автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.17, диссертация на тему:Анализ угроз скрытых каналов и методы построения гарантированно защищенных распределенных автоматизированных систем

На правах рукописи

Тимонина Елена Евгеньевна

АНАЛИЗ УГРОЗ СКРЫТЫХ КАНАЛОВ И МЕТОДЫ ПОСТРОЕНИЯ ГАРАНТИРОВАННО ЗАЩИЩЕННЫХ РАСПРЕДЕЛЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Специальность 05.13.17 - «Теоретические основы информатики»

Автореферат диссертации на соискание ученой степени доктора технических наук

Москва - 2004

Работа выполнена в Институте информационных наук и технологий безопасности Российского государственного гуманитарного университета

Официальные оппоненты:

доктор физико-математических наук, академик Академии криптографии РФ, профессор Колчин Валентин Федорович

доктор технических наук, академик РАЕН Никонов Владимир Глебович доктор технических наук, профессор Голубев Евгений Аркадьевич

Ведущая организация:

Московский государственный институт электроники и математики (технический университет)

Защита состоится 2 июня 2004 года в 11 часов на заседании диссертационного совета Д217.031.01 в Государственном учреждении «Российский научно-исследовательский институт информационных технологий и систем автоматизированного проектирования» по адресу 129090, г. Москва, ул. Щепкина, 22.

С диссертацией можно ознакомиться в библиотеке ГУ РосНИИ ИТ и АЛ

Ул

Автореферат разослан апреля 2004 г.

Ученый секретарь диссертационного

Д 217.031.01

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. В диссертации рассматриваются распределенные автоматизированные системы (АС), требующие высокого качества защиты обрабатываемой в них информации. Далее под АС понимаются именно такие системы. В отечественных условиях АС часто приходится строить на основе импортных оборудования и программного обеспечения. В рассматриваемых АС мы вправе ожидать недружественное отношение производителя к защите ценной информации, обрабатываемой в АС. Иными словами высокое качество защиты информации в АС должно достигаться в условиях ненадежности с точки зрения безопасности программно-аппаратной платформы АС. Мы вправе допускать наличие программно-аппаратных агентов нарушителя безопасности, «невидимых» с точки зрения защиты АС. Программно-аппаратные агенты нарушителя безопасности могут осуществлять ущерб, используя скрытые каналы для передачи ценной информации нарушителю безопасности или получая извне системы инструкции но предметной ориентации, либо нарушению целостности ценной информации в АС. Отсюда следует актуальность построения защиты АС в условиях наличия не выявленных программно-аппаратных агентов и возможности использования нарушителем безопасности скрытых каналов для связи с этими агентами.

Об актуальности темы диссертации свидетельствует также тот факт, что исследования по основным направлениям диссертации были поддержаны Российским фондом фундаментальных исследований - РФФИ (проекты № 97-01 -00162, № 99-01 -01052, №01-01 -00895).

Цель диссертационной работы. Целями диссертационной работы являются решение задачи разработки методов построения защиты информации в АС в условиях использования

безопасности программно-аппаратных платформ и решение задачи поиска новых скрытых каналов при построении АС.

Направление исследований.

1. Развитие теоретических положений по проектированию АС с использованием ненадежных с точки зрения безопасности компонент.

2. Поиск и анализ новых скрытых каналов в АС.

В диссертации четко выделяются два направления исследований. В диссертации удалось построить математические модели ряда новых угроз информационной безопасности в АС, которые позволяют по-новому взглянуть на возможности потенциального противника нарушать безопасность информационной системы. Например, можно показать, что в компьютерных системах могут находиться программно-аппаратные агенты, «невидимые» для большинства традиционных методов защиты. «Невидимость» определяется формальными методами, и в ряде случаев автор доказал абсолютную «невидимость» действий нарушителя безопасности. Данные результаты имеют непосредственное отношение к практике построения защищенных систем. В силу того, что возможно использование «невидимых» вредоносных подсистем АС, при построении системы защиты нужно точно указывать, учитывает ли построенная система защиты возможности не выявляемых для нее программно-аппаратных агентов, или данная система защиты строится в предположении, что таких средств противник не имеет (или не использует). В этих условиях практически невозможно доказать отсутствие программно-аппаратных агентов нарушителя безопасности и, тем самым, обосновать защиту от несанкционированного доступа (НСД) этих агентов к ценной обрабатываемой информации. В этих условиях требуются, новые принципы обоснования защищенности ценной информации. В диссертации разработан доказательный подход к

построению систем защиты. В частности, показано, как использовать при построении защиты в АС формальные математические методы, начиная с построения политики безопасности, поверки ее корректности, формального обоснования системы поддержки политики безопасности, и, наконец, практической реализации формальной модели безопасности. Второе направление исследований связано с тем, что «невидимые» программно-аппаратные агенты могут осуществлять ущерб, используя скрытые каналы для передачи ценной информации нарушителю безопасности или получая извне системы инструкции по предметной ориентации, либо нарушению целостности ценной информации в АС. Для поиска скрытых каналов строятся специальные математические модели АС.

Методы исследований, достоверность и обоснованность результатов. В диссертации используются теоретические методы для построения защиты информации в распределенных автоматизированных системах. Основу этих методов составляет математическое моделирование подсистем АС, связанных с угрозами информации. Указанные методы используются в обоих направлениях исследования способов и методов построения защиты информации в АС.

Практика защиты АС требует построения математических моделей и применения математических методов анализа защиты информации. Поэтому в диссертации большое место уделено формальному доказательству защищенности компьютерных систем. Формальное доказательство защищенности АС содержит формализацию проблемы защиты информации; формализацию свойства защищенности; доказательство того, что свойство защищенности сохраняется при различных видах деятельности компьютерной системы; формальную модель механизма поддержки свойства защищенности и доказательство

того, что при правильной работе механизма защиты выполняется свойство защищенности.

Если сравнивать возможности закладки производителем программно-аппаратных агентов в создаваемые ими компьютерные системы с нашими возможностями анализа скрытых каналов, то мы приходим к следующему выводу. Мы умеем выявлять многие потенциально возможные скрытые каналы и эффективно бороться с неустранимыми каналами. Однако мы не умеем проводить анализ программно-аппаратных средств настолько, чтобы полностью исключить существование программно-аппаратных агентов в компьютерной среде (например, в процессоре). На основании этого пришлось изменить парадигму построения систем защиты информации в АС, как предупреждение несанкционированного доступа к информации, особенно при реализации многоуровневой политики безопасности, определяющей взаимодействие объектов и субъектов с различными грифами секретности.

В этих условиях удается доказать безопасность информации в АС, построенной в условиях ограниченной информации о процессорах и программном обеспечении, и в.то же время обеспечивающей основные принципы многоуровневой политики, позволяющей нейтрализовать действия программно-аппаратных агентов нарушителя безопасности. Развитие этой модели для других политик безопасности составляет основу концепции контроля каналов, которая допускает неполную информацию о процессорах и программном обеспечении, а также наличие и функционирование в процессорах и программном обеспечении программно-аппаратных агентов нарушителя безопасности.

Математические модели и методы анализа «невидимых» субъектов и объектов компьютерных систем начали применяться американскими учеными при разработке модели невлияния. Однако процессы в таких моделях не являются абсолютно «невидимыми». Вместе с тем в литературе

показаны примеры абсолютной «невидимости» систем управления агентами или их взаимодействием. Эти методы автор использовал для обоснования «невидимости» сетей из указанных программно-аппаратных агентов.

В литературе опубликовано большое количество статей, посвященных скрытым каналам. Однако отказ от традиционных взглядов на методы анализа скрытых каналов и их описания позволили открыть новые классы скрытых каналов, позволяющие выявить новые серьезные уязвимости АС. Метод исследования основан на моделировании важной составной части распределенных АС - виртуальных частных сетей, использующих Интернет.

Исследование математических моделей уязвимостей связано с характеристиками скрытых каналов. Поэтому одним из направлений исследований, решаемым в диссертации, является применение теоретико-вероятностных методов и методов случайных графов для анализа характеристик скрытых каналов в рамках доступных для изучения математических моделей и возможности выявления скрытых каналов простейшими контролерами.

Основные положения, выносимые на защиту. На защиту выносятся следующие основные положения.

На защиту выносятся следующие основные положения.

1. Доказательный подход в построении систем; защиты информации в АС.

2. Применение доказательного подхода к реализации многоуровневой политики безопасности в АС с помощью метода контроля каналов. Концепция контроля каналов как основа информационной безопасности распределенных информационных систем, построенных на ненадежных с точки зрения безопасности элементах.

3. Открытие скрытых каналов, преодолевающих защиту и основанных на модуляции последовательностей адресов пакетов.

4. Решение задачи инициации агента в защищенном сегменте локальной сети из глобальной сети.

5. Оценка времени обучения агента для организации скрытого канала.

6. Оценка возможности выявления скрытых каналов с помощью активного аудита.

Научная новизна. Впервые требования оценки защищенности формальными математическими методами для АС введено в американском стандарте по защите информации. В силу сложности задачи построения защиты АС из ненадежных с точки зрения безопасности элементов в отечественной и зарубежной литературе имеется мало работ, посвященных этой задаче. Поэтому предложенные автором методы построения защиты с помощью математических моделей, применение доказательного подхода к реализации многоуровневой политики безопасности с помощью метода контроля каналов, обобщение метода контроля каналов на другие задачи построения защиты являются новыми.

