Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса
Изобретение относится к многофункциональным информационным системам (МИС) интегрированных структур оборонно-промышленного комплекса. Технический результат - повышение информационной безопасности. Информационная система включает демилитаризованную зону, содержащую внешний информационный портал, почтовый сервер и DNS-сервер, не менее чем четыре физически разделенных защищенных контура обработки информации, в том числе публичный, внутренний открытый, внутренний конфиденциальный и закрытый информационные контуры, содержащие: рабочие места пользователей, серверы приложений, базы данных, серверы поддержки информационных сервисов, модуль безопасности, сетевой экран и криптошлюз. Система может дополнительно содержать как минимум по одному серверу с функцией поддержки сервиса, с функцией поддержки сервиса совместной работы, с функцией поддержки сервиса посредничества, с функцией поддержки сервиса обмена сообщений, с функцией поддержки сервиса управления корпоративными ресурсами, с функцией поддержки сервиса приложений, с функцией поддержки сервиса хранения данных, с функцией поддержки сервиса защиты информации, с функцией поддержки сервиса поддержки пользователей. 10 з.п. ф-лы, 1 ил.
Реферат
Заявляемое изобретение относится к территориально распределенным устройствам сбора, хранения, обработки и представления информации, объединенным в единую многофункциональную систему, пригодную к применению, в первую очередь для интегрированных структур оборонно-промышленного комплекса.
Известна многофункциональная информационная система (МИС) интегрированной структуры, описанная в монографии В.А. Михеева «Основы проектирования и построения многофункциональных информационных систем интегрированных структур оборонно-промышленного комплекса. Теория и практика». Издательский дом Высшей школы экономики. Москва, 2014. Данная система содержит три информационных контура:
- публичный информационный контур для обработки, передачи и представления общедоступной информации в сетях международного обмена (включая сеть Интернет);
- внутренний информационный контур для обработки конфиденциальной информации, включающей коммерческую тайну, персональные данные и других сведения конфиденциального характера, подлежащие защите;
- защищенный информационный контур для обработки информации, содержащей сведения, составляющие государственную тайну.
Внутри публичного информационного контура организована демилитаризованная зона, содержащая внешний информационный портал, почтовый сервер, DNS-сервер.
Каждый контур защищен модулем безопасности. Связь с удаленными территориально распределенными предприятиями интегрированной структуры осуществляется с использованием корпоративной сети передачи данных (КСПД).
Данная система принята за прототип.
Недостатком данной системы является недостаточно высокая степень информационной безопасности.
Технический результат заявляемого изобретения - повышение информационной безопасности.
Сущность заявляемого изобретения заключается в следующем.
МИС интегрированной структуры оборонно-промышленного комплекса включает демилитаризованную зону, содержащую внешний информационный портал, почтовый сервер и DNS-сервер и не менее чем четыре физически разделенных защищенных контура обработки информации, в том числе:
- публичный информационный контур, предназначенный для обработки, передачи и представления общедоступной информации в сетях международного информационного обмена, включая сеть Интернет;
- внутренний открытый информационный контур, предназначенный для обработки, передачи и представления общедоступной информации и обеспечения доступа к открытым сервисам и приложениям и обеспечивающий сбор, хранение, обработку, обмен и представление открытой информации;
- внутренний конфиденциальный контур, обеспечивающий сбор, хранение, обработку, обмен и представление конфиденциальной информации;
- закрытый информационный контур, обеспечивающий сбор, хранение, обработку, обмен и представление информации, содержащей сведения, составляющие государственную тайну.
Для обмена данными с серверами получателей информации, расположенными на территориально-распределенных объектах интегрированной структуры используется КСПД, использующая транспортную среду передачи данных (Интернет). КСПД связана с демилитаризованной зоной через VPN - шлюзы, выполненные с возможностью контроля соединения.
В каждом информационном контуре содержатся рабочие места пользователей, серверы приложений, базы данных и серверы поддержки информационных сервисов. При этом каждый информационный контур включает на входе модуль безопасности, выполненный на основе программных и/или аппаратных средств.
