RU130429U1 - TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL - Google Patents
TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL Download PDFInfo
- Publication number
- RU130429U1 RU130429U1 RU2013114421/08U RU2013114421U RU130429U1 RU 130429 U1 RU130429 U1 RU 130429U1 RU 2013114421/08 U RU2013114421/08 U RU 2013114421/08U RU 2013114421 U RU2013114421 U RU 2013114421U RU 130429 U1 RU130429 U1 RU 130429U1
- Authority
- RU
- Russia
- Prior art keywords
- data
- software
- control
- executable code
- terminal according
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
1. Терминал для безопасного доступа к сетевым ресурсам, содержащий, по меньшей мере, одно компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ, в котором:СУ снабжены интерфейсами для подключения средств ввода-вывода (СВВ), выполненных с возможностью считывания данных от средств ввода и вывода информации посредством средств вывода,СУ снабжены интерфейсами для подключения к сетевым устройствам (СУ), выполненным с возможностью доступа к сетевым ресурсам,СУ снабжены интерфейсами для подключения к средствам хранения данных (СХД), выполненным с возможностью хранения данных, по меньшей мере, двух программных сред, каждая из которых включает исполняемый код, данные программ, политики безопасности и пользовательские данные, при этомСУ выполнены с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления КУ в иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ в любой момент времени.2. Терминал по п.1, в котором исполняемый код и данные программ в упомянутых 1. A terminal for secure access to network resources, containing at least one computer device (KU), configured to process executable code, a housing made in the form of a monoblock, and installed inside it controls (SU), made with the possibility loading and unloading the software environment in the control unit and / or with the ability to switch between the software environments loaded in the control unit, in which: the control units are equipped with interfaces for connecting input-output means (I / O), configured to read data from means for inputting and outputting information by means of output means, the control systems are equipped with interfaces for connecting to network devices (CS), configured to access network resources, the control systems are equipped with interfaces for connecting to data storage means (SHD), configured to store data at least at least two software environments, each of which includes executable code, program data, security policies, and user data, while the control systems are capable of receiving and transmitting data between the control system, UHV, SI and storage systems and the possibility of transferring control of the computer device to the executable code from the mentioned software environments in such a way that the executable code of the software environment under which the control unit is located at any time does not have access to the data of software environments that can control the unit at other time points and to network resources not provided for by the security policy of the software environment under which the control is located at any time. 2. The terminal of claim 1, wherein the executable code and program data in said
Description
ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY
Полезная модель относится к компьютерным системам, а более конкретно, к устройствам и способам защиты данных.The utility model relates to computer systems, and more particularly, to devices and methods of data protection.
УРОВЕНЬ ТЕХНИКИBACKGROUND
В последние несколько лет количество угроз в сетевом пространстве возросло до критической отметки. Ежедневно возникают новые угрозы информационным системам государств, бизнесов и данным частных пользователей. Информационные системы персональных данных в настоящее время практически открыты для преступников, несмотря на наличие антивирусов, сетевых фильтров, токенов и других программно-аппаратных средств, о чем практически ежедневно сообщается в прессе. Такие общеизвестные средства защиты не могут остановить преступников, использующих все более изощренное вредоносное программное обеспечение и методы атак для повреждения персональных данных и информационных систем, злоупотребления компьютерными системами.In the past few years, the number of threats in the network space has increased to a critical point. Every day there are new threats to the information systems of states, businesses and data of private users. Personal data information systems are currently practically open to criminals, despite the presence of antiviruses, network filters, tokens and other software and hardware, which is reported almost daily in the press. Such well-known remedies cannot stop criminals using increasingly sophisticated malware and attack methods to damage personal data and information systems, and abuse computer systems.
Один из популярных способов нарушения безопасности компьютера - заставить компьютер выполнять программное обеспечение злоумышленника, которое выполняет вредоносные действия на самом компьютере. Такие программы могут перехватывать данные пользователей и передавать их злоумышленнику. Вредоносные программы могут позволить злоумышленнику получить полный контроль над захваченным компьютером, который в дальнейшем может использоваться для получения данных с серверов данных и информационных систем. Программы и методы для атак разрабатываются хакерами и используют недочеты в программном обеспечении компьютера для кражи или уничтожения данных, нарушая целостность, конфиденциальность и доступность информационных систем. Например, атака может привести к получению хакером более высоких привилегий в атакуемой системе и позволит получить доступ к сетевым ресурсам компании. Ситуация ухудшается тем, что средствам безопасности трудно контролировать среду исполнения программ. Более того, средства защиты в основном используют программно-аппаратные ресурсы самих компьютеров, таких как память, процессор, жесткий диск, сетевые адаптеры, что позволяет злоумышленникам успешно атаковать и сами средства защитыOne of the most popular ways to compromise your computer’s security is to force the computer to execute malicious software that performs malicious actions on the computer itself. Such programs can intercept user data and transmit it to an attacker. Malicious programs can allow an attacker to gain complete control over a captured computer, which can later be used to obtain data from data servers and information systems. Programs and methods for attacks are developed by hackers and use flaws in computer software to steal or destroy data, violating the integrity, confidentiality and accessibility of information systems. For example, an attack can lead to a hacker gaining higher privileges in the attacked system and will allow access to the company's network resources. The situation is aggravated by the fact that it is difficult for security tools to control the execution environment of programs. Moreover, security tools mainly use the hardware and software resources of the computers themselves, such as memory, processor, hard drive, network adapters, which allows attackers to successfully attack the security tools themselves
Существуют различные типы мер безопасности, которые можно использовать, чтобы предотвратить выполнение на компьютерной системе вредоносного программного обеспечения. Администратор системы может ограничить программное обеспечение, которое может выполнять компьютерная система, только программами от доверяемых разработчиков или доверяемых источников. Такой подход неэффективен из-за наличия уязвимостей в коде операционных систем и самого программного обеспечения, которые активно используются злоумышленниками. Также, администратор может использовать метод «песочницы», который накладывает ограничения на код из неизвестного источника. Доверяемый код может иметь полный доступ к ресурсам компьютерной системы, в то время как код из неизвестного источника будет иметь только ограниченный доступ. Однако, метод «песочницы» не работает, так как методы изоляции в «песочнице» используют те же программно-аппаратные ресурсы компьютеров и также имеют уязвимости. Поэтому злоумышленники успешно используют уязвимости в операционных системах и в программном обеспечении самих «песочниц».There are various types of security measures that can be used to prevent malicious software from executing on a computer system. The system administrator can restrict the software that the computer system can run to only programs from trusted developers or trusted sources. This approach is ineffective due to the presence of vulnerabilities in the code of operating systems and the software itself, which are actively used by cybercriminals. Also, the administrator can use the "sandbox" method, which imposes restrictions on code from an unknown source. Trusted code can have full access to computer system resources, while code from an unknown source will have only limited access. However, the sandbox method does not work, because the isolation methods in the sandbox use the same hardware and software resources of computers and also have vulnerabilities. Therefore, attackers successfully exploit vulnerabilities in the operating systems and in the software of the sandboxes themselves.
Еще один подход - проверять все программное обеспечение, выполняемое компьютерным устройством, антивирусной программой для обнаружения вредоносного кода. Однако, антивирусные программы ищут только определенные известные типы угроз и не в состоянии обнаружить все методы, при помощи которых можно вмешаться в ресурсы компьютера.Another approach is to check all the software executed by a computer device, an anti-virus program to detect malicious code. However, antivirus programs look only for certain known types of threats and are not able to detect all the methods by which you can interfere with computer resources.
Кроме того, для защиты может использоваться межсетевой экран. Межсетевой экран - это программа или аппаратное устройство, которое фильтрует сетевые пакеты, проходящие через устройство фильтров в одном или двух направлениях. Если пакет информации не соответствует критерия фильтрации, то прохождение этого пакета не разрешается. Межсетевой экран может выполнять потоковую проверку, при этом не проверяется содержимое каждого пакета, а проверяются ключевые части пакета с таблицами правил.In addition, a firewall may be used for protection. A firewall is a program or hardware device that filters network packets passing through a filter device in one or two directions. If the information packet does not meet the filtering criteria, then the passage of this packet is not allowed. The firewall can perform a streaming check, while the contents of each packet are not checked, but the key parts of the packet with the rules tables are checked.
Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные продукты, базирующиеся на операционных системах общего назначения (таких как Windows и Unix) или на специализированной аппаратной платформе межсетевых экранов (см. патенты РФ на изобретение №№2214623 и 2422892). В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный фильтр и алгоритмы фильтрации. Лучшими алгоритмами считаются те, которые построены специально для разрешаемого протокола. Например, алгоритмы фильтрации FTP предназначены для протокола FTP и могут определять: соответствует ли проходящий траффик этому протоколу и разрешен ли этот траффик правилами политики безопасности.Application-level firewalls, or proxy screens, are software products based on general-purpose operating systems (such as Windows and Unix) or on a specialized hardware platform for firewalls (see RF patents for invention No. 2214623 and 2422892). In the application layer firewall, each allowed protocol must have its own filter and filtering algorithms. The best algorithms are those that are built specifically for the resolved protocol. For example, FTP filtering algorithms are designed for the FTP protocol and can determine whether the traffic passing through matches this protocol and whether this traffic is allowed by the rules of the security policy.
Однако в технологиях межсетевых экранов прикладного уровня могут отсутствовать алгоритмы для определенных приложений, а также важная информация для правильной интерпретации пакетов данных, так как протоколы более высокого уровня разрабатываются для эффективной передачи данных, а не для мониторинга и перехвата данных и часто модифицируются. В результате, злоумышленник может маскировать несанкционированную передачу данных под разрешенный траффик.However, application layer firewall technologies may not have algorithms for specific applications, as well as important information for the correct interpretation of data packets, since higher-level protocols are designed for efficient data transfer, and not for monitoring and intercepting data, and are often modified. As a result, an attacker can mask the unauthorized transfer of data under the allowed traffic.
Кроме того, межсетевой экран обычно устанавливается на входе защищенной сети, чтобы управлять доступом к этой сети. Он не может предотвратить неавторизованный доступ внутри сети пользователем этой сети.In addition, a firewall is usually installed at the entrance of a secure network in order to control access to that network. It cannot prevent unauthorized access within a network by a user of that network.
Перечисленные выше меры особенно неэффективны в случаях работы с сетями с различным уровнем доверия. Пользователю часто необходимо иметь доступ к сетевым ресурсам с различным уровнем доверия. Например, пользователь должен иметь доступ к конфиденциальным данным находящимся в локальной сети, к данным служебного пользования находящимся на удаленном сервере и к различным сетевым ресурсам интернет. В случае использования одного компьютера для доступа ко всем трем ресурсам, нарушитель может захватить контроль над компьютером, что автоматически позволяет нарушителю получить доступ к сетям с более высоким уровнем доверия. Применение трех отдельных компьютеров для обеспечения доступа к этим сетевым ресурсам экономически не выгодно и неэффективно, т.к. не существует достаточного контроля над средой выполнения программного обеспечения и самим программным обеспечением, что может привести к захвату всех компьютеров даже стандартными методами взлома.The measures listed above are especially ineffective in cases of working with networks with different levels of trust. The user often needs to have access to network resources with different levels of trust. For example, the user must have access to confidential data located on the local network, to official use data located on the remote server and to various network resources of the Internet. If one computer is used to access all three resources, the attacker can take control of the computer, which automatically allows the attacker to gain access to networks with a higher level of trust. The use of three separate computers to provide access to these network resources is not economically profitable and inefficient, because there is not enough control over the software runtime and the software itself, which can lead to the capture of all computers even by standard hacking methods.