Автор открыл новый класс скрытых каналов, позволяющих преодолевать системы защиты. В основе открытого автором класса скрытых каналов лежит модуляция потока пакетов, проходящих через узел защиты, а информационным носителем в данном классе скрытых каналов являются адреса отправителей- или получателей в. зависимости от направления каналов. При исследования данного класса скрытых каналов получены новые математические результаты, связанные с оценкой времени обучения, программно-аппаратных агентов нарушителя безопасности, оценка времени активизации агента в защищенном.сегменте локальной сети, оценки времени выявления контролером работы скрытого канала.

Практическая полезность работы. Открытый и описанный автором класс угроз имеет важное значение при проектировании АС и является важным техническими приложением результатов, полученных в диссертации.

Разработанный автором метод реализации многоуровневой политики с использованием однонаправленных каналов был использован для обоснования защищенности устройства «Вектор», сертифицированного Гостехкомисиией как межсетевой экран второго класса.

Результаты автора использовались в НИР «Программа МГУ - 2003» -«Исследование математических моделей и алгоритмов защиты информации».

Результаты диссертации использовались в учебном процессе на факультете защиты информации РГГУ и ВМиК МГУ.

Апробация работы. Основные результаты исследований по диссертации докладывались и представлялись на региональных конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 1996, 1997, 1998, 1999, 2000, 2001); на международных конференциях «Информационные технологии в науке, образовании, телекоммуникации, бизнесе» (Ялта-Гурзуф, 2001, 2002, 2003); международной Петрозаводской конференции «Вероятностные методы в дискретной математике» (Петрозаводск, 2000); научно-технической конференции органов по аттестации, аккредитованных в Системе сертификации Государственной технической комиссии, и организаций-лицензиатов по Приволжскому Федеральному округу (Пенза, 2002); заседании Академии информационных управленческих технологий (Москва, 2003); международном семинаре «Информатика и общество» I&S'O4 (Словакия, 2004); конференции «Математика и безопасность информационных технологий (МаБИТ-03)» (МГУ, 2003).

По теме диссертации делались сообщения и доклады на семинарах РГТУ, МГУ и Института точной механики и вычислительной техники им. С.А. Лебедева РАН.

Публикации. Основные положения диссертации опубликованы в 23 работах. В работах,, написанных в соавторстве, автору диссертации принадлежат результаты, внесенные в диссертацию.

Структура и объем диссертации. Диссертация состоит из введения, семи глав, заключения и списка литературы из 68 наименований. Объем диссертации 204 стр.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении определяется объект исследования, обосновывается актуальность выбранной темы, определяется научная проблема, решаемая в диссертации, и формулируются направления исследований, указываются методы исследования, описываются результаты диссертации по главам, их теоретическая значимость и прикладная ценность, а также формулируются положения, выносимые на защиту.

Основой большинства существующих1 систем защиты является контроль и управление доступом, субъектов компьютерной системы к объектам. Если производитель дружески относится к службе защиты информации, то принцип контроля доступа как эквивалент безопасности системы, является логически безупречным. В противном случае информационная безопасность системы не является обоснованной, так как возможно существование скрытых программно-аппаратных агентов не заметных для средств защиты, но имеющих несанкционированный доступ к ценной информации. Для логического обоснования разработанных в диссертации методов защиты необходимо их сравнение с существующими методами защиты. В связи с этим в первой главе приведены основные

существующие концепции защиты, основанные на ограничении доступа, и описана идеология защиты с помощью управления доступом.

Во второй главе обосновывается максимальные возможности нарушителя безопасности. В этой главе обосновывается необходимость отказа* от традиционной концепции защиты как контроля доступа. В материалах главы приводятся различные определения «невидимости». Кроме того, в главе показано, каким образом недоступные для наблюдения программно-аппаратные агенты могут быть сделаны интеллектуальными, способными решать сложные задачи. Отметим, что «невидимость» может быть доказана формальными математическими методами. Одной из особенностей «невидимых» для защиты закладок является построение сетей (распределенных закладок), связь между которыми осуществляется по скрытым каналам.

В связи с важностью свойств скрытых каналов для нарушения традиционных систем безопасности в третьей главе приводится обзор математических моделей скрытых каналов. Здесь сравниваются различные подходы к определению скрытых каналов. Показано, что наиболее общим описанием скрытого канала, является наличие статистической зависимости между объектом-передатчиком и объектом-приемником. При этом традиционная многоуровневая политика, которая хорошо защищает от скрытых каналов по памяти (класс В2) не может считаться защитой от скрытых каналов по времени.

Например, пусть в программно-аппаратной схеме, реализующей интерфейс RS 232 между Low и High, нет передатчика на уровне High и нет приемника на уровне Low. Вместе с тем для передачи байт с нижнего уровня на верхний машина верхнего уровня выставляет сигнал готовности к приему информации. Очередной байт передается только тогда, когда выставлен сигнал готовности приема. Тогда задержка в выставлении сигнала после очередного переданного байта считается таймером на

нижнем уровне и может таким образом передавать информацию от программно-аппаратного агента на верхнем уровне к программно-аппаратному агенту на нижнем уровне. Для этого агент на верхнем уровне кодирует сообщение различными по длине интервалами задержки выставления сигнала, а агент на нижнем уровне считывает эти сообщения с помощью таймера.

Приводятся модели и методы анализа скрытых каналов по времени. Поскольку традиционными скрытыми каналами занималось большое количество ученых, то до последнего времени считалось, что влияние скрытых каналов можно сделать незначительным с помощью специальных средств защиты (например, IPsec). Именно нечеткость формулировок и отсутствие математических моделей в большинстве публикаций на эту тему позволили автору открыть новый класс скрытых каналов, способных преодолевать системы защиты.

Основной слабостью современной теории защиты информации является недостаточное обоснование защищенности компьютерных систем. В главе четыре автор определил доказательный подход к защите информации, показал, что обоснование защищенности, должно основываться на математических методах. Поэтому можно считать эквивалентными понятие гарантированной защиты и защиты, основанной на доказательном подходе. Для обоснования реальности предложенной идеи приведен пример гарантированно защищенной системы, в которой строится цепочка математических моделей приводящих к гарантированно защищенной системе. Первым шагом в этой цепочке является формализация угроз автоматизированной системе. Пусть модель системы, которая оперирует с ценной информацией, информация в системе

включая описание самой системы, представима в форме слов некоторого гипотетического языка. над некоторым конечным алфавитом А. Для каждого момента времени t е N определим множество Ot объектов

в системе £ в момент / и выделим в нем подмножество 51, субъектов. Любой субъект 5е5г есть описание некоторого преобразования информации в системе Для простоты положим, что в системе £ всего два пользователя Обозначим процедуру

активизации процессом субъекта S2.

Предположение 2.1. Если субъект 5 активизирован в момент /, то существует единственный активизированный субъект который

активизировал В момент г = О активизированы только пользователи.

Будем обозначать множество всех видов доступов через Я и считать IЛ1 <оо. Если то будем обозначать множество доступов-

активизированного субъекта 5 к объекту О через 5—2-+0. Если в некоторый промежуток времени реализована последовательность

доступов

то будем считать, что произошел доступ 5——> *0 от имени субъекта 5 к объекту О. Обозначим.

определены . Будем считать, что множество общих

ресурсов фиксировано

и в начальный момент г = О О0 = {Ц , иг } и И.

Мы считаем, что из объектов системы £ построена некоторая подсистема, которая реализует доступы. Будем полагать, что любое обращение за доступом к объекту О в эту подсистему начинается с запроса, который мы будем обозначать

Предположение 2.2. Функционирование системы X описывается последовательностью доступов множеств субъектов к множествам объектов в каждый момент времени

С некоторой избыточностью мы исчерпаем возможные каналы по памяти, если будем считать неблагоприятными какие-либо доступы р{ , рг с: К вида

и1-£->*0,и}—/*/, (1)

которые мы и считаем каналами утечки.

Предположение 2.3 . Если О е 2), то доступы в (1) при любых р1 и р^ не могут создать канал утечки.

Предположение 2.4. Если некоторый субъект S, 5 е И, активизирован от имени пользователя и ¡(т.е. ——> в свою очередь субъекту S предоставлены в момент t доступ к объекту О, то либо О е И, либо О е Ох {U¡), либо система прекращает работу и выключается.

Определим следующую политику безопасности (ПБ):

Если 5—то при Я, О е 0,(Ц) доступ 5—разрешается, если невозможен.

В дальнейшем построенная на анализе риска политика безопасности анализируется на предмет корректности, то есть показывается, что если система находится в защищенном состоянии, и выполняются естественные допущения относительно ее функционирования, то система останется безопасной в ходе дальнейшего функционирования.

Теорема 2.1. Пусть в построенной системе £ выполняются предположения 2.1-2.4. Если все доступы, осуществляются в соответствии с ПБ, тоутечка информации (1) невозможна.

Теперь построим удобное для реализации множество "услуг" более низкого уровня, поддерживающих политику безопасности. То есть мы хотим определить множество условий, реализованных в системе таких,

что можно доказать теорему о достаточности выполнения этих условий для выполнения правил политики безопасности.

