Система анализа действий на электронно-вычислительных устройствах и защиты информации

(51) 06 21/00 (2013.01) 04 3/42 (2006.01) 06 11/00 (2006.01) МИНИСТЕРСТВО ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН ОПИСАНИЕ ПОЛЕЗНОЙ МОДЕЛИ К ПАТЕНТУ передачи информации в блок обработки посредством электронной связи, причем передача информации может осуществляться периодически. Блок наблюдения и контроля может быть выполнен с обеспечением возможности приема от блока обработки, хранения и использования настроек,например, таких как периодичность хранения данных информации о действиях на электронном устройстве (во внутренней базе данных блока наблюдения и контроля), запрет использования определенных носителей информации, реестр программного обеспечения запрещенного к использованию, режим работы и другие настройки. Блок наблюдения и контроля может быть выполнен с обеспечением возможности работы в скрытом от пользователя электронного устройства режиме. Блок наблюдения и контроля может быть выполнен с обеспечением возможности работы в видимом пользователю режиме и может быть выполнен с обеспечением возможности включения и отключения работы пользователем электронного устройства. Блок наблюдения и контроля может быть выполнен с обеспечением возможности обнаружения действий на электронном устройстве(в том числе мобильном) и передачи данных в блок обработки о действиях на электронном устройстве и информации о электронном устройстве, например,передачи в блок обработки информации о времени включения, работы и выключения электронного устройства, информации о работе приложений,информацию о программном обеспечении,информации о посещаемых сайтах, информацию о вводимом тексте пользователем электронного устройства, информацию о действиях пользователя электронного устройства, информацию о запросах в поисковых системах, содержание сообщений пользователей в определенном программном обеспечении, содержание входящих и исходящих электронных почтовых сообщений, информации о операциях с файлами, информации о аппаратном обеспечении, информации о работе связанных с электронным устройством устройств, информацию о выводимых на печать данных, информации о данных буфера обмена. Блок наблюдения и контроля может быть выполнен с обеспечением возможности осуществлять,например,предоставление (передачу, отправку) определенных(54) СИСТЕМА АНАЛИЗА ДЕЙСТВИЙ НА ЭЛЕКТРОННО-ВЫЧИСЛИТЕЛЬНЫХ УСТРОЙСТВАХ И ЗАЩИТЫ ИНФОРМАЦИИ(57) Полезная модель относится к области информационных технологий, в частности, к средствам защиты информации и может быть использована для предотвращения утечек информации через компьютерные сети, носители информации, устройства ввода-вывода, а так же для анализа действий пользователей электронных устройств. Полезная модель выполнена с обеспечением возможности регистрации и анализа действий на электронно-вычислительных устройствах и содержит блок обработки и по крайней мере, один блок наблюдения и контроля, выполненный с обеспечением возможности обнаружения действий на электронном устройстве (в том числе мобильном) и передачи информации о действиях в блок обработки. Блок обработки может быть выполнен с обеспечением возможности осуществлять,например, сбор и хранение информации (с электронных устройств на которых установлен блок наблюдения и контроля),сканирование и обнаружение информации(подозрительные действия пользователей, изменение аппаратных устройств, переданные данные) по заданным критериям (настройкам системы), предоставлять информацию в виде отчета,производить оповещение по заданным критериям (настройкам системы). Блок наблюдения и контроля может быть выполнен с обеспечением возможности осуществлять предотвращение действий на электронных устройствах,например,запрет пользователю электронного устройства использовать некоторые носители информации,выполнять запуск определенного программного обеспечения,использовать определенное аппаратное обеспечение. Блок наблюдения и контроля может быть выполнен с обеспечением возможности хранения информации о действиях на электронном устройстве (в том числе мобильном) и файлов с электронного устройства в блок обработки,производить перехват изображений (видеосигнала) на устройство вывода электронного устройства,производить перехват аудио и видео информации с устройства ввода-вывода электронного устройства,производить перехват информации с цифрового устройства электронного устройства, производить хранение информации и передачу информации в блок обработки. Блок обработки может быть выполнен с обеспечением возможности осуществлять хранение и обработку информации,например, полученной от блока наблюдения и контроля, настроек пользователей и системы. Блок обработки может быть выполнен с обеспечением возможности осуществлять, например, анализ и предоставление информации о времени использования и активности электронного устройства,о использовании программного обеспечения и приложений электронного устройства, о аппаратном обеспечении электронного устройства, о данных (изображениях, файлах, аудио и видео данных, сообщений) переданных с различных устройств электронного устройства с установленным