Поэтому особенно важно создание архитектуры компьютера, (для персональных компьютеров, ноутбуков, серверов, сетевых устройств, планшетов, мобильных коммуникаторов и т.д.), имеющей внутренний независимый (изолированного от основных ресурсов) периметр защиты для контроля исполняемых приложений и контроля доступа к сетевым ресурсам. Такой подход позволит обеспечить защиту от внутренних сетевых атак, обеспечить гарантированную защиту при доступе к неизвестным сетевым источникам (интернет) а также гарантированную защиту при работе, например, с финансовыми приложениями или приложениями для работы с базами данных, как и любых других приложений. Более того, если на защищенном компьютере уже есть вредоносный код, и он подает запрос на отсылку информации с компьютера внешнему неизвестному получателю, система защиты предотвращает отсылку компьютером такой информации, чего практически невозможно достичь применением межсетевых фильтров и антивирусов.Therefore, it is especially important to create a computer architecture (for personal computers, laptops, servers, network devices, tablets, mobile communicators, etc.) that has an internal independent (isolated from the main resources) security perimeter for controlling executable applications and controlling access to network resources. This approach will provide protection against internal network attacks, provide guaranteed protection when accessing unknown network sources (the Internet), as well as guaranteed protection when working, for example, with financial applications or database applications, like any other application. Moreover, if there is already malicious code on the protected computer and it asks for information to be sent from the computer to an external unknown recipient, the protection system prevents the computer from sending such information, which is almost impossible to achieve by using firewalls and antiviruses.
Во многих информационных системах включая локальные сети, виртуальные сети, виртуальные частные сети, компьютерное устройство должно следовать правилам доступа к сети, например, политикам безопасности, которые управляют доступом к различным ресурсам сети. На практике, часто необходимо обеспечить доступ с одного компьютерного устройства к различным сетям, например, к серверам баз данных по VPN соединению, либо - к сетевым ресурсам интернет - по внешнему сетевом каналу, либо - к сетевым ресурсам компании - по локальному сетевому каналу. В существующих решениях невозможно эффективно изолировать приложения для доступа к сетям с различным уровнем доверия. Поэтому, было бы желательно создать устройство для защиты компьютера и способ, которые обеспечивали бы достаточную гибкость защиты, чтобы позволить компьютерному устройству получить доступ к ресурсам сети в соответствии с нужными сетевыми политиками обеспечивая при этом надежную изоляцию соответствующих приложений для обеспечения гарантированной защиты от утечки данных по внешним каналам связи.In many information systems including local area networks, virtual networks, virtual private networks, a computer device must follow network access rules, for example, security policies that control access to various network resources. In practice, it is often necessary to provide access from one computer device to various networks, for example, to database servers via a VPN connection, or to Internet network resources via an external network channel, or to company network resources via a local network channel. In existing solutions, it is impossible to effectively isolate applications for accessing networks with different levels of trust. Therefore, it would be desirable to create a device for protecting a computer and a method that would provide sufficient protection flexibility to allow the computer device to access network resources in accordance with the desired network policies while ensuring reliable isolation of the respective applications to provide guaranteed protection against data leakage external communication channels.
Такое устройство должно обеспечивать полную изоляцию программных сред, в соответствии с установленными для них политиками безопасности, под которыми понимается набор правил, разрешающих и запрещающих доступ к сетевым ресурсам. Под программными средами следует понимать исполняемый код операционной системы, исполняемый код прикладных программ, данные программ и пользовательские данные.Such a device should provide complete isolation of software environments in accordance with the security policies established for them, which is understood as a set of rules that allow and prohibit access to network resources. Software environments should be understood as executable code of the operating system, executable code of application programs, program data, and user data.
Типичные компьютерные системы для доступа к сетевым ресурсам не отвечают этим требованиям. Одно из таких устройств, показанное на фигуре 1 включает стандартное компьютерное устройство КУ 8, содержащее центральный процессор ЦП 1, подключенный по процессорной шине 2 к северному мосту 3. КУ 8 включает в себя контроллер графической шины 7 для подключения средств отображения информации 6, контроллер памяти 5 по шине 4, а также южный мост 7, подключаемый по шине 8 и служащий для контроля шины РСI и РСIе 11 а также подключения различных периферийных контроллеров и устройств 12, таких как жесткий диск, USB, клавиатура и мышь. КУ 8 также содержит контроллер прерываний и прямого доступа к памяти 10. КУ 8 выполняет коды незащищенной операционной системы и программ и не может обеспечить защиты данных т.к. не обеспечивает эффективного разделения и изоляции приложений для доступа к различным сетевым ресурсам.Typical computer systems for accessing network resources do not meet these requirements. One of such devices, shown in figure 1, includes a standard computer device KU 8, comprising a central
Изоляция программных средств в соответствии с поставленной выше задачей может осуществляться, - как показано на фигуре 2, - за счет физического увеличения количества независимых компьютерных устройств, показанных на фигуре 1, таким образом, что каждому компьютерному устройству соответствует своя программная среда и политики безопасности. В соответствии с этим подходом компьютерные устройства 16, 17, 18 по соответствующим изолированным каналам связи 19, 20, 21 подключаются к сетевым ресурсам 22, 23, 24, соответственно.The isolation of software in accordance with the above task can be carried out, as shown in figure 2, by physically increasing the number of independent computer devices shown in figure 1, so that each computer device has its own software environment and security policies. In accordance with this approach,
Однако такое разделение неэффективно по двум причинам. Во-первых, в нем применяются компьютеры с незащищенной архитектурой, подверженные всем типичным сетевым угрозам, включая модификацию исполняемого кода злоумышленником. Во-вторых, архитектура компьютерной системы, предусматривающая отдельное компьютерное устройство для каждой программной среды, неэффективна с точки зрения использования ресурсов.However, this separation is ineffective for two reasons. Firstly, it uses computers with an insecure architecture that are subject to all typical network threats, including modification of the executable code by an attacker. Secondly, the architecture of a computer system, providing a separate computer device for each software environment, is inefficient in terms of resource use.
СУЩНОСТЬ ПОЛЕЗНОЙ МОДЕЛИESSENCE OF A USEFUL MODEL
Одна из основных задач настоящей полезной модели состоит в создании терминала (например, в виде персонального компьютера, ноутбука, сервера, планшета, сетевого устройства, мобильного коммуникатора или любого другого компьютерного устройства), с множественностью программных сред для доступа к сетевым ресурсам с разным уровнем доверия, в котором обеспечивается полная изоляция этих сред от взаимного влияния.One of the main objectives of this utility model is to create a terminal (for example, in the form of a personal computer, laptop, server, tablet, network device, mobile communicator or any other computer device), with a plurality of software environments for accessing network resources with different levels of trust , which provides complete isolation of these environments from mutual influence.
Технический результат состоит в том, что за счет введения в конструкцию компьютера общего назначения средств управления, выполненных с возможностью контроля доступа к средствам хранения данных и к потоку ввода-вывода, обеспечивается полная изоляция программных сред от взаимного влияния.The technical result consists in the fact that due to the introduction into the design of a general-purpose computer of control tools made with the ability to control access to data storage facilities and to the input-output stream, complete isolation of software environments from mutual influence is ensured.
Вышеуказанная задача решена благодаря тому, что терминал для безопасного доступа к сетевым ресурсам, содержит, по меньшей мере, одно компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ, в котором:The above problem is solved due to the fact that the terminal for secure access to network resources contains at least one computer device (KU), configured to process executable code, a case made in the form of a monoblock, and control tools installed inside it (SU ), made with the possibility of loading and unloading the software environment in KU and / or with the ability to switch between software environments loaded in KU, in which:
СУ снабжены интерфейсами для подключения средств ввода-вывода (СВВ), выполненных с возможностью считывания данных от средств ввода и вывода информации посредством средств вывода,The control systems are equipped with interfaces for connecting input-output means (UHV), configured to read data from the input and output means by means of output means,
СУ снабжены интерфейсами для подключения к сетевым устройствам (СУ), выполненным с возможностью доступа к сетевым ресурсам,SUs are equipped with interfaces for connecting to network devices (SUs) configured to access network resources,
СУ снабжены интерфейсами для подключения к средствам хранения данных (СХД), выполненным с возможностью хранения данных, по меньшей мере, двух программных сред, каждая из которых включает исполняемый код, данные программ, политики безопасности и пользовательские данные, при этомThe control systems are equipped with interfaces for connecting to data storage means (SHD), configured to store data of at least two software environments, each of which includes executable code, program data, security policies, and user data, while
СУ выполнена с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления КУ в иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ в любой момент времени.The SU is configured to receive and transmit data between the KU, UHV, SI and SHD and with the ability to transfer control of the computer device to the executable code from the mentioned software environments so that the executable code of the software environment under which the KU is located at any time does not have access to the data of software environments that have the ability to control KU at other points in time, and to network resources that are not provided for by the security policy of the program environment under which the KU is managed at any time Meni.
Вышеупомянутый исполняемый код и данные программ в упомянутых программных средах может включать в себя исполняемый код операционных систем, данные операционных систем, исполняемый код прикладных программ и данные прикладных программ.The aforementioned executable code and program data in said program environments may include executable code of operating systems, data of operating systems, executable code of application programs, and application program data.
Под исполняемым кодом в настоящем тексте понимаются данные и команды, подготовленные для исполнения с помощью компьютерного устройства. Под данными операционной системы и данными прикладных программ понимаются данные, которые предназначены для функционирования исполняемого кода и которые обычно хранятся отдельно от него, в частности, данные о настройках, базы данных, ресурсы для формирования графического интерфейса и другие подобные данные. Под программным обеспечением понимается совокупность исполняемого кода операционной системы или исполняемого кода прикладных программ и данных операционной системы или данных прикладных программ. Пользовательские данные представляют собой данные, полученные в результате работы пользователя с прикладными программами.Under the executable code in this text refers to data and instructions prepared for execution using a computer device. The data of the operating system and the data of application programs are understood as data that are intended for the functioning of executable code and which are usually stored separately from it, in particular, settings data, databases, resources for creating a graphical interface, and other similar data. By software is meant a combination of executable code of an operating system or executable code of application programs and data of an operating system or data of application programs. User data is data obtained as a result of a user working with application programs.
Каждой программной среде соответствует, по меньшей мере, одна политика безопасности, содержащая, по меньшей мере, одно правило, регламентирующее доступ к сетевым ресурсам. Например, первая программная среда может содержать файлы операционной системы (ОС) и браузера для доступа к произвольным сетевым ресурсам с низким уровнем доверия (Интернет), вторая программная среда может содержать набор файлов ОС и браузера с настройками для доступа только к банковским ресурсам для проведения финансовых транзакций, третья программная среда может содержать набор файлов ОС и прикладные программы для доступа к конфиденциальной корпоративной информации по шифрованным каналам связи, хранимой на защищенных серверах баз данных, четвертая программная среда может содержать набор файлов ОС и прикладные программы для анализа и обработки загружаемых файлов и почтовых сообщений в целях обмена данными между различными программными средами.Each software environment corresponds to at least one security policy that contains at least one rule governing access to network resources. For example, the first software environment may contain files of the operating system (OS) and browser for accessing arbitrary network resources with a low level of trust (Internet), the second software environment may contain a set of files of the OS and browser with settings for accessing only banking resources for financial transactions, the third software environment may contain a set of OS files and application programs for accessing confidential corporate information via encrypted communication channels stored on secure database servers for nnyh fourth software environment can contain a set of operating system files and application software for the analysis and processing of downloaded files and e-mail messages in order to exchange data between different software environments.