Условие 2.1. (Идентификация и аутентификация). Если для любых ГеЛ*, рс: А; Б, Ое 0{> 5—>0, то вычислены функции принадлежности 5 и О к множествам О, (С/, \ 0( ((/2 ), И.

Условие 2.2. (Разрешительная подсистема). Если 5 е Ое 0,(11)), и 5—^—>0 в момент t, то из / = следует 5-—^—>0, и из I

следует (не разрешается доступ).

Условие 2.3. (Отсутствие обходных путей политики безопасности). Для любых / е Л^рсЛ, если субъект 8, активизированный к моменту t, получил в момент t доступ 5—то в момент t произошел запрос на доступ 5—^—^О.

Теорема 2.2. Если в построенной системе £ выполняются предположения 2.1-2.4 и условия 2.1-2.3, то выполняется политика безопасности.

Формальные математические понятия, использованные при анализе модели системы, интерпретированы в терминах реальных систем в том смысле, что математическое обоснование защищенности в рамках математической модели гарантирует безопасность реальной физической автоматизированной системе.

На основе критики существующих принципов построения систем защиты в главе пятой автор разрабатывает доказательный подход к реализации многоуровневой политики безопасности в АС, построенной из ненадежных с точки зрения безопасности элементов. Данный подход является альтернативой описанному в главе 1 традиционному подходу к защите на основе контроля доступов. Защита основана на введенном автором понятии одноуровневой системы. Одноуровневые системы в

автоматизированной системе могут быть связаны между собой контролируемыми каналами, что составляет основу предложенного подхода. При этом одноуровневая система предполагает одинаковые права доступов всех субъектов к объектам и, тем самым, делает задачу несанкционированного доступа закладки к информационным ресурсам бессмысленной. Контроль взаимодействия одноуровневых систем, расположенных в узлах решетки, с помощью однонаправленных каналов в точности соответствует наиболее общему определению многоуровневой политики. Однако в предложенном методе контроля каналов помимо наличия канала передачи разрешенных данных предусмотрено доказательство отсутствия скрытых каналов, нарушающих правила взаимодействия одноуровневых систем. Концепция обеспечения безопасности АС с помощью контроля каналов рассматривалась в качестве основы системы безопасности в ряде проектов. Однако созданные на тот период устройства защиты от скрытых каналов (сертифицированное Гостехкомиссией устройство «Вектор») обладали маленькой пропускной способностью, что не позволило раскрыть преимущества предложенного автором подхода. Автором разработаны подходы управления безопасностью с помощью контроля каналов. Показано, что концепция управления каналами позволяет реализовать достаточно широкий класс безопасных систем, включая системы с динамически меняющимися требованиями по безопасности к одноуровневым; системам. Вопросы защиты интерфейсов одноуровневых систем нашли новое решение в форме «интеллектуального» шума. Автором. разработана формальная модель безопасных интерфейсов, охватывающая определенную часть практически важных задач.

Глава 6 посвящена исследованию скрытых каналов, построенных на модуляции потоков пакетов. Эти скрытые каналы были открыты автором и обладают существенным свойством преодолевать системы защиты,

расположенные на границах различных сред. Показано, как без вскрытия криптографических ключей происходит двухсторонний обмен между программно-аппаратными агентами нарушителя безопасности, расположенными в защищенном сегменте локальной сети и глобальной сети, которая используется как транспорт для связи защищенных сегментов через глобальную сеть. При этом для защиты транспорта используется стандарт IPsec, в который входят шифрование исходных пакетов, инкапсуляция шифрованных пакетов в новые пакеты с новыми адресами и полностью перекрытыми скрытыми каналами, которые могли бы использовать параметры пакетов. Автор показал, что таких каналов может быть построено много, и они обладают различной пропускной способностью и защищенностью.

В § 2 главы 6 доказано, что с помощью таких. каналов может проводиться активизация агентов в защищенных компьютерных системах. Для двух методов активизации агентов оценено время активизации в простейшей вероятностной модели.

Автором найдены скрытые каналы, не требующие обучения, обладающие большой помехозащищенностью, но обладающие небольшой пропускной способностью. Пусть имеется m+1 сегментов локальных вычислительных сетей, S0, S,,...Sm в каждом из которых имеются рабочие станции со своими локальными адресами и шлюзы, соединяющие локальные сети с глобальной сетью (например, Интернет). Пусть s0, s }...,sm адреса шлюзов сегментов локальных вычислительных сетей S,, S,,...Sm которые представляют эти сегменты в глобальной сети. Мы считаем, что для общения между собой рабочие станции различных сегментов используют виртуальную частную сеть (VPN), которая работает следующим образом. Пакет от рабочей станции с адресом а в сегменте Sf

должен быть передан на рабочую станцию с адресом b в сегменте Sy. Пакет передается следующим образом:

- от машины с адресом а к машине РС(/, 1) в сегменте S;

- далее пакет попадает на узел зашиты У3(/), в котором пакет шифруется и инкапсулируется в пакет (пакеты) с адресом отправителя и адресом получателя пакеты имеют

одинаковую длину и другие одинаковые параметры;

- инкапсулированный пакет из У3(/) попадает на хост глобальной сети РС(/, 2), который направляет его через глобальную сеть на аналогичный хост РС(/, 2);

- далее пакет направляется на узел защиты У3(/), на выходе которого восстанавливается исходный пакет, посланный от а к Ь, этот пакет поступает на РС(/, 1);

- РС(/, 1) отправляет пакет к абоненту b в сегменте S.

В глобальной сети и в каждом сегменте So. »•••Ä» имеются программно-аппаратные агенты нарушителя безопасности, которые для выполнения своих враждебных функций должны получать инструкции от программно-аппаратного агента нарушителя безопасности из глобальной сети (НГС). Будем считать, что нарушитель глобальной сети полностью контролирует компьютеры Программно-аппаратные

агенты нарушителя внутри сегментов локальной сети контролируют соответственно компьютеры соответственно

РС(/,1), J — 0, 1..... т. Мы считаем, что узлы защиты УЗ(1) сделаны

правильно так, что никто из нарушителей не может контролировать эти узлы. Таким образом, управление программно-аппаратным агентом в любом из сегментов со стороны нарушителя из глобальной сети связано с построением канала связи от РС(/,2) к РС(/, 1). Утечка информации связана с построением канала от РС(/, 1) к РС(/, 2).

Все машины сегмента локальной сети не знают адреса 50, э5т. Также ни один из хостов глобальной сети (в частности, все машины РС(/,2),7 " 1,..., т) не знает внутренние адреса сегментов. В силу того, что шифрование и формирования пакетов для отправки через глобальную сеть происходит на узлах защиты, нарушитель не может построить канал взаимодействия с программно-аппаратным агентом сегмента, используя шифртекст или служебные атрибуты пакетов. Таким образом, мы предполагаем, что единственными зависимыми параметрами, известными на РС(/, 2) и РС(/, 1) для входного потока пакетов, являются адреса отправителя пакетов. При передаче пакетов от РС(/, 1) к РС(/, 2) единственными зависимыми параметрами являются адреса получателей пакетов. Эта зависимость выражается в виде функции л = которая отображает множество внутренних адресов каждого сегмента на внешний адрес 5 соответствующего шлюза.

Скрытый канал, не требующий обучения строится следующим образом. Возьмем часто встречающиеся адреса 5 и 52 из множества

S = ___. Кодируем поток пакетов из РС(0,2) в УЗ(0) следующим

образом. Опишем, например, код для 1. При передаче 1 любой очередной пакет с исходящим адресом Л передается после передачи нечетного числа пакетов с другими адресами. Поэтому все расстояния между пакетами с исходящими адресами -8, являются четными. Тогда в последовательности расстояний между исходящими адресами, полученными в РС(ОД), все расстояния между адресами пакетов из множества - четные (кроме

ошибок вида потери или вставки пакета, которые мы считаем достаточно редкими). Агент в РС(0,1), обладая достаточными вычислительными ресурсами и памятью, считает длины расстояний между повторяющимися адресами и выявляет отклонение четных расстояний от случайного распределения длин расстояний между повторяющимися адресами из

/"'($,). Аналогично, пакет с исходящим адресом s2 передается через нечетное число пакетов с другими адресами. Таким образом, преобладание четных расстояний между адресами из /"ТаО и четных расстояний между адресами из/"'(52) определяет 1 в коде.

Аналогично строится код для передачи 0 их, означающий конец передачи кода 1 или 0.

Пусть N - число переданных пакетов. Тогда справедлива следующая теорема.

Теорема З.1.'Пусть п —= •-- = |5т|, п—Nоо, так что

——и1пл—►<», т = п^,5<\ и число возможных вставок или потерь

пакетов оценивается 0(1). Тогда вероятность принять сигнал 1 или 0или хагентом в РС(0,1) стремится к 1.

В том случае, если для построения скрытого канала требуются языки, требующие обучения агента, построена оценка времени обучения агента для организации скрытого канала.

Рассмотрим следующий язык общения агентов. Мы считаем, что множество 5 линейно упорядочено так, что, например,

При этом мы считаем, что если хну принадлежат то х = у.