Между модулем безопасности публичного информационного контура и демилитаризованной зоной расположен межсетевой экран. Между внутренним открытым информационным контуром и его модулем безопасности расположен межсетевой экран. Между внутренним конфиденциальным контуром и его модулем безопасности расположены последовательно криптошлюз и межсетевой экран. Между закрытым информационным контуром и его модулем безопасности расположены последовательно криптошлюз и межсетевой экран. Модуль безопасности внутреннего открытого информационного контура соединен с модулем безопасности публичного информационного контура и с межсетевым экраном, расположенным между демилитаризованной зоной и VPN-шлюзом. Модуль безопасности внутреннего конфиденциального информационного контура соединен с межсетевым экраном, расположенным между демилитаризованной зоной и VPN-шлюзом. Модуль безопасности закрытого информационного контура соединен с межсетевым экраном, расположенным между демилитаризованной зоной и VPN-шлюзом. При этом в каждом информационном контуре аппаратные средства соединены между собой посредством шин управления и передачи данных.
Предпочтительный вариант реализации заявляемого изобретения представлен блок-схемой, приведенной на Фиг. 1, где:
1 - демилитаризованная зона;
2 - внешний информационный портал;
3 - DNS-сервер;
4 - почтовый сервер;
5 - публичный информационный контур;
6 - внутренний открытый информационный контур;
7 - внутренний конфиденциальный контур;
8 - закрытый информационный контур;
9 - рабочие места пользователей;
10 - VPN-шлюз;
11 - серверы получателей информации, расположенных на территориально-распределенных объектах интегрированной структуры;
12 - модуль безопасности;
13 - межсетевой экран;
14 - криптошлюз;
15 - серверы приложений;
16 - базы данных;
17 - серверы поддержки информационных сервисов;
18 - шины управления и передачи данных;
19 - корпоративная сеть передачи данных (КСПД).
МИС интегрированной структуры оборонно-промышленного комплекса работает следующим образом.
Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса включает демилитаризованную зону 1, содержащую внешний информационный портал 2, почтовый сервер 3 и DNS-сервер 4. МИС «разделена» на четыре физически разделенных защищенных контура обработки информации, в том числе публичный информационный контур 5, предназначенный для обработки, передачи и представления общедоступной информации в сетях международного информационного обмена, включая сеть Интернет, внутренний открытый информационный контур 6, предназначенный для обработки, передачи и представления общедоступной информации и обеспечения доступа к открытым сервисам и приложениям и обеспечивающий сбор, хранение, обработку, обмен и представление открытой информации, внутренний конфиденциальный контур 7, обеспечивающий сбор, хранение, обработку, обмен и представление конфиденциальной информации, закрытый информационный контур 8, обеспечивающий сбор, хранение, обработку, обмен и представление информации, содержащей сведения, составляющие государственную тайну.
Каждый информационный контур включает в себя рабочие места пользователей 9, серверы приложений 15, базы данных 16 и серверы поддержки информационных сервисов 17. Обмен данными с серверами получателей информации, расположенными на территориально-распределенных объектах интегрированной структуры 11, осуществляется через корпоративную сеть передачи данных 19, использующую транспортную среду передачи данных (Интернет) и предназначенную для обмена данными через VPN-шлюзы 10, выполненные с возможностью контроля соединения.
Каждый информационный контур включает на входе модуль безопасности 12, выполненный на основе программных и/или аппаратных средств, при этом между модулем безопасности публичного информационного контура 5 и демилитаризованной зоной 1 расположен межсетевой экран 13.
Между внутренним открытым информационным контуром 6 и его модулем безопасности 12 расположен межсетевой экран 13.
Между внутренним конфиденциальным контуром 7 и его модулем безопасности 13 расположены последовательно криптошлюз 14 и межсетевой экран 13.
Между закрытым информационным контуром 8 и его модулем безопасности 12 расположены последовательно криптошлюз 14 и межсетевой экран 13.