Данные политик безопасности могут быть записаны непосредственно в память СУ, или могут храниться в СХД, или же могут передаваться по сети или вводиться системным администратором вручную. Для усиления защиты, данные политик безопасности могут быть зашифрованы и подписаны цифровой подписью.These security policies can be written directly to the memory of the control system, or they can be stored in the storage system, or they can be transmitted over the network or entered manually by the system administrator. To enhance security, these security policies can be encrypted and digitally signed.
В процессе функционирования компьютерного устройства, данные программной среды, а именно, данные пользователя и данные программ могут храниться в оперативной памяти, регистрах компьютерного устройства и в СХД. Каждой программной среде может соответствовать больше одного набора прикладных программ и пользовательских данных. При загрузке программной среды или прикладных программ СУ могут сохранять новые (или измененные) пользовательские данные и данные прикладных программ в СХД или же, в зависимости от политик безопасности, запись может блокироваться. Например, если программное обеспечение представляет собой браузер для доступа в интернет, и необходимо предотвратить установку стороннего программного обеспечения или сохранение информации из Интернет, предотвращение записи пользовательских данных позволит обеспечить неизменность начальных настроек браузера при последующей загрузке и конфиденциальность сведений о страницах, посещенных пользователем.In the process of functioning of a computer device, data of the software environment, namely, user data and program data can be stored in RAM, registers of the computer device, and in storage. Each software environment may correspond to more than one set of application programs and user data. When loading a software environment or application programs, the control systems can save new (or changed) user data and application program data to the storage system or, depending on security policies, the record may be blocked. For example, if the software is a browser for accessing the Internet, and it is necessary to prevent the installation of third-party software or save information from the Internet, preventing the recording of user data will ensure that the initial settings of the browser are not changed during subsequent downloads and that the information about pages visited by the user is kept confidential.
В зависимости от того, насколько велик риск подключения злоумышленника к каналам связи, соединяющим отдельные компоненты системы, вышеописанные КУ, СУ, СВВ и СХД и корпус могут быть различным образом скомпонованы друг с другом, в частности:Depending on how high the risk of an attacker connecting to communication channels connecting individual components of the system, the above-described KU, SU, SVV and SHD and the case can be arranged in different ways with each other, in particular:
а) КУ и СУ могут быть установлены внутри упомянутого корпуса;a) KU and SU can be installed inside the mentioned building;
б) терминал может содержать СВВ, интерфейсы СУ, и/или СХД, установленные внутри упомянутого корпуса.b) the terminal may contain UHV, SU interfaces, and / or SHD installed inside the mentioned case.
В тех случаях, когда КУ и СУ скомпонованы раздельно, будет предпочтительно, когда КУ выполнен с возможностью получения исполняемого кода и данных прикладных программ и/или операционных систем с удаленного сервера приложений, соединенного с СУ защищенным каналом передачи данных.In cases where the control unit and control unit are arranged separately, it will be preferable when the control unit is configured to receive executable code and data of application programs and / or operating systems from a remote application server connected to the control unit by a secure data transmission channel.
Безопасность терминала может быть повышена с помощью различных приемов, например, петем использования защищенных каналов передачи данных, если СУ скомпонованы отдельно от КУ, или путем предварительной авторизации пользователя, работающего с терминалом, или посредством предварительной проверки целостности кода и данных и восстановления поврежденного кода из резервного хранилища, а также посредством предотвращения модификации кода и данных в защищенных областях СХД,The security of the terminal can be improved by various methods, for example, by looping the use of secure data transmission channels if the control systems are arranged separately from the control system, or by preliminary authorization of the user working with the terminal, or by preliminary checking the integrity of the code and data and restoring the damaged code from the backup storage, as well as by preventing code and data modifications in protected areas of storage,
- для этого вышеописанные СУ могут быть выполнены:- for this, the above described SU can be performed:
- с возможностью получения настроек, политик безопасности и других данных с удаленного сервера по защищенному каналу связи и/или- with the ability to receive settings, security policies and other data from a remote server via a secure communication channel and / or
- таким образом, что перед загрузкой программной среды и/или перед переключением между программными средами они осуществляют аутентификацию и авторизацию пользователя, и/или- so that before loading the software environment and / or before switching between the software environments, they authenticate and authorize the user, and / or
- таким образом, что перед передачей управления программной среде они выполняют очистку оперативной памяти и регистров КУ от данных предшествующей программной среды, и/или- in such a way that, before transferring control to the software environment, they perform the cleaning of the RAM and KU registers from the data of the previous software environment, and / or
- таким образом, что перед передачей управления исполняемому коду программной среды, осуществляют проверку целостности этого кода, а также проверку целостности соответствующих данных программ; при этом упомянутая проверка целостности может (но не обязательно) осуществляться посредством вычисления хэш-функций или проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма, и/или- so that before transferring control to the executable code of the software environment, they check the integrity of this code, as well as check the integrity of the corresponding program data; wherein said integrity check may (but not necessarily) be done by computing hash functions or verifying an electronic digital signature based on an asymmetric cryptographic algorithm, and / or
- таким образом, что при нарушении целостности исполняемого кода и данных программ, выявленной в результате упомянутой проверки, они осуществляют их восстановление из резервного хранилища данных и/или- in such a way that in case of violation of the integrity of the executable code and program data identified as a result of the said verification, they restore them from the backup data storage and / or
- с возможностью предотвращения модификации исполняемого кода и данных программ в СХД, и/или- with the ability to prevent modification of the executable code and program data in the storage system, and / or
- с возможностью извещения пользователя о несанкционированных попытках модификации исполняемого кода и/или данных программ в СХД и/или- with the ability to notify the user of unauthorized attempts to modify the executable code and / or program data in the storage system and / or
- таким образом, что перед загрузкой программной среды проверяют пользовательские данные на наличие вредоносного кода.- in such a way that before loading the software environment, user data is checked for malicious code.
Средства управления могут быть выполнены на базе архитектуры электронной вычислительной машины общего назначения, или же в виде интегрированного устройства на основе микросхем с программируемой логикой. Конкретная форма реализации средств управления не имеет принципиального значения, если только такое средство будет иметь приоритет перед подконтрольным компьютерным устройством в доступе к данным ввода-вывода и средствам хранения данных. Наличие приоритета позволяет предотвратить перехват и/или подмену данных ввода и вывода различными средствами.Controls can be performed on the basis of the architecture of a general-purpose electronic computer, or in the form of an integrated device based on microcircuits with programmable logic. The specific form of implementation of the controls is not critical, if only such a tool will take precedence over the controlled computer device in access to input / output data and data storage facilities. The presence of priority allows you to prevent the interception and / or substitution of input and output data by various means.
Помимо КУ, в одной из предпочтительных форм выполнения терминал может дополнительно содержать, по меньшей мере, одно дополнительное компьютерное устройство (ДКУ), подключенное к СУ, а СУ при этом выполнено таким образом, что исполняемый код программной среды, под управлением которой находится ДКУ в любой момент времени, не имеет доступа к данным программной среды КУ, под управлением которой находится КУ в любой момент времени, и к данным остальных программных сред, имеющих возможность управления КУ в другие моменты времени.In addition to the control unit, in one of the preferred forms of execution, the terminal may further comprise at least one additional computer device (DCU) connected to the control unit, while the control unit is designed in such a way that the executable code of the software environment under which the control unit is located at any given time, it does not have access to the data of the software environment of the control unit, under whose control the control unit is located at any moment of time, and to the data of other software environments that have the ability to control the control unit at other points in time.
Вышеупомянутое дополнительное компьютерное устройство может быть реализовано (в одной из форм выполнения терминала) посредством аппаратной и/или программной виртуализации на базе КУ.The aforementioned additional computer device can be implemented (in one form of execution of the terminal) through hardware and / or software virtualization based on KU.
Также как и КУ, дополнительное компьютерное устройство подключается к СУ таким образом, чтобы иметь возможность вывода графической информации на средства вывода.As well as the control unit, an additional computer device is connected to the control unit in such a way as to be able to output graphic information to the output means.
В качестве средств ввода к терминалу могут быть подключены, в частности, устройство типа «мышь», тачпэд, трэкбол, клавиатуру, сенсорный экран и/или видеокамеру.As input means, in particular, a mouse device, touchpad, trackball, keyboard, touch screen and / or video camera can be connected to the terminal.
В качестве средств вывода к терминалу могут быть подключены, в частности, дисплей и/или устройство аудиовывода.As output means, in particular, a display and / or an audio output device may be connected to the terminal.
Политики безопасности обычно представляют собой упорядоченные связки данных, позволяющие идентифицировать (аутентифицировать) пользователя и определить какие программные среды он может использовать (если таковые имеются), и к каким сетевым ресурсам он может получать доступ из этой программной среды (если таковые имеются). Для этого, упомянутые политики безопасности содержат связки данных о разрешенных наборах кодов и данных прикладных программ и операционных систем, а также настройки и права доступа таких наборов для каждого пользователя. Предпочтительно, в частности, когда политики безопасности содержат сетевые адреса, доступ к которым разрешен из той или иной программной среды.Security policies are usually ordered data bundles that allow you to identify (authenticate) the user and determine which software environments he can use (if any) and which network resources he can access from this software environment (if any). To do this, the mentioned security policies contain data bundles about allowed sets of codes and data of application programs and operating systems, as well as settings and access rights for such sets for each user. It is preferable, in particular, when security policies contain network addresses to which access is allowed from a particular software environment.
Компьютерное устройство (КУ), которое в одном из вариантов реализации может быть использовано в вышеописанном терминале, может содержать в себе центральный процессор, подключенный по фронтальной (процессорной) шине к северному мосту (контроллеру-концентратору памяти), а также контроллер графической шины, контроллер памяти и южный мост (контроллер-концентратор ввода-вывода), подключенные к северному мосту. СУ, описанные выше, в одном из вариантов реализации, могут быть подключены к шинам южного моста и/или к шине графического контроллера. В другом варианте СУ могут быть подключены к шинам южного моста с возможностью управления контроллерами южного моста, выбранными из группы, состоящей из контроллера шины, РСI Ехрrеss, SМBus, I2С, LРС, Super I/O, и DМА контроллера, РАТА (IDЕ) и SАТА контроллера. Конкретный способ подключения СУ к КУ не имеет значения, если только весь поток данных ввода и вывода будет проходить непосредственно через СУ и/или будет находиться под контролем СУ.A computer device (KU), which in one embodiment can be used in the terminal described above, may contain a central processor connected via a front (processor) bus to the north bridge (memory controller-hub), as well as a graphic bus controller, controller memory and the south bridge (I / O controller hub) connected to the north bridge. The control systems described above, in one embodiment, can be connected to the south bridge buses and / or to the graphics controller bus. In another embodiment, the control systems can be connected to the south bridge buses with the ability to control the south bridge controllers selected from the group consisting of the bus controller, PCI Express, SMBus, I2C, LRS, Super I / O, and DMA controller, PATA (IDE) and SATA controller. The specific way to connect the control system to the control system does not matter if the entire input and output data stream passes directly through the control system and / or is under control of the control system.
В качестве интерфейсов для подключения средств хранения данных (СХД) терминал может содержать самые различные интерфейсы, предпочтительно, обеспечивающие высокую скорость передачи данных. В частности, терминал интерфейсы для подключения СХД могут представлять собой интерфейсы РСI, РСIе, SАТА, еSАТА, USВ, Fireware, Thunderbolt, Ethernet.As interfaces for connecting storage media (SHD), the terminal may contain a variety of interfaces, preferably providing a high data transfer rate. In particular, terminal interfaces for connecting storage systems can be PCI, PCIe, SATA, eSATA, USB, Fireware, Thunderbolt, Ethernet.