Передача информации происходит с помощью кодирования 1 возрастающей' последовательностью k адресов, которые формируются на РС(0,2), и кодирование 0 - убывающей последовательностью k адресов, которые формируются на РС(О, 2). В том случае, если комбинация очередных к адресов состоит из одного адреса s, данная последовательность, передается в любом порядке и не несет никакой информации. Аналогично, комбинации одинаковых адресов s в очередных к пакетах между собой не упорядочиваются. Передача начинается с посылки векторов из 0, после этого может быть использован любой,

например, префиксный код, начинающийся с 1. Передача заканчивается последовательностью из 1, которая продолжается до посылки следующего сообщения.

До передачи информации от нарушителя из глобальной сети к своему агенту в РС(0, 1) с помощью данного языка происходит фаза обучения. Процедура обучения необходима для того, чтобы максимально полно восстановить на РС(0, 1) порядок < на множестве у1 (5). Процедура обучения состоит в следующем. РС(0,2) получив очередные А: пакетов с адресами , упорядочивает их в соответствии с отношением

(меньше либо равно) и посылает данные пакеты на узел защиты для последующей передачи РС(0,1). Мы считаем, что РС(0,1) обладает большими вычислительными возможностями для того, чтобы в реальном масштабе времени проводить сопоставление полученных данных и восстанавливать порядок <, на Г1 (5). Время обучения обозначим через N. Время обучения это число упорядоченных наборов из к адресов каждый, которые нужно передать для восстановления в РС(0,1) информации об упорядочении адресов из множества 5 в такой степени, чтобы можно было с большой степенью уверенности читать информацию, передаваемую от РС(0,2) к РС(0,1), то есть за это время порядок должен быть восстановлен в той степени, чтобы можно было передавать информацию упорядоченными Л-группами адресов.

Будем считать, что все исходные адреса из 5 появляются независимо друг от друга и равновероятно.

Пусть к = 2. Ясно, что при к >2 время обучения N не превосходит это же время для к = 2. Для простоты считаем, что мощности всех сегментов равны: |=...= |5И | = л.

Справедлива следующая теорема

Теорема 4.1. Пусть п —> оо, т оо так, что /и = 0(п^), где

Тогда существует константа b > 0 такая, что при N £

Ь-т^п\шп вероятность восстановления порядка стремится к 1.

Рассмотрим случай, когда п—> оо, т = const. Тогда имеет место следующая теорема.

Теорема 4.2. Если п—Ь оо, т = const, и отношение ^ >С при

некотором С > 0, то с вероятностью, стремящейся к 1, порядок ^ будет восстановлен.

В главе 7 автор исследует некоторые способы противодействия открытым в главе 6 скрытым каналам. Показано, что в некоторых случаях активный аудит позволяет выявить этапы активизации или обучения при построении скрытого канала. Пусть Uo ведет текущую статистику появления адресов отправителей. При этом, если Uo собирает статистику пар соседних адресов, то время для выявления скрытого канала определяется следующей теоремой..

Рассмотрим 1-й способ активизации агента, описанный в § 2 главы 6.

Множество 5 = {ij.....sm} делим на две части 5(1) и 5(2) таким образом,

что интенсивности входных потоков от отправителей из 5(1) приблизительно совпадают с интенсивностью потока от отправителей из 5(2). Пусть РС(0, 2) посылает пакеты на УЗ(0) по очереди из 5(1) и 5(2). Отслеживающая система агента в РС(0, 1) вычисляет расстояния между пакетами, приходящими из одного адреса независимо от получателя пакетов, тогда все расстояния между пакетами четные (за исключением ошибок, связанных с вставкой или потерей пакетов). Если мы предполагаем, что число ошибок мало, то превышение числа четных расстояний заданного порога может рассматриваться, как указание агенту

0<5<Д 2

активизироваться и начать следующий этап получения указаний от нарушителя в глобальной сети.

Теорема 1.2. Если оо так, что —--->оо, то по статистике

пар адресов с вероятностью, стремящейся к 1, контролер ио выявит активизацию агента в РС(0,1).

Пусть активизация агента в РС(0,1) происходит по второй схеме с одним выделенным адресом Выделим из множества 5 = .,5т} часто встречающийся адрес .5), а множество всех остальных адресов обозначим Промодулируем проходящий через РС(0, 2) в сторону

УЗ(0) поток пакетов следующим образом. Пакет с адресом ^ передается только через четное число других пакетов, а остальные пакеты передаются в произвольном порядке. Тогда в принятой РС(0, 1) последовательности адресов отправителей пакетов все расстояния между точками множества /-^О - нечетные (кроме ошибок типа пропуска или вставок, которые мы считаем достаточно редкими). Агент РС(0, 1), обладая достаточными вычислительными ресурсами и памятью, считает расстояния между повторениями адресов из /_1(51) и Находит значимое отклонение нечетных расстояний для повторяющихся адресов от случайного распределения расстояний. Кажется, что это более скрытая схема, так как пакеты с адресами s1 могут быть далеко друг от друга. Однако при анализе пар адресов в этой схеме контролер с вероятностью, стремящейся к 1, выявит скрытый канал за время, оцененное в теореме 1.2. Минимальное время активизации агента в этой схеме приводится в теореме 1.3.

Теорема 1.3. Пусть п-><о, т->со так, что т = 0(пв\ где

и возможное число потерь или вставок пакетов оценивается О{\). Тогда вероятность получения вторым способом сигнала

О <§<-, 2

активизации агентом в РС(0,1) за минимальное время стремится к 1 при

Из теорем 1.2 и 1.3 видно, что контролер быстрее выявляет скрытый канал, чем происходит активизация агента вторым способом.

Как следует из теорем 1.2 и 4.1 главы 6 обучение порядку не может пройти быстрее, чем контролер обнаружит скрытый канал с помощью статистик адресов и пар адресов.

Вместе с тем естественным образом введенные помехи не являются существенной трудностью для организации скрытых каналов рассматриваемого типа. В § 2 главы 7 показано, каким образом можно преодолеть защиту от скрытого канала.

Заключение.

В диссертации разработаны методы построения и использования математических моделей для защиты информации. в АС, требующей высокого качества защиты информации. Необходимость разработки этих методов связана с тем, что традиционные методы защиты основаны на принципе контроля доступа. Однако аппаратные платформы или, по крайней мере, процессорные элементы, на базе которых строятся эти платформы, являются импортными, а их конструкторская и тестовая документация не является доступной. Основная часть операционных систем также является: импортной, при этом многие операционные системы жестко связаны с импортными платформами. Основные СУБД и большинство серьезных приложений также являются импортными. В этих условиях практически невозможно доказать отсутствие программно-аппаратных агентов нарушителя безопасности и, тем самым, обосновать защиту от несанкционированного доступа (НСД) этих агентов к ценной обрабатываемой информации. Поэтому требуются новые методы

построения и обоснования защищенности ценной информации. В связи с этим для обоснования новых принципов и методов построения защиты информации в АС в диссертации глава 1 посвящена изложению существующих принципов и концепций защиты. Значительная часть защищенных АС опирается на стандартные нормативные документы, которые в свою очередь опираются, как показано в главе 2 и 3, на не реализуемые на практике принципы защиты от НСД и защиты от обхода средств защиты. Поэтому обоснование защищенности часто не является ясным и прозрачным, хотя уже в 1985 году в TCSEC американцы требовали простоту и ясность, как признаки качественной защиты.

В диссертации разработан доказательный подход к построению систем защиты. В частности, показано, как использовать формальные математические методы, начиная с построения политики безопасности, поверки ее корректности, формальное обоснование системы поддержки политики безопасности, и, наконец, практической реализации формальной модели безопасности. Ясно, что доказательный подход можно сделать доступным при развитом консалтинге и развитии математических методов обоснования; защищенности. Однако экспертиза показывает, что многие ценные для Российской Федерации информационные системы могут быть контролируемы нарушителем, так как их защиты строилась без должного обоснования.

В диссертации-доказательный подход применен для реализации многоуровневой политики в АС в условиях использования ненадежных с точки зрения безопасности импортной программно-аппаратной платформы и приложений. При этом автор допускает, что отдельные элементы или все системы импортного производства могут вести себя враждебно по отношению к защитникам информации. Совокупность новых принципов построения систем из ненадежных с точки зрения безопасности элементов автор назвал концепцией контроля каналов. В этой концепции контроль

каналов замещает принцип. защггы от НСД (или аксиому о том, что управление доступами эквивалентно безопасности системы). Отход от принципа НСД связан с тем, что «невидимый» для средств защиты агент противника может иметь этот доступ вопреки принятым мерам защиты. Если при построении автоматизированной системы удается контролировать все каналы, включая скрытые каналы, то, как правило, можно доказать безопасность АС. Этот вывод основан на том, что программно-аппаратные агенты, являясь программами, не могут принести ущерб, если они не управляются извне, системы. Конечно, не интеллектуальные агенты могут уничтожить текущие программы и данные, но хорошо организованная система резервирования компенсирует эту угрозу.

В основе контроля каналов лежит понятие безопасного интерфейса, через который проходит допустимый канал (информационный поток), и перекрыты не допустимые каналы (в том числе и скрытые). В диссертации построены принципы управления системой защиты в концепции контроля каналов. Для контроля каналов может быть построена среда, использующая импортную программно-аппаратную платформу. Однако удается таким образом использовать ее, что можно формально доказать безопасность этой среды.

