автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.18, диссертация на тему:Разработка и реализация математических моделей защищенности в рабочих группах и доменах Windows

На правах рукописи

Коньков Александр Константинович

РАЗРАБОТКА И РЕАЛИЗАЦИЯ МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ ЗАЩИЩЕННОСТИ В РАБОЧИХ ГРУППАХ И ДОМЕНАХ WINDOWS

Специальность 05.13.18 - математическое моделирование, численные методы и комплексы программ

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва - 2006

Работа выполнена на кафедре информатики Московского физико-технического института (государственного университета)

Научный руководитель:

кандидат физико-математических наук Кадощук Игорь Тарасович

Официальные оппоненты:

доктор физико-математических наук, профессор Грушо Александр Александрович

кандидат технических наук Шумов Сергей Иванович

Ведущая организация:

Институт автоматизации проектирования РАН

Защита состоится " 2 2 " С^М&УьЯ 2006 г. в 9 час. 00 мин. на заседании диссертах^оншш совета К 212.156.02 при Московском физико -техническом институте (государственном университете) по адресу: 141700, Московская обл., г. Долгопрудный, Институтский пер., 9, ауд. 903 КПМ.

С диссертацией можно ознакомиться в библиотеке МФТИ

Автореферат разослан " *20 " _2006 г.

Ученый секретарь диссертационного совета К 212.156.02

Федько О.С.

Общая характеристика работы

Актуальность проблемы

Важность решения проблемы защиты информации является общепризнанной, подтверждением чему служат громкие процессы о нарушении целостности систем. Убытки, которые несут компании из-за нарушений информационной безопасности, исчисляются триллионами долларов. Вместе с тем, динамика статистики нарушений свидетельствует о наличии кризиса в данной области, . который во. многом обусловлен недостатками проектирования и эксплуатации средств защиты. Большинство операционных систем, используемых в вычислительных системах в настоящее время, обладают встроенными механизмами защиты, однако обеспечить полную защиту от несанкционированного доступа (НСД) они не могут. Для преодоления кризиса разработчики систем защиты должны обеспечить потребителя определенными гарантиями того, что в предлагаемые решения обладают требуемыми свойствами.

Цель исследований

Целью данной работы является разработка и реализация математических моделей защищенности в операционных системах Microsoft (составляющих около 80% информационных систем в мире), предотвращающих появление широкого класса уязвимостей: нарушения конфиденциальности, целостности и доступности информации при ее обработке, хранении и передаче, нарушения целостности операционной системы.

В соответствии с поставленной целью основными задачами являются:

1. Исследование существующих подходов и моделей защищенности в ОС Windows и их применимости на практике.

2. Анализ защитных средств, применяемых в информационных системах под управлением ОС Windows, с использованием субъектно-объектной модели.

3. Разработка математических моделей и комплексов программ, реализующих механизмы добавочной защиты в ОС Windows и обоснование их корректности.

Методы исследований

Для решения поставленных задач применялись методы теории вероятностей, случайных процессов, теории массового обслуживания, формальные модели систем информационной безопасности, теория. •, ■ . криптографии, математическое моделирование, руководящие документы ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю), стандарт ГОСТ 15408.

Научная новизна

Построенная математическая модель изолированной компьютерной системы позволяет формально обосновать защищенность системы от угроз конфиденциальности, целостности и доступности информации при ее хранении и обработке.

Предложенный метод доверенной загрузки операционной системы позволяет гарантировать изолированность программной среды не только в процессе ее работы, но и на стадии генерации. Реализация разработанных моделей не нарушает производительности информационной системы. Это обосновано с помощью теории случайных процессов и моделей массового обслуживания и подтверждено результатами численных экспериментов.

На основании математических моделей, а также с помощью активного исследования информационной системы в соответствии со стандартом ГОСТ 15408 доказана корректность предложенной схемы защиты.

Практическая значимость

Предложенные в диссертационной работе модели реализованы в комплексных системах защиты информации StrongDisk Server, StrongDisk Pro, StrongNet, StrongBoot, которые были внедрены в ряде федеральных и коммерческих структур.

Положения, выносимые на защиту

Математические модели управления доступом к ресурсам вычислительной системы с использованием криптографических преобразований информации.

Реализация предложенных моделей в виде комплексов программ в среде ОС Windows.

Доказательство корректности реализации предложенных механизмов защиты информационных систем.

Апробация работы

Научные и практические результаты диссертации доложены, обсуждены и получили одобрение специалистов на:

- XLVI, XLVII »XLVIII научных конференциях МФТИ (Москва, 20032006 г.г.);

Всероссийской научно-практической конференции «Методы и средства защиты конфиденциальной информации» (Обнинск, 2004 г); - научных семинарах кафедры информатики МФТИ.

Публикации

По теме диссертации опубликовано 8 работ, в том числе три - из списка изданий, рекомендованных ВАК РФ.

Структура работы

Основной текст диссертационной работы изложен на 116 страницах, состоит из введения, пяти глав, заключения и списка использованных источников, включающего 60 наименований. Работа также содержит одно приложение.

Содержание работы

Во введении обосновывается актуальность темы, формулируется цель исследования и определяются основные задачи.

В первой главе содержится обзор основных стандартов и моделей, применяющихся для защиты информации. Рассматриваются основные угрозы защищенности информационных систем (ИС) и способы противодействия этим угрозам.

При обосновании защищенности ИС принято использовать формальные модели. В работе используются следующие из них:

субъектно-объекгная модель. Для построения формальных моделей безопасности принято представлять ИС в виде совокупности взаимодействующих сущностей — субъектов и объектов. Субъект безопасности - активная системная составляющая системы, а объект -пассивная. Примерами субъектов могут служить пользователи, процессы и потоки, а объектов — файлы и устройства, дискреционная и ролевая модели контроля управления доступом.

