RU2801247C1 - Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации - Google Patents

Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации Download PDF

Info

Publication number
RU2801247C1
RU2801247C1 RU2022119279A RU2022119279A RU2801247C1 RU 2801247 C1 RU2801247 C1 RU 2801247C1 RU 2022119279 A RU2022119279 A RU 2022119279A RU 2022119279 A RU2022119279 A RU 2022119279A RU 2801247 C1 RU2801247 C1 RU 2801247C1
Authority
RU
Russia
Prior art keywords
firewall
network
external
corporate network
external network
Prior art date
Application number
RU2022119279A
Other languages
English (en)
Inventor
Александр Андреевич Конкин
Евгений Васильевич Лынов
Максим Сергеевич Никифоров
Илья Евгеньевич Румянцев
Ольга Александровна Юрьева
Original Assignee
Акционерное общество "Государственный Рязанский приборный завод"
Filing date
Publication date
Application filed by Акционерное общество "Государственный Рязанский приборный завод" filed Critical Акционерное общество "Государственный Рязанский приборный завод"
Application granted granted Critical
Publication of RU2801247C1 publication Critical patent/RU2801247C1/ru

Links

Abstract

Изобретение относится к области защиты вычислительных сетей. Технический результат заключается в повышении защищенности информации, циркулирующей в корпоративной сети, подключенной к внешней сети, без усложнения процедуры доступа пользователей к внешней сети и процедуры обмена данными между корпоративной и внешней сетью. Система содержит внутреннюю корпоративную и внешнюю сети, а также дополнительно содержит межсетевой экран, выполненный с возможностью анализа и фильтрации входящего и исходящего трафика на основе правил, разрабатываемых администратором безопасности, и с применением механизмов проверки трафика на наличие вредоносных программ и уязвимостей, соединенный с одной стороны с ядром внутренней корпоративной сети, к которому подключено n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn, а с другой стороны - с системой защиты от DDoS-атак, подключенной, в свою очередь, к внешней сети, и обеспечивающей защиту межсетевого экрана от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени. 2 н. и 1 з.п. ф-лы, 1 ил.