Однако создания безопасной среды, реализующей интерфейс между подсистемами распределенной системы, может быть недостаточно для информационной безопасности автоматизированной системы.. Это связано с более глубоким пониманием скрытых каналов, которые могут преодолевать средства защиты и безопасные среды. Поэтому развитие концепции контроля каналоз привело автора к необходимости глубокого изучения скрытых каналов. Автор диссертации открыл новый тип скрытых каналов, которые могут преодолевать защиту между средами и обеспечивать свободный диалог между программно-аппаратными

агентами нарушителя безопасности. Найденный класс каналов использует только информацию об адресах в пакетах. Поэтому противодействие этим каналам является сложной задаче и, чаще всего, эти каналы не могут быть полностью исключены. Это следует из того, генетическим элементом системы с коммутацией пакетов являются адреса отправителей и получателей. Но именно на этих параметрах строятся открытые автором скрытые каналы. Таким образом, найденные автором скрытые каналы генетически связаны с самой структурой используемого всюду транспорта сетей с коммутацией пакетов.

Открытые автором скрытые каналы требуют активизации программно-аппаратных агентов в защищенных локальных. сетях из глобальных сетей. В работе построены методы, позволяющие скрыто активизировать программно-аппаратных агентов нарушителя безопасности. Работоспособность этих методов активизации обоснована методами теории вероятностей и математической статистики. Для реализации ряда языков, используемых в скрытых каналах, найденных автором диссертации, требуется обучение. Оценка времени обучения является одним из основных параметров, способных подтвердить или опровергнуть жизнеспособность подобных скрытых каналов. В диссертации с помощью методов теории вероятностей и математической статистики удалось оценить время обучения при построении одного из наиболее интересных скрытых каналов. Для доказательства пришлось решить оригинальные задачи теории случайных графов. Преодоление скрытыми каналами средств защиты вовсе не означает, что не существует признаков выявления скрытых каналов. В диссертации рассмотрен ряд статистических методов выявления некоторых типов скрытых каналов с использованием активного аудита. Другим способом борьбы со скрытыми каналами является внесение различного типа специальных шумов. Однако в диссертации показано, что большинство этих методов могут быть легко

преодолены программно-аппаратными агентами с низким интеллектом. Автором найден специальный скрытый канал, не требующий обучения и на стохастических характеристиках потока пакетов. Данный канал устойчив ко многим помехам, создаваемым системой. защиты, однако пропускная способность такого канала является маленькой.

Полученные результаты стали возможныЛ благодаря применению математических методов и глубокому пониманию практических задач, стоящих в области защиты информации.

Основные публикации но теме диссертации

1. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. -М.: Агентство «Яхтсмен», 1996. - 186 с.

2. Грушо А.А., Тимонина Е.Е. Гибридные политики безопасности, // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». - СПб: СПбГТУ, 1996. - С. 58.

3. Грушо А.А., Тимонина Е.Е. "Ненадежные" компьютерные системы и скрытые каналы управления // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». -СПб: СПбГТУ, 1997.

4. Грушо А.А., Тимонина Е.Е. Асимптотически скрытый статистический канал // Обозрение прикладной и промышленной математики. - М.: ТВП, 1999.-Т. 6.- Вып. 1.-С. 135-136.

5. Грушо А.А., Тимонина Е.Е Использование скрытых статистических каналов для атак и защиты информационных технологий // Проблемы информационной безопасности. Компьютерные системы. - СПб: СПбГТУ, 1999. - № 1. - С. 7.

6. Грушо А.А., Тимонина Е.Е. Модель невлияния для сети // Обозрение прикладной и промышленной математики. - М.: ТВП, 2000. - Т. 7. -Вып.1-С. 185-187.

7. Грушо А.А., Тимонина Е.Е. Двойственность многоуровневой политики безопасности // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». - СПб: СПбГТУ,

2000.-С. 40-41.

8. Грушо А.А., Тимонина Е.Е. Интеллектуальный шум // Проблемы информационной безопасности. Компьютерные системы. -СПб: СПбГТУ - 2000. - № 1. - С. 7 - 8.

9. Грушо А.А., Тимонина Е.Е., Применко ЭА Анализ и синтез криптоалгоритмов. Курс лекций - Йошкар-Ола: изд-во Марийского филиала Московского открытого социального университета, 2000. -с.ПО.

10. Грушо АА., Тимонина Е.Е. Безопасность в многоагентной системе // Труды, междунар. конф, «Информационные технологии в науке, образовании, телекоммуникации, бизнесе (осенняя сессия)» РАН (20 -30 сентября). - Ялта-Гурзуф, 2001. - С. 129 -130.

11. Грушо А.А., Володин А.В., Тимонина Е.Е., Безопасный интерфейс с глобальной сетью из ненадежных в смысле безопасности элементов // Труды междунар. конф. «Информационные технологии в науке, образовании, телекоммуникации, бизнесе» РАН (20-29 мая). - Ялта-Гурзуф, 2001.-С. 149-151.

12. Грушо А.А., Тимонина Е.Е. Поддержка многоуровневой политики без меток конфиденциальности // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». - СПб: СПбГТУ,

2001.-С. 139.

13. Грушо А.А., Тимонина Е.Е. Категорирование информации, правила обращения с категорированной информацией //Труды международной конференции. «Информационные технологии в науке, образовании, телекоммуникации, бизнесе (весенняя сессия)» РАН (20—30 мая). -Ялта-Гурзуф, 2002. - С. 138 - 139.

14. Грушо А.А., Тимонина Е.Е. О нормативно-методической базе по поиску скрытых каналов // Материалы науч.-техн. конф. «Безопасность информационных технологий» органов по аттестации, аккредитованных в Системе сертификации Государственной технической комиссии, и организаций-лицензиатов по Приволжскому Федеральному округу. - Пенза: Пенз. научно-исслед. электротехн. инт, 2002.-С. 16.

15. Грушо А.А., Тимонина Е.Е. Языки в скрытых каналах // Материалы XXX юбилейной международной конференции и I международной конференции молодых ученых «Информационные технологии в науке, образовании, телекоммуникации, бизнесе. 1Т+8Е'2003 (майская сессия)» РАН (19-28 мая). -Ялта-Гурзуф, 2003. - С. 181-184.

16. Грушо А.А., Тимонина Е.Е. Оценка времени, требуемого для организации скрытого канала // Дискретная математика. - 2003. -Т. 15 -Вып. 2.-С. 40-46.

17. Грушо А.А., Тимонина Е.Е. Проблемы компьютерной безопасности // Сб. научных докладов «Информационные технологии в производстве, медицине, психологии и этике» Академии информационных управленческих технологий. - М.: Центр Управления Полетами, 2003. -С. 3-5.

18. Грушо А.А., Тимонина Е.Е. Преодоление защиты от скрытых каналов // Обозрение прикладной промышленной математики - М.: ТВП, 2003. - Т. 10. - Вып 3. - С. 638-640.

19. Грушо А.А., Тимонина Е.Е. Стохастические скрытые каналы // Материалы международн. семинара «Информатика и общество» 1&8'04 (10-24 января). - Низкие Татры, 2004. - С. 21 - 23.

20. Тимонина Е.Е. Механизмы контроля скрытых каналов // Труды международной конференции «Информационные технологии в науке,

образовании, телекоммуникации, бизнесе» РАН (20-30 мая). - Ялта-Гурзуф, 2002. - С. 152-153.

21. Тимонина Е.Е. Контроль каналов как основа защиты информационных технологий // Труды международной конференции «Информационные технологии в науке, образовании, телекоммуникации, бизнесе (весенняя сессия)» РАН (20-30 мая). -Ялта-Гурзуф, 2002. - С. 149 - 151.

22. Тимонина Е.Е. Скрытые каналы (обзор) // Jet Info: изд-во компании «Джет Инфо Паблишен», 2002. - 14(114). -С. 3-11.

23. Grusho A., Timonina E. Construction of the Covert Channels. // International. Workshop "Information Assurance in Computer Networks. Methods, Models, and Architectures for Network Security" MMM-ACNS 2003. - St. Petersburg: Springer, 2003. - LNCS 2776. - P. 428 - 431.

Принято к исполнению 12/03/2004 Исполнено 16/03/2004

Заказ № 74 Тираж:95 экз.

ООО «11-й ФОРМАТ» ИНН 7726330900 Москва, Балаклавский пр-т, 20-2-93 (095)318-40-68 www.autoreferat.ru

?-ео 14

ВВЕДЕНИЕ.

ГЛАВА 1. Основные концепции информационной безопасности.

1. Язык, объекты, субъекты.

2. Политика безопасности.

3. Определение политики безопасности.

4. Дискреционная политика.

5. Политика МЬБ.

6. Выводы к главе 1.

ГЛАВА 2. Максимальные возможности нарушителя безопасности.

1. Слабости многоуровневой политики защиты от НСД.

2. Расширение интеллектуальных возможностей агента нарушителя.

3. «Невидимость» сетей закладок.

4. Выводы к главе 2.

ГЛАВА 3. Математические модели скрытых каналов.

