автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Методы синтеза систем безопасности в распределенных компьютерных системах на основе создания изолированной программной среды

РГБ ОД

е о СЕ!! •

На правах рукописи

Щербаков Андрей Юрьевич

МЕТОДЫ СИНТЕЗА СИСТЕМ БЕЗОПАСНОСТИ В РАСПРЕДЕЛЕННЫХ КОМПЬЮТЕРНЫХ СИСТЕМАХ НА ОСНОВЕ СОЗДАНИЯ ИЗОЛИРОВАННОЙ ПРОГРАММНОЙ СРЕДЫ

05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов, систем и сетей

Автореферат диссертации на соискание ученой степени доктора технических наук

Москва 1997

Работа выполнена в Учебно-научном центре аПроблемы защиты информации" Московского государственного института электроники и математики.

Официальные оппоненты:

доктор физико-математических наук, профессор Грушо Александр Александрович; доктор технических наук, профессор Мельников Юрий Николаевич; доктор технических наук, профессор Подбельский Вадим Валерьевич

Ведущая организация:

Факультет защиты информации РГГУ

Защита состоится_в -_на заседании

диссертационного совета Д 063.68.05 в Московском государственном институте электроники и математики по адресу:

109028Москва, Б. Трехсвятительский пер., д. 3/12.

С диссертацией можно ознакомиться в библиотеке МГИЭМ.

Автореферат разослан "_"_ 1997 г.

Ученый секретарь диссертационного совета к.т.н., доцент

С.Е.Бузников

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ.

Актуальность проблемы. В условиях бурного роста объемов хранимой и обрабатываемой в компьютерных системах (КС) информации и при значительной зависимости инфраструктуры современного общества от критичных информационных технологий (энергетика, транспорт и т.д.) задача защиты информации приобретает особую актуальность.

Прошедшие несколько лет обозначили бурный рост компьютерной преступности: только фиксируемые случаи атак на корпоративные информационные ресурсы превышают десятки тысяч, число компьютерных вирусов превысило 7000.

В этих условиях на решение задач защиты информации от несанкционированного доступа (НСД), особенно для распределенных систем расходуется до 2030% общего объема эксплуатационного финансирования. При этом необходимо отметить наметившийся кризис в решении вопросов безопасности как на теоретическом уровне, так и в практической области, связанный с быстро Изменяющимися решениями в области телекоммуникации и информационных технологий.

С учетом изложенного актуальны не только обобщения и дополнения теоретических моделей безопасности, но и практические решения, а также рассмотрение реального жизненного цикла КС - от проектирования до управления в ходе эксплуатации.

Исходными положениями для диссертационных исследований являются:

1. положение, заключающееся в том, что гарантированная защита информации в КС понимается как гарантированное выполнение аириорно заданной политики безопасности (ПБ),

2. рассмотрение КС в рамках классических декомпозиций на субъекты и объекты,

3. системно-концептуальный подход в методологии анализа и синтеза,

4. подход к синтезу на основе достаточных условий.

Цель работы. Решение проблемы комплексного

синтеза систем защиты распределенных КС от несанкционированного доступа и разработка единых

методов обеспечения гарантий произвольной политики безопасности при эксплуатации и управлении защищаемой КС.

Задачами исследований являются:

1. уточнение модели взаимодействия элементов КС с учетом механизма порождения и взаимовлияния субъектов,

2. формулирование достаточных условий выполнения произвольной политики безопасности,

3. изучение дополнительных свойств модели КС, позволяющих адаптировать ее к конкретной архитектуре,

4. рассмотрение модели применительно к реальному жизненному циклу КС (создание, эксплуатация, управление),

5. уточнение политик безопасности для распределенных систем,

6. формулирование и обоснование методов управления механизмами безопасности без нарушения заданной ПБ.

Общая методология исследования. Методология исследований базируется на системно-концептуальном подходе к безопасности и уточняет его исходя из предлагаемой автором методологии достаточных условий.

Научная новизна работы заключается в следующих основных результатах.

1. предложена субьектно-ориентированная модель безопасности компьютерной системы, определяющая основную роль субъекта (активной компоненты КС) как в процессе нарушения безопасности, так и в, поддержании заданной политики безопасности; уточнены основные термины и введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся безопасности КС,

2. сформулированы и доказаны основные утверждения, описывающие условия выполнения произвольной политики безопасности; сформулирована методология достаточных условий выполнения произвольной политики безопасности,

3. предложен синтетически конструктивный метод, описывающий гарантированное выполнение произвольной

политики безопасности - метод генерации изолированной программной среды,

4. описаны реализации основных компонент метода с учетом конкретной архитектуры КС,

5. метод генерации изолированной программной среды конкретизирован для распределенных гетерогенных КС в методе доверенной загрузки ОС; предложены критерии классификации модулей доверенной загрузки ОС,

6. изучен вопрос сопряжения механизмов генерации изолированной программной среды со штатными средствами защиты операционных систем, описаны условия корректного взаимодействия модулей сопряжения и структуры данных, необходимые для сопряжения,

7. предложен метод универсального сопряжения механизмов генерации изолированной программной среды с различными реализациями логической защиты (контроль целостности и т.д.); сформулированы и доказаны достаточные условия корректности сопряжения,

8. уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности, связанных с полным проецированием прав пользователя на доступные ему субъекты; предложена конструктивная коррекция ПБ в распределенных КС,

9. проведен анализ двух классов защиты от несанкционированного доступа в распределенной системе: межсетевых экранов (МЭ) и локальной защиты. Рассмотрены основные зарубежные решения в части МЭ; предложены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды,

10. предложена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные условия корректности управления.

Практическая ценность. Все изложенные в работе результаты доведены до практической реализации для различных операционных сред. Результаты оценочного и классификационного плана использованы при разработке ряда нормативных документов. Результаты, изложенные в

работе, реализованы в ряде программно-аппаратных систем защиты от несанкционированного доступа (Аккорд, Рубеж, Аккорд-НТ, M-Lock и др).