блоком наблюдения и контроля,расчет стоимости определенных действий по заданным критериям,отправку системной информации в блок наблюдения и контроля,получение (прием, хранение, анализ, обработку) информации с блока наблюдения и контроля,реагирования и оповещения о действиях,обнаруженных по заданным(определенным настройками) критериям. Блок обработки может быть выполнен с обеспечением возможности осуществлять настройку системы, например, блок обработки содержит модуль (интерфейс) администратора, позволяющий задать (изменить, применить, добавить, удалить) настройки системы, в том числе и для блока наблюдения и контроля, причем модуль (интерфейс) администратора может быть выполнен с возможностью установки на электронное устройство и производить обмен данными с блоком обработки. Блок обработки может быть выполнен с обеспечением возможности осуществлять предоставление и обработку информации из внутренней базы данных (архива). Блок обработки может быть выполнен с обеспечением возможности осуществлять предоставление и обработку информации,полученную от блока наблюдения и контроля в реальном времени. Блок обработки может быть выполнен как аппаратно-программный комплекс, с возможностью интегрирования с различными устройствами и сервисами. В системе анализа действий на электронно-вычислительных устройствах и защиты информации возможно изменение ее конфигурации за счет подключения дополнительных элементов,что позволяет расширить диапазон эксплуатационных возможностей системы. Предложенная система обеспечивает предоставление и обработку информации о действиях,совершаемых на электронных устройствах пользователями и системами устройства, а так же обеспечивает выявление и предотвращение нежелательных действий и утечек информации через интернет, компьютерные сети,носители информации и различные устройства путем предоставления проанализированной информации и выполнения действий по определенным критериям. Предлагаемая полезная модель относится к области информационных технологий, в частности,к средствам защиты информации и может быть использована для предотвращения утечек информации через компьютерные сети, носители информации, устройства ввода-вывода, а так же для анализа действий пользователей электронных устройств. Известна система моделирования развития эпидемий компьютерных вирусов ( 91203 1,МПК 06 21/00, публ. 27 января 2010 г.). Система моделирования развития эпидемий компьютерных вирусов состоящая из следующих элементов системы-агенты, географически разнесенные в глобальной сети Интернет и предназначенные для перенаправления на центральный сервер информации включающие в себя загрузку файлов, количество запусков , число проведенных атак (а), попытки использования уязвимостей (е) центральный сервер,предназначенный для получения из глобальной сети Интернет данных от систем-агентов и сохранения этих данных в подсистеме статистики. Данная система производит выявление эпидемий компьютерных вирусов за счет взаимодействия подсистем систем-агентов,географически разнесенных в глобальной сети Интернет и перенаправляющих на центральный сервер информацию о событиях по передаче информации, что ограничивает область применения,так как система регистрирует только вирусные атаки, но не анализирует действия пользователей персональных компьютеров и действия его устройств. Известен программно-аппаратный комплекс защиты информации в -системах ( 106974 1, МПК 06 12/14, публ. 27 июля 2011 г.). Программно-аппаратный комплекс защиты информации в -системах включает комплект программ защиты информации (ПЗИ), каждая из которых инсталлируется в одно из аппаратнопрограммных средств Т-системы (-средство), и комплект аппаратно программных модулей (АПМ) защиты информации, каждый из которых выполнен с возможностью обеспечения парольного разграничения доступа к хранимым в нем информационным ресурсам и содержит процессор(Прц), энергонезависимую память (ЭНП) и интерфейсный узел (ИУ) для взаимодействия со средствами -системы. Данный программноаппаратный комплекс защиты информации в системах очень сложный в исполнении, содержит много зависящих элементов и не обеспечивает защиту от несанкционированного копирования информации на накопители информации, а так же не имеет функционала предотвращения действий пользователя и оповещения о подозрительных действиях. Известна система формирования решения проблем функционирования компьютерных систем( 128741 1, МПК 06 11/00 публ. 27 мая 2013 г.), которая состоит из средства формирования новых решений, предназначенного для получения нового решения для категории проблем, записанного в заданном формате на компьютере пользователя, подключенного к серверу, поиска решений для упомянутой категории проблем в базе данных. Данная система может быть использована и применима только для формирования решения проблем функционирования возникающих в компьютерных системах пользователей, но не может предотвращать действия пользователя на основании сформированного системой анализа, а так же производимый данной системой анализ на основании сбора данных с компьютера пользователя является недостаточным для полноценного