1. Скрытые каналы на основе определения информационного потока.

2. Политики безопасности и их нарушение с помощью скрытых каналов.

3. Примеры скрытых каналов.

4. Модели анализа скрытых каналов.

5. Выводы к главе 3.

ГЛАВА 4. Доказательный подход в защите информации.

Пример гарантированно защищенной системы обработки информации.

1. Доказательный подход.

2. Пример математического подхода к обоснованию защищенности (гарантии) системы обработки информации.

3. Пример гарантированно защищенной системы, построенной на основе математической модели.

4. Выводы к главе 4.

ГЛАВА 5. Метод контроля каналов для реализации многоуровневой политики безопасности в АС, построенной на ненадежной с точки зрения безопасности платформе. Концепция контроля каналов.

1. Основные предпосылки концепции контроля каналов.

2. Метод контроля каналов для реализации многоуровневой политики безопасности в ас, построенной на ненадежной с точки зрения безопасности платформе.

3. Управление безопасностью с помощью контроля каналов.

4. Безопасный интерфейс с глобальной сетью из ненадежных в смысле безопасности элементов.

5. Интеллектуальный шум как защита информационной технологии в присутствии враждебного агента.

6. Безопасные интерфейсы в концепции контроля каналов.

7. Выводы к главе 5.

ГЛАВА 6. Скрытые каналы, построенные на модуляции потоков пакетов.

1. Языки в скрытых каналах, связанных с адресами в пакетах.

2. Активизация агентов в защищенном сегменте локальной сети.

3. Скрытый канал, основанный на языке, не требующем обучения.

4. Оценка времени обучения агента для организации скрытого канала.

5. Выводы к главе 6.

ГЛАВА 7. Защита от скрытых каналов, построенных на модуляции потоков пакетов.

1. Возможности выявления скрытого канала контролерами.

2. Преодоление защиты от скрытого канала.

3. Выводы к главе 7.

В диссертации рассматриваются распределенные автоматизированные системы (АС), требующие высокого качества защиты обрабатываемой в них информации. Далее под АС понимаются именно такие системы.

Автоматизированные системы такого типа используются в государственных структурах для обработки секретной и другой ценной информации, а также в крупных корпорациях, где нарушение информационной безопасности ведет к большим ущербам. Построение защиты информации в таких системах всегда является актуальной задачей. В криптографии с 50-х годов, а при построении защиты информации в компьютерных системах - с 70-х годов, стали использоваться методы математического моделирования. В терминах этих моделей анализировались угрозы безопасности в АС. Таким образом, для построения защиты информации в АС необходимо уметь строить математические модели подсистем АС, связанных с угрозами информации. Качество защиты информации в АС также оценивается формальными математическими методами в рамках математических моделей АС. Впервые требования оценки защищенности формальными математическими методами для АС введено в ТСБЕС («Оранжевая книга») [48] в 1983 году. Требования Руководящих документов Гостехкомиссии по защите от несанкционированного доступа (НСД) для средств вычислительной техники (СВТ) и автоматизированных систем (АС) [32 -36] в значительной степени взяты из [46, 48]. В настоящее время информационные технологии, требующие высокого качества защиты, согласно ГОСТ Р ИСО 15408 [1 - 3] и [45] также должны защищаться с использованием математических моделей и формальных доказательств. С точки зрения математики математические модели, используемые для построения защиты информации в АС, редко приводят к новым математическим открытиям. Такие модели, прежде всего, являются техническим инструментом анализа защиты информации в АС.

В отечественной и зарубежной литературе построению защиты информации в АС уделяется большое внимание. Однако в отечественных условиях АС часто приходится строить на основе импортных оборудования и программного обеспечения. В рассматриваемых АС мы вправе ожидать недружественное отношение производителя к защите ценной информации, обрабатываемой в АС. Иными словами высокое качество защиты информации в АС должно достигаться в условиях ненадежности с точки зрения безопасности программно-аппаратной платформы АС. В силу сложности задачи построения такой защиты в литературе имеется мало работ, посвященных построению защиты АС в указанных условиях.

Целями диссертационной работы являются решение задачи разработки методов построения защиты информации в АС в условиях использования ненадежных с точки зрения безопасности программно-аппаратных платформ и решение задачи поиска новых скрытых каналов при построении АС.

Предметом исследования в диссертационной работе являются способы и методы построения защиты информации в АС.

Научная проблема, которая решается в диссертации может быть сформулирована как разработка подходов к построению систем гарантированной защиты в условиях использования ненадежных с точки зрения безопасности импортной программно-аппаратной платформы и приложений. При этом автор допускает, что отдельные элементы или все системы импортного производства могут вести себя враждебно по отношению к защитникам информации.

Направление исследований:

1. Развитие теоретических положений по проектированию АС с использованием ненадежных с точки зрения безопасности компонент.

2. Поиск и анализ новых скрытых каналов в АС.

В диссертации четко выделяются два направления исследований. В диссертационной работе удалось построить математические модели ряда новых угроз информационной безопасности в АС, которые позволяют по-новому взглянуть на возможности потенциального противника нарушать безопасность информационной системы. Например, можно показать, что в компьютерных системах могут находиться программно-аппаратные агенты, «невидимые» для большинства традиционных методов защиты. «Невидимость» определяется [50, 51, 60, 64] формальными методами, и в ряде случаев автор доказал абсолютную «невидимость» действий нарушителя безопасности. Данные результаты имеют непосредственное отношение к практике построения защищенных систем. В силу того, что возможно использование «невидимых» вредоносных подсистем АС, при построении системы защиты нужно точно указывать, учитывает ли построенная система защиты возможности не выявляемых для нее программно-аппаратных агентов, или данная система защиты строится в предположении, что таких средств противник не имеет (или не использует). В этих условиях практически невозможно доказать отсутствие программно-аппаратных агентов нарушителя безопасности и, тем самым, обосновать защиту от несанкционированного доступа этих агентов к ценной обрабатываемой информации. В этих условиях требуются новые принципы обоснования защищенности ценной информации. В диссертации разработан доказательный подход к построению систем защиты. В частности, показано, как использовать при построении защиты в АС формальные математические методы, начиная с построения политики безопасности, поверки ее корректности, формального обоснования системы поддержки политики безопасности, и, наконец, практической реализации формальной модели безопасности. Второе направление исследований связано с тем, что «невидимые» программно-аппаратные агенты могут осуществлять ущерб, используя скрытые каналы для передачи ценной информации нарушителю безопасности или получая извне системы инструкции по предметной ориентации, либо нарушению целостности ценной информации в АС. Для поиска скрытых каналов строятся специальные математические модели АС.

В диссертации используются теоретические методы для построения защиты информации в распределенных автоматизированных системах. Основу этих методов составляет математическое моделирование подсистем АС, связанных с угрозами информации. Указанные методы используются в обоих направлениях исследования способов и методов построения защиты информации в АС.

Сформулируем основные методы исследования, используемые в диссертации.

1. Практика защиты АС требует построения математических моделей и применения математических методов анализа защиты информации. Поэтому в диссертации большое место уделено формальному доказательству защищенности компьютерных систем. Формальное доказательство защищенности АС содержит формализацию проблемы защиты информации; формализацию свойства защищенности; доказательство того, что свойство защищенности сохраняется при различных видах деятельности компьютерной системы; формальную модель механизма поддержки свойства защищенности и доказательство того, что при правильной работе механизма защиты выполняется свойство защищенности.

2. Если сравнивать возможности закладки производителем программно-аппаратных агентов в создаваемые ими компьютерные системы с нашими возможностями анализа скрытых каналов, то мы приходим к следующему выводу. Мы умеем выявлять многие потенциально возможные скрытые каналы и эффективно бороться с неустранимыми каналами. Однако мы не умеем проводить анализ программно-аппаратных средств настолько, чтобы полностью исключить существование программно-аппаратных агентов в компьютерной среде (например, в процессоре). На основании этого пришлось изменить парадигму построения систем защиты информации в АС, как предупреждение несанкционированного доступа к информации, особенно при реализации многоуровневой политики безопасности, определяющей взаимодействие объектов и субъектов с различными грифами секретности.

В этих условиях удается доказать безопасность информации в АС, построенной в условиях ограниченной информации о процессорах и программном обеспечении, и в то же время обеспечивающей основные принципы многоуровневой политики, позволяющей нейтрализовать действия программно-аппаратных агентов нарушителя безопасности. Развитие этой модели для других политик безопасности составляет основу концепции контроля каналов, которая допускает неполную информацию о процессорах и программном обеспечении, а также наличие и функционирование в процессорах и программном обеспечении программно-аппаратных агентов нарушителя безопасности.

3. Математические модели и методы анализа «невидимых» субъектов и объектов компьютерных систем начали применяться американскими учеными при разработке модели невлияния. [50, 51, 60, 64]. Однако как показано в работе [23] процессы в таких моделях не являются абсолютно «невидимыми». Вместе с тем в работах [8, 9] показаны примеры абсолютной «невидимости» систем управления агентами или их взаимодействием. Эти методы автор использовал для обоснования «невидимости» сетей из указанных программно-аппаратных агентов.