Конкретная аппаратная форма реализации СХД не имеет решающего значения. СХД могут представлять собой RАМ (ОЗУ), RОМ (ПЗУ), стираемую программируемую постоянную память (ЕРRОМ), электрически стираемую программируемую постоянную память (ЕЕРRОМ), флеш-память или другую твердотельную память, ПЗУ на компакт-дисках (СD-RОМ), цифровые универсальные диски (DVD) или другое оптическое запоминающее устройство (ЗУ), магнитные кассеты, магнитную ленту, магнитное дисковое ЗУ или другие магнитные ЗУ или любой другой носитель, который может использоваться, чтобы хранить желательную информацию, и к которому может получить доступ вычислительная система. Наибольшая скорость обмена данных обеспечивается тогда, когда в качестве СХД используют накопители на жестких дисках, твердотельные накопители и/или файловые серверы.The specific hardware form of storage implementation is not critical. Storage can be RAM (RAM), ROM (ROM), erasable programmable read-only memory (EPROM), electrically erasable programmable read-only memory (EEPROM), flash memory or other solid state memory, ROM on compact discs (CD-ROM), digital versatile disks (DVDs) or other optical storage device (memory), magnetic tapes, magnetic tape, magnetic disk memory or other magnetic memory or any other medium that can be used to store the desired information, and which can be accessed by computing casting system. The highest data exchange speed is ensured when hard drives, solid state drives and / or file servers are used as storage systems.
В тех случаях, когда СХД скомпонованы вне корпуса, внутри которого размещены СУ, и, особенно предпочтительно, когда канал передачи данных между СУ и СХД не имеет естественной физической защиты (например, если кабели уложены вне помещения, внутри которого размещен корпус с СУ или, если обмен данными осуществляется по радиоканалам), предпочтилельно применение шифрования при передаче данных межлу СХД и СУ. Альтернативно или дополнительно к этим мерам, для повышения безопасности данные упомянутых программных сред могут храниться в СХД в зашифрованной форме. Дополнительно, данные могут быть подписаны электронной цифровой подписью. Это также позволяет избежать утечек информации в случае кражи СХД.In cases where the storage systems are located outside the enclosure inside which the control system is located, and it is especially preferred when the data transmission channel between the control system and storage system does not have natural physical protection (for example, if the cables are laid outside the enclosure with the control system or, if data is exchanged over radio channels), it is preferable to use encryption when transferring data between the storage and control systems. Alternatively or in addition to these measures, to increase security, the data of the mentioned software environments can be stored in the storage system in encrypted form. Additionally, the data may be digitally signed. It also helps to avoid information leaks in case of theft of storage.
Наибольшая безопасность обеспечивается в тех случаях, когда исполняемый код, данные программ и пользовательские данные каждой программной среды зашифрованы индивидуальным ключом.The greatest security is provided when the executable code, program data, and user data of each software environment are encrypted with an individual key.
Вышеописанный терминал может функционировать самостоятельно или, в составе защищенной компьютерная системы. Такая система может содержать:The above terminal may function independently or as part of a secure computer system. Such a system may contain:
средства ввода-вывода (СВВ), выполненные с возможностью считывания данных от средств ввода и отображения информации посредством средств вывода,input-output means (UHV), configured to read data from input means and display information by means of output,
сетевой интерфейс (СИ), выполненный с возможностью доступа к сетевым ресурсам,a network interface (SI) configured to access network resources,
компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода,a computer device (KU), configured to process executable code,
средства хранения данных (СХД), выполненные с возможностью хранения данных, по меньшей мере, двух программных сред, включающих исполняемый код, данные программ, пользовательские данные и политики безопасности, при этом,data storage means (SHD), configured to store data of at least two software environments, including executable code, program data, user data and security policies, while
корпус, выполнен в виде моноблока,the case is made in the form of a monoblock,
СУ размещены внутри упомянутого корпуса и выполнены с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД, и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным остальных программных сред, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ.The control systems are located inside the aforementioned enclosure and are configured to receive and transmit data between the control units, UHF, SI and SHD, and with the ability to transfer control of the computer device to the executable code from the mentioned software environments so that the executable code of the software environment under which the control is located in at any given time, does not have access to the data of other software environments, and to network resources that are not provided for by the security policy of the software environment under which the control is located.
В предпочтительной форме выполнения вышеописанной системы СХД выполнены с возможностью шифрования и дешифрации записанных данных и/или с возможностью защиты областей с данными от чтения и/или записи.In a preferred embodiment, the storage systems described above are configured to encrypt and decrypt recorded data and / or to protect data areas from reading and / or writing.
Вышеуказанная задача также решается в способе работы вышеописанного терминала, включающего в себя следующие этапы:The above problem is also solved in the method of operation of the above terminal, which includes the following steps:
(а) обеспечивают получение вводимых данных только от устройств ввода, подключенных к СУ,(a) provide input only from input devices connected to the control system,
(б) при включении упомянутого терминала посредством СУ проводят аутентификацию и авторизацию пользователя посредством СУ,(b) when the terminal is turned on by means of the control system, authentication and authorization of the user by means of the control system are performed,
(в) после успешной аутентификации и авторизации, - предоставляют пользователю возможность выбора программных сред для загругки в КУ из числа программных сред, разрешенных политикой безопасности,(c) after successful authentication and authorization, - provide the user with the opportunity to select software environments for downloading to the KU from among the software environments permitted by the security policy,
(г) проверяют целостность данных программной среды, выбранной пользователем, посредством СУ,(d) verify the integrity of the data of the software environment selected by the user, through SU,
(д) в случае нарушения целостности, - восстанавливают данные программной среды,(e) in case of integrity violation, - restore the data of the software environment,
(е) посредством СУ предотвращают доступ к сетевым ресурсам и носителям данных, не предусмотреным политикой безопасности,(e) through CS prevent access to network resources and storage media not provided for in the security policy,
(е) посредством СУ предоставляют возможность смены программной среды, таким образом, что перед сменой программной среды очищают регистры КУ и осуществляет загрузку другой среды в соответствии с вышеупомянутыми этапами.(e) by means of CS, the possibility of changing the software environment is provided, so that before changing the software environment, the KU registers are cleaned and another environment is loaded in accordance with the above steps.
Для аутентификации и авторизации пользователя в вышеописанном способе могут использовать как локальные данные, так удаленные ресурсы или и те и другие одновременно.For authentication and authorization of the user in the above method, they can use both local data, remote resources, or both at the same time.
Для связи с удаленными системами аутентификации и авторизации предпочтительно использовать защищенные каналы связи.For communication with remote authentication and authorization systems, it is preferable to use secure communication channels.
В случае повреждения данных программной среды их восстановление, в одном из предпочтительных вариантов осуществления, производят из резервного хранилища с аппаратной защитой от записи.In case of data corruption of the software environment, their recovery, in one of the preferred embodiments, is performed from the backup storage with hardware write protection.
Дополнительные преимущества и аспекты полезной модели приведены в дальнейшем детальном описании, где показана и описана реализация системы на базе настоящей полезной модели. Система, описанная в настоящем тексте, может иметь другие и отличные реализации, несколько ее деталей могут быть модифицированы различными очевидными способами, не отклоняясь от основной идеи полезной модели. Соответственно, чертеж и описания должны рассматриваться как иллюстрирующие, но не ограничивающие полезную модель.Additional advantages and aspects of the utility model are given in the further detailed description, which shows and describes the implementation of the system based on this utility model. The system described in this text may have other and different implementations, several of its details can be modified in various obvious ways, without deviating from the main idea of the utility model. Accordingly, the drawing and descriptions should be considered as illustrating, but not limiting, the utility model.
Приведенное ниже детальное описание реализации данного сообщения лучше всего понять, если рассматривать его вместе со следующими чертежами.The following detailed description of the implementation of this message is best understood if considered together with the following drawings.
КРАТКОЕ ОПИСАНИЕ ФИГУР ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS
Фиг.1. - Схематическое изображение архитектуры стандартного компьютерного устройства.Figure 1. - Schematic representation of the architecture of a standard computer device.
Фиг.2. - Схематическое изображение доступа к сетям с разным уровнем доверияFigure 2. - Schematic representation of access to networks with different levels of trust
Фиг.3 - Схематическое изображение подключения встраиваемого модуля управления в стандартную компьютерную архитектуру.Figure 3 - Schematic representation of the connection of an embedded control module in a standard computer architecture.
Фиг.4 - Схематическое изображение одного из вариантов реализации компьютера с новой архитектурой.Figure 4 - Schematic illustration of one embodiment of a computer with a new architecture.
Фиг.5 - Схематическое изображение одного из вариантов использования компьютеров с новой архитектурой в локальной сети.Figure 5 - Schematic illustration of one of the options for using computers with a new architecture in the local network.
Фиг.6 - Схематическое изображение одного из вариантов реализации разделения доступа наборов ПО к ресурсам сети с разным уровнем доверия моноблока компьютера с новой архитектурой.6 - Schematic illustration of one of the options for sharing access sets of software to network resources with different levels of trust monoblock computer with a new architecture.
ОСУЩЕСТВЛЕНИЕ ПОЛЕЗНОЙ МОДЕЛИIMPLEMENTATION OF A USEFUL MODEL
Терминал для безопасного доступа к сетевым ресурсам, содержит по меньшей мере, одно компьютерное устройство (КУ), выполненное с возможностью обработки исполняемого кода, корпус, выполненный в виде моноблока, и установленные внутри него, средства управления (СУ), выполненные с возможностью загрузки и выгрузки программной среды в КУ и/или с возможностью переключения между программными средами, загруженными в КУ. СУ снабжены интерфейсами для подключения средств ввода-вывода (СВВ), выполненных с возможностью считывания данных от средств ввода и вывода информации посредством средств вывода. СУ также снабжены интерфейсами для подключения к сетевым устройствам (СУ), выполненным с возможностью доступа к сетевым ресурсам. Кроме того, СУ снабжены интерфейсами для подключения к средствам хранения данных (СХД), выполненным с возможностью хранения данных, по меньшей мере, двух программных сред, каждая из которых включает исполняемый код, данные программ, политики безопасности и пользовательские данные. Причем, СУ выполнены с возможностью приема и передачи данных между КУ, СВВ, СИ и СХД и с возможностью передачи управления компьютерным устройством исполняемому коду из упомянутых программных сред таким образом, что исполняемый код программной среды, под управлением которой находится КУ в любой момент времени, не имеет доступа к данным программных сред, имеющих возможность управления КУ в иные моменты времени, и к сетевым ресурсам, не предусмотренным политикой безопасности программной среды, под управлением которой находится КУ в любой момент времени.The terminal for secure access to network resources, contains at least one computer device (KU), configured to process executable code, a housing made in the form of a monoblock, and installed inside it, management tools (CS), configured to download and unloading the software environment in the control unit and / or with the ability to switch between software environments loaded in the control unit. The control systems are equipped with interfaces for connecting input-output means (UHV), configured to read data from input and output means by means of output means. CSs are also equipped with interfaces for connecting to network devices (CSs) configured to access network resources. In addition, the control systems are equipped with interfaces for connecting to data storage means (SHD), configured to store data of at least two software environments, each of which includes executable code, program data, security policies, and user data. Moreover, the control system is configured to receive and transmit data between the control system, control system, control system, and storage system and with the possibility of transferring control of the computer device to the executable code from the mentioned software environments so that the executable code of the software environment under which the control is located at any time does not have access to the data of software environments that have the ability to control KU at other points in time, and to network resources that are not provided for by the security policy of the software environment under which the KU is located in any a ment of time.