Достоверность результатов. Достоверность всех формальных результатов обоснована выводами и доказательствами. Достоверность общих положений подтверждается ссылками на источники. Сопоставление полученных общих результатов с частными случаями, описанными у других авторов также подтверждает достоверность исследований.

Апробация работы. Основные результаты работы докладывались и обсуждались на специализированных конференциях и семинарах: Технология электронных коммуникаций (ТЭК) - ТЭК-93, ТЭК-94, Региональная информатика (РИ): РИ-94, РИ-95, семинары Ассоциации российских банков, семинары кафедр и УНЦ МГИЭМ и др. вузов. Результаты, обсуждались также в сетевых конференциях по безопасности Relcom, FIDO и Internet. Отдельные параграфы работы размещены для постоянного использования по адресу: www.fzi.rsuh.ru.

Публикации. Слисок основных публикаций приведен в конце работы.

Структура и объем диссертации. Диссертация состоит из введения, шести глав, заключения и приложений.

АВТОР ЗАЩИЩАЕТ:

1. Решение актуальной проблемы комплексного синтеза систем защиты для распределенных КС, включающее:

разработку аксиоматики субъектного взаимодействия в КС и субъектно-ориентированной модели безопасности КС,

- доказательство достаточных условий выполнения произвольной ПБ в КС,

- метод генерации изолированной программной среды как практический метод реализации достаточных условий выполнения произвольной ПБ.

2. Решение актуальной проблемы синтеза единых методов эксплуатации и управления в защищенной КС, обеспечивающих сохранение гарантий ПБ на всех этапах жизненного цикла КС и включающее:

- доказательство выполнения гарантий свойств сопрягаемых подсистем в рамках защищенной КС,

- конструктивная коррекция ПБ для распределенных

КС,

- метод управления безопасностью в распределенной КС, обеспечивающие работоспособность сложных программных комплексов.

3. Теоретические и экспериментальные результаты синтеза подсистем безопасности, включающие:

- классификации механизмов безопасности в рамках сформулированных методов синтеза,

- описание структур данных и алгоритмов защиты, реализующих описанные методы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении подчеркнуты актуальность и значимость исследования, проводится экскурс в историю вопроса. Кратко рассмотрены результаты, изложенные в работах других авторов, выделены нерешенные проблемы. Сформулированы цели, задачи и направления исследований. Изложены исходные положения работы.

В первой главе рассматриваются метод обеспечения гарантий выполнения произвольной политики безопасности в рамках модели субъектно-объектного взаимодействия в КС. Формулируется совокупность взаимосвязанных понятий, описывающих процесс порождения субъектов, взаимодействия субъектов и объектов, а также процесс корректного межсубъектного взаимодействия.

В главе предлагается субъектно-ориентированная модель безопасности КС - модель КС, находящаяся в рамках декомпозиции КС на субъекты и объекты, базирующаяся на понятиях порождения субъекта и корректности субъектов относительно друг друга.

Взаимодействие субъектов и объектов в субъекгно-ориентированной модели описывается двумя отображениями - Create и Stream.

Отображения Create(Sj,Oi)->Sk описывает порождение субъекта Sk из объекта Oi при активизирующем воздействии субъекта Sj.

С целью учета влияния субъектов друг на друга, а также для более строгого формулирования понятия потоков информации в КС вводится понятие ассоциированных с субъектом объектов.

Объект Oi в момент времени t ассоциирован с субъектом Sm, если состояние объекта Oj повлияло на состояние субъекта в следующий момент времени.

Выделяются функционально ассоциированные объекты (от состояния которых зависит вид преобразования информации в субъекте) и ассоциированные объекты-данные от которых преобразование зависит как от аргументов.

Основное свойство субъекта КС "быть активным" реализуется в возможности выполнения операций над объектами.

Потоком информации между объектом От и объектом Oj называется произвольная операция над объектом Oj, реализуемая в субъекте. Si и зависящая от От (обозначение Stream(Si, Om)->Oj).

Операциями Stream и Create описывается в рамках декомпозиции на субъекты и объекты все события (изменения субъектов и объектов), происходящие в КС.

Доступом субъекта Si к объекту Oj будем называть порождение потока информации между ассоциированным с субъектом объектами Si(Om) и объектом Oj.

Все множество потоков Р (рассматриваемое как объединение множеств Pt потоков во все рассматриваемые моменты времени) произвольным образом разобьем на два непересекающихся подмножества: N и L; N ( -подмножество потоков, описывающее

несанкционированный доступ, L - подмножество потоков, описывающее легальный доступ.

Правила разграничения доступа (ПРД) субъектов к объектам есть формально описанные потоки, принадлежащие подмножеству L.

Политика безопасности описывает методы построения подмножеств L и N. В рамках субъектно-ориентированной модели не производится уточнений известных политик безопасности в части НСД, но формулируются условия гарантированной реализации той или иной политики безопасности. Поскольку критерий разбиения на

множества Ь и N не участвует в условиях утверждений (постулируется лишь наличие субъекта, реализующего фильтрацию потоков Ь и 14), то можно говорить об инвариантности субъектно-ориентированной модели относительно любой априорно принятой политики безопасности.

Для реализации ПБ используется специальный субъект - монитор безопасности объектов.

Монитор безопасности объектов (МБО) - субъект, который разрешает поток, принадлежащий только множеству легального доступа Ь. Разрешение потока в данном случае понимается как выполнение операции над объектом, а запрещение - как неизменность объекта-получателя потока.

Показано, что при изменении ассоциированных с МБО объектов может измениться и функция МБО, заключающаяся в фильтрации потоков, а, следовательно, возникнуть возможность НСД.

В связи с этим вводится понятие корректности субъектов.

Пара субъектов Л' и 5)' называется невлияющей друг на друга (или корректной относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между ассоциированным объектом субъекта О^/) и Оя]), примем Оу не является ассоциированным объектом а О.Ч1 не является

ассоциированным объектом <5/.