4. В литературе опубликовано большое количество статей, посвященных скрытым каналам [40]. Однако отказ от традиционных взглядов на методы анализа скрытых каналов и их описания позволили открыть новые классы скрытых каналов, позволяющие выявить новые серьезные уязвимости АС. Метод исследования основан на моделировании важной составной части распределенных АС -виртуальных частных сетей (VPN), использующих Интернет.

5. Исследование математических моделей уязвимостей связано с характеристиками скрытых каналов. Поэтому одним из направлений исследований, решаемым в диссертации, является применение теоретико-вероятностных методов и методов случайных графов для анализа характеристик скрытых каналов в рамках доступных для изучения математических моделей и возможности выявления скрытых каналов простейшими контролерами.

В частности, с помощью математических моделей открыт новый класс угроз, связанный с преодолением защиты некоторыми скрытыми каналами. Открытый автором класс угроз имеет важное значение при проектировании АС и является важным техническим приложением результатов, полученных в диссертации.

Разработанный автором метод реализации многоуровневой политики с использованием однонаправленных каналов [20] был использован для обоснования защищенности устройства «Вектор», сертифицированного Гостехкомисиией как межсетевой экран второго класса [37].

Диссертационные исследования поддерживались грантами РФФИ № 97-01-00162, № 99-01-01052, № 01-01-00895.

Результаты автора использовались в НИР «Программа МГУ - 2003» -«Исследование математических моделей и алгоритмов защиты информации».

Результаты диссертации использовались в учебном процессе на факультете защиты информации РГГУ и ВМиК МГУ.

Диссертация состоит из введения, семи глав, заключения и списка литературы.

3. ВЫВОДЫ К ГЛАВЕ 7

1. Несмотря на то, что скрытые каналы, рассмотренного в главе 6 типа, преодолевают защиту уровня IPsec, иногда возможно выявления таких каналов с помощью правильно построенного активного аудита.

2. При некоторых помехах, инициирующих сбои, скрытый канал способен восстанавливать себя. Например, при внесении помехи с помощью постоянной перестановки.

ЗАКЛЮЧЕНИЕ

В диссертации разработаны методы построения и использования математических моделей для защиты информации в АС, требующей высокого качества защиты информации. Необходимость разработки этих методов связана с тем, что традиционные методы защиты основаны на принципе контроля доступа. Однако аппаратные платформы или, по крайней мере, процессорные элементы, на базе которых строятся эти платформы, являются импортными, а их конструкторская и тестовая документация не является доступной. Основная часть операционных систем также является импортной, при этом многие операционные системы жестко связаны с импортными платформами. Основные СУБД и большинство серьезных приложений также являются импортными. В этих условиях практически невозможно доказать отсутствие программно-аппаратных агентов нарушителя безопасности и, тем самым, обосновать защиту от несанкционированного доступа (НСД) этих агентов к ценной обрабатываемой информации. Поэтому требуются новые методы построения и обоснования защищенности ценной информации. В связи с этим для обоснования новых принципов и методов построения защиты информации в АС в диссертации глава 1 посвящена изложению существующих принципов и концепций защиты. Значительная часть защищенных АС опирается на стандартные нормативные документы, которые в свою очередь опираются, как показано в главе 2 и 3, на не реализуемые на практике принципы защиты от НСД и защиты от обхода средств защиты. Поэтому обоснование защищенности часто не является ясным и прозрачным, хотя уже в 1985 году в ТС8ЕС американцы требовали простоту и ясность, как признаки качественной защиты.

В диссертации разработан доказательный подход к построению систем защиты. В частности, показано, как использовать формальные математические методы, начиная с построения политики безопасности, поверки ее корректности, формальное обоснование системы поддержки политики безопасности, и, наконец, практической реализации формальной модели безопасности. Ясно, что доказательный подход можно сделать доступным при развитом консалтинге и развитии математических методов обоснования защищенности. Однако экспертиза показывает, что многие ценные для Российской Федерации информационные системы могут быть контролируемы нарушителем, так как их защиты строилась без должного обоснования.

В диссертации доказательный подход применен для реализации многоуровневой политики в АС в условиях использования ненадежных с точки зрения безопасности импортной программно-аппаратной платформы и приложений. При этом автор допускает, что отдельные элементы или все системы импортного производства могут вести себя враждебно по отношению к защитникам информации. Совокупность новых принципов построения систем из ненадежных с точки зрения безопасности элементов автор назвал концепцией контроля каналов. В этой концепции контроль каналов замещает принцип защиты от НСД (или аксиому о том, что управление доступами эквивалентно безопасности системы). Отход от принципа НСД связан с тем, что «невидимый» для средств защиты агент противника может иметь этот доступ вопреки принятым мерам защиты. Если при построении автоматизированной системы удается контролировать все каналы, включая скрытые каналы, то, как правило, можно доказать безопасность АС. Этот вывод основан на том, что программно-аппаратные агенты, являясь программами, не могут принести ущерб, если они не управляются извне системы. Конечно, не интеллектуальные агенты могут уничтожить текущие программы и данные, но хорошо организованная система резервирования компенсирует эту угрозу.

В основе контроля каналов лежит понятие безопасного интерфейса, через который проходит допустимый канал (информационный поток), и перекрыты не допустимые каналы (в том числе и скрытые). В диссертации построены принципы управления системой защиты в концепции контроля каналов. Для контроля каналов может быть построена среда, использующая импортную программно-аппаратную платформу. Однако удается таким образом использовать ее, что можно формально доказать безопасность этой среды.

Однако создания безопасной среды, реализующей интерфейс между подсистемами распределенной системы, может быть недостаточно для информационной безопасности автоматизированной системы. Это связано с более глубоким пониманием скрытых каналов, которые могут преодолевать средства защиты и безопасные среды. Поэтому развитие концепции контроля каналов привело автора к необходимости глубокого изучения скрытых каналов. Автор диссертации открыл новый тип скрытых каналов, которые могут преодолевать защиту между средами и обеспечивать свободный диалог между программно-аппаратными агентами нарушителя безопасности. Найденный класс каналов использует только информацию об адресах в пакетах. Поэтому противодействие этим каналам является сложной задаче и, чаще всего, эти каналы не могут быть полностью исключены. Это следует из того, генетическим элементом системы с коммутацией пакетов являются адреса отправителей и получателей. Но именно на этих параметрах строятся открытые автором скрытые каналы. Таким образом, найденные автором скрытые каналы генетически связаны с самой структурой используемого всюду транспорта сетей с коммутацией пакетов.

Открытые автором скрытые каналы требуют активизации программно-аппаратных агентов в защищенных локальных сетях из глобальных сетей. В работе построены методы, позволяющие скрыто активизировать программно-аппаратных агентов нарушителя безопасности. Работоспособность этих методов активизации обоснована методами теории вероятностей и математической статистики. Для реализации ряда языков, используемых в скрытых каналах, найденных автором диссертации, требуется обучение. Оценка времени обучения является одним из основных параметров, способных подтвердить или опровергнуть жизнеспособность подобных скрытых каналов. В диссертации с помощью методов теории вероятностей и математической статистики удалось оценить время обучения при построении одного из наиболее интересных скрытых каналов. Для доказательства пришлось решить оригинальные задачи теории случайных графов [25]. Преодоление скрытыми каналами средств защиты вовсе не означает, что не существует признаков выявления скрытых каналов. В диссертации рассмотрен ряд статистических методов выявления некоторых типов скрытых каналов с использованием активного аудита. Другим способом борьбы со скрытыми каналами является внесение различного типа специальных шумов. Однако в диссертации показано, что большинство этих методов могут быть легко преодолены программно-аппаратными агентами с низким интеллектом. Автором найден специальный скрытый канал, не требующий обучения и на стохастических характеристиках потока пакетов. Данный канал устойчив ко многим помехам, создаваемым системой защиты, однако пропускная способность такого канала является маленькой.

Работы автора поддерживались грантами РФФИ № 97-01-00162, № 99-01-01052, № 01-01-00895. Результаты диссертации использовались в НИР «Программа МГУ -2003» - «Исследование математических моделей и алгоритмов защиты информации» и включены в учебный процесс на факультете защиты информации РГГУ и факультете ВМиК МГУ. Многие поколения специалистов изучали основы теории защиты информации по монографии автора диссертации, написанной в соавторстве.

Разработанные теоретические положения стали возможны благодаря последовательному использованию математических методов исследования и их применения к практическим задачам защиты информации в компьютерных системах. Автор диссертации, являясь специалистом в области теории вероятностей и математической статистики, компьютерной безопасности и криптографии, активно отстаивал разработанные принципы на международных конференциях, семинарах МГУ, Института точной механики и вычислительной техники им. С.А. Лебедева РАН и РГГУ, на региональных конференциях, заседаниях Международной академии информатизации, научно-технической конференции Гостехкомиссии.

1. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационные технологии Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. - М.: ИПК Издательство стандартов, 2002.

2. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационные технологии Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М.: ИПК Издательство стандартов, 2002.

3. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационные технологии Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М.: ИПК Издательство стандартов, 2002.

4. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. М.: Агентство «Яхтсмен», 1996. - 186 с.

5. Грушо A.A., Тимонина Е Е. Гибридные политики безопасности // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». СПб: СПбГТУ, 1996. -С. 58.

6. Грушо A.A., Тимонина Е.Е. "Ненадежные" компьютерные системы и скрытые каналы управления // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». СПб: СПбГТУ, 1997.