На фигуре 5 показан пример сетевого окружения, в котором может функционировать вышеописанный терминал. Локальная сеть, изображенная на фигуре 5, может обеспечивать проводное или беспроводное подключение терминалу 30, 31, включающему КУ 8 и СУ 200. Терминал может представлять собой персональный компьютер, сервер, группу серверов или рабочих станций, и систему удаленного управления 32. В сети может находиться набор доверяемых сетевых ресурсов 33 содержащих конфиденциальные ресурсы, подключенные к сети с высоким уровнем доверия. Также в сети может находиться шлюз 36, позволяющий терминалу 30, 31 связываться с публичными сетевыми ресурсами 37 с низким уровнем доверия, например, с публичными Интернет-ресурсами. Сеть может содержать набор сетевых ресурсов для служебного пользования 35Figure 5 shows an example of a network environment in which the above terminal may function. The local network shown in figure 5, can provide a wired or wireless connection to the terminal 30, 31, including
Сетевые ресурсы могут представлять собой любые данные, программы удаленной обработки, облачные ресурсы, базы данных с определенным уровнем доверия и т.п.Network resources can be any data, remote processing programs, cloud resources, databases with a certain level of trust, etc.
СУ 200 может быть размещено в одном корпусе с компьютерным устройством КУ 8 представляющим собой любое компьютерное устройство (например, персональный компьютер, ноутбук, планшет, смартфон, сервер, сетевое компьютерное оборудование и т.п.), которое подключается к каналам связи для доступа к сетевым ресурсам. СУ 200 также может быть смонтировано на одной печатной плате с КС 8, или может подключаться к одному из стандартизированных интерфейсных разъемов на печатной плате КУ 8.
Терминалы, показанные на фигуре 5, связаны между собой системой управления СИ 32, и шлюзом 36. Устройство СУ 200 установлено в терминале таким образом, чтобы гарантировать, что соответствующее сетевое устройство или система будет получать доступ к сети только через СУ 200. СУ 200 может быть внешним или внутренним, в зависимости от соответствующего сетевого устройства или системы. Например, устройство СУ 200 может быть выполнено в виде одной или нескольких микросхем. Устройства СУ 200 могут иметь различные конфигурации аппаратного и/или программного обеспечения, которые позволяют поддерживать конкретные сетевые операции, выполняемые соответствующими сетевыми устройствами или системами. Конфигурация аппаратного и/или программного обеспечения, а также набор программного обеспечения СУ может загружаться из защищенной от записи области памяти устройства СХД в соответствии с политикой безопасности, принятой в соответствующем сетевом устройстве или системе. В примере, показанном на фиг.5 терминал 30 может быть сконфигурирован таким образом, что программная среда или ее компоненты могут иметь доступ только к сетевым ресурсам 37 по шифрованному каналу связи VPN2, первый набор программного обеспечения 1 может иметь доступ к сетевым ресурсам 33 по шифрованному каналу связи, а второй набор программного обеспечения 2 может иметь доступ к публичным сетевым ресурсам по обычному каналу связи с использованием шлюза 36, как показано на фигуре 6. Причем программная среда, первый набор программного обеспечения 1 и второй набор программного обеспечения 2 в данном случае имеют доступ только к соответствующим сетевым ресурсам, что может определяться соответствующей политикой безопасности, и не имеют доступа к другим сетевым ресурсам, что предотвращает возможность утечки соответствующих данных пользователей в другие сети. Шифрование каналов связи и двусторонняя аутентификация обеспечивает защиту от перехвата данных в каналах связи.The terminals shown in FIG. 5 are interconnected by the
На фигуре 6 показан пример организации доступа терминала в моноблочном исполнении 46 к трем наборам сетевых ресурсов с различным уровнем доверия. Так например, первая программная среда 40, выполняемая в компьютерном устройстве, имеет доступ только к первой группе сетевых ресурсов 33 с конфиденциальной информацией по каналу связи 43 с использованием шифрования. Вторая программная среда 41, выполняемая компьютерным устройством после выгрузки первой программной среды, имеет доступ к второй группе сетевых ресурсов для служебного пользования через канал связи 44, при этом используется шифрование с ключами, отличными от тех, которые применяются для шифрования в канале связи 43. Третья программная среда 42, выполняемая компьютерным устройством после выгрузки первой программной среды имеет доступ только к третьей группе сетевых ресурсов 35 с информацией общего доступа по каналу связи 43 без использования шифрования. Важно отметить, что для обеспечения защиты каналов связи от перехвата, только канал связи для доступа к публичным ресурсам общего доступа может не иметь шифрования. Остальные каналы связи должны использовать шифрование, причем с разными ключами. Это обеспечивает изоляцию каналов связи даже в случае использования одного физического канала связи с использованием, например кабельной сети Ethernet.The figure 6 shows an example of the organization of access of the terminal in
На фигуре 3 показан обобщенный пример подключения СУ 200 к стандартному компьютерному устройству 8, которое реализовано в виде центрального процессора 1, подключенного по процессорной шине 2 к северному мосту 3, включающему в себя контроллер графической шины 7 для подключения средств отображения информации 6, блок памяти 5 подключенный по шине 4, а также южный мост 7, для контроля шины РСI и РСIе 11, в котором подключение различных периферийных контроллеров и средств ввода-вывода 12 осуществляется к средству управления СУ 200 по шинам 103 (шины могут стыковаться с оконечным оборудованием с использованием интерфейсов USВ, SРI, SАТА, РСI, РS/2, и.т.д.). СУ 200 подключается к общей шине 11 устройства КУ 8, например РСIе в режиме мастера и имеет возможность доступа к контроллеру прерываний и прямого доступа к памяти 10 по каналу 107. Также СУ 200 может управлять стартом центрального процессора 1, например управлением тактовой частотой или стартом встроенного программного обеспечения методом перехвата прерываний для обеспечения предварительной целостности программного обеспечения, обеспечивающего базовые функции ввода-вывода, после аутентификации и авторизации пользователя. СУ 200 имеет прямой доступ к средствам отображения информации СО 6 по каналу 101. При необходимости СУ 200 может перенаправлять данные ввода от СВВ 12 в южный мост 9 по шине (или каналу) 204. Устройство СУ 200 подключено к сетевым устройствам 113, например, сетевым контроллерам Ethernet, которые по внешним каналам связи 14 имеют доступ к сетевым ресурсам или устройствам (не показаны). При этом компьютерное устройство КУ 8 не имеет прямого доступа к каналам связи 14 т.к. сетевые устройства 113 не подключаются к шинам КУ 8. Компьютерное устройство КУ выполняет коды, разрешенные к выполнению СУ 200 после выполнения процедур аутентификации и авторизации пользователя и проверки кода и данных на целостность, операционной системы и программ (далее - программная среда) а дополнительное компьютерное устройство ДКУ 201 выполняет защищенные наборы программного обеспечения из множества ПО (ПО1, ПО2, …, ПОn), которые хранятся в СХД 202, подключенным к интерфейсам 203 (USВ, SРI, SАТА, РСI, РS/2, GРВ и.т.д) для доступа к соответствующим сетевым ресурсам из множества сетевых ресурсов, разрешенных политикой безопасности.Figure 3 shows a generalized example of connecting the
Как показано на фигуре 3, компьютерное устройство 8 может иметь средства отображения (СО) 6, которые получают данные, переданные на компьютерное устройство 8 в виде входных данных для средств отображения (например, видеоданные), и управляет выводом этих данных на СО 6, такие как внешний или встроенный монитор, подключенный к компьютерному устройству 8. Входные данные, передаваемые на СО 6, могут быть зашифрованы. Кроме того, компьютерное устройство КУ 8 может включать любые другие компоненты или программы, необходимые для его работы и выполнения задач.As shown in FIG. 3, the
СУ 200 может быть подключено к любой высокоскоростной шине компьютерного устройства КУ, а также к любому высокоскоростному интерфейсу обмена данными, такому как USВ, РСI, РСI Ехрrеss и т.д., то есть - к любому интерфейсу, способному поддерживать протокол обмена данными между устройством СУ 200 и компьютерным устройством КУ 8, описанным ниже. СУ 200 может быть реализовано в виде одной или нескольких микросхем, интегрировано в центральный процессор 1, в северный мост 3, или в южный мост 9 или другие в другие интегральные микросхемы или контроллеры КУ 8, включая контроллеры периферийных устройств. СУ 200 может быть размещено отдельно в виде вспомогательной платы или интегрировано в материнскую плату. Кроме того СУ 200 может быть внешним относительно компьютерного устройства КУ. Например, СУ 200 может представлять собой плату, подключаемую к компьютерному устройству КУ через соответствующий разъем. Также устройство СУ может быть реализовано с применением технологий виртуальных машин.
СУ 200 может подключаться к сетевым каналам, с использованием сетевых интерфейсов или устройств СУ 113, обеспечивающих физический интерфейс с сетью передачи данных. Например, СУ 113 может включать контроллеры Ethernet, Wi-Fi, 3G, 4G и т.п. Также, СУ 113 может быть выполнено в виде отдельного программно-аппаратного сетевого экрана или с применением средств программной или аппаратной виртуализации. Реализация изолированного сетевого экрана позволяет защитить правила доступа и сетевые фильтры от манипуляции наборами программного обеспечения. Межсетевые экраны в модуле СУ 113 могут представлять собой любые системы, подходящие для фильтрации сетевого трафика по соответствующим сетевым каналам, основываясь на заранее заданном критерии или с использованием логики предсказаний. Например, фильтры могут включать межсетевой экран для фильтрации IР трафика, антивирусное программное обеспечение, модули обнаружения атак, модули контроля доступа к сетевым ресурсам, программные или аппаратные модули шифрования каналов связи, фильтры уровня приложений и т.д. Сетевые интерфейсы СУ 113 могут быть реализованы любыми программными или программно-аппаратными средствами. Каждый сетевой интерфейс может иметь уникальный IР адрес.