Применение формальных моделей не позволяет строго обосновать защищенность ИС для ряда наиболее интересных случаев, поэтому стандарт ISO 15408 (в России ему соответствует ГОСТ 15408) предписывает также обосновывать защищенность ИС путем активного исследования системы.

Вторая глава посвящена разработке модели ИС, включающей штатную систему защиты ОС Windows для изолированного компьютера и ряд дополнительных защитных средств. Кроме того, в главе обосновывается гарантированность защищенности рассматриваемой ИС.

В разделе 2.1 описывается стандартная система защиты ОС Windows, которая, в основном, совпадает с требованиями уровня С2 «Оранжевой книги» - наиболее известного из документов, регламентирующих основные подходы в области защиты информации. В системе реализованы идентификация и аутентификация пользователей, дискреционное управление доступом, защита объектов от повторного использования, защита системы от внешнего навязывания. При этом система защиты Windows не избавлена от некоторых недостатков, описанных в разделе 2.3:

незащищенность системы от пользователя, обладающего административными правами: администратор может устанавливать любые права на доступ к любым объектам в системе, незащищенность системы от злоумышленника, имеющего физический доступ к компьютеру: он может изъять жесткий диск с информацией и организовать к нему доступ на другом компьютере, где он будет являться администратором

уязвимость базы SAM (Security Access Manager), связанная с возможностью подмены хэш-кода пользовательского пароля на хэш-код от другого пароля, известного злоумышленнику недостаточно надежное удаление файлов: информация уничтожается (частично или полностью), только когда система записывает на место удаленного файла другой файл, что может произойти нескоро.

В разделе 2.4 предложено решение, устраняющее эти недостатки.

Для идентификации ОС Windows с усиленной защитой вводится термин модифицированная защищенная среда (МЗС), которая состоит из системы безопасности собственно ОС Windows и ряда аддитивных добавок. В основе создания МЗС лежит система прозрачного шифрования данных. В процессе работы МЗС на файловых системах FAT16/32 и NTFS могут быть созданы виртуальные шифрованные логические диски, доступ к которым защищён паролем. Защищенный диск, созданный с помощью МЗС, физически представляет собой обыкновенный файл. Драйверы, которые входят в состав МЗС, позволяют операционной системе работать с таким файлом (он называется файлом-образом диска или файлом-контейнером) как с отдельным логическим диском. В процессе записи на защищенный диск данные шифруются, а в процессе чтения расшифровываются соответственно.

Предлагается следующая политика безопасности ПБ1:

1. В каждый момент только один пользователь может работать с системой.

2. Объекты общего доступа хранятся только на системном диске, имеющем небольшой размер, необходимый только для функционирования операционной системы.

3. Каждый пользователь держит свои данные на своем защищенном диске, необходимой информацией для подключения которого обладает только он сам.

4. При смене пользователей системы уходящий пользователь:

,, • выключает питание системы, после чего все содержимое оперативной памяти стирается, остаются записи на жестком диске, где хранятся объекты общего доступа. • уничтожает файл подкачки, который может содержать часть персональных данных пользователя

5. Новый пользователь организует свою работу с включения системы и подключения своего персонального защищенного диска.

Принципиальное отличие ПБ1 от штатной системы защиты Windows следующее: пользователь, обладающий административными правами в системе, не сможет, тем не менее, получить доступ к файлам других пользователей системы.

В разделе 2.5 исследуется вопрос гарантированности выполнения предложенной схемы защиты.

Для этого надо:

во-первых, убедиться, что система обладает заданной . .

функциональностью — обеспечивает конфиденциальность данных, невозможность повторного использования объектов и другие требования;

во-вторых, удостовериться, что сами защитные механизмы реализованы корректно и их применений не может торпедировать работу системы

Для доказательства обеспечения необходимой функциональности используются следующие понятия:

Время дискретно и принимает значения из множества N={1,2,...}. Вводятся:

Ot - множество объектов системы в момент времени t;

St — множество субъектов системы в момент времени t, St CI Ot:

U — множество пользователей;

Si—>а S2 — процедура активизации субъектом Si субъекта S2; Пользователи считаются активизированными по определению и могут активизировать другие субъекты.

R — множество всех видов доступов в системе.

Множество доступов р активизированного субъекта 8 к объекту О обозначается как Б —>рО, р С! К.

Последовательность доступов Б —>а 81 —>а 82 —>а ••• О

называется доступом от имени субъекта Б к объекту О: Б —>р О. Любое обращение за доступом к объекту О субъектом Б начинается с запроса

на доступ 8—>р?0.

0^8)= { О | 8 —> *0 в момент времени t} - множество объектов, к которым субъект Б имеет доступ в момент времени и тогда в системе определены множества 0(1^) для любого I е N Б —О; 0(1^) —общие рёсурсы системы,

О (и,) — множество объектов в системе, которые породил пользователь Каналы утечки информации возникают при доступах вида

Политика безопасности заключается в том, что если Б—>р?0, то при

8,0 е Ог(Ц) доступ 8—>рО разрешается, а если 8

<Е 0^0, 0 е.ОгСЦ), И, то доступ 8-»рОне (*>

разрешается. - -г.^.

Делаются следующие предположения:

1. Если субъект 8 активизирован в момент £ то существует единственный активизированный субъект 8" в 8ь который

активизировал 8. В момент * = 0 активизированы только пользователи.

2. Функционирование системы описывается последовательностью доступов множеств субъектов к множествам объектов в каждый момент времени

г е N.