определения инцидентов в компьютерных системах. Наиболее близкой к предлагаемой полезной модели является известная система защиты от утечек информации ( 111325 1, МПК 06 21/00 публ. 10 декабря 2011 г.), Система защиты от утечек информации, включающая блок разбора,блок анализа конфиденциальности,блок реагирования, блок правил, блок настроек, блок пользовательского интерфейса, блок защиты от утечек информации через подключаемые устройства, блок архива, блок оповещения. Данная система сложна в исполнении и не учитывает действия пользователя на персональном компьютере, а защита от утечек информации предназначена только для отправляемой информации,что значительно ограничивает функционал данной системы. Известные системы используют только для ограниченной категории пользователей и являются сложными в использовании и исполнении. Задачей полезной модели является разработка системы анализа действий на электронновычислительных устройствах и защиты информации, расширяющей арсенал используемых средств. Поставленная задача решается за счет того, что система выполнена с обеспечением возможности регистрации и анализа действий на электронновычислительных устройствах, содержит блок обработки и по крайней мере, один блок наблюдения и контроля,выполненный с обеспечением возможности обнаружения действий на электронном устройстве (в том числе мобильном) и передачи информации о действиях в блок обработки. Блок обработки может быть выполнен с обеспечением возможности осуществлять,например, сбор и хранение информации (с электронных устройств на которых установлен блок наблюдения и контроля),сканирование и обнаружение информации(подозрительные действия пользователей, изменение аппаратных устройств, переданные данные) по заданным критериям (настройкам системы), предоставлять информацию в виде отчета,производить оповещение по заданным критериям (настройкам системы). Блок наблюдения и контроля может быть выполнен с обеспечением возможности осуществлять предотвращение действий на электронных устройствах, например, запрет пользователю 3 электронного устройства использовать некоторые носители информации,выполнять запуск определенного программного обеспечения,использовать определенное аппаратное обеспечение. Блок наблюдения и контроля может быть выполнен с обеспечением возможности хранения информации о действиях на электронном устройстве (в том числе мобильном) и передачи информации в блок обработки посредством электронной связи, причем передача информации может осуществляться периодически. Блок наблюдения и контроля может быть выполнен с обеспечением возможности приема от блока обработки, хранения и использования настроек,например, таких как периодичность хранения данных информации о действиях на электронном устройстве (во внутренней базе данных блока наблюдения и контроля), запрет использования определенных носителей информации, реестр программного обеспечения запрещенного к использованию, режим работы и другие настройки. Блок наблюдения и контроля может быть выполнен с обеспечением возможности работы в скрытом от пользователя электронного устройства режиме(незаметном режиме). Блок наблюдения и контроля может быть выполнен с обеспечением возможности работы в видимом пользователю режиме и может быть выполнен с обеспечением возможности включения и отключения работы пользователем электронного устройства. Блок наблюдения и контроля может быть выполнен с обеспечением возможности обнаружения действий на электронном устройстве (в том числе мобильном) и передачи данных в блок обработки о действиях на электронном устройстве и информации о электронном устройстве, например, передачи в блок обработки информации о времени включения,работы и выключения электронного устройства,информации о работе приложений, информацию о программном обеспечении,информации о посещаемых сайтах, информацию о вводимом тексте пользователем электронного устройства,информацию о действиях пользователя электронного устройства, информацию о запросах в поисковых системах, содержание сообщений пользователей в определенном программном обеспечении, содержание входящих и исходящих электронных почтовых сообщений, информации о операциях с файлами, информации о аппаратном обеспечении, информации о работе связанных с электронным устройством устройств, информацию о выводимых на печать данных, информации о данных буфера обмена. Блок наблюдения и контроля может быть выполнен с обеспечением возможности осуществлять,например, предоставление (передачу, отправку) определенных файлов с электронного устройства в блок обработки, производить перехват изображений(видеосигнала) на устройство вывода электронного устройства, производить перехват аудио и видео информации с устройства ввода-вывода 4 электронного устройства, производить перехват информации с цифрового устройства электронного устройства, производить хранение информации и передачу информации в блок обработки. Блок обработки может быть выполнен с обеспечением возможности осуществлять хранение и обработку информации, например, полученной от блока наблюдения и контроля,настроек пользователей и системы. Блок обработки может быть выполнен