【技术实现步骤摘要】
相关申请本申请要求2015年6月30日提交的俄罗斯联邦的专利申请No.2015125968的权益,其内容通过引用被合并于此。
本专利技术一般地涉及信息系统安全,并且更具体地,涉及一种一般信息处理功能与安全保障运算分离的安全布置。专利技术背景现今的计算机和软件技术解决着广泛的任务,从简单的玩游戏或创建文档,到非常复杂的,如控制工业设施。这种计算机化急剧地提高了保证计算机安全的必要性。安全性对家庭计算机用户来说很重要,因为恶意的软件,例如病毒,计算机蠕虫及木马程序非常普遍,且可以成为制造网络犯罪的工具,例如从银行账户中盗窃资金。但安全事项对关键基础设施及工业系统来说尤其重要。例如,震网计算机蠕虫证明已经存在软件可以被用作非法数据收集及破坏工业公司、发电厂、机场和其他关键设备设施的自动处理控制系统(APCS)的工具。确保安全是一个非常重要的话题,在家庭计算机及工业系统的操作中应被及时解决。目前,软件具有自己的安全相关的功能,可以与操作系统的安全功能分离或结合。换句话说,在今天的操作系统和软件中,安全和功能的逻辑可以被联合起来。这种方法有其缺点。例如,犯罪者利用功能性逻辑中的错误和零日漏洞通常可以绕开指定的安全等级。例如TCP/IP协议栈,一组网络协议,其中一个协议位于低级操作“以上”的高级操作中,其使用封装机制。这组协议功能性上被设计用来传递网络上的信息。同时,微软公司的操作系统由于在IPv4数据包的处理过程中TCP/IP协议栈中的错误而包含隐患。远程用户可以使用特别创建的数据包结束系统操作。另外一个例子是NTFS文件系统,其具有自己的安全机制-例如,访问分 ...
【技术保护点】
一种用于提供计算机安全体系架构的系统,所述系统包括:计算硬件,包括至少一个处理器、数据存储器以及与所述至少一个处理器相连接的输入/输出设备,所述数据存储器包括操作系统以及由所述至少一个处理器执行的多个主题实体;所述数据存储器进一步包括由所述至少一个处理器执行的安全子系统,当其被执行时引起所述计算硬件实现:安全服务器引擎,配置为将从定义一个或多个安全策略的一组规则中挑选出的规则应用到给定的一组安全环境参数,以产生安全裁定,所述安全裁定代表由主题实体请求的特定的动作是否是允许的,其中所述一个或多个安全策略中的每一个与对应的通信接口相关联;以及多个网关引擎,每个网关引擎与至少一个所述主题实体相关联,且专用于与所述安全服务器连接,每个所述网关引擎配置为:监控由相关联的至少一个主题实体请求的动作,以及针对每个被检测到的被请求的动作,识别安全环境,基于对应的被识别的安全环境为所述被请求的动作确定适用的安全策略,并通过对应于所述适用的安全策略的通信接口,从所述安全服务器引擎请求安全裁定;以及安全强制引擎,配置为根据所述安全裁定,允许或拒绝每个所述被请求的动作。
【技术特征摘要】
2015.06.30 RU 20151259681.一种用于提供计算机安全体系架构的系统,所述系统包括:计算硬件,包括至少一个处理器、数据存储器以及与所述至少一个处理器相连接的输入/输出设备,所述数据存储器包括操作系统以及由所述至少一个处理器执行的多个主题实体;所述数据存储器进一步包括由所述至少一个处理器执行的安全子系统,当其被执行时引起所述计算硬件实现:安全服务器引擎,配置为将从定义一个或多个安全策略的一组规则中挑选出的规则应用到给定的一组安全环境参数,以产生安全裁定,所述安全裁定代表由主题实体请求的特定的动作是否是允许的,其中所述一个或多个安全策略中的每一个与对应的通信接口相关联;以及多个网关引擎,每个网关引擎与至少一个所述主题实体相关联,且专用于与所述安全服务器连接,每个所述网关引擎配置为:监控由相关联的至少一个主题实体请求的动作,以及针对每个被检测到的被请求的动作,识别安全环境,基于对应的被识别的安全环境为所述被请求的动作确定适用的安全策略,并通过对应于所述适用的安全策略的通信接口,从所述安全服务器引擎请求安全裁定;以及安全强制引擎,配置为根据所述安全裁定,允许或拒绝每个所述被请求的动作。2.根据权利要求1所述的系统,其中多个所述主题实体中的每一个正好与一个网关引擎相关联。3.根据权利要求1所述的系统,其中每个被请求的动作的安全环境包括至少一个参数,所述的至少一个参数从包括下列的组中选出:被请求的动作发生的时间,启动被请求的动作的用户的标识符,由所述被请求的动作调用的命令,或所述被请求的动作发生的时间、所述启动被请求的动作的用户的标识符、所述由所述被请求的动作调用的命令的任意组合。4.根据权利要求1所述的系统,其中所述安全服务器的每个通信接口是只可由所述多个网关引擎访问的应用程序接口。5.根据权利要求1所述的系统,其中每个被请求的动作包括一个应用程序接口调用。6.根据权利要求1所述的系统,其中每个被请求的动作包括进程间通
\t信。7.根据权利要求1所述的系统,其中所述多个主题实体包括至少一个作为主题实体的进程。8.根据权利要求1所述的系统,其中所述多个主题实体包括至少一个作为主题实体的应用程序。9.根据权利要求1所述的系统,其中所述多个主题实体包括至少一个作为主题实体的计算设备。10.根据权利要求1所述的系统,其中通过对微内核的执行来实施所述安全服务器引擎。11.根据权利要求1所述的系统,其中每个所述网关引擎包括独立于任意所述安全策略的评估引擎。12.根据权利要求1所述的系统,其中每个所述网关引擎包括配置,所述配置特定于所述对应主题实体并定义所述对应主题实体能够采取的多个动作请求,连同那些动作请求所涉及的对应的策略。13.根据权利要求1所述的系统,其中每个所述网关引擎包括一个安全裁定高速缓存,配置为存储之前做出的与网关引擎相对应的安全裁定。14.根据权利要求1所述的系统,其中所述一个或多个安全策略包括用于授权访问安全模型的参数。15.根据权利要求1所述的系统,其中所述一个或多个安全策略包括用于Bell-LaPadula安全...
【专利技术属性】
技术研发人员:德烈·P·杜赫瓦洛夫,帕维尔·V·迪亚金,德米特里·A·库拉基尼,谢尔盖·B·伦古,斯坦尼斯拉夫·V·莫伊谢耶夫,
申请(专利权)人:卡巴斯基实验室股份公司,
类型:发明
国别省市:俄罗斯;RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。