3. Если О £ Дто доступы О;—>Р1 *6, Ц}—>Р2 *0, Ь^, не могут

создать канал утечки при любых Р| и Р2, т.е. ценная информация не может быть отражена в общих ресурсах системы.

4. Если некоторый субъект 8, 8 е О, активизирован от имени пользователя Ц^ в свою очередь субъекту 8 предоставлен в момент I доступ к объекту О, то либо О 6 Р, либо О 6 0( (Х1;).

Кроме того, необходимо обеспечить выполнение (1). Для этого предлагаются следующие условия:

1. Идентификация и аутентификация: если для любых teN, рс R, S,Oe Ot, S—>р?*0, то вычислены функции принадлежности S и О к множествам Ot (U) ), Ot (U2 ), D.

2. Управление доступом: если S G Ot(Uj), О G Ot(Uj), и S —>р? О в момент t, то из i=j следует, что доступ S —> р О разрешен, и из i^j следует, что доступ S —> р О не разрешен.

3. Отсутствие путей, позволяющих обойти (1): для любых t G N, р СГ R, если субъект S, активизированный к моменту t, получил в момент t доступ S —> р О, то в момент t поступил запрос на доступ S —> р? О.

В работе [*] были доказаны две теоремы:

1. Если в системе выполняются предположения 1 -4 и доступы осуществляются в соответствии с (1), то утечка информации невозможна.

2. Выполнения предложений 1-4 и условий 1-3 достаточно для выполнения (1).

Покажем, что данные условия и предположения реализуются в ПБ1. Выполнение предположения 2 достаточно легко осуществимо: для его выполнения достаточно, чтобы возможные вычислительные,, процессы однозначно отражались в терминах последовательностей; доступов ¡и ¿значений

функций принадлежности объектов к множествам Ot(Uj), D. : Выполнение предположения 3 обеспечивается в МЗС с помощью уничтожение файла , подкачки при завершении сеанса пользователя и возможности хранениявсех временньсх файлов приложений на зашифрованных дисках. , s ' . 1

Предположение 4 выполняется, поскольку система контроля доступа реализуется за счет шифрования — невозможно прочитать информацию с защищенного диска, не обладая необходимым ключом шифрования. Каждый пользователь обладает только своим собственным ключом и, таким образом,

может получить доступ только к своим данным, зашифрованным именно этим ключом.

Наибольшую трудность вызывает выполнение на архитектуре Microsoft предположения 1 ввиду наличия в системе в системе различных служб

'> Тимонина Е. Е. «Анализ угроз скрытых каналов и метода построения гарантированно защищенных распределенных автоматизированных систем.» Диссертация на соискание ученой степени доктора технических наук.

уровня пользователя и ядра операционной системы, запускаемых еще до регистрации пользователя, поэтому было бы неправильно говорить, что в момент времени t=0 активизированы только пользователи. С другой стороны, любая служба в системе все равно запускается от имени какого-либо пользователя. Предполагается наличие у пользователей системы административных прав (иначе с защитой данных успешно справляется штатная система защиты Windows). Поэтому предположим, что пользователь может «отсечь» все службы, запускаемые не от его имени и не от имени LOCALSYSTEM, и предположение 1, пусть с некоторой натяжкой, но выполняется.

Данная архитектура позволяет добиться также выполнения условий 1-3, правда, при невозможности физического проникновения и модификации системы.

Далее проводится исследование получившейся среды с целью обоснования корректности реализации МЗС. Показывается, что реализация МЗС не нарушает изолированности программной среды, а это является одним из необходимых условий при обосновании гарантированности выполнения политики безопасности. Если верить описанию системы, то можно видеть, что совокупность субъектов, функционирующих в составе МЗС, является достаточно автономной и не затрагивает ключевых компонентов ОС Windows. Каждый компонент изолирован и действует в своем виртуальном адресном пространстве. Правильное взаимодействие внутренних модулей системы защиты между собой обеспечивается правильной технологией разработки, специфицированием всех функций и интерфейсов, а также активизацией субъектов только из числа проверенных с контролем целостности этих субъектов. Все это должно свидетельствовать в пользу существования ядра безопасности. Особенно важным является то, что отсутствует какое-либо влияние на монитор безопасности, что является залогом правильной работы системы контроля дискреционного доступа. Для большинства пользователей схема доступа осталась неизменной.

При обосновании выполнения предложенной схемы защиты были сделаны важные допущения; (

1. Невозможность злоумышленником модификации системы.

2. Во время работы пользователя все субъекты активизированы только от его имени.

Эти предположения, це всегда , справедливы, если у злоумышленника предполагается наличие административных прав. Даже администратор системы не сможет гарантированно обнаружить службы уровня ядра ОС, установленные другим администратором (а получить администраторские права несложно в любой версии Windows). А это означает, что

злоумышленник может установить службу уровня ядра ОС, которая скопирует данные с защищенного диска другого пользователя в некоторые объекты общего доступа, тем самым образуя канал утечки информации (фактически, используя известную уязвимость дискреционной модели к атакам с помощью «троянского коня»). Тем самым будет нарушено условие 2:

Б е О^Ц), О е Ог(Ц), и Б ->рО, но при этом Ь-у.

Другими словами, важно обеспечить изолированность программной среды не только в стационарном состоянии, но и на этапе ее генерации (загрузки).

Поэтому в третьей главе рассматриваются средства, позволяющие противодействовать таким угрозам, и предлагается их реализация. Другими словами, важно обеспечить изолированность программной среды не только в стационарном состоянии, но и на этапе ее генерации (загрузки).