Устройство СУ 200 подключается между компьютерным устройством КУ 8 и сетью передачи данных, чтобы обеспечить каналы передачи данных между терминалом и сетевыми ресурсами, и предотвратить прямой обмен данными между компьютерным устройством КУ 8 и сетью передачи данных.The
Как показано на фиг.4, в устройстве СУ 200 может быть встроен модуль контроллера безопасности КБ 108, выполненный, например, на отдельном микропроцессоре выполняющий соответствующий доверенный микрокод (ПО), отвечающий за аутентификацию, авторизацию и контроль как минимум одного дополнительного компьютерного устройства ДКУ 201 состоящего, например, из модуля управления памятью МУП 109, защищенной памяти наборов программного обеспечения ППО 111, защищенной памяти наборов данных пользователя ПДП 110, и исполнительного модуля ИМ 104. Модуль управления памятью (МУП) может представлять собой контроллер памяти, выполненный на отдельной интегральной схеме, логике или микроконтроллере, позволяющий под управлением контроллера безопасности КБ 108 обеспечивать блокировку команд записи в определенные сегменты (области) памяти, блокировку команд чтения из определенных сегментов (областей) памяти, а также предотвращать выполнение (загрузку) команд процессором из определенных сегментов памяти. Исполнительный модуль может представлять собой стандартый или встраеиваемый процессор и необходимую аппаратную логику для выполнения кода ПО, Контроллер безопасности КБ 108 может управлять аппаратной функцией защиты от записи и чтения МУП 109 и/или СХД, выбором соответствующего политике безопасности уникального набора ПО и соответствующих ДП в который могут входить браузеры, программы доступа к базам данных, и т.д., необходимые Терминалу для работы с соответствующими политике безопасности сетевыми ресурсами. Например, выбранные и загруженные с СХД 202 в ИМ 104, под управлением КБ 108, наборы программного обеспечения ПО (см фиг.6) могут включать компьютерные программы, которые разрешены к использованию ИМ 104 в соответствии с политиками сетевой безопасности при доступе только к сетевым ресурсам с публичными данными, такими как сеть Интернет. Наборы ПО могут, например, включать интернет браузеры, программы обмена сообщениями, программы новостей и т.п.. Код ПО может выполняться в в одном из ДКУ для обеспечения защиты и изоляции от доступа других наборов ПО и СР, а также защиты от доступа к другим наборам ПО и СР. Т.к. МУП 109 предотвращает модификацию ПО в памяти защитой от записи, то злоумышленник не имеет возможности встроить свой вредоносный код или изменить код ПО. ИМ 104 также может использовать любой механизм безопасности, позволяющий безопасно выполнять приложения ПО включая программные и аппаратные методы защиты, такие как защита от исполнения кода (предотвращение выполнения кода из областей памяти программного стека и буферов данных,, ПО защиты от вредоносного кода, динамическую проверку контрольных сумм, механизмы на базе технологий зоны доверия (TrustZone) и т.д.As shown in figure 4, in the
Приложения П02 могут генерировать выходные данные, подаваемые через интерфейс видеоканала ИВ 107 на средства отображения СО 6, что позволяет компьютерному устройству КУ 8 выводить на внутреннее или внешнее средство отображения графическое изображение, соответствующее выходным данным ИМ 104. Приложения П02 могут генерировать выходные данные в виде любого сигнала, например, видеосигнала, который может использоваться в качестве входного для средства отображения, такого как монитор. Модуль ИВ 107 может иметь управляемый переключатель вывода (ввода) для подключения СО 6 к ИМ 104 или к КУ 8 в зависимости от необходимости. Такое управление может осуществляться с использованием контроллера прерываний и прямого доступа к памяти 10. Таким образом, злоумышленник, даже при наличии вредоносного кода в ПО компьютерного устройства КУ 8 не сможет перехватить изображение, предоставляемое ИМ 104. Как более детально описано ниже, в зависимости от политики безопасности и набора ПО, выходные данные ИМ 104 могут представлять входные данные, полученные из соответствующих СР по внешним каналам связи. Контроллер периферийных устройств КПУ 115 может быть соединен с устройством ввода-вывода 12, таким как клавиатура и/или мышь, чтобы позволить пользователю вводить информацию, необходимую для работы набора приложений П02. КПУ 115 управляется контроллером безопасности 108 таким образом, чтобы обеспечить переключения направления ввода в ИМ 104 для работы, например П01 или в КУ 8, для работы ПО в зависимости от режима работы. Таким образом, при вводе информации, например, для передачи в СР1 (фиг.6), канал передачи будет отключен от КУ 8, что не позволит таким программам как кейлоггер перехватить команды и сигналы ввода и передать их хакеру. Видеосигнал, отображаемый на мониторе модулем ИВ 107, изолирован от ПО компьютерного устройства КУ 8 и не может содержать вирусов, червей, «троянов», программ-шпионов и т.д., способных получить доступ к данному набору ПО. Более того, даже если вредоносный код уже есть на компьютерном устройстве КУ 8, при запросе на передачу информации с компьютерного устройства КУ 8 внешнему получателю, изоляция МД 116, предотвращает отсылку любой информации компьютерным устройством КУ 8 в сетевые ресурсы СРЗ или получения прямого доступа к каналу передачи данных.Applications P02 can generate output data supplied through the interface of the
Контроллер безопасности КБ 108 может управлять доступом пользователя к сетевым ресурсам, основываясь на информации о политике безопасности, которая может быть загружена в устройство СУ 200 в режиме настройки, который описан более детально ниже. Информация о политике безопасности сети может включать информацию об аутентификации и авторизации, такую как имя или имена одного или нескольких пользователей, имеющих права доступа к терминалу, а также информацию о паролях, связанных с пользователями и права доступа к информационным системам. Кроме того, в информации может содержаться любая другая информация, идентифицирующая пользователей, например по их отпечаткам пальцев или сетчатке глаза в случае многофакторной аутентификации. Далее, политика безопасности может включать информацию авторизации, включающую информацию для контроля доступа пользователей, включая права и привилегии пользователя и т.п.Также политика безопасности может содержать параметры настройки, сертификаты, ключи доступа, контрольные суммы для проверки целостности, списки доступа, параметры соответствия наборов ПО и ДП каналам связи и наборам СР и т.д. Права и привилегии пользователя могут определять сетевые ресурсы, порты и/или определенные 1Р адреса, разрешенные или запрещенные для конкретного пользователя, и/или наборы ПО, ДП, СР, разрешенные или запрещенные для пользователя.The
Кроме того, политика безопасности сети может определять различные уровни доверия для различных сетевых ресурсов - от наименее доверяемых до наиболее доверяемых. Наименее доверяемые ресурсы это ресурсы, имеющие большую вероятность компрометации безопасности сети, такие как некоторые сайты и домены, для которых известно, что они распространяют вредоносное программное обеспечение. Наиболее доверяемые ресурсы имеют наименьшую вероятность компрометации безопасности сети, это, например, ресурсы изолированной внутренней сети. Информация о правах доступа пользователя, загруженная в режиме настройки, может указывать права и привилегии пользователя в зависимости от ресурсов определенного уровня доверия. Как описано более детально ниже, контроллер безопасности КБ 108 может назначать определенный сетевой интерфейс из набора сетевых устройств 113 для обеспечения обмена данными с сетевыми ресурсами определенного уровня доверия.In addition, a network security policy can define different levels of trust for various network resources, from the least trusted to the most trusted. Least trusted resources are resources that are more likely to compromise network security, such as some sites and domains that are known to distribute malware. The most trusted resources have the least chance of compromising network security, for example, resources of an isolated internal network. User authority information downloaded in configuration mode may indicate user rights and privileges depending on the resources of a certain level of trust. As described in more detail below, the
Сетевые устройства СУ 113 могут представлять собой как физические сетевые интерфейсы (например, сетевые экраны, Wi-FI, Ethernet, 3G, 4G и т.п.) так и виртуальные, использующие программное обеспечение. Так к одному физическому интерфейсу могут быть привязаны несколько виртуальных для обеспечения разделения трафика между наборами ПО с использованием одного физического канала связи. Причем, каждый сетевой интерфейс может иметь уникальный адрес, например, 1Р.
Контроллер безопасности КБ 108 взаимодействует с МД 116, так для выполнения аутентификации и авторизации, контроллер безопасности КБ 108 может подавать сигнал запроса, например, видеосигнал, который может использоваться как входной для средства отображения СО 6, например, монитора. Через интерфейс видеоканала ИВ 107, сигнал запроса на авторизацию подается на СО 6, который управляет монитором компьютерного устройства КУ 8, чтобы отобразить графическое изображение для запроса аутентификации. В ответ, пользователь вводит необходимую информацию авторизации, передаваемую на контроллер безопасности КБ 108 для проверки с ипользованием устройства ввода 12, например клавиатуры, токена, смарт карты или сканера отпечатков пальцев. При этом КПУ 115 блокирует ввод данных в КУ 8 и ДКУ. Кроме пароля, введенного с клавиатуры можно реализовать способы считывания информации об авторизации, введенную пользователем, такую как динамический пароль, отпечаток пальца, сканирование сетчатки глаза, токены и карты безопасности и.т.д. Основываясь на информации пользователя, контроллер безопасности КБ 108 выполняет процедуру авторизации пользователя и определяет права и привилегии доступа к сети для этого пользователя. Так как процедура авторизации выполняется в устройстве СУ 200 за пределами компьютерного устройства КУ 8, этой процедурой нельзя манипулировать и ее нельзя фальсифицировать пользователем или вредоносным программным обеспечением, находящимся на компьютерном устройстве КУ 8.The
Контроллер безопасности КБ 108 принимает информацию авторизации и позволяет пользователю получить доступ к сетевым ресурсам СР в соответствии с правами и привилегиями, и уникальным набором ПО, установленными для этого пользователя. В противном случае, контроллер безопасности передает сообщение ошибки, сообщающее о недействительной аутентификации и авторизации и требующее от пользователя ввести необходимую информацию снова, а в случае нескольких неудачных попыток КБ 108 может заблокировать систему. По всем операциям СУ 200 могут вестись журналы аудита с разным уровнем детализации, от режима «черного ящика», записывающего абсолютно все действия пользователя и ПО, до режима записи только критических ошибок для службы поддержки. Журналы аудита могут вестись локально и записываться во внутреннюю память СУ 200, а также могут записываться на внешнюю или удаленную память, включая аудит сервера, внешние накопители, сетевые ресурсы и т.д. Данные аудита могут быть зашифрованы соответствующими ключами.The
В соответствии с примером реализации, устройство СУ 200 может иметь несколько дополнительных компьютерных устройств ДКУ для обеспечения транзакций между изолированными наборами ПО и ДП и соответствующими сетевыми ресурсами СР по доверительным каналам связи, например с использованием шифрования. Хотя на фиг.6 показано 3 сетевых канала 43, 44, 45, в других реализациях может использоваться любое количество каналов и любое количество ДКУ 201 для доступа к различным сетевым ресурсам. Несколько сетевых каналов позволяют обеспечить доступ пользователя к различным ресурсам через различные каналы, что позволяет изолировать соответствующие наборы ПО, ДП, СР. При использовании одного физического канала связи, например с использованием кабеля с витой парой по стандарту Ethernet или радиоканала WI-FI, разделение каналов может быть виртуальным, например с использованием технологий VРN, VLAN и т.п.Так к первому набору сетевых ресурсов первого уровня доверия доступ может осуществляться по одному сетевому каналу, в то время как набор сетевых ресурсов второго уровня доверия, который ниже первого, будут доступны по другому сетевому каналу. Причем каждому каналу может соответствовать отдельное ДКУ отдельный набор ПО и ДП. Использование шифрования каждого канала связи уникальным ключом предотвратит возможность перехвата и утечки данных в другие каналы связи. Как описано выше, сетевым ресурсам могут быть назначены различные уровни доверия - от самого низкого уровня доверия до самого высокого. Ресурсы с самым низким уровнем доверия имеют самую высокую вероятность компрометации безопасности сети, так как некоторые сайты и домены могут распространять вредоносное программное обеспечение. Наиболее доверяемые ресурсы имеют наименьшую вероятность компрометации безопасности сети, это, например, ресурсы изолированной внутренней сети.In accordance with an example implementation, the