Более жесткое определение абсолютной корректности описывает межсубъектное взаимодействие при пустом пересечении множеств ассоциированных объектов.

Определение абсолютной корректности позволяет сформулировать и доказать достаточные условия гарантированного осуществления только легального доступа.

Монитор безопасности объектов разрешает порождение потоков только из множества Ь, если все существующие в системе субъекты абсолютно корректны относительно него и друг друга.

Однако это утверждение накладывает весьма жесткие и трудноисполнимые условия на свойства субъектов в КС. Кроме того, невозможно гарантировать корректность

любого субъекта, активизируемого в КС, относительно МБО. В связи с этим вводится понятие монитора безопасности субъектов.

Монитор безопасности субъектов (МБС) - субъект, который разрешает порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и порождающих объектов.

Воздействие МБС выделяет во всем множестве субъектов КС (S) подмножество разрешенных Е.

Далее в работе формулируется определение изолированности КС.

Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС.

Понятие изолированной среды субъектов позволяет переформулировать и доказать достаточное условие гарантированной защищенности от НСД следующим образом.

Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой КС реализуется только доступ, описанный в ПРД.

Далее в первой главе исследуется проблема различения одинаково поименованных объектов-источников:

Операция порождения субъекта Create(Sk,Om)->Si называется порождением с контролем неизменности объекта, если для любого момента времени t > t0, в который активизирована функция Create, порождение субъекта Si возможно только при тождественности объектов Om[tO] и Om[i].

В рамках процесса порождения субъектов с контролем целостности объектов-источников формулируется и доказывается базовая теорема, определяющая свойства защиты в изолированной программной среде.

Если в момент времени t0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта, и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент

и

времени t>tO КС также остается изолированной (абсолютно изолированной).

На основании описанной модели формулируется методология построения гарантировано защищенных от НСД КС, которая названа методологией достаточных условий. Сущность данной методологии состоит в том, что при синтезе защитных механизмов КС необходимо опираться на совокупность приведенных выше достаточных условий, что гарантирует защитные свойства, определенные при реализации МБО и МБС в КС (т.е. гарантированную защищенность от НСД согласно принятым исходным положениям).

Далее в первой главе описаны практические методы построения изолированных программных сред.

Из сформулированных и доказанных утверждений следует, что для построения гарантировано защищенной от НСД КС необходимо:

1. убедиться в попарной корректности субъектов, существующих в КС,

2. спроектировать и реализовать программно (или программно-аппаратно) МБС так, чтобы:

- для любого субъекта и любого объекта производился контроль порождения субъектов,

порождение любого субъекта происходило с контролем неизменности обьекга-источника,

3. реализовать МБО в рамках априорно сформулированной политики безопасности.

Поскольку корректность субъектов является основой для генерации изолированной программной среды, то изучению данной проблемы также уделено место в данной главе - сформулированы достаточные условия к базовому набору программного обеспечения.

Поскольку на практике контроль неизменности объектов строится на базе неоднозначных отображений (хеш-функции), то невозможно говорить о точном выполнении базовой теоремы о изолированной программной среде (поскольку неизменность объекта гарантируется лишь с некоторой вероятностью, не равной 1). Следовательно, условия утверждений выполняются с некоторой вероятностью, зависящей в основном от

свойств применяемых для контроля целостности хеш-функций.

Обоснован вывод о том, что основными элементами поддержания изолированности программной среды являются контроль целостности и контроль порождения субъектов (которому в реальных КС соответсвует порождение процессов).

Основное содержание современных подходов к синтезу ПО - иерархичность. В связи с этим метод генерации изолированной программной среды рассматривается в условиях существования в различное время объектов разной иерархии (сектор, кластер, файл). Вводится понятие последовательности активизации субъектов КС -Z1, которая задает множество пар аргументов для функции Create. Достаточные условия гарантий ПБ переформулируются с учетом различной иерархии объектов-источников и наличия фиксированной для каждого сеанса последовательности Z1 (описывающей последовательность активизации программной

компоненты КС в начальный момент работы (в период загрузки)). Формулируется метод "безопасной загрузки" или ступенчатого контроля, описывающий практически значимый алгоритм генерации изолированной программной среды. Он заключается в постепенном установлении неизменности компонент программно-аппаратной среды КС по мере возрастания уровня иерархии потоков.

При решении практических вопросов генерации изолированной программной среды предлагается два направления.

Первое из них связано с использованием внешних по отношению к КС субъектов (как правило, размещенных на внешнем носителе) целостность которых гарантируется методами хранения и/или периодического контроля.

Второе направление связано с локализацией изолированной программной среды в рамках территориально ограниченного рабочего места (как правило, ПЭВМ) и использует аппаратную поддержку для задания предопределенной последовательности

активизации субъектов (Z1). Данное направление, как

правило, включает аппаратную поддержку аутентификации пользователей.

Свойства метода генерации изолированной программной среды рассмотрены также в условиях возможности опосредованного НСД.

Опосредованный несанкционированный доступ (О НСД) понимается как действия (инициирование потоков) некоторого субъекта в рамках поддерживаемой МБО политики безопасности, которые либо создают новые объекты в КС, либо изменяют ассоциированные объекты субъектов; данные действия осуществляются указанным субъектом автономно.

Указанный субъект, реализующий ОНСД, называется разрушающим программным воздействием (РПВ).

Доказано утверждение.

В изолированной программной среде с контролем целостности объектов-источников для порождения субъектов ОНСД невозможен.

В данной главе вводятся понятия, формулируются и доказываются утверждения и описываются методы, которые являются базовыми для всего последующего изложения. Тем самым формируется теоретическая и методологическая база работы.

Основными теоретическими выводами из изложенного в данной главе являются: вывод о возможности конструктивного описания свойств КС (в части защищенности) на языке межсубъектного взаимодействия и вывод о возможности формулирования и обоснования условий гарантированного выполнения произвольной ПБ.

Основной практический вывод состоит в том, что описанный метод построения гарантировано защищенной КС (метод генерации изолированной программной среды) может быть практически реализован в КС.

