станции в VLANn 5 пользователя.
Если файлы представляют угрозу, то межсетевой экран 3 обрывает сессию, не позволяя вредоносным программам и файлам попасть внутрь периметра локальной корпоративной сети 1.
Таким образом, применение предлагаемой системы, состоящей из наиболее оптимальных по соотношению цена/качество средств защиты информации от различного рода компьютерных атак (компьютерные вирусы, DDoS, фишинг, несанкционированный доступ по открытым сетевым портам), существенно повышает защищенность информации, циркулирующей в корпоративной сети 1, а так же устойчивость канала передачи данных между корпоративной 1 и внешней 2 сетями.
Технический эффект предлагаемого изобретения состоит в том, что за счет введения на границу корпоративной и внешней сетей комбинации средств защиты информации от компьютерных атак значительно повышается уровень защищенности информации, циркулирующей в корпоративной сети, удобство использования сети и общая экономическая эффективность принятых для этого мер. Кроме того, повышается эффективность работы пользователя за счет предоставления ему возможности самостоятельно работать во внешних сетях. Исключается человеческий фактор (роль оператора в прототипе), повышается безопасность за счет использования постоянно обновляемых сигнатур, а так же использования «песочницы» для тестирования сценариев поведения файлов, сохраненных из внешних сетей, в различных ОС, повышается оперативность передачи данных за счет исключения лишних звеньев, повышается отказоустойчивость за счет применения кластера межсетевых экранов, работающих в режиме актив/пассив, и системы защиты от DDoS-атак.
Claims (3)
1. Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак, в котором производится обмен данными между внешней сетью и внутренней корпоративной сетью, отличающийся тем, что обмен данными осуществляют через межсетевой экран, позволяющий фильтровать проходящий через него трафик, как из внешней сети, так и из внутренней корпоративной сети, в соответствии с политиками безопасности, разрабатываемыми администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана, посредством использования изолированной среды для проверки потенциально вредоносных программ, и последовательно соединенную с ним систему защиты от DDoS-атак, которые подключают на границе периметра внутренней корпоративной сети с внешней сетью.
2. Система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак, содержащая внутреннюю корпоративную и внешнюю сети, отличающаяся тем, что система дополнительно содержит межсетевой экран, позволяющий фильтровать проходящий через него трафик, как из внешней сети, так и из внутренней корпоративной сети, в соответствии с политиками безопасности, разрабатываемыми администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана, посредством использования изолированной среды для проверки потенциально вредоносных программ, соединенный с одной стороны с ядром внутренней корпоративной сети, к которому подключено n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn, а с другой стороны - с системой защиты от DDoS-атак, подключенной, в свою очередь, к внешней сети, и обеспечивающей защиту упомянутого межсетевого экрана от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени.
3. Система по п. 2, отличающаяся тем, что межсетевой экран, позволяющий фильтровать проходящий через него трафик, как из внешней сети, так и из внутренней корпоративной сети, в соответствии с политиками безопасности, разрабатываемыми администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана, посредством использования изолированной среды для проверки потенциально вредоносных программ, на случай выхода его из строя связан с дублирующим его аналогичным межсетевым экраном.
Publications (1)
Publication Number | Publication Date |
---|---|
RU2801247C1 true RU2801247C1 (ru) | 2023-08-04 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2387086C1 (ru) * | 2008-11-21 | 2010-04-20 | Российская Федерация в лице Министерства промышленности и торговли Российской Федерации (Минпромторг России) | Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации |
US20160241591A1 (en) * | 2007-09-28 | 2016-08-18 | Secureworks Corp. | System and Method for Identification and Blocking of Unwanted Network Traffic |
US20160294858A1 (en) * | 2015-04-02 | 2016-10-06 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US20170310706A1 (en) * | 2016-04-26 | 2017-10-26 | Acalvio Technologies, Inc. | Tunneling For Network Deceptions |
RU2636640C2 (ru) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160241591A1 (en) * | 2007-09-28 | 2016-08-18 | Secureworks Corp. | System and Method for Identification and Blocking of Unwanted Network Traffic |
RU2387086C1 (ru) * | 2008-11-21 | 2010-04-20 | Российская Федерация в лице Министерства промышленности и торговли Российской Федерации (Минпромторг России) | Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации |
US20160294858A1 (en) * | 2015-04-02 | 2016-10-06 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
RU2636640C2 (ru) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак |
US20170310706A1 (en) * | 2016-04-26 | 2017-10-26 | Acalvio Technologies, Inc. | Tunneling For Network Deceptions |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10904293B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
WO2007134023A2 (en) | Portable firewall | |
US8548998B2 (en) | Methods and systems for securing and protecting repositories and directories | |
GB2427108A (en) | Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network | |
US20040153665A1 (en) | Wireless network control and protection system | |
Arefin et al. | Enterprise network: Security enhancement and policy management using next-generation firewall (NGFW) | |
Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
RU2801247C1 (ru) | Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации | |
Campos et al. | A Sdn-Based Flexible System For On-The-Fly Monitoring And Treatment Of Security Events | |
Deng et al. | TNC-UTM: A holistic solution to secure enterprise networks | |
Stepanek | Distributed firewalls | |
Barrett et al. | CompTIA Security+ SY0-401 Exam Cram | |
Ma et al. | Research on Setting of Two Firewall Rules Based on Ubuntu Linux System | |
Baker et al. | Assurance: the power behind PCASSO security. | |
Faheem | Multiagent-based security for the wireless LAN | |
Lo Giudice et al. | Firewalls: Types, Policies, Security Issues and Best Practices | |
Hidayat et al. | Distributed Denial of Service (DDoS) Mitigation: Security Awareness Domain and Resources (SADAR) | |
Singh et al. | Data Security in Local Network through Distributed Firewalls: A Review | |
Axner | Network Security: Firewalls Guard Intranets from Invasion | |
Qiu et al. | Research Advanced in the Security Defence of Software Defined Network | |
Ali et al. | Design and implementation of a secured remotely administrated network | |
Vanikalyani et al. | Cross-domain search for policy anomalies in firewall | |
Karl | Securing Solaris Servers Using Host-based Firewalls | |
Vasagiri | Secured Remote Network Architecture with Gateway Server | |
MARTINI | Managing Security of Computer Network Applications using Encryption Techniques |