Процедура загрузки ОС называется доверенной, если:

- установлена неизменность компонент ОС (объектов), участвующих в загрузке, причем неизменность установлена; до порождения первого субъекта из множества активируемых в процессе загрузки

- установлена неизменность объектов, определяющих последовательность активизации компонент ОС (с учетом нескольких уровней иерархии), неизменность обеспечена в течение; заданного интервала времени; состояние указанных объектов не может быть изменено никем, кроме предопределенного пользователя (пользователей) КС

С учетом этого появляется еще одно добавление к ПБ1, а именно, необходимость обеспечения доверенной загрузки ОС.

В настоящей работе предложен механизм доверенной загрузки ОС, основанный на шифровании загрузочного раздела жесткого диска. Защиту системы в загруженном состоянии обеспечивает драйвер-фильтр дисковой системы. Драйвер при появлении в системе нового тома встраивается в создаваемый ОС стек драйверов и имеет возможность полностью контролировать все запросы ОС к тому, выполняя операции шифрования/дешифрования над секторами жесткого диска. На этапе загрузки вместо стандартного загрузочного кода из МЕЖ запускается загрузочный код МЗС, который также находится в МВЯ. Помимо загрузчика в МВЯ находится база данных загрузчика, содержащая информацию о загрузочном и системном диске (ключ шифрования, интервалы зашифрованных секторов) и зашифрованная мастер-ключом. Загрузчик 'МЗС запрашивает у пользователя пароль (который мо^ет быть комбинацией пароля, вводимого с клавиатуры и кода, содержащегося на электронном идентификаторе), вычисляет на основе данного пароля мастер-ключ и пытается расшифровать РгеЬоо1 БД. Поскольку системный диск,

вместе с файлами Ntldr и Ntoskernel.exe, зашифрован, загрузить систему, не расшифровав их, не получится. Поэтому загрузчик МЗС устанавливает свой собственный обработчик прерывания intl3h (BIOS disk i/o), и этот обработчик позволяет выполнять все запросы к секторам жесткого диска точно так же, как если бы они были не зашифрованы до тех пор, пока не будет загружен драйвер-фильтр дисковой системы, который уже обеспечивает аналогичную функциональность в работающей системе Windows.

Далее управление передается штатному загрузочному коду из MBR, который начинает процесс загрузки ОС как было описано выше.

В разделе 3.2 главы рассматривается штатная загрузка ОС Windows.

В разделе 3.3 формулируется ПБ с учетом требования обеспечения доверенной загрузки системы.

Учитывая, что на одном компьютере может работать несколько пользователей, условия ее выполнения принимают следующий вид:

1. В каждый момент только один пользователь может работать с системой.

2. Объекты общего доступа отсутствуют - у каждого пользователя свой собственный системный диск с установленной ОС, на нем же он держит свои конфиденциальные данные. Диск зашифрован ключом К, доступным только данному пользователю.

3. При смене пользователей системы уходящий пользователь:

• записывает во внешнюю память все объекты, которые он

хочет сохранить для дальнейших сеансов;

• выключает питание системы, после чего все содержимое оперативной памяти стирается, остаются записи на жестком диске

4. Новый пользователь организует свою работу с включения компьютера, ввода своей персональной аутентифицирующей информации и загрузки своего собственного образа системы.

В разделе 3.4 описана реализованная схема доверенной загрузки, возможность которой обоснована в работе [**]. ; .

Щербаков A.IO. Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системах на основе создания изолированной программной среды. - Диссертация на соискание ученой степени доктора технических наук.

Введем следующие обозначения:

базовая ОС - ОС, для которой возможна полноценная генерация изолированной программной среды (ИПС)

пользовательская ОС — ОС, для которой необходимо обеспечить доверенную загрузку)

шлюзовое ПО — ПО, позволяющее базовой ОС получить доступ к файловой системе пользовательской ОС.

Установлено, что для генерации ИПС необходимо выполнить следующие операции:

1. Осуществить аутентификацию пользователя (по его индивидуальной информации),

2. Осуществить контроль целостности всех объектов базовой ОС,

3. Загрузить базовую ОС и осуществить контроль целостности шлюзового ПО.

4. Загрузить шлюзовое ПО.

5. Последовательно осуществить контроль целостности объектов уровней, меньших максимального уровня представления объектов в пользовательской ОС (файлов), целостности файлов пользовательской ОС, целостности объекта, задающего последовательность загрузки компонент.

6. Осуществить принудительную загрузку (инициируется предопределенный порядок загрузки компонент ОС) проверенной на целостность пользовательской ОС.

Далее было доказано следующее утверждение (условия генерации ИПС при реализации метода доверенной загрузки):

Пусть ядро ОС содержит монитор безопасности объектов (МБО) и монитор безопасности субъектов (МБС), инициируемые в ОС субъекты попарно корректны и их объекты-источники принадлежат множеству проверяемых на неизменность в ходе доверенной загрузки, МБО запрещает изменение любого объекта-источника и выполнена процедура доверенной загрузки ОС, тогда после инициирования ядра ОС генерируется ИПС.

Покажем, что пункты 1-6 выполняются для МЗС:

1. Аутентификация пользователя, очевидно, происходит — если с

помощью введенного им пароля не удается расшифровать базу данных ргеЬоо^ ему сразу же выдается сообщение о неправильно введенном пароле и процесс загрузки дальше не идет.

2. Целостность полностью не гарантирована. Например, существует теоретическая возможность перезаписи BIOS злоумышленником с целью подмены диалога для ввода аутентифицирующих данных с последующим их сохранением где-то еще. Однако надо заметить, что такую атаку может осуществить только разработчик материнской платы (а предлагаемая схема защиты разрабатывалась в предположении о «дружественном» аппаратном обеспечении). Так что, разумеется, защищенность ИС носит вероятностный характер, но вероятность успешной атаки на этом этапе невелика.