Необходимо отметить также, что вводимая аксиоматика и доказанные на ее основе утверждения имеют значение и для решения более общей проблемы - синтеза КС с произвольными априорно заданными свойствами.

Во второй главе рассмотрена конкретизация (в рамках гетерогенной программной и аппаратной среды) различных этапов генерации изолированной программной среды.

Исходным положением для исследований является факт наличия в ряде случаев МБО и МБС в состав субъектов операционной среды.

Метод обеспечения гарантий ПБ при синтезе остается в основном в рамках предыдущей главы, но в некоторой части существенно уточняется.

В качестве базового метода генерации изолированной программной среды для развитой сетевой ОС предлагается метод доверенной загрузки ОС.

Пусть предопределен порядок загрузки компонентов ОС (под загрузкой компонентов ОС понимается активизация различных субъектов ОС из соответствующих объектов-источников различного уровня иерархии). Процедуру загрузки ОС назовем доверенной, если:

- установлена неизменность компонент ОС (объектов), участвующих в загрузке (обозначение - О?), причем неизменность установлена до порождения первого субъекта из 21,

- установлена неизменность последовательности Z/, она неизменна в течение заданного интервала времени и не может быть изменена никем, кроме предопределенного пользователя (пользователей) КС,

Основная проблема при реализации доверенной загрузки состоит в доступе к высшему уровню иерархии ОС (файлам) до загрузки собственно данной ОС. При известном алгоритме генерации изолированной программной среды для какой-либо иной ОС (базовой) предлагается итеративная реализация доверенной загрузки с использованием ресурсов базовой ОС.

1. происходит аутентификация пользователя И,

2. проверяется права пользователя по использованию аппаратной компоненты комплекта Тт,

3. контролируется целостность (на основе индивидуальной информации 1-го пользователя Кл, либо без нее) всех объектов базовой ОС, на некотором носителе локально' или удаленно (через технические средства ЛВС) связанном с Тт,

4. загружается базовая операционная система и контролируется целостность шлюзового ПО, служащего для доступа к объектам загружаемой ОС,

5. загружается шлюзовое ПО (при этом становится доступным (как минимум, в режиме чтения) файловая структура загружаемой ОС, размещенная локально на Тт),

6. контролируется целостность объектов уровней, меньших К (II - максимальный уровень представления объектов в загружаемой ОС),

7. контролируется целостность объектов уровня Я (как правило, файлов) загружаемой ОС,

8. контролируется целостность объекта, задающего последовательность загрузки компонент ОС {7.1),

9. осуществляется принудительная загрузка (инициируется предопределенный в силу целостности объектов Ог и последовательности 7\ порядок загрузки компонент ОС) проверенной на целостность ОС.

Свойства метода доверенной загрузки описаны в утверждении.

Пусть ядро ОС содержит МБО и МБС, инициируемые в ОС субъекты попарно корректны и их объекты-источники принадлежат множеству проверяемых на неизменность в ходе доверенной загрузки, МБО запрещает изменение любого объекта-источника и выполнена процедура доверенной загрузки ОС, тогда после инициирования ядра ОС генерируется изолированная программная среда.

Существенные особенность могут вноситься в описанный алгоритм комплектацией технических средств рабочего места Тт. Рассмотрены 16 различных конфигураций КС, связанных с наличием раздела базовой ОС на локальном рабочем месте, наличие аппаратных средств поддержки аутентификации, наличием внешнего носителя и возможностью удаленной загрузки базовой ОС. Для каждой конфигурации выявлены особенности в условиях реализации метода доверенной загрузки и выделены группы оптимальных конфигураций, связанных с наличием аппаратной поддержки аутентификации.

Дальнейшая конкретизация метода доверенной загрузки ведется в направлении сосредоточения описанных выше алгоритмов в аппаратном модуле.

Аппаратный модуль доверенной загрузки (АМДЗ) -комплекс аппаратно-программных средств, устанавливаемый в техническую компоненту КС и обеспечивающий, как минимум, выполнение следующих функций:

1. доступ к технической компоненте КС при положительном результате аутентификации пользователя,

2. загрузку базовой ОС,

3. загрузку шлюзового ПО,

4. проверку целостности объектов загружаемой ОС,

5. принудительную загрузку пользовательской ОС.

Для АМДЗ вводится классификация, которая дополняет классы защиты С ВТ и АС, приводимые в документах ГТК РФ. Выделяются 4 класса защиты: класс 4 - фрагментарная защита, классы 3 и 2 - структурированная защита (подсистемы безопасности), класс 1 - доказательная защита.

Классификация свойств АМДЗ призвана конкретизировать защитные и эксплуатационные свойства для применения взвешенного подхода к защите. Необходимость применения взвешенного подхода к защите требуется исходя из того, что стоимость реализации и сопровождения АМДЗ при переходе к следующему классу защиты увеличивается в 2-2.5 раза.

Основным 'теоретическим выводом данной главы является вывод о возможности построения изолированной программной ■ среды для , операционной системы со встроенными МБО и МБС при использовании процедуры доверенной загрузки. При этом гарантируется выполнение ПБ, реализуемой средствами (МБО) данной ОС.

С практической точки зрения описанные в данной главе механизмы важны для оптимизации трудозатрат на реализацию защиты (максимальное использование штатных средств) и необходимости коррекции методик построения защиты при различных ' конфигурациях гетерогенной КС. Ограничением для применения описанных методов является в ряде случаев априорная неприменимость ПБ ОС для пользователя защищенной КС (т.е. случай, когда реализуемая в ОС ПБ по каким-либо причинам не устраивает пользователя).

В третьей главе рассматриваются вопросы, связанные с сопряжением средств защиты уже присутствующих в КС (штатных) с дополнительными средствами защиты.

В рамках выполнения доверенной загрузки пользовательской ОС и при наличии дополнительных

средств аутентификации (АМДЗ) рассмотрена задача передачи параметров аутентификации в загружаемую ОС.