Модуль безопасности 12 внутреннего открытого информационного контура 6 соединен с модулем безопасности 12 публичного информационного контура 5 и с межсетевым экраном 13, расположенным между демилитаризованной зоной 1 и VPN-шлюзом 10.
Модуль безопасности 12 внутреннего конфиденциального информационного контура 6 соединен с межсетевым экраном 13, расположенным между демилитаризованной зоной 1 и VPN-шлюзом 10.
Модуль безопасности закрытого информационного контура 8 соединен с межсетевым экраном 13, расположенным между демилитаризованной зоной 1 и VPN-шлюзом 10.
VPN-шлюз выполнен на базе специализированных аппаратных средств и обеспечивает защищенное взаимодействие МИС с удаленными пользователями.
В каждом информационном контуре и в демилитаризованной зоне 1 аппаратные средства соединены между собой посредством шин управления и передачи данных 18.
Такое построение системы реализует горизонтальную и вертикальную защиту МИС.
Информационные контуры 5, 6, 7 и 8 физически «развязаны». В точках входа контуров и на входе в демилитаризованную зону 1 расположены межсетевые экраны 13. Защита информационных контуров 5, 6, 7 и 8 обеспечивается модулями безопасности 12.
Модули безопасности 12 информационных контуров 5, 6, 7 и 8 обеспечивают защиту информации (в том числе и криптографическую с использованием криптошлюза 14) при передаче по каналам связи, защиту информации от утечки, защиту от несанкционированного доступа и компроментации, анализ и оповещение об инцидентах безопасности, контроля умышленных и неосторожных действий персонала.
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса поиска информации (Discovery). Сервис поиска информации обеспечивает ведение единого каталога ресурсов (сервисов, услуг, информации) на основе стандарта UDDI (Universal Description, Discovery and Integration) - открытого платформонезависимого коммерческого стандарта универсального описания, поиска и взаимодействия, описывающего предоставляемые Интернет-сервисы и интерфейсы к ним, позволяющие интегрировать эти сервисы в программные приложения.
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса совместной работы (Collaboration). Этот сервис позволяет пользователям осуществлять взаимодействие путем коллективного использования коммуникационных и информационных ресурсов. Он предоставляет возможность организации и проведения аудио- и видеоконференций, обсуждений на основе обмена текстовыми сообщениями.
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса посредничества (Mediation). Предоставляет набор функциональных услуг по преобразованию данных, предлагаемых сервисом-поставщиком, к требуемому сервисом-потребителем формату (в соответствии с его описанием в регистре метаданных). Это позволяет обеспечивать совместимость между устаревшими и перспективными системами, а также адаптацию передаваемых объемов информации к возможностям сети передачи данных по доставке информации к конкретному пользователю.
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса обмена сообщений (Messaging), что позволит обеспечивать поддержку асинхронного обмена данными и не требует постоянного присутствия пользователя. Передаваемые сообщения будут храниться в буферной памяти и доставляться пользователю при его очередном подключении.
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса управления корпоративными ресурсами (Enterprise Service Management). Этим обеспечивается надежность и непрерывность функционирования МИС интегрированной структуры. Данный сервис осуществляет непрерывный мониторинг функционирования других сетевых сервисов, оценку, протоколирование и визуальное отображение качественных и количественных характеристик их производительности, выявление проблем в функционировании и оповещение операторов о необходимости вмешательства.
В частном случае в МИС может быть включен как минимум один сервер с функцией поддержки сервиса приложений (Application). Данный сервис обеспечивает возможность использования прикладных программ и специализированных приложений.
В частом случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса хранения данных (Storage). Данный сервис предоставляет пользователям необходимое количество внешней памяти для размещения и хранения данных, а также обеспечивает высокую надежность их хранения (контроль целостности, архивирование и восстановление).
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса защиты информации (Information Assurance). Данный сервис выполняет идентификацию пользователей, сервисов и приложений на основе системы открытых ключей, контроль предоставления ресурсов, защиту ресурсов.