Многоканальная схема устройства СУ 200 обеспечивает гибкость доступа к различным типам сетевых ресурсов с использованием всех доступных сетевых приложений, без компрометации безопасности сети. Устройство СУ 200.The multi-channel device diagram of the
Устройство СУ 200 включает механизм шифрования/дешифрования информации, передаваемой по каналам связи, причем часть функций шифрования может выполняться наборами ПО, ВПО а часть модулем СУ 113. Например, на фиг.6 показан механизм шифрования/дешифрования обеспечивающий шифрование и/или дешифрование информации, передаваемой по второму 44 и третьему 45 сетевым каналам В устройстве СУ 200 контроллер безопасности КБ 108 также может выполнять функции запоминающего устройства для ключей/политик, в котором содержится информация о политике безопасности сети, загруженная в режиме настройки, а также другая информация, связанная с режимами работы и безопасностью СУ 200. В частности в хранилище ключей/значений КБ 108 могут содержаться ключи для шифрования/дешифрования, необходимые для работы механизма шифрования/дешифрования СУ 113, СХД 202, ПДП 110, ППО 111, МУП 109, ИВ 107 и т.д. Конкретному пользователю можно назначить конкретный набор ключей, чтобы позволить пользователю доступ к определенным сетевым ресурсам, таким как сервер или база данных, сервер облачных вычислений, доступ к которым можно получить, только используя этот набор ключей. Это обеспечивает дополнительную защиту, предотвращающую доступ других пользователей к определенным сетевым ресурсам, т.к. пользователь не имеет возможности манипулировать этими данными, как было указанно выше. Также, в хранилище КБ 108 могут храниться другие настройки, определяющие различные аспекты политики сетевой безопасности, такие как авторизация пользователей, права и привилегии пользователя при доступе к сети и т.д.The
Далее, устройство СУ 200 имеет модуль ИКУ 106 который может предоставлять сетевые настройки для компьютерного устройства КУ 8, что значительно упрощает настройку устройства.Further, the
Этот механизм предотвращает установление сетевого соединения пользователем компьютерного устройства КУ 8 или вредоносным программным обеспечением, даже если пользователь или вредоносное программное обеспечение смогли изменить сетевые настройки, чтобы установить сетевое подключение, которое не разрешено в соответствии с правами и привилегиями конкретного пользователяThis mechanism prevents the user of the
Модуль КБ 108 также служит для обеспечения защиты от утечки информации ПО из КУ 8 как по каналам связи, так и с использованием любых периферийных устройств, например, внешним носителям информации, USВ накопителям. Так, например, модуль КБ 108 может содержать ПО сервисов-посредников для обработки, например, исходящей и входящей почты по протоколам передачи почтовых сообщений и принудительного применения политик безопасности и правил в зависимости от параметров почтовых сообщений. Так определенные почтовые сообщения могут быть автоматически зашифрованы или расшифрованы, преобразованы, обработаны или удалены. Также ВМД 112 может служить для обработки всех внешних данных поступающих с периферийных устройств ПУ 12, так и для обработки выводимой информации с КУ 8 на периферийные устройства с принудительным применением политик безопасности. Так, например, при необходимости записать на USВ накопитель ряд файлов данных может применяться политика безопасности, которая запретит запись определенного вида файлов, может зашифровать соответствующими ключами другие виды файлов и преобразовать в PDF или текстовый формат соответствующие политике файлы. Также в КБ 108 может стоять прокси сервисы для контроля доступа наборовПО куомпьютерного устройства КУ 8 к определенным сетевым ресурсам, например средствам автоматического обновления ПО. Контроллер безопасности КБ 108 также может предоставлять ключ шифрования ВПО для обеспечения шифрования данных, например жестких дисков КУ 8. При отзыве такого ключа политикой безопасности, доступ к компьютеру будет перекрыт.The
Таким образом, многоканальная схема устройства СУ 200 поддерживает гибкий механизм управления доступом к сети, который позволяет назначать и изолировать определенный сетевой канал для доступа к сетевым ресурсам, имеющим определенный уровень доверия. Более того, механизм управления доступом к сети, приведенный в данном описании, может назначать определенный сетевой канал в устройстве СУ 200 для выполнения определенных сетевых приложений. В частности, сетевые приложения ПО1, выполняемые ИМ устройства ДКУ, могут получить доступ к СР1 33 только через сетевой канал 43, в то время как приложения ПО компьютерного устройства КУ 8 могут получить доступ к СР2 35 через сетевой канал 45.Thus, the multi-channel device diagram of the
Таким образом, только изолированные сетевые приложения ПО1 могут получить доступ к сетевым ресурсам с наименьшим уровнем доверия. Сетевые приложения ПО2, имеющие самый высокий уровень доверия получат доступ только к соответствующей сети с самым высоким уровнем доверия. С другой стороны, пользователь может выполнять сетевые приложения ПО компьюьтерного устройства КУ 8, для связи с сетевыми ресурсами с более высоким уровнем доверия, такими как ресурсы внутренней сети или доверяемые ресурсы Интернет. Права и привилегии пользователя по доступу к сети определяются контроллером безопасности КБ 108 Основываясь на настройках и политиках, загруженных в запоминающее устройство КБ 108, они могут определять, какие приложения можно установить на компьютерное устройство КУ 8, а какие приложения должны предоставляться только устройством ДКУ как приложения ПО1, ПО2 ПОn. Также права и привилегии доступа пользователя к сети могут определять, какие сетевые каналы в устройстве СУ 200 должны использоваться для доступа к определенным сетевым ресурсам.Thus, only isolated network software applications1 can access network resources with the lowest level of trust. Network applications PO2 with the highest level of trust will only get access to the corresponding network with the highest level of trust. On the other hand, the user can run network software applications on the
Устройство СУ 200 может работать следующим образом. После включения питания, устройство СУ 200 переходит в рабочий режим, в котором запоминающее устройство ключей политик КБ 108 заблокировано и работает в режиме только для чтения. Устройство СУ 200 блокирует загрузку КУ 8 и ДКУ. При помощи интерфейса видеообмена ИВ 107, контроллер безопасности КБ 108 передает компьютерному устройству КУ 8 сообщение с запросом на аутентификацию для авторизации, которое может быть отображено на мониторе компьютерного устройства КУ. В ответ, пользователь вводит необходимую для авторизации информацию, используя устройство ввода, подключенное к интерфейсам ввода-вывода 12. КПУ 115 переключает направление ввода только в КБ 108, таким образом, предотвращая любой перехват набранной информации вредоносными средствами. Контроллер безопасности КБ 108 сравнивает полученную информацию с соответствующей информацией, которая хранится в запоминающем устройстве ключей и политик КБ 108.The
Если доступ пользователя подтвержден, контроллер безопасности КБ 108 может включить сетевые интерфейсы, устройства и модули СУ 200 которые разрешены правами и привилегиями доступа конкретного пользователя, содержащимися в запоминающем устройстве ключей и политик КБ 108. Также СУ 200 проверяет целостность разрешенных наборов ВПО и ПО и, в случае нарушения, восстанавливает соответствующие наборы с резервных источников.If the user’s access is confirmed, the
Ключ для шифрования/дешифрования, который хранится в запоминающем устройстве ключей и политик КБ, могут использоваться, чтобы позволить работу механизма шифрования/дешифрования ПО, ВПО или СУ 113 и обеспечить шифрование и/или дешифрование данных, передаваемых по доступным сетевым каналам в устройстве СУ 200. Также, на основе информации авторизации в запоминающем устройстве ключ политика КБ 108, могут быть настроены соответствующие фильтры и программы обработки модуля СУ 113, чтобы обеспечивать необходимую фильтрацию. Кроме того, как описано выше, определенному пользователю может быть назначен определенный набор ключей, чтобы обеспечить ему доступ к СР, а также определенным ресурсам сети, таким как сервер или база данных, которые можно использовать только с этим набором ключей.The encryption / decryption key, which is stored in the memory of the keys and policies of the KB, can be used to enable the encryption / decryption mechanism of software, malware or
Далее, при помощи сетевого интерфейса 113, устройство СУ 200 может установить соединение по шифрованному каналу с системой управления СУ 32 (фиг.5). Например, соединение может быть установлено по протоколу Secure Sockets Layer (SSL). Либо же может быть установлено соединение VPN, например, по протоколу Internet Protocol Security (IРsес).Further, using the
Используя шифрование, контроллер безопасности КБ 108 может проверить, имеет ли система удаленного управления СУУ 32 (фиг.5) информацию о политике безопасности сети, необходимую для управления устройством СУ 200 или же имеет обновленную информацию о политике безопасности сети, которая уже содержится в запоминающем устройстве ключей и политик КБ 108. Информация о политике безопасности сети может содержать информацию об авторизации, информацию о доступе к сети, ключи для шифрования и дешифрования, и любую другую информацию, которая может понадобиться для управления доступом к сети и безопасности данных. Если доступна новая или обновленная информация о политике безопасности, устройство КБ 108 загрузит ее с системы удаленного управления СУУ 32 и начнет процедуру перезагрузки, чтобы перейти в режим настройки. Аналогично устройство СУ 200 работает при получении нового или новых наборов ПО или ДП.Using encryption, the
В режиме настройки, запоминающее устройство ключей и политик безопасности КБ 108 разблокировано, чтобы позволить запись данных в запоминающее устройство ключей и политик КБ 108, загруженная информация о политиках безопасности переписывается в это запоминающее устройство. Под управлением КБ 109, МУП 109 разблокирует защищенную от записи память или часть памяти ППО 111 и ПДП 110 для обновления ПО и ДП. Такой же алгоритм обновления может использоваться для обновления ПО, хранимых на СХД 202. После расшифровки и проверки целостности в этом режиме могут быт сохранены новые или модифицированные наборы ПО и ДП, полученные до перезагрузки. Следует заметить, что в режиме настройки устройство СУ 200 недоступно компьютерному устройству КУ 8 или сетевым ресурсам СР, так как все интерфейсы СУ 113, ИКУ 106 устройства СУ 200 отключены. После загрузки необходимой информации, устройство СУ 200 может быть перезагружено для возврата в рабочий режим, в котором запоминающее устройство ключей политик безопасности КБ 108 заблокировано и доступно только для чтения. МУП 109 также защищает от записи необходимые области памяти хранении ПО и ДП и скрывает необходимые области для ограничения доступа. В результате, ни в режиме настройки, ни в рабочем режиме, ни пользователь, ни хакер не может получить доступ к запоминающему устройству КБ 108, чтобы манипулировать информацией политики безопасности. Для обеспечения защиты от физического вмешательства в КБ 108 может встраиваться независимый источник питания и сенсоры физического взлома, при срабатывании которых все данные ключей и политик безопасности КБ могут обнуляться и система приводиться в неработоспособное состояние.In setup mode, the key and security policy memory of
Если система удаленного управления СУУ 32 не имеет новых или обновленных политик безопасности, контроллер безопасности КБ 108 начинает инициализацию сетевых интерфейсов и наборов ПО.If the
ПРИМЕР 1EXAMPLE 1
При включении питания вышеописанный терминал функционирует следующим образом. Терминал не использует стандартную процедуру загрузки компьютерного устройства, при которой обычно на первом этапе управление передается встроенной программе BIOS, а затем запускаются РOSТ (процедуры тестирования) и после окончания процедуры тестирования оборудования ВIOS генерирует прерывание 19h, обработчик которого управляет дальнейшим ходом загрузки. Он находит первый (в порядке приоритетов в соответствии с настройками ВIOS) загрузочный диск, считывает его первый сектор по линейному адресу 07С00h и передает ему управление. Загрузчик, в свою очередь, загружает в оперативную память необходимые данные из файловой системы и начинает процесс запуска операционной системы.When the power is turned on, the above terminal operates as follows. The terminal does not use the standard procedure for loading a computer device, during which usually the BIOS is transferred to the BIOS firmware at the first stage, then POST (testing procedures) are started and after the BIOS testing procedure is completed, it generates an interrupt of 19h, the processor of which controls the further download progress. It finds the first (in the order of priority in accordance with the BIOS settings) boot disk, reads its first sector at the linear address 07С00h and transfers control to it. The loader, in turn, loads the necessary data from the file system into RAM and starts the process of starting the operating system.