Указанная задача имеет ряд аспектов. Первый из них -техническое сопряжение субъектов ОС, осуществляющих штатную процедуру аутентификации с дополняемыми субъектами, получившими информацию от АМДЗ. Второй аспект связан с гарантиями передачи параметров в модули аутентификации. Третий аспект связан с организацией необходимых структур данных, обеспечивающих с одной стороны независимость их от структуры и свойств аппаратного носителя пользователя (АНП), а с другой -хранение данных для штатных механизмов без нарушения ПБ, предусмотренной для ОС, с которой сопрягается АМДЗ.

Сопряжение штатных и наложенных средств защиты рассматривается в рамках достижения цели построения изолированной программной среды. В связи с этим возможно сформулировать задачу корректного сопряжения.

Пусть существуют: субъект Saut - субъект аутентификации, принадлежащий загружаемой ОС и субъект Srd - субъект разграничения доступа (реализующий МБО и МБС), которому передается информация пользователя от субъекта аутентификации. В ряде случаев, инициируется и обратный поток. Следовательно, в общем случае существуют два потока Stream(Sx,Ok)->Om, где Sx субъект, инициирующий поток от ассоциированного объекта Ок субъекта Saut к ассоциированному объекту От субъекта Srd и поток Stream(Sx,Og)->Of, где Sx - субъект, инициирующий поток от ассоциированного объекта Og субъекта Srd к ассоциированному объекту ОГ субъекта Saut.

Сформулировано и доказано следующее важное утверждение, указывающее субъект-инициатор потока.

Необходимым условием корректности субъекта аутентификации и субъекта разграничения доступа является условия:

Sx-Srd при Stream(Sx, Ok)->Om

Sx=Saut при Stream(Sx, Og)->Of

Далее рассмотрены два основных метода сопряжения -метод эмуляции органов управления и метод замены

аутентифицирующего субъекта. Важно заметить, что для обоих методов предполагается наличие в КС дополнительного субъскга, который получает информацию от АМДЗ и передает ее либо в Saut (эмуляция органов управления), либо непосредственно в Srd (замена аутентифицирующего субъекта) - модуля сопряжения (МС).

Показано, что МС должен выполнять следующие функции:

- получать данные о пользователе от АМДЗ,

- получать дополнительную информацию для передачи к модулям ОС,

- передавать полученную информацию к модулям Saut и Srd.

Предположит, что функции МС реализованы гарантировано - при запросе параметров от Saut или Srd они гарантировано передаются (гарантированная передача подразумевает тождественное отображение

соответствующих объектов) от МС. Предположит также, что выполнены условия попарной корректности МС, Saut и Srd.

При выполнении указанных условий верно утверждение.

При условиях гарантированной реализации МС и неизменности всех компонент ОС, получающих информацию от МС и неизменности последовательности реализации компонент, включающей МС, достигается гарантированное сопряжение со штатными механизмами.

Метод эмуляции органов управления основывается на свойстве субъекта аутентификации обращаться, как минимум, к субъекту программно-аппаратного уровня для получения информации от органов управления (как правило, от клавиатуры). Суть метода состоит во встраивании в поток между объектами некоторого субъекта, который имитирует ввод пользовательской информации с клавиатуры.

Метод замены аутентифицирующего субъекта основан на известном описании потоков между Saut и Srd и, как следует из названия, реализуется заменой штатного субъекта Saut на некоторый новый субъект, взаимодействующий в общем случае с АМДЗ и со

штатным субъектом. Данный метод подробно рассмотрен для ОС Windows NT.

При сопряжении АМДЗ со штатным субъектом аутентификации решается еще одна важная проблема, связанная с различными типами данных, обрабатываемых в АМДЗ и используемых в субъекте аутентификации загружаемой ОС.

Предполагается, что i-й АНП содержит два информационных поля: IDi - неизменяемый идентификатор i-ro пользователя, который является аналогом имени ий- аутентифицирующая информация пользователя, которая может переписываться (первичная аутентифицирующая информация пользователя)

Построены алгоритмы и описаны структуры данных, которые позволяют определить произвольную информацию, необходимую для сопряжения (вторичная аутентификация) по хранящейся в АНП (IDi и Ki).

Теоретические выводы по результатам исследований в данной главе позволяют сформулировать необходимые свойства АНП для сопряжения (минимизация объема хранения и наличие только индивидуальных свойств). Кроме того, с теоретической точки зрения важны результаты, описывающие условия корректного сопряжения штатных и наложенных средств защиты в ОС.

Основные практические результаты данной главы заключаются в описании структур данных для первичной и вторичной аутентификации, а также в рассмотрении конструктивного примера сопряжения с механизмом штатной аутентификации для ОС Windows NT.

В четвертой главе исследуются проблемы, связанные с применения внешнего субъекта, реализующего функции логического преобразования информации (модуля реализации защитных функций - МРЗФ). МРЗФ может реализовывать стандартные алгоритмы контроля целостности, электронной цифровой подписи и т.д.

Применение МРЗФ находится в рамках разделяемой технологии применения функций логической защиты -такого порядка использования средств логической защиты информации в КС, при котором:

- не требуется изменений в программном обеспечении (в содержании и составе субъектов КС) при изменении алгоритмов защиты (исключая сам МРЗФ),

- в КС однозначно выделяется модуль (программно-техническая реализация субъекта) реализации защитных функций (МРЗФ).

Предлагается рассматривать следующую модель функционирования МРЗФ. Пусть имеется вызывающий субъект Si и его ассоциированные объекты Ok (объект для передачи информации к МРЗФ) и Of (объект возврата информации от МРЗФ после ее преобразования). Для субъекта МРЗФ выделим ассоциированные объекты Ош для приема информации от вызывающего модуля и Ог для размещения информации перед ее транспортировкой к вызвавшему субъекту Si.

В рамках введенной модели сформулированы понятия корректной работы МРЗФ и показано, что корректная работа МРЗФ гарантируется при замыкании субъектов КС в изолированную программную среду с контролем неизменности объектов-источников и включении в состав субъектов МРЗФ.