с обеспечением возможности осуществлять,например, анализ и предоставление информации о времени использования и активности электронного устройства,о использовании программного обеспечения и приложений электронного устройства, о аппаратном обеспечении электронного устройства, о данных (изображениях, файлах, аудио и видео данных, сообщений) переданных с различных устройств электронного устройства с установленным блоком наблюдения и контроля,расчет стоимости определенных действий по заданным критериям,отправку системной информации в блок наблюдения и контроля,получение (прием, хранение, анализ, обработку) информации с блока наблюдения и контроля,реагирования и оповещения о действиях,обнаруженных по заданным(определенным настройками) критериям. Блок обработки может быть выполнен с обеспечением возможности осуществлять настройку системы, например, блок обработки содержит модуль (интерфейс) администратора, позволяющий задать (изменить, применить, добавить, удалить) настройки системы, в том числе и для блока наблюдения и контроля, причем модуль (интерфейс) администратора может быть выполнен с возможностью установки на электронное устройство и производить обмен данными с блоком обработки. Блок обработки может быть выполнен с обеспечением возможности осуществлять предоставление и обработку информации из внутренней базы данных (архива). Блок обработки может быть выполнен с обеспечением возможности осуществлять предоставление и обработку информации,полученную от блока наблюдения и контроля в реальном времени. На чертеже дана структурная схема системы анализа действий на электронно-вычислительных устройствах и защиты информации. Система анализа действий на электронновычислительных устройствах и защиты информации состоит из блока обработки 1, блок наблюдения и контроля 2. Блок обработки 1 выполнен с обеспечением возможности регистрации и анализа действий на электронно-вычислительных устройствах на основании информации полученной от блока наблюдения и контроля 2. Блок наблюдения и контроля 2, выполнен с обеспечением возможности обнаружения действий на электронном устройстве(в том числе мобильном) и передачи информации о действиях в блок обработки. Блок обработки 1 может быть выполнен с обеспечением возможности осуществлять,например, сбор и хранение информации (с электронных устройств на которых установлен блок наблюдения и контроля),сканирование и обнаружение информации(подозрительные действия пользователей, изменение аппаратных устройств, переданные данные) по заданным критериям (настройкам системы), предоставлять информацию в виде отчета,производить оповещение по заданным критериям (настройкам системы). Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности осуществлять предотвращение действий на электронных устройствах,например,запрет пользователю электронного устройства использовать некоторые носители информации,выполнять запуск определенного программного обеспечения,использовать определенное аппаратное обеспечение. Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности хранения информации о действиях на электронном устройстве(в том числе мобильном) и передачи информации в блок обработки 1 посредством электронной связи,причем передача информации может осуществляться периодически. Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности приема от блока обработки 1, хранения и использования настроек, например, таких как периодичность хранения данных информации о действиях на электронном устройстве (во внутренней базе данных блока наблюдения и контроля), запрет использования определенных носителей информации, реестр программного обеспечения запрещенного к использованию, режим работы и другие настройки. Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности работы в скрытом от пользователя электронного устройства режиме. Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности работы в видимом пользователю режиме и может быть выполнен с обеспечением возможности включения и отключения работы пользователем электронного устройства. Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности обнаружения действий на электронном устройстве(в том числе мобильном) и передачи данных в блок обработки 1 о действиях на электронном устройстве и информации о электронном устройстве, например,передачи в блок обработки 1 информации о времени включения, работы и выключения электронного устройства, информации о работе приложений,информацию о программном обеспечении,информации о посещаемых сайтах, информацию о вводимом тексте пользователем электронного устройства, информацию о действиях пользователя электронного устройства, информацию о запросах в поисковых системах, содержание сообщений пользователей в определенном программном обеспечении, содержание входящих и исходящих электронных почтовых сообщений, информации о операциях с файлами, информации о аппаратном обеспечении, информации о работе связанных с электронным устройством устройств, информацию о выводимых на печать данных, информации о данных буфера обмена. Блок наблюдения и контроля 2 может быть выполнен с обеспечением возможности осуществлять, например, предоставление (передачу,отправку) определенных файлов с электронного устройства в блок обработки 1, производить перехват изображений (видеосигнала) на устройство вывода электронного устройства, производить перехват аудио и видео информации с устройства ввода-вывода электронного устройства, производить перехват информации с цифрового устройства электронного устройства, производить хранение информации и передачу информации в блок обработки 1. Блок обработки 1 может быть выполнен с обеспечением возможности осуществлять хранение и обработку информации, например, полученной от блока наблюдения и контроля,настроек пользователей и системы. Блок обработки 1 может быть выполнен с обеспечением возможности осуществлять,например, анализ и предоставление информации о времени использования и активности электронного устройства,о использовании программного обеспечения и приложений электронного устройства, о аппаратном обеспечении электронного устройства, о данных (изображениях, файлах, аудио и видео данных, сообщений) переданных с различных устройств электронного устройства с установленным блоком наблюдения и контроля 2,расчет стоимости определенных действий по заданным критериям,отправку системной информации в блок наблюдения и контроля 2,получение (прием, хранение, анализ, обработку) информации с блока наблюдения и контроля 2,реагирования и оповещения о действиях,обнаруженных по заданным(определенным настройками) критериям. Блок обработки 1 может быть выполнен с обеспечением возможности осуществлять настройку системы, например, блок обработки 1 содержит модуль (интерфейс) администратора, позволяющий задать (изменить, применить, добавить, удалить) настройки системы, в том числе и для блока наблюдения и контроля 2, причем модуль(интерфейс) администратора может быть выполнен с возможностью установки на электронное устройство и производить обмен данными с блоком обработки 1. Блок обработки 1 может быть выполнен с обеспечением возможности осуществлять предоставление и обработку информации из внутренней базы данных (архива). 5 Блок обработки 1 может быть выполнен с обеспечением возможности осуществлять предоставление и обработку информации,полученную от блока наблюдения и контроля 2 в реальном времени. Блок обработки 1 может быть выполнен как аппаратно-программный комплекс, с возможностью интегрирования с различными устройствами и сервисами. Предложенная система обеспечивает предоставление и обработку информации о действиях,совершаемых на электронных устройствах пользователями и системами устройства, а так же обеспечивает выявление и предотвращение нежелательных действий и утечек информации через интернет, компьютерные сети,носители информации и различные устройства путем предоставления проанализированной информации и выполнения действий по определенным критериям. Система может быть применима, например,следующим образом. На персональный компьютер за которым необходимо вести наблюдение и контроль устанавливается модуль наблюдения и контроля системы, который по сети передачи данных передает информацию о совершаемых действиях на устройство обработки системы. Пользователь с определенными правами может подключится через сеть передачи данных к устройству обработки системы и производить наблюдение за персональным компьютером на котором установлен модуль наблюдения и контроля системы, а так же получать различные отчеты. При определенных настройками действиях (подозрительных действиях) устройство обработки системы может занести данные о таких действиях в собственный журнал ФОРМУЛА ПОЛЕЗНОЙ МОДЕЛИ 1. Система анализа действий на электронновычислительных устройствах и защиты информации,выполненная с возможностью регистрации и анализа действий на электронновычислительных устройствах, отличающаяся тем,что система включает блок обработки и по крайней мере, один блок наблюдения и контроля,выполненный с обеспечением возможности обнаружения действий на электронном устройстве(в том числе мобильном) и передачи информации о действиях в блок обработки. 2. Система по п.1, отличающаяся тем, что блок обработки, выполнен с обеспечением возможности осуществлять, например, сбор и хранение информации (с электронных устройств на которых установлен блок наблюдения и контроля),сканирование и обнаружение информации(подозрительные действия пользователей,изменение аппаратных устройств, переданные данные) по заданным критериям (настройкам системы), предоставлять информацию в виде отчета,производить оповещение по заданным критериям(настройкам системы). 3. Система по любому из п.п.1-2,отличающаяся тем, что блок наблюдения и контроля, выполнен с обеспечением возможности осуществлять предотвращение действий на электронных устройствах,например,запрет пользователю электронного устройства использовать некоторые носители информации,выполнять запуск определенного программного обеспечения,использовать определенное аппаратное обеспечение. 4. Система по любому из п.п.1-3,отличающаяся тем, что блок наблюдения и контроля, выполнен с обеспечением возможности хранения информации о действиях на электронном устройстве (в том числе мобильном) и передачи информации в блок.