Description

Изобретение относится к области защиты вычислительных сетей и может использоваться для защиты информации, циркулирующей во внутренних корпоративных сетях организаций, от несанкционированного доступа и внешних компьютерных атак.
Из уровня техники известны способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации (патент RU №2387086, МПК: H04L 12/00, опубликован 20.04.2010), выбранные в качестве прототипа для заявляемых способа и системы. В указанном способе при работе с внешними сетями обмен данными осуществляют через двухвходовый накопитель цифровой информации, к которому имеется доступ из внешней сети, и устройство фильтрации трафика и преобразования формы представления данных, подключенное к внутренней сети. Система обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями содержит внутреннюю сеть и внешнюю выделенную сеть. Выделенная сеть представляет собой терминальную сеть, включающую терминалы на рабочих местах внутренних пользователей, соединенные напрямую или через сетевое оборудование с виртуальными средами, расположенными на сервере, из которых возможен доступ во внешние сети. При этом система также содержит двухвходовый накопитель цифровой информации, соединенный с виртуальными операционными средами внутренних пользователей на сервере, и устройство фильтрации трафика и преобразования формы представления данных, соединенное с двухвходовым накопителем цифровой информации напрямую или через сетевое оборудование, и накопителем цифровой информации во внутренней локальной вычислительной сети, к которому внутренние пользователи могут получить доступ со своих ПЭВМ, расположенных во внутренней сети при помощи устройства для переключения одного набора периферии между ПЭВМ внутренних пользователей и терминалами.
Недостатком прототипа является невозможность гарантировать достаточную защиту от компьютерных атак из внешней сети и невозможность в полной мере обеспечить защиту от угроз передачи инфицированных вирусами программ и файлов. Также недостатком прототипа является усложнение процедуры доступа пользователей к внешней сети и обмена данными между внешней сетью и корпоративной сетью передачи данных.
Технической проблемой, решаемой созданием данного изобретения, является невысокая защищенность информации, циркулирующей в корпоративной сети, а также сложность процедуры доступа пользователей к внешней сети и процедуры обмена данными между корпоративной и внешней сетью.
Техническим результатом предлагаемого изобретения является повышение защищенности информации, циркулирующей в корпоративной сети, подключенной к внешней сети (например, к сети Internet) за счет применения комбинации средств защиты информации, выбранных с учетом возможных компьютерных атак на корпоративную сеть, без усложнения процедуры доступа пользователей к внешней сети и процедуры обмена данными между корпоративной и внешней сетью.
Технический результат для способа достигается тем, что в способе обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак осуществляется обмен данными между внешней сетью и внутренней корпоративной сетью. При этом он отличается от прототипа тем, что обмен данными осуществляют через межсетевой экран нового поколения и последовательно соединенную с ним систему защиты от DDoS-атак, которые подключают на границе периметра внутренней корпоративной сети с внешней сетью.
Технический результат для системы достигается тем, что система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак содержит внутреннюю корпоративную и внешнюю сети, а также дополнительно содержит межсетевой экран нового поколения, выполненный с возможностью анализа и фильтрации входящего и исходящего трафика на основе правил, разрабатываемых администратором безопасности, и с применением механизмов проверки трафика на наличие вредоносных программ и уязвимостей, соединенный с одной стороны с ядром внутренней корпоративной сети, к которому подключено n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn, а с другой стороны - с системой защиты от DDoS-атак, подключенной, в свою очередь, к внешней сети, и обеспечивающей защиту межсетевого экрана нового поколения от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени.
Сущность заявляемых способа обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и системы для его реализации поясняется рисунком.
При работе с внешними сетями обмен данными осуществляют с применением ряда средств защиты информации, а именно через межсетевой экран нового поколения и последовательно соединенную с ним систему защиты от DDoS-атак, подключенных на границе периметра внутренней корпоративной сети с внешней сетью (например, Internet). Корпоративная сеть представляет собой сеть передачи данных, включающую n рабочих станций на рабочих местах внутренних пользователей, соединенных через активное сетевое оборудование с серверами.
На границе периметра внутренней корпоративной сети 1 с внешней сетью 2 система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак содержит межсетевой экран 3 нового поколения (NGFW - Next-Generation Firewall), позволяющий фильтровать проходящий через него трафик, как из внешней сети 2, так и из внутренней корпоративной сети 1, в соответствии с политиками безопасности, разрабатываемых администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана посредством использования изолированной среды для проверки потенциально вредоносных программ (sandbox, песочница). На случай выхода из строя межсетевого экрана 3 в системе может быть установлен дублирующий его и связанный с ним аналогичный межсетевой экран, который с заданным интервалом времени синхронизирует свои настройки и политики безопасности с основным межсетевым экраном 3. Последовательно к межсетевому экрану 3 с одной стороны подключается система защиты от DDoS-атак (Distributed Denial of Service распределенный отказ в обслуживании) 4, соединенная, в свою очередь, с внешней сетью 2. Система защиты от DDoS-атак 4 позволяет защитить межсетевой экран 3 от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени, анализируемых межсетевым экраном 3. В данной системе n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn 5, подключены через сетевую инфраструктуру (активное сетевое оборудование) к ядру корпоративной сети 6. При этом межсетевой экран 3 нового поколения с другой стороны соединен с указанным ядром корпоративной сети 6.
Корпоративная сеть 1 физически представляет собой единую сеть, позволяющую пользователям со своего рабочего места одновременно иметь безопасный доступ к внешним сетям и локальным информационным и вычислительным ресурсам.
Система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак работает следующим образом.
В исходной ситуации внутренний пользователь одновременно работает и во внутренней корпоративной 1 и во внешней 2 сетях при помощи стандартных программ. При необходимости переноса информации из внешней сети 2 во внутреннюю 1 пользователь сохраняет информацию. При этом на межсетевом экране 3 создается сессия, в рамках которой межсетевой экран 3 поочередно проверяет легитимность данной сессии в рамках настроенных политик NAT (Network Address Translation - подмена сетевого адреса), политик безопасности (разрешения либо запрета доступа определенных пользователей, групп пользователей, рабочих станций и т.д. до определенных ресурсов либо приложений), политик QoS (Quality of Service - политики приоритезации трафика). В случае, если в разрезе политик сессия является не легитимной, она обрывается. Если сессия является легитимной, происходит анализ трафика в соответствии с сигнатурами межсетевого экрана 3 на наличие вредоносных программ и уязвимостей. Если информация о файлах в сигнатурах отсутствует, файл перенаправляется в «песочницу» (sandbox), предназначенную для запуска виртуальных машин с типовыми операционными системами. На этих виртуальных машинах воспроизводят файлы, которые нужно проверить. «Песочница» анализирует, что файл делает в системе: соединяется ли с интернетом, меняет ли реестр, удаляет ли системные файлы. Так определяется, является ли проверяемый файл вредоносным. Информация о новых вирусах из «песочницы» передается вендору, чтобы он занес их в базу и впоследствии другие клиенты отсекали эти вирусы уже с помощью межсетевого экрана 3 и сигнатурного подхода. В случае если файлы безопасны они сохраняются на рабочей станции в VLANn 5 пользователя.
Если файлы представляют угрозу, то межсетевой экран 3 обрывает сессию, не позволяя вредоносным программам и файлам попасть внутрь периметра локальной корпоративной сети 1.
Таким образом, применение предлагаемой системы, состоящей из наиболее оптимальных по соотношению цена/качество средств защиты информации от различного рода компьютерных атак (компьютерные вирусы, DDoS, фишинг, несанкционированный доступ по открытым сетевым портам), существенно повышает защищенность информации, циркулирующей в корпоративной сети 1, а так же устойчивость канала передачи данных между корпоративной 1 и внешней 2 сетями.
Технический эффект предлагаемого изобретения состоит в том, что за счет введения на границу корпоративной и внешней сетей комбинации средств защиты информации от компьютерных атак значительно повышается уровень защищенности информации, циркулирующей в корпоративной сети, удобство использования сети и общая экономическая эффективность принятых для этого мер. Кроме того, повышается эффективность работы пользователя за счет предоставления ему возможности самостоятельно работать во внешних сетях. Исключается человеческий фактор (роль оператора в прототипе), повышается безопасность за счет использования постоянно обновляемых сигнатур, а так же использования «песочницы» для тестирования сценариев поведения файлов, сохраненных из внешних сетей, в различных ОС, повышается оперативность передачи данных за счет исключения лишних звеньев, повышается отказоустойчивость за счет применения кластера межсетевых экранов, работающих в режиме актив/пассив, и системы защиты от DDoS-атак.