Если в изолированной (абсолютно изолированной) КС существуют только субъекты, которые корректно вызывают МРЗФ и обеспечивают корректный возврат результата к МРЗФ, существует собственно МРЗФ, действует контроль порождения субъектов с контролем неизменности объектов-источников, а также исключено существование потоков к От или Or стороны любого субъекта Sj от начала Stream (Sx, Ok)->Om до завершения Stream (Sx, Or)->Of, то МРЗФ вызывается корректно в течении всего времени активности КС.

Подробно рассмотрены случаи реализации составного потока при передаче и возврате параметров (в случае распределенной КС). Определены условия применимости приводимого утверждения для составного потока

Решаются также вопросы, связанные с проблемой универсальной реализации МРЗФ и наличием нескольких различных МРЗФ в КС. Определяются необходимые для корректной реализации МРЗФ структуры данных и форматы вызовов. Рассматриваются вопросы особенностей информационной технологии КС с МРЗФ - вводится

понятно мультисервиса логической защиты (при наличии нескольких МРЗФ) и логического шлюза.

Основным теоретическим результатом данной главы является вывод о принципиальной возможности обеспечения корректного взаимодействия с внешним субъектом (в рамках введенных понятий корректного использования) при условии генерации изолированной среды. Показано, что в совокупности с гарантиями проектирования МРЗФ изолирование программной среды обеспечивает корректное взаимодействие средств защиты МРЗФ с сервисами, реализованными в одном или нескольких МРЗФ. Важным выводом является и то, что в условиях потенциальной некорректности МРЗФ относительно произвольного использующего его субъекта условие генерации изолированной программной среды становится не только достаточным, но и необходимым.

Практическими результатами данной главы являются:

- выделение опасных ситуаций при передаче и возврате результата; формулирование способов корректного возврата результата в рамках принятой в настоящее время архитектуры внешних вызовов,

- описание структур данных и функций открытого интерфейса взаимодействия с МРЗФ,

- описание свойств субъекта, участвующего в составном потоке.

Результаты данной главы важны также в контексте общей задачи синтеза КС с гарантированными свойствами, среди которых обязательны условия корректности вызова некоторых функций (сервисов) и получения результата от них. Поскольку существенных ограничений на свойства вызываемого субъекта не наложено, то полученные результаты могут быть применены при рассмотрении произвольных сервисов КС.

В пятой главе изучаются проблемы, касающиеся зависимости свойств защищенности от распределенности КС. Теоретической базой для рассмотрения проблем НСД в распределенной КС служит уточненная в данной главе модель потоков. Основным отличием сформулированной модели является наличие удаленного субъекта X, управляемого злоумышленником. В рамках введенной модели рассмотрены два основных подхода к защите -

метод межсетевого экранирования (основной зарубежный подход) и предложен метод локальной защиты с коррекцией политики безопасности.

При рассмотрении метода локальной защиты показана несостоятельность политик безопасности, связанных с установлением прав доступа Т (право доступа понимается как возможность реализации потока некоторого класса, например, "запись") для пользователя Рп, а не субъекта, управляемого этим пользователем (Ьп(Т)-множество объектов, доступных пользователю Рп с правом доступа Т к объектам КС, Ох - ассоциированный объект X, Ok -ассоциированный объект локального субъекта Si, взаимодействующего с субъектом X, например, телекоммуникационного клиента).

В условиях действия политики безопасности с полным проецированием прав пользователя Рп на локальные объекты КС субъект X имеет доступ Т к любому объекту множества Ln(T) при условии существования потоков Stream (X,Ok)~>Ox и Stream(X,Ox)->Ok и доступности субъекта Si для пользователя Рп.

Предложена конструктивная коррекция ПБ, связанная с "расщеплением" прав доступа, т.е. установление прав относительно отдельного субъекта или групп субъектов.

Методика построения защиты в распределенной КС описана в данной главе последовательностью этапов синтеза.

1. формулируется политика безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов - чисто локальные и телекоммуникационные и установить раздельные прав для этих групп),

2. относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов),

3. реализуется МБО, выполняющий указанную политику безопасности,

4. субъекты локального сегмента КС замыкаются в изолированную программную среду с контролем целостности объектов-источников.

Подчеркнута роль изолированной среды при обеспечении локальной защиты, поскольку с целью

достижения злоумышленных целей субъектом X возможно порождение в рамках локального сегмента новых субъектов (например, через механизм удаленного вызова), либо методами ОНСД (внедрение РПВ)

Метод межсетевого экранирования уточняет модель потоков в распределенной системе, рассматривая иерархическую декомпозицию объектов (декомпозицию на подобъекты (пакеты) при межсетевом взаимодействии). Предполагается также наличии фильтрующего подобъекты субъекта БГ (межсетевой экран, МЭ).

Введено понятие гарантированной изоляции как переформулирование свойств МБО для МЭ в случае декомпозиции объектов КС на подобъекты. Сформулировано и доказано необходимое условие гарантированной изоляции (обозначение: О; - объект доступа).

Для того чтобы фильтр Б/ был гарантировано изолирующим, необходимо обеспечить существование потока между БПеат(Б/)О/)- >0е, где Ое - ассоциированный объект Б/, служащий для сравнения с восстановленным из последовательности подобъектов, и выполнить условие тождественности Ое и О/.

Метод межсетевого экранирования дополнен рядом решений с учетом доказанных утверждений. Показана эквивалентность изолированной программной среды и метода фильтрации последовательности пакетов по признаку порождения неким субъектом (сервисом) для локального сегмента КС.

Исходя из свойств сформулированной модели межсетевого взаимодействия, коррекций ПБ в распределенной системе и понятий гарантированной изоляции предложена классификация программно-технических решений межсетевого взаимодействия (введено 5 классов по принципу плавного роста затрат на реализацию технических решений - при переходе от класса к классу в 2-2.5 раза). Классификация рассматривает не только свойства МЭ, но и свойства взаимодействующих КС.