3. В качестве «шлюзового» ПО выступает обработчик прерывания intl3h, устанавливаемый загрузчиком МЗС. Целостность самого загрузчика можно гарантировать с высокой долей вероятности (см. пункт 2).

Выполнение пунктов 5-6 обеспечиваются тем фактом, что раздел зашифрован. Если система загружается — значит, на любом уровне представления объекты удается расшифровать, что может сделать только легальный пользователь, обладающий необходимыми ключами. Другое дело, что у злоумышленника остается возможность просто затереть MBR, не позволив тем самым загрузить систему даже при наличии ключей. Однако в МЗС предусмотрена возможность создания резервной копии MBR на внешнем носителе с целью последующего восстановления на жесткий диск.

В четвертой главе рассматривается модель вычислительной среды, состоящей из компьютеров под управлением ОС Windows, объединенных в сеть. Предполагается, что есть некоторый компьютер — сервер и есть клиенты, которые работают как со своими локальными данными, так и с данными на сервере. Сеть может состоять из одной или нескольких подсетей, включать устройства типа switch ' или hub. Также предполагается, что в сети нет контроллера домена.

В разделе 4.2 рассматривается штатная система защиты, реализованная Microsoft для,,рабочей группы, которая практически не отличается от системы защиты локального компьютера с той разницей, что доступ к файлам на сервере может осуществляться удаленно.

" г

В разделе 4.3 рассматриваются недостатки штатной системы защиты в рабочих труппах Microsoft и связанные с этим угрозы защищенности системы,,-,

' 'lib*

В разделе 4.4 главы предлагается ПБ, усиливающая штатную систему защиты Microsoft для рабочей группы и ее реализация.

По сравнению с защитой информации на изолированном компьютере появляются добавления, связанные с тем, что работа с защищенными данными на сервере ведется, как правило, по сети: при установлении соединения сервер и клиент должны проходить взаимную аутентификацию и само соединение должно быть защищенным (должна обеспечиваться конфиденциальность и целостность передаваемых, данных). Кроме того, в МЗС должны присутствовать механизмы, препятствующие атакам типа «отказ в обслуживании» (должны присутствовать возможности блокировки пакетов, приходящих с «нежелательных» IP-адресов, закрытия определенных портов и протоколов).

Как и в случае с изолированным компьютером в основе создания МЗС лежит система «прозрачного» шифрования данных, но защита данных, обеспечивается как при их хранении и обработке на серверах и рабочих станциях, так и при передаче по сети.

Помимо технических мер ; могут также предусматриваться административные меры, поэтому сервер чаще всего располагается в отдельном помещении, доступ в которое может быть ограничен. Поэтому подключение защищенного диска на сервере может выполняться как непосредственно с консоли сервера, так и с удаленного компьютера (управляющей станции), имеющего TCP-соединение с сервером.

Для получения удаленного доступа к защищенному диску необходимо установить с сервером защищенное соединение с помощью специального ключа. Все пакеты, пришедшие на сервер не по защищенному соединению, игнорируются. После установки защищенного соединения обеспечивается конфиденциальность и целостность передаваемых между клиентом и сервером данных путем симметричного шифрования.

Предложенная схема должна усилить защищенность ОС Windows и реализовать предложенную систему защиты. Данный тезис, как это рекомендовано в стандарте ГОСТ 15408, обосновывается в пятом разделе главы путем активного исследования получившейся среды, поскольку, как было сказано выше, это невозможно сделать формально. В основе исследования анализ получившихся подсистем идентификации, аутентификации и авторизации, [ а также реализации и корректного использования субъектов-компонентов программы со стороны вызывающих их модулей и их сопряжения со штатными средствами защиты ОС Windows.

Очевидно, что введение новых защитных средств не должно провоцировать генерацию отказов в обслуживании в случае большой загруженности файловой подсистемы.

В пятой главе проводится оценка влияния дополнительных средств контроля доступа на скорость выполнения файловых операций. С этой целью необходимо строятся математические модели функционирования стандартной системы работы с диском и аналогичной системы с дополнительными средствами защиты.

Общепринятой моделью анализа производительности дисковой подсистемы является вариант модели массового обслуживания с одной обслуживающей единицей. Согласно этой модели существует входной пуассоновский поток запросов (в данном случае запросов к секторам диска) с интенсивностью X. В этом случае вероятность поступления п запросов за произвольный интервал времени / равна

еп(ХХ)п/п\ (п = 0,1,2,...),

а ожидаемый интервал (математическое ожидание) между запросами Т равен

Т = 1/?..

Запросы обслуживаются с интенсивностью причем время

обслуживания также полагается случайным, распределенным по пуассоновскому закону. В частности, вероятность того, что система сможет обслужить запрос в течение времени * равна

Р= 1-е^.

Соответственно, ожидаемое время обслуживания одного запроса г равно

X =1/ц.

Важную роль в системе играет приведенная интенсивность и: и = ЯУр., которая характеризует возможности системы по эффективному обслуживанию требований. Если и меньше 1, то среднее время пребывания запроса в системе обслуживания равно

Если же и больше 1, то система не будет справляться со своевременным обслуживанием запросов, очередь которых начнет быстро расти.

Реальную производительность дисковой системы можно оценить, анализируя ее поведение при обработке больших потоков информации.

Поэтому будем предполагать, что большая часть запросов на чтение и запись файлов не может быть удовлетворена из кэша системы.

Сначала рассмотрим производительность штатной файловой ЫТРБ системы.