Claims (3)

1. Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак, в котором производится обмен данными между внешней сетью и внутренней корпоративной сетью, отличающийся тем, что обмен данными осуществляют через межсетевой экран, позволяющий фильтровать проходящий через него трафик, как из внешней сети, так и из внутренней корпоративной сети, в соответствии с политиками безопасности, разрабатываемыми администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана, посредством использования изолированной среды для проверки потенциально вредоносных программ, и последовательно соединенную с ним систему защиты от DDoS-атак, которые подключают на границе периметра внутренней корпоративной сети с внешней сетью.
2. Система обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак, содержащая внутреннюю корпоративную и внешнюю сети, отличающаяся тем, что система дополнительно содержит межсетевой экран, позволяющий фильтровать проходящий через него трафик, как из внешней сети, так и из внутренней корпоративной сети, в соответствии с политиками безопасности, разрабатываемыми администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана, посредством использования изолированной среды для проверки потенциально вредоносных программ, соединенный с одной стороны с ядром внутренней корпоративной сети, к которому подключено n рабочих станций пользователей, разделенных по виртуальным локальным сетям VLANn, а с другой стороны - с системой защиты от DDoS-атак, подключенной, в свою очередь, к внешней сети, и обеспечивающей защиту упомянутого межсетевого экрана от выхода из строя при попытке многократного увеличения количества устанавливаемых сессий за единицу времени.
3. Система по п. 2, отличающаяся тем, что межсетевой экран, позволяющий фильтровать проходящий через него трафик, как из внешней сети, так и из внутренней корпоративной сети, в соответствии с политиками безопасности, разрабатываемыми администратором безопасности, а также анализировать потенциально вредоносные файлы, сопоставляя данные с сигнатурами межсетевого экрана, и анализировать файлы, ранее не фигурировавшие в сигнатурах межсетевого экрана, посредством использования изолированной среды для проверки потенциально вредоносных программ, на случай выхода его из строя связан с дублирующим его аналогичным межсетевым экраном.
RU2022119279A 2022-07-13 Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации RU2801247C1 (ru)