7. Грушо A.A., Тимонина Е.Е. Использование скрытых статистических каналов для атак и защиты информационных технологий // Тез. докл. конф. «Методы и технические средстваобеспечения безопасности информации». СПб: СПбГТУ, 1998. -С. 30 -31.

8. Грушо A.A. Скрытые каналы и безопасность информации в компьютерных системах // Дискретная математика. 1998. -Т. 10. -Вып. 1.-С. 3-9.

9. Грушо A.A. О существовании скрытых каналов // Дискретная математика. -1999. Т. 11 - Вып. 1. - С. 24 - 28.

10. Грушо A.A., Тимонина Е.Е. Интеллектуальный шум // Тез. докл. межрегион, конф. «Информационная безопасность регионов России. ИБРР-99». Ч. 2. - СПб. СПОИСУ, 1999-С. 19.

11. Грушо A.A., Тимонина Е.Е. Асимптотически скрытый статистический канал // Обозрение прикладной и промышленной математики. М.: ТВП, 1999. - Т. 6. - Вып. 1. - С. 135 - 136.

12. Грушо A.A., Тимонина Е.Е Использование скрытых статистических каналов для атак и защиты информационных технологий // Проблемы информационной безопасности. Компьютерные системы. СПб: СПбГТУ, 1999. - № 1. - С. 7.

13. Грушо A.A., Тимонина Е.Е. Модель невлияния для сети // Обозрение прикладной и промышленной математики. М.: ТВП, 2000. - Т. 7. - Вып.1 - С. 185 - 187.

14. Грушо A.A., Тимонина Е.Е. Двойственность многоуровневой политики безопасности // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». -СПб: СПбГТУ, 2000.-С. 40-41.

15. Грушо A.A., Тимонина Е.Е. Интеллектуальный шум // Проблемы информационной безопасности. Компьютерные системы. -СПб: СПбГТУ 2000. - № 1. - С. 7 - 8.

16. Грушо A.A., Тимонина Е.Е., Применко Э.А. Анализ и синтез криптоалгоритмов. Курс лекций. Йошкар-Ола: изд-во Марийского филиала Московского открытого социального университета, 2000. - с. 110.

17. Грушо A.A., Применко Э.А., Тимонина Е.Е. Криптографические протоколы. Йошкар-Ола: изд-во Марийского филиала Московского открытого социального университета, 2001. - с. 185.

18. Грушо A.A., Тимонина ЕЕ. Безопасность в многоагентной системе // Труды междунар. конф. «Информационные технологии в науке, образовании, телекоммуникации, бизнесе (осенняя сессия)» РАН (20 30 сентября). - Ялта-Гурзуф, 2001. -С. 129-130.

19. Грушо A.A., Тимонина Е.Е. Поддержка многоуровневой политики без меток конфиденциальности // Тез. докл. конф. «Методы и технические средства обеспечения безопасности информации». СПб: СПбГТУ, 2001. - С. 139.

20. Грушо A.A., Тимонина Е.Е. О нормативно-методической базе по поиску скрытых каналов // Материалы науч.-техн. конф.

21. Грушо A.A., Шумицкая E.JI. Модель невлияния и скрытые каналы // Дискретная математика. 2002. - Т. 14 - Вып 1. -С. 11-16.

22. Грушо A.A., Тимонина Е.Е. Оценка времени, требуемого для организации скрытого канала // Дискретная математика. 2003. -Т. 15 - Вып. 2.-С. 40-46.

23. Грушо A.A., Тимонина Е.Е. Преодоление защиты от скрытых каналов // Обозрение прикладной промышленной математики -М.: ТВП, 2003. Т. 10. - Вып 3. - С. 638-640.

24. Грушо A.A., Тимонина Е.Е. Стохастические скрытые каналы // Материалы международн. семинара «Информатика и общество» I&S'04 (10-24 января). Низкие Татры, 2004. - С. 21 - 23.

25. Колчин В.Ф., Севастьянов Б.А., Чистяков В.П. Случайные размещения. М.: Наука, 1976. - с. 223.

26. Крамер Г. Математические методы статистики. М. Мир. -1975. с. 648.

27. Кудрявцев В.Б., Алешин C.B., Подколзин А С. Введение в теорию автоматов. М.: Наука, 1985.

28. РД ГТК: Защита от несанкционированного доступа к информации. Термины и определения. М.: Гостехкомиссия России, 1992.

29. РД ГТК: Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Гостехкомиссия России, 1992.

30. РД ГТК: Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. М.: Гостехкомиссия России, 1992.

31. РД ГТК: Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа. -М.: Гостехкомиссия России, 1997 г. 17 с.

32. РД ГТК: Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М.: Гостехкомиссия России, 1999.

33. Сертификат № 501 /Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOOl .OlBHOO, Выд. 12.09.2001.

34. Тимонина Е.Е. Механизмы контроля скрытых каналов // Труды международной конференции «Информационные технологии в науке, образовании, телекоммуникации, бизнесе» РАН (20-30 мая). Ялта-Гурзуф, 2002. - С. 152 -153.

35. Тимонина Е.Е. Скрытые каналы (обзор) // Jet Info: изд-во компании «Джет Инфо Паблишен», 2002. 14(114) - С. 3-11.

36. Шеннон К. Работы по теории информации и кибернетике. М.: Иностранная литература, 1963. - с. 829.

37. Ajtai М., Komlds J., Szemeredi Е. The Longest Path in a Random Graph // Combinatorica. 1981. - № 1. - P. 1 - 12.

38. Ahsan K., Kundur D. Practical Data Hiding in TCP/IP // Workshop Multimedia and Security at ACM Multimedia'02 (December 6). -Juan-les-Pins on the French Riviera, 2002.

39. Biba K.J. Integrity Considerations for Secure Computer Systems //The MITRE Corp., Report No. MTR-3153 Revision 1, Electronic System Division, U.S. Air Force Systems Command, Technical Report Esd-TR-76-372, Bedford, Massachusetts, April 1997.

40. Common Criteria for Information Technology Security Evaluation. -1996.

41. Computer Security Requirements. Guidance for Applying the Department of Defense Trusted Computer System Evaluation Criteria in Specific Environments. DoD, 1985.

42. Denning D.E. A Lattice Model of Secure Information Flow // Communications of ASM. May 1976. 19:5. - P. 236 - 243.

43. Department of Defense Trusted Computer System Evaluation Criteria. DoD, 1985.

44. Gasser M. Building A Secure Computer System. New York: Van Nostrand Reinhold, 1988.

45. Goguen J. A. and Meseguer J. Security Policies and Security Models 11 Proceedings of the IEEE Symposium on Security and Privacy. -Oakland, CA, April 1982. P. 1 1- 20.

46. Goguen J. A. and Meseguer J. Inference Control and Unwinding // Proceedings of the IEEE Symposium on Security and Privacy. -Oakland, CA, April 1984. P. 75 - 86.

47. A Guide to Understanding Covert Channel Analysis of Trusted Systems, National Computer Security Center. NCSC-TG-030. - Ver. 1, 1993.

48. Handbook for the Computer Security Certification of Trusted Systems: NRL Technical Memorandum 5540:062A, 12 Feb. 1996.

49. Huskamp J.C. Covert Communications Channels in Timesharing Systems // Technical Report UCB-CS-78-02. Berkley: Ph.D. Thesis University of California, 1978.

50. Kemmerer R.A. Shared Resource Matrix Methodology: An Approach to Identifying Storage and Timing Channels // ACM Transactions on Computer Systems. August 1983. -1:3. - P. 256 - 277.

51. Lampson B.W. A Note of the Confinement Problem //Communications of ACM October 1973. - 16:10. - P. 613-615.

52. Millen J.K. Security Kernel Validation in Practice // Communications of ASM. -May 1976. 19:5.

53. Moskowitz, Ira S. And Costich, Oliver L. A classical Automata Approach to Noninterference Type Problems D Procced. Of the Computer Security Foundations Workshop 5. Franconi, NH: IEEE Press - June 1992.-P. 2-8.

54. Moscowitz I.S., Kang M.H. Covert Channels Here to Stay? // Information Technology Division Naval Research Laboratory. -Washington. - DC 20375, 1995.

55. Petitcolas F. A.P., Anderson R.J., Kuhn M.G. Attacks on Copyright Marking Systems // Second workshop on information hiding (14-17 April). Portland, 1998. - Vol. 1525 of Lecture Notes in Computer Science.-P. 218-238.

56. Rowland C.H. Covert Channels in the TCP/IP Protocol Suite // Psionic Technologies Inc. (11-14. -1996). 2002.

57. Rushby J. Noninterference, Transitivity, and Channel-Control Security Policies // Technical Report CSL-92-02. December 1992.

58. Schneier B. Applied Cryptography. Protocols, Algorithms, and Source Code in C. New York: John Wiley & Sons, 2nd edition, 1996.

59. Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria. NCSC, 1991.

60. Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria. NCSC, 1987.

61. Tsai C.-R., Gligor V.D., Chandersekaran C.S. A Formal Method for the Identification of Covert Storage Channels in Source Code // IEEE Transactions on Software Engineering. June 1990. - V.16:6. -P. 569 - 580.