Терминал, функционирует следующим образом при запуске. Сначала осуществляется запуск СУ 200, который задерживает запуск центрального процессора 1 (например, управляя тактовой частотой), и после выполнения встроенной в СУ программы инициализации, запрашивает данные пользователя для аутентификации. Пользователь, может использовать, например, USВ токен, провести процедуру аутентификации и авторизации используя локальные алгоритмы устройства СУ 200 и/или серверные технологии, включая Kerberos, RADIUS и т.п. Далее СУ, согласно политике, соответствующей пользователю, осуществляет проверку целостности кодов ВIOS и данных программной среды, например, с использованием алгоритмов контрольных сумм, электронной подписи на базе ассиметричного криптографического алгоритма и т.д., при необходимости производит процедуры дешифрования файлов, и далее открывает доступ к этим данным по стандартным адресам загрузки. После этого СУ 200 разрешает запуск центрального процессора 1. Центральный процессор 1 выполняет стандартные процедуры запуска ВIOS, РOSТ, загрузчика операционной системы и самой операционной системы.The terminal operates as follows at startup. First, the
При подобном подходе у злоумышленника нет возможности модифицировать код ВIOS, загрузчик, файлы ОС, данные, т.к. такая модификация обнаружится на этапе запуска СУ 200. Т.к. данные и данные программной среды в выключенном терминале могут храниться в зашифрованном виде, у злоумышленника не будет возможности запустить терминал при выключенных СУ 200. Также невозможно похитить данные программной среды, поскольку они хранятся в СХД в зашифрованной форме и не могут быть дешифрованы без СУ 200.With this approach, the attacker does not have the ability to modify the BIOS code, bootloader, OS files, data, because such a modification will be detected at the launch stage of the
Т.е на этом этапе устройство осуществляет доверенный старт компьютера только с проверенной на целостность программной средой, и только с той программной средой и наборами программного обеспечения, которые разрешены пользователю политикой безопасности. Это отличает вышеописанный терминал от модулей доверенной загрузки, которые могут подключаться только на этапе загрузки операционной системы после выполнения ВIOS, например, по прерыванию 19h. Такие модули не контролируют наборы ВПО и доступ к сетевым ресурсам, т.е. их можно обойти ВIOS вставками или физически.That is, at this stage, the device carries out a trusted start of the computer only with the integrity-tested software environment, and only with that software environment and software suites that are allowed by the user with a security policy. This distinguishes the terminal described above from the trusted boot modules, which can only be connected at the boot stage of the operating system after BIOS execution, for example, by interruption 19h. Such modules do not control malware sets and access to network resources, i.e. they can be circumvented by BIOS inserts or physically.
После завершения загрузки пользователю, может понадобиться осуществить доступ к сети с низким уровнем доверия, например, Интернет.В этом случае СУ 200 может потребовать дополнительную аутентификацию пользователя, после чего предоставит ему соответствующий набор прикладных программ и данных из памяти 110, 111 для запуска в дополнительном компьютерном устройстве 202. Это может быть популярный Интернет браузер «Хром» или «Мозилла», Skype и т.п.В типичных компьютерных устройтвах запуск подобных приложений для доступа в Интернет несет огромный риск, т.к. такие приложения являются основной мишенью хакерских атак. Используя уязвимости интернет браузера, хакер с легкостью может получить доступ к данным и сетям с высоким уровнем доверия.After the download is completed, the user may need to access a network with a low level of trust, such as the Internet. In this case, the
В случае с вышеописанным терминалом, набор прикладных программ для доступа к сети Интернет запускается в изолированной программной среде. СУ 200 переключает устройства ввода пользователя (клавиатуру и мышь) в изолированную программную среду для защиты от перехвата данных программами перехватчиками - кейлоггерами.In the case of the terminal described above, a set of application programs for accessing the Internet is launched in an isolated software environment. The
Среда выполнения включается в режим так называемого терминального сервера и выводит информацию об операциях на экран пользователя (например, напрямую в видеоадаптер с использованием DМА). За счет того, что СУ блокируют запись данных программной среды в области памяти, не предусмотренные политикой безопасности, программная среда, под управлением которой находится компьютерное устройство или дополнительное компьютерное устройство, всегда полностью изолирована от других программных сред, и в то же самое время не представляет для них опасности, так что злоумышленник не может получить доступ к данным или сетям с высоким уровнем доверия.The runtime enters the so-called terminal server mode and displays information about the operations on the user's screen (for example, directly to the video adapter using DMA). Due to the fact that the control system blocks the recording of data of the software environment in the memory area, not provided for by the security policy, the software environment under which the computer device or additional computer device is controlled is always completely isolated from other software environments, and at the same time does not represent they are in danger, so an attacker cannot gain access to data or networks with a high level of trust.
Если пользователю далее потребуется осуществить доступ, например, к платежной системе, СУ 200 после аутентификации и авторизации пользователя обнуляет оперативную память, буферы и регистры ДКУ, не оставляя следов от предшествовавшей программной среды. По требованиям государственных органов, может понадобиться выполнения очистки памяти в несколько проходов. Это необходимо для повышения степени изоляции между программными средами и предотвращения утечки информации в случае использования злоумышленником таких изощренных средств, как измерение остаточной намагниченности носителей информации. Далее СУ 200 загружает соответствующий набор программного обеспечения и данных, например программное обеспечение Клиент-Банк, 1С Бухгалтерию и т.п. Сетевые настройки, в соответствии с политикой безопасности могут быть установлены для обеспечения доступа программного обеспечения к удаленному серверу только с использованием шифрования, например VPN. Это позволит предотвратить возможность перехвата данных и модификации сессии. Также двухсторонняя авторизация предотвратит атаки «man in the middle».If the user further needs to make access, for example, to the payment system, the
В этом режиме также нет возможности перехвата, т.к. клавиатура и мышь перенаправлены в изолированную область КУ, а изображение может отображаться на монитор пользователя через СУ для обеспечения защиты от систем захвата экрана.In this mode, there is also no possibility of interception, because the keyboard and mouse are redirected to an isolated area of the control unit, and the image can be displayed on the user's monitor through the control unit to provide protection from screen capture systems.
Во всех режимах каждому набору программного обеспечения может соответствовать свой набор сетевых настроек, включая маршрутизацию, что позволяет предотвратить доступ к запрещенным политикой безопасности сетевым ресурсам.In all modes, each set of software can have its own set of network settings, including routing, which prevents access to network resources that are prohibited by the security policy.
Claims (31)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2013114421/08U RU130429U1 (en) | 2013-04-01 | 2013-04-01 | TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2013114421/08U RU130429U1 (en) | 2013-04-01 | 2013-04-01 | TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU130429U1 true RU130429U1 (en) | 2013-07-20 |
Family
ID=48790927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2013114421/08U RU130429U1 (en) | 2013-04-01 | 2013-04-01 | TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU130429U1 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2617924C1 (en) * | 2016-02-18 | 2017-04-28 | Акционерное общество "Лаборатория Касперского" | Method of detecting harmful application on user device |
| RU2630184C2 (en) * | 2015-01-13 | 2017-09-05 | Сяоми Инк. | Method and device for unlocking and also terminal |
| RU2634202C1 (en) * | 2016-12-27 | 2017-10-24 | Открытое акционерное общество "Научно-производственное объединение Ангстрем" | Device of hardware and software complex for generating key information and radio data for radio station |
| RU2636671C2 (en) * | 2014-12-22 | 2017-11-27 | Сяоми Инк. | Method, device and terminal for restoring firmware |
| US11170133B2 (en) * | 2018-10-29 | 2021-11-09 | Beijing Beyondinfo Technology Co., Ltd. | External terminal protection device and protection system for data flow control |
| RU2762157C1 (en) * | 2021-02-20 | 2021-12-16 | Вячеслав Германович Кочанов | Method for isolating data packets transmitted over public networks in the tcp/ip family protocol format using a combination of masking, encryption and control methods for the received data |
| US20230308453A1 (en) * | 2022-03-22 | 2023-09-28 | AT&T Global Network Services Belgium Luxembourg SPRL | Method and system for adaptive trust recovery in mixed environment communications |
| RU2821390C1 (en) * | 2023-01-27 | 2024-06-24 | Заур Дэгиевич Багаев | Hardware system for electronic control of sales of goods, services |
-
2013
- 2013-04-01 RU RU2013114421/08U patent/RU130429U1/en not_active IP Right Cessation
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2636671C2 (en) * | 2014-12-22 | 2017-11-27 | Сяоми Инк. | Method, device and terminal for restoring firmware |
| US10528434B2 (en) | 2014-12-22 | 2020-01-07 | Xiaomi Inc. | Method, device and terminal for restoring firmware program |
| RU2630184C2 (en) * | 2015-01-13 | 2017-09-05 | Сяоми Инк. | Method and device for unlocking and also terminal |
| RU2617924C1 (en) * | 2016-02-18 | 2017-04-28 | Акционерное общество "Лаборатория Касперского" | Method of detecting harmful application on user device |
| RU2634202C1 (en) * | 2016-12-27 | 2017-10-24 | Открытое акционерное общество "Научно-производственное объединение Ангстрем" | Device of hardware and software complex for generating key information and radio data for radio station |
| US11170133B2 (en) * | 2018-10-29 | 2021-11-09 | Beijing Beyondinfo Technology Co., Ltd. | External terminal protection device and protection system for data flow control |
| RU2762157C1 (en) * | 2021-02-20 | 2021-12-16 | Вячеслав Германович Кочанов | Method for isolating data packets transmitted over public networks in the tcp/ip family protocol format using a combination of masking, encryption and control methods for the received data |
| WO2022177477A1 (en) * | 2021-02-20 | 2022-08-25 | Вячеслав Германович КОЧАНОВ | Method for isolating data packets transmitted over networks |
| US20230308453A1 (en) * | 2022-03-22 | 2023-09-28 | AT&T Global Network Services Belgium Luxembourg SPRL | Method and system for adaptive trust recovery in mixed environment communications |
| RU2821390C1 (en) * | 2023-01-27 | 2024-06-24 | Заур Дэгиевич Багаев | Hardware system for electronic control of sales of goods, services |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240098097A1 (en) | Secure over-the-air updates | |
| EP3284003B1 (en) | Paravirtualized security threat protection of a computer-driven system with networked devices | |
| CN109923548B (en) | Method, system and computer program product for implementing data protection by supervising process access to encrypted data | |
| US20200301764A1 (en) | Operating system on a computing system | |
| CN107533609B (en) | System, device and method for controlling multiple trusted execution environments in a system | |
| US8335931B2 (en) | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments | |
| RU130429U1 (en) | TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL | |
| US9424430B2 (en) | Method and system for defending security application in a user's computer | |
| US10162975B2 (en) | Secure computing system | |
| CN107408172B (en) | Securely booting a computer from a user-trusted device | |
| US10897359B2 (en) | Controlled storage device access | |
| EP2947594A2 (en) | Protecting critical data structures in an embedded hypervisor system | |
| JP2013178764A (en) | Security-enhanced computer system and method | |
| RU2628925C1 (en) | System and method for protected transmission of audio-data from microphone to processes | |
| US10938857B2 (en) | Management of a distributed universally secure execution environment | |
| Sun et al. | Analysis and prevention of information security of USB | |
| Shafique et al. | Towards Protection Against a USB Device Whose Firmware Has Been Compromised or Turned as ‘BadUSB’ | |
| Goyal et al. | Cloud Computing and Security | |
| US10339328B1 (en) | Securing stored computer files from modification | |
| Huber | System Architectures for Data Confidentiality and Frameworks for Main Memory Extraction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Utility model has become invalid (non-payment of fees) |
Effective date: 20150402 |