Рис.1. Обработка запросов на запись: а) стандартная б) с использованием криптографии

Стандартный запрос на чтение-запись (рис.1-а) файла переадресуется драйверу файловой системы (РБО). РББ формирует поток запросов к драйверу диска. Запрос к драйверу диска представляет собой непрерывную последовательность от 1 до 128 соседних секторов диска.

Таким образом, обычная деятельность системы ввода-вывода в данном случае складывается из формирования запросов (ШР-пакетов) к драйверу диска драйвером файловой системы с интенсивностью Л] и операции -обслуживания этих запросов драйвером диска с интенсивностью ///. -1'

Согласно нашим оценкам время формирования запроса драйвером файловой системы составляет несколько десятков микросекунд, тогда как время обслуживания запроса драйвером диска - несколько тысяч микросекунд. !

Поскольку в данном случае p.i « X, количество запросов к диску быстро возрастает до величины, равной размеру файла, деленной на средний размер запроса (примерно 50 секторов по нашим оценкам). Емкость данной очереди обычно лимитируется размером кэша системы. Драйвер диска непрерывно занят обслуживанием этих запросов со средним временем

Ti =1/^1.

Теперь рассмотрим случай модифицированной штатной среды с установленными модулями криптозащиты (рис. 1-6).

Обработка запроса усложняется. Запрос от драйвера файловой системы вначале обрабатывается драйвером виртуального устройства, затем криптографическим сервисом (см. рис.) и только после этого передается драйверу диска. Поскольку входная очередь, в процессе дополнительной обработки не переупорядочивается, не комбинируется и не разделяется, то время обслуживания запроса входной очереди в данном варианте всегда больше или равно времени обслуживания запроса в штатном варианте, рассмотренном выше. Это означает, что модель поведения системы остается прежней.

Пусть величина р.2 определяет интенсивность обслуживания потока запросов от драйвера файловой системы в варианте с модифицированной защитной средой, то среднее время обслуживания запроса будет

т2=1/ц2.

Поскольку средний объем запроса не изменился, в качестве критерия оценки снижения производительности дисковой системы после включения дополнительных средств защиты можно выбрать отношение средних времен обслуживания запроса в первом и втором вариантах:

Keff= хг / Ti.

Результаты испытаний:

Статистика собиралась на компьютере с конфигурацией: Профессор Athlon64 3000 RAM51024Mb DDR 3200 одноканальная жесткий диск Seagate Barracuda 7200.7 120 Gb, ОС: Windows ХР SP2 Windows Server 2003 SP1

Рассмотрим два режима работы ИС: обычный, без использования дополнительных защитных средств, и защищенный, с использованием шифрования данных.

Обычный режим работы:

Т1 - время обработки запроса штатным драйвером диска.

Для рабочей станции время обработки и средний размер запроса определены путем мониторинга работы диска с помощью программы Б15кМот1ог (www.svsinternals.com) и составляют 1915 мксек и 50 секторов (25600 байт) соответственно.

Для файлового сервера время обработки и средний размер запроса составляют соответственно 10300 мксек и 17 секторов (8700 байт).

Работа с использованием криптографической защиты:. ..

Тг- - время обработки запроса с включенными дополнительными ,; механизмами защиты.

Т2 =Т1 + : ' ' и.с -:^- .

где

11 - время первичной обработки запроса драйвером виртуального устройства '

\2 - время, необходимое, для передачи запроса криптографическому сервису (с переключением системы из режима ядра в режим пользователя) 1з — время обработки запроса криптографическим сервисом

Для рабочей станции: . ,

1|=8 МКС : ■ ,

12=128 мкс 13=731 мкс

Суммарное время обработки равно -

т2 = Т] + 867 мкс = 2782 мкс.

В итоге имеем

Ке(г= Т,/Т2~0,69, •

что примерно соответствует 30 - процентному снижению производительности. '

Для файлового сервера: ^=8 мкс 12=43 мкс г3=248 мкс

Суммарное время обработки равно

т2 =Т1+299 мкс = 10654 мкс Ке(г= х,/т2 ~ 0,97, то есть наблюдается примерно 3% - снижение производительности системы

Меньшее влияние шифрования на скорость работы системы на сервере по сравнению с рабочей станцией обусловлено тем, что благодаря высокой интенсивности потока запросов на сервере и небольшим размером запросов накладные расходы, связанные с шифрованием, играют незначительную роль.

В заключении сформулированы основные результаты диссертационной работы.

Приложение содержит ряд технических документов, специфицирующих реализацию описываемых в работе комплексов программ.

Основные результаты работы

1. На основании анализа угроз построена математическая модель защищенной изолированной компьютерной системы Windows, основывающаяся на дискреционной и ролевой модели разграничения доступа, криптографической защите информации и механизме доверенной загрузки операционной системы.

2. Предложена реализация системы защиты для изолированных компьютерных систем в виде комплекса программ, основывающаяся на построенной модели, и формально доказана ее корректность с использованием субъектно-объектной модели.

3. Построена модель защищенной информационной системы в рабочей группе или домене Windows, использующая математическую модель изолированной компьютерной системы.

4. Предложена реализация системы защиты для рабочих групп и доменов Windows в виде комплекса программ, базирующаяся на построенной модели, и проведено ее активное исследование с целью обоснования корректности реализации, поскольку в общем случае защищенность систем с дискреционной моделью разграничения доступа нельзя доказать формально.

5. Проведено исследование влияния реализованных дополнительных защитных механизмов на производительность файловых операций в

системе и оценки потери производительности по сравнению с работой незащищенной системы.