Основные теоретические результаты данной главы:

- формулирование модели распределенной системы на базе уточнения субъекгно-ориентированной модели КС,

- доказательство несостоятельности класса политик безопасности с полным проецированием прав пользователя на все доступные ему субъекты,

- формулирование понятий корректной фильтрации и ее условий, доказательство функционального тождества изолированной программной среды для локального сегмента КС и фильтра приложений (фильтра прикладного уровня,

формулирование метода расщепления прав пользователя и синтеза комплексной защиты на базе экрана и локальной защиты.

Основными практическими результатами данной главы являются:

- анализ существующих решений по межсетевому экранированию,

- классификация средств межсетевого взаимодействия с указанием необходимых свойств программно-технического решения.

Проведенные, исследования могут служить основой как для синтеза комплекса программно-технической защиты при межсетевом взаимодействии, так и для анализа (классификаций) уже существующих технических решений в данной области.

Шестая глава посвящена исследованию вопросов управления защитой от НСД в КС.

Проблема управления безопасностью является малоизученным вопросом, однако статистика нарушений в области защиты утверждает, что до 40% нарушений защищенности от НСД приходится на просчеты в управлении. В связи с этим проблема управления представляется весьма важной. Предлагается и в этой части придерживаться методологии достаточных условий и рассматривать вопросы управления в общем контексте предлагаемых методов, связанных с генерацией изолированной программной среды.

Вводится понятие корректного управления

КС называется корректно управляемой, если поток к объекту управления (ОУ) существует только для субъекта управления.

Формулируются достаточные условия корректного управления.

Если в КС поддерживается изолированная программная среда с контролем неизменности объектов-источников и существует МБО, который разрешает доступ на запись к ОУ только управляющему субъекту, то с момента активизации ИБО управление в КС корректно.

Формулируется и доказывается еще одно весьма важное утверждение, описывающее условия нарушения изолированности.

При существовании изолированной программной среды с контролем неизменности объектов-источников и наличии корректного управления, нарушение изолированности (как возможность инициирования произвольного субъекта) возможно только при включении в ОУ МБС объекта-источника, порождающего указанный субъект.

Смысл данного утверждения состоит в том, что условия нарушения корректности управления в изолированной среде не связаны с ее свойствами, но зависят только от правильности действий администратора (что позволяет точно разграничить ответственность при нарушении).

В данной главе рассмотрены также особенности управления при распределенности КС; описаны различные ситуации локализации объектов и субъектов управления, а также случай распределенного объекта управления. Для всех конфигураций определены свойства ОУ и описаны свойства КС для реализации той или иной модели управления. Описан также метод управления изолированной средой в сложных программных комплексах (метод мягкого администрирования) и изучены его свойства.

Основным теоретическим результатом данной главы является доказательство утверждения, что условия гарантий ПБ и условия корректного управления как достаточные условия совпадают при доверии к администратору. Этот вывод представляется весьма важным для синтеза защищенных систем - если придерживаться методологии достаточных условий при реализации заданной ПБ в КС, применяя для этого генерацию изолированной программной среды, то корректное управление будет автоматически обеспечиваться.

Основной практический вывод состоит в том, что возможно _ описать метод формирования объектов управления, с одной стороны учитывающий распределенность системы и ставящий целью централизованное управление с рабочего места администратора, а с другой - удовлетворяющий условиям корректности управления и в ряде случаев корректности управления в строгом смысле (без нарушения изолированности).

Изложенный в данной главе материал представляется весьма важным как для синтеза программно-технических решений по управлению защитой, так и с методологической точки зрения для организации эксплуатации с соблюдением реализованной в МБО политики безопасности.

В заключении описана методология синтеза гарантировано защищенной КС, учитывающая результаты всех глав работы и показывающая место каждой главы в процессе синтеза. Подчеркнут вывод об универсальном характере метода' генерации изолированной программной среды как в процессе обеспечения гарантий ПБ и взаимодействия • с субъектами реализации внешних функций (МРЗФ), так и при организации управления защитой от НСД.

В приложениях приведены практические реализации предлагаемых в работе методов и алгоритмов для различных операционных сред (MS DOS, Windows 3.x, Windows NT). Приводятся копии документов об использовании результатов работы в практических системах.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИОННОЙ

РАБОТЫ.

Основным результатом работы является решение проблемы комплексного синтеза систем защиты распределенных КС от несанкционированного доступа и разработка единых методов обеспечения гарантий произвольной политики безопасности при эксплуатации и управлении защищаемой КС. Решение получено на основе исследования, обобщения и развития методов и моделей синтеза систем безопасности для широкого класса

гетерогенных компьютерных систем с территориально распределенной обработкой информации, имеющих субъектную и объектную иерархическую декомпозицию.

В процессе решения исследуемой проблемы в диссертационной работе получены значимые научные результаты, представляющие самостоятельную

практическую и теоретическую ценность для разработки методов синтеза систем безопасности в широком классе КС, а именно:

предложена субъектно-ориентированная модель безопасности компьютерной системы; уточнены основные термины и введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся безопасности КС.

- сформулирована методология достаточных условий выполнения произвольной политики безопасности, сформулированы и доказаны основные утверждения, описывающие гарантии выполнения произвольной политики безопасности.

- предложен синтетически конструктивный метод, описывающий гарантированное выполнение произвольной политики безопасности - метод генерации изолированной программной среды; описаны реализации основных компонент метода с учетом конкретной архитектуры КС.

- изучен вопрос сопряжения механизмов генерации изолированной программной среды со штатными средствами защиты операционных систем, описаны условия корректного взаимодействия модулей сопряжения и структуры данных, необходимые для сопряжения; предложен метод универсального сопряжения механизмов генерации изолированной программной среды с различными реализациями логической защиты.

уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность класса политик безопасности, связанных с полным проецированием прав пользователя на процессы; проведен анализ двух классов защит от несанкционированного доступа в распределенной системе: межсетевых экранов (МЭ) и локальной защиты; предложены критерии классификации механизмов межсетевой защиты.