Publications (1)

Publication Number Publication Date
RU2801247C1 true RU2801247C1 (ru) 2023-08-04

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2387086C1 (ru) * 2008-11-21 2010-04-20 Российская Федерация в лице Министерства промышленности и торговли Российской Федерации (Минпромторг России) Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации
US20160241591A1 (en) * 2007-09-28 2016-08-18 Secureworks Corp. System and Method for Identification and Blocking of Unwanted Network Traffic
US20160294858A1 (en) * 2015-04-02 2016-10-06 Varmour Networks, Inc. Delivering security functions to distributed networks
US20170310706A1 (en) * 2016-04-26 2017-10-26 Acalvio Technologies, Inc. Tunneling For Network Deceptions
RU2636640C2 (ru) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160241591A1 (en) * 2007-09-28 2016-08-18 Secureworks Corp. System and Method for Identification and Blocking of Unwanted Network Traffic
RU2387086C1 (ru) * 2008-11-21 2010-04-20 Российская Федерация в лице Министерства промышленности и торговли Российской Федерации (Минпромторг России) Способ обеспечения информационной безопасности локальной вычислительной сети при работе с внешними сетями и система для его реализации
US20160294858A1 (en) * 2015-04-02 2016-10-06 Varmour Networks, Inc. Delivering security functions to distributed networks
RU2636640C2 (ru) * 2016-03-11 2017-11-27 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
US20170310706A1 (en) * 2016-04-26 2017-10-26 Acalvio Technologies, Inc. Tunneling For Network Deceptions

Similar Documents

Publication Publication Date Title
US10904293B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
WO2007134023A2 (en) Portable firewall
US8548998B2 (en) Methods and systems for securing and protecting repositories and directories
GB2427108A (en) Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network
US20040153665A1 (en) Wireless network control and protection system
Arefin et al. Enterprise network: Security enhancement and policy management using next-generation firewall (NGFW)
Toosarvandani et al. The risk assessment and treatment approach in order to provide LAN security based on ISMS standard
RU2801247C1 (ru) Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации
Campos et al. A Sdn-Based Flexible System For On-The-Fly Monitoring And Treatment Of Security Events
Deng et al. TNC-UTM: A holistic solution to secure enterprise networks
Stepanek Distributed firewalls
Barrett et al. CompTIA Security+ SY0-401 Exam Cram
Ma et al. Research on Setting of Two Firewall Rules Based on Ubuntu Linux System
Baker et al. Assurance: the power behind PCASSO security.
Faheem Multiagent-based security for the wireless LAN
Lo Giudice et al. Firewalls: Types, Policies, Security Issues and Best Practices
Hidayat et al. Distributed Denial of Service (DDoS) Mitigation: Security Awareness Domain and Resources (SADAR)
Singh et al. Data Security in Local Network through Distributed Firewalls: A Review
Axner Network Security: Firewalls Guard Intranets from Invasion
Qiu et al. Research Advanced in the Security Defence of Software Defined Network
Ali et al. Design and implementation of a secured remotely administrated network
Vanikalyani et al. Cross-domain search for policy anomalies in firewall
Karl Securing Solaris Servers Using Host-based Firewalls
Vasagiri Secured Remote Network Architecture with Gateway Server
MARTINI Managing Security of Computer Network Applications using Encryption Techniques