Публикации по теме диссертации:

1. Головатский М.А., Коньков А.К. Защита информации в сетях беспроводной связи. // Connect!Мир Связи, - М., 2006, №6, - С. 94-96.

2. Коньков А.К., Коньков К.А. Об одном из способов повышения степени защищенности ОС MS Windows. // Информационные технологии и вычислительные системы, - М., 2006. №1, - С. 45-60.

3. Коньков А.К., Коньков К.А. Политики безопасности и их реализация в доменах и рабочих группах Windows. 41 // Безопасность информационных технологий. - М., 2006. №1, - С. 73-76.

4. Коньков А.К., Коньков К.А. Политики безопасности и их реализация в доменах и рабочих группах Windows. 42 // Безопасность информационных технологий. — М., 2006. №2, - С. 50-56.

5. Биличенко A.B., Головатский М.А., Коньков А.К., Царин A.A., Чанышев Е.Г., Коньков К.А. Защита сетей на основе технологии VPN. // Современные проблемы фундаментальных и прикладных наук. Часть VII. Прикладная математика и экономика: Труды XLVI конференции МФТИ. М. - Долгопрудный, 2003 г., - С. 37.

6. Биличенко A.B., Коньков А.К., Коньков К.А. Организация сетевой защиты на основе технологии VPN. // Труды Всероссийской научно-практической конференции «Методы и средства защиты конфиденциальной информации». Обнинск, 2004 г. - С.71.

7. Коньков А.К., Милославский А.И., Телицын М.А., Царин A.A., Коньков К.А. Комплексная защита информации в сетях Microsoft. // Современные проблемы фундаментальных и прикладных наук. Часть VII. Прикладная математика и экономика: Труды XLVII конференции МФТИ. М. - Долгопрудный, 2004 г. - С.13.

8. Бабичев C.JL, Головатский М.А., Коньков А.К., Царин A.A., Коньков К.А. Защита информации в операционной среде Microsoft Windows. // Современные проблемы фундаментальных и прикладных наук. Часть VII. Прикладная математика и экономика: Труды XLVIII конференции МФТИ. М.- Долгопрудный, 2005 г. - С.151.

Лично соискателем в перечисленных работах было выполнено построение математических моделей защищенной информационной системы для изолированного компьютера, а также рабочих групп и доменов ОС Windows, и обоснована их корректность, исследовано влияние использования системы защиты на производительность информационных систем.

Коньков Александр Константинович

Разработка и реализация математических моделей защищенности в рабочих группах и доменах Windows.

Автореферат

Подписано в печать 10.11.2006 Усл. Печ. JI. 1.2 Тираж 80 экз. Заказ № 374

Моасковский физико-технический институт (государственный университет) НИЧ МФТИ

Печать на аппаратуре Rex-Rotary Copy Printer 1280

141700, Московская обл. Гю Долгопрудный, Институтский пер., 9

ВВЕДЕНИЕ.

ГЛАВА 1. МОДЕЛИ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ СИС1 ЕМ.

1.1 Основные понятия.

1.2 Существующие угрозы защищенности информационных систем.

1.3 Формальные модели безопасности.

1.4 Вопросы гарантированное™ выполнения политики безопасности.

1.5 Криптография как базовая технология для построения моделей защиты.

1.6 Выводы к главе.

ГЛАВА 2. РАЗРАБОТКА МОДЕЛИ ЗАЩИЩЕННОЙ ИЗОЛИРОВАННОЙ

КОМПЬЮТЕРНОЙ СИСТЕМЫ ПОД УПРАВЛЕНИЕМ ОС WINDOWS И

ДОКАЗАТЕЛЬСТВО ЕЕ КОРРЕКТНОСТИ.

2.1 Система защиты ОС Windows.

2.2 Оценка степени защищенности ОС Windows.

2.3 Недостатки системы защиты ОС Windows.

2 4 Усиление штатной системы защиты ОС Windows.

2.5 Гарантированность выполнения предложенной схемы защиты для изолированного компьютера.

2.6 Выводы к главе.

Глава 3. ГЕНЕРАЦИЯ ЗАЩИЩЕННОЙ ИЗОЛИРОВАННОЙ КОМПЬЮТЕРНОЙ

СИСТЕМЫ ПОД УПРАВЛЕНИЕМ ОС WINDOWS С ПОМОЩЬЮ МЕХАНИЗМА

ДОВЕРЕННОЙ ЗАГРУЗКИ СИСТЕМЫ.

3.1 Смысл доверенной загрузки.

3.2 Штатная зафузка ОС Windows.

3.3 Схема защиты системы, основанная на доверенной загрузке.

3.4 Корректность реализации предложенной модели защищенной компьютерной системы.

3.5 Выводы к главе.

ГЛАВА 4. РАЗРАБ01КА МОДЕЛИ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

В РАБОЧЕЙ ГРУППЕ И ДОМЕНЕ WINDOWS.

4.1 Рассматриваемая система.

4.2 Основные компоненты системы защиты.

4.3 Недостатки штатной системы защиты в рабочей группе.

4.4 Повышение защищенности рабочей группы.

4.5 Реализация разработанной схемы защиты.

4.6 Выводы к главе.

ГЛАВА 5. ВЛИЯНИЕ ДОПОЛНИТЕЛЬНЫХ ЗАЩИТНЫХ СРЕДСТВ НА

ПРОИЗВОДИТЕЛЬНОСТЬ СИСТЕМЫ.