- предложена модель управления безопасностью в распределенной КС; сформулировано понятие корректного управления и достаточные условия корректности управления.

Таким образом, полученные результаты являются решением крупной теоретико-прикладной проблемы комплексного синтеза гарантировано защищенных от НСД распределенных компьютерных систем, имеющей большое народнохозяйственное значение.

Основные результаты диссертации изложены в следующих работах.

1. А.Щербаков. Защита информации в ПЭВМ и сетях. М., СофтМаркет, 1991, с. 3-21.

2. А.Щербаков. Защита от копирования. Построение программных средств. М., Эдэль, 1992. - 80 с.

3. А.Щербаков. Разрушающие программные воздействия. М., Эдэль - Киев. Век. 1993. - 64 с.

4. Scherbakov A. Destructive Programm Influences. Trans. IBM (с). 1994. - 75.pp.

5. АЩербаков. Тенденции применения средств защиты информации в сфере информационного обеспечения банковской деятельности. //Сб. материалов конф. "Информационная безопасность". 1994, с.25-26.

6. А.Щербаков, ВЛевин, АКоршунков, ИЛобзин, В.Маркелов. Исследование и разработка принципов построения программных и программно-аппаратных методов защиты информации в вычислительных системах от НСД и разрушающих воздействий. М., Сб. трудов АК РФ, 1994. - 163 с.

7. АЩербаков, ВЛевин, АКоршунков, ИЛобзин, В.Маркелов, А. Белобородое. Разработка концепции защиты автоматизированных систем обработки информации от НСД и вирусных воздействий. М., Сб. трудов АК РФ, 1994. - 67 с.

8. АЩербаков, ВЛевин, АКоршунков, ИЛобзин, В.Маркелов, А. Белобородое. Анализ и классификация угроз безопасности и соответствующих им задач защиты от НСД и воздействия вирусов. М., Сб. трудов АК РФ, 1994. - 65 с.

9. А.Щербаков. Информационное оружие - новая угроза компьютерным системам. //Банк, № 1, 1995, с. 23-29.

10. А.Щербаков. Компьютерам снова угрожают. //Частный сыск, охрана, безопасность. № 1. 1995, с.72-79.

11. А.Щербаков. Нетрадиционные методы проникновения к информации в компьютерных системах. //Безопасность, достоверность, информация. 1995. № 1 -с.24-27, № 2 - с.27-30.

12. А. Петров, А.Щербаков, Разработка методик защиты с использованием штатных средств и порядок их настройки для ОС Windows NT, Novell, Windows 95. Отчет AK РФ, 1996 - 71 с.

13. А.Щербаков. Проблема защиты от программных закладок в банковских информационных системах. //Сб. материалов семинара "Банковская безопасность и компьютерные мошенничества". АРБ. 1996, с. 9-11.

14. А.Щербаков. К вопросу о сопряжения сетей с различным уровнем конфиденциальности информации. //Материалы первой .межведомственной конференции "Научно-техническое и информационное обеспечение деятельности спецслужб". Ч. 1, том 1, 1996, с. 373.

15. А.Щербаков. Анализ проблемы защиты от несанкционированного доступа в автоматизированных системах обеспечения безналичных платежей с применением пластиковых карточек. //Сб. материалов семинара "Безопасность электронных документов и пластиковых карточек". НТЦ АРБ. 1996, с. 16-17,

16. А.Щербаков. Принципы и предложения по криптографической защите информации на прикладном уровне. М.: Сб. трудов АК РФ "Защита сетевых и информационных ресурсов ИТКС", Кн. VI, ч.1. 1996, с.43-53.

17. И.Прокофьев, А.Щербаков. Разработка системы защиты информации от НСД в ЛВС вуза. М., МГИЭМ, 1996 - 57 с.

18. И.Прокофьев, А.Щербаков. Разработка комплекта учебно-методических и научных материалов и технических средств обучения по проблеме защиты информации. М., МГИЭМ, 1996 - 90 с.

19. А.Щербаков. Вопросы построения систем защиты информации в ЛВС с использованием программно-аппаратных комплексов. М., Сб. трудов АК РФ "Защита

сетевых и информационных ресурсов ИТКС", Кн. VI, ч.1.

1996, с. 123-167.

20. А.Щербаков. Защита персональной и корпоративной информации в сети Internet: проблемы и решения. //Сб. тезисов семинара "Интернет и безопасность банков". НТЦ АРБ. 1996, с. 11-12.

21. А.Щербаков. К вопросу о гарантированной реализации политики безопасности в компьютерной системе. //Безопасность информационных технологий. № 1, 1997, с. 15-25.

22. А.Щербаков. Практические методы опосредованного НСД с современных операционных системах. //Сб. тезисов научно-практического семинара "Практические вопросы информационной безопасности". НТЦ АРБ, 1997, с. 13-14.

23. А. Щербаков. Анализ методов организации безопасного межсетевого взаимодействия. //Безопасность информационных технологий. № 1, 1997, с.45-54.

24. А. Щербаков. Безопасность при использовании ресурсов сети Internet - необходимое условие интеграции в информационные технологии постиндустриального общества. //Материалы , Всероссийской научно-практической конференции "Россия: государство, общество, личность". М., 1997, с. 39-43.

25. А.Шеин, ВЛыков, В.Харламов, Г.Фоменков, В.Галатенко, С.Рябко, А.Штепа, А.Любимов, А.Ивашко, А. Щербаков. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (проект). М., ГТК РФ, ФАПСИ,

1997. - 14 с.

26. А-Петров, С.Расторгуев, Д.Правиков, А.Белобородов, А.Щербаков. Исследование и разработка средств контроля операционных сред абонентских пунктов ИТКС с целью защиты от несанкционированного уничтожения данных. М., Сб. трудов АК РФ "Защита сетевых и информационных ресурсов ИТКС", Кн. IV, 1996. - 217 с.