В частном случае в МИС может быть дополнительно включен как минимум один сервер с функцией поддержки сервиса поддержки пользователей (User Assistance). Это позволяет обеспечить сопутствующую автоматически или выбираемую по требованию пользователя информацию в целях оказания ему помощи в эффективном использовании имеющихся приложений для решения конкретных задач.
В частном случае в защищенном информационном контуре на каждое рабочее место пользователя установлен криптошлюз.
Все это в совокупности позволяет решить поставленную техническую задачу - повышение информационной безопасности.
МИС может быть «построена» с использованием существующих серийно производимых технических средств и программного системного и специализированного обеспечения. В уровне техники не обнаружено подобного сочетания признаков изобретения, обеспечивающих получение технического результата, направленного на повышение информационной безопасности многофункциональной информационной системы интегрированной структуры оборонно-промышленного комплекса, что позволяет сделать вывод о том, что заявляемое изобретение соответствует всем критериям патентоспособности изобретения.
1. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса, включающая демилитаризованную зону, содержащую внешний информационный портал, почтовый сервер и DNS-сервер, не менее чем четыре физически разделенных защищенных контура обработки информации, в том числе публичный информационный контур, предназначенный для обработки, передачи и представления общедоступной информации в сетях международного информационного обмена, включая сеть Интернет, внутренний открытый информационный контур, предназначенный для обработки, передачи и представления общедоступной информации и обеспечения доступа к открытым сервисам и приложениям и обеспечивающий сбор, хранение, обработку, обмен и представление открытой информации, внутренний конфиденциальный контур, обеспечивающий сбор, хранение, обработку, обмен и представление конфиденциальной информации, закрытый информационный контур, обеспечивающий сбор, хранение, обработку, обмен и представление информации, содержащей сведения, составляющие государственную тайну, в каждом информационном контуре содержатся рабочие места пользователей, серверы приложений, базы данных и серверы поддержки информационных сервисов, корпоративную сеть передачи данных, использующую транспортную среду передачи данных и предназначенную для обмена данными через VPN-шлюзы, выполненные с возможностью контроля соединения, с серверами получателей информации, расположенными на территориально-распределенных объектах интегрированной структуры, при этом каждый информационный контур включает на входе модуль безопасности, выполненный на основе программных и/или аппаратных средств, при этом между модулем безопасности публичного информационного контура и демилитаризованной зоной расположен межсетевой экран, между внутренним открытым информационным контуром и его модулем безопасности расположен межсетевой экран, между внутренним конфиденциальным контуром и его модулем безопасности расположены последовательно криптошлюз и межсетевой экран, между закрытым информационным контуром и его модулем безопасности расположены последовательно криптошлюз и межсетевой экран; модуль безопасности внутреннего открытого информационного контура соединен с модулем безопасности публичного информационного контура и с межсетевым экраном, расположенным между демилитаризованной зоной и VPN-шлюзом, модуль безопасности внутреннего конфиденциального информационного контура соединен с межсетевым экраном, расположенным между демилитаризованной зоной и VPN-шлюзом, модуль безопасности закрытого информационного контура соединен с межсетевым экраном, расположенным между демилитаризованной зоной и VPN-шлюзом; при этом в каждом информационном контуре аппаратные средства соединены между собой посредством шин управления и передачи данных.
2. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса поиска информации (Discovery).
3. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса совместной работы (Collaboration).
4. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса посредничества (Mediation).
5. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса обмена сообщений (Messaging).
6. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса управления корпоративными ресурсами (Enterprise Service Management).
7. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса приложений (Application).
8. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса хранения данных (Storage).
9. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса защиты информации (Information Assurance).
10. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в нее дополнительно включен как минимум один сервер с функцией поддержки сервиса поддержки пользователей (User Assistance).
11. Многофункциональная информационная система интегрированной структуры оборонно-промышленного комплекса по п. 1, отличающаяся тем, что в закрытом информационном контуре на каждое рабочее место пользователя установлен криптошлюз.