Актуальность проблемы

Важность решения проблемы защиты информации является общепризнанной, подтверждением чему служат громкие процессы о нарушении целостности систем. Убытки, которые несут компании из-за нарушений информационной безопасности, исчисляются триллионами долларов. Вместе с тем, динамика статистики нарушений свидетельствует о наличии кризиса в данной области, который во многом обусловлен недостатками проектирования и эксплуатации средств защиты. Большинство операционных систем, используемых в вычислительных системах в настоящее время, обладают встроенными механизмами защиты, однако обеспечить полную защиту от несанкционированного доступа (НСД) они не могут. Для преодоления кризиса разработчики систем защиты должны обеспечить потребителя определенными гарантиями того, что в предлагаемые решения обладают требуемыми свойствами.

Цель исследований

Целью данной работы является разработка и реализация математических моделей защищенности в операционных системах Microsoft (составляющих около 80% информационных систем в мире), предотвращающих появление широкого класса уязвимостей: нарушения конфиденциальности, целостности и доступности информации при ее обработке, хранении и передаче, нарушения целостности операционной системы.

В соответствии с поставленной целью основными задачами являются:

1. Исследование существующих подходов и моделей защищенности в ОС Windows и их применимости на практике.

2. Анализ защитных средств, применяемых в информационных системах под управлением ОС Windows, с использованием субъектно-объектной модели.

3. Разработка математических моделей и комплексов программ, реализующих механизмы добавочной защиты в ОС Windows и обоснование их корректности.

Методы исследований

Для решения поставленных задач применялись методы теории вероятностей, случайных процессов, теории массового обслуживания, формальные модели систем информационной безопасности, теория криптографии, математическое моделирование, руководящие документы ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю), стандарт ГОСТ 15408.

Научная новизна

Построенная математическая модель изолированной компьютерной системы позволяет формально обосновать защищенность системы от угроз конфиденциальности, целостности и доступности информации при ее хранении и обработке.

Предложенный метод доверенной загрузки операционной системы позволяет гарантировать изолированность программной среды не только в процессе ее работы, но и на стадии генерации. Реализация разработанных моделей не нарушает производительности информационной системы. Это обосновано с помощью теории случайных процессов и моделей массового обслуживания и подтверждено результатами численных экспериментов.

На основании математических моделей, а также с помощью активного исследования информационной системы в соответствии со стандартом ГОСТ 15408 доказана корректность предложенной схемы защиты.

Практическая значимость

Предложенные в диссертационной работе модели реализованы в комплексных системах защиты информации StrongDisk Server, StrongDisk Pro, StrongNet, StrongBoot, которые были внедрены в ряде федеральных и коммерческих структур.

Положения, выносимые на защиту

Математические модели управления доступом к ресурсам вычислительной системы с использованием криптографических преобразований информации.

Реализация предложенных моделей в виде комплексов программ в среде ОС Windows.

Доказательство корректности реализации предложенных механизмов защиты информационных систем.

Апробация работы

Научные и практические результаты диссертации доложены, обсуждены и получили одобрение специалистов на:

- XLVI, XLVII ,XLVIII научных конференциях МФТИ (Москва, 20032006 г.г.);

Всероссийской научно-практической конференции «Методы и средства защиты конфиденциальной информации» (Обнинск, 2004 г);

- научных семинарах кафедры информатики МФТИ.

Публикации

По теме диссертации опубликовано 8 работ, в том числе три - из списка изданий, рекомендованных ВАК РФ.

Структура работы

Основной текст диссертационной работы изложен на 116 страницах, состоит из введения, пяти глав, заключения и списка использованных источников, включающего 60 наименований. Работа также содержит одно приложение.

Основные результаты диссертационной работы:

1. На основании анализа угроз построена математическая модель защищенной изолированной компьютерной системы Windows, основывающаяся на дискреционной и ролевой модели разграничения доступа, криптографической защите информации и механизме доверенной загрузки операционной системы.

2. Предложена реализация системы защиты для изолированных компьютерных систем в виде комплекса программ, основывающаяся на построенной модели, и формально доказана ее корректность с использованием субъектно-объектной модели.

3. Построена модель защищенной информационной системы в рабочей группе или домене Windows, использующая математическую модель изолированной компьютерной системы.

4. Предложена реализация системы защиты для рабочих групп и доменов Windows в виде комплекса программ, базирующаяся на построенной модели, и проведено ее активное исследование с целью обоснования корректности реализации, поскольку в общем случае защищенность систем с дискреционной моделью разграничения доступа нельзя доказать формально.

5. Проведено исследование влияния реализованных дополнительных защитных механизмов на производительность файловых операций в системе и оценки потери производительности по сравнению с работой незащищенной системы.

В целом, есть все основания полагать, что предложенные в работе модели реализуются корректно и все цели диссертационной работы выполнены.

ЗАКЛЮЧЕНИЕ

В диссертации проведен анализ системы защиты, реализованной Microsoft для изолированного компьютера под управлением ОС Windows, а также для рабочих групп и доменов, состоящих из множества компьютеров, объединенных в сеть.

Сделан вывод, что центральное требование политики безопасности -контроль доступа к ресурсам, выполняется при отсутствии у злоумышленника административных прав в системе и физического доступа к компьютерам. Таким образом, встроенные в ОС Windows механизмы защиты нуждаются в усилении.

Описанные технологии успешно реализованы в ввиде комплексов программ StrongDisk, StrongNet и StrongBoot [61-64].

Существующие стандарты в области информационной безопасности предъявляют два основных вида требований к защитным механизмам: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии, процессу разработки и эксплуатации.

Другими словами, важно убедиться, что, во-первых, предлагаемая политика безопасности действительно реализуется с помощью разработанных защитных средств, и, во-вторых, реализуется корректно, без ущерба для системы, которую она призвана защищать.

Поскольку предложенные защитные механизмы основаны на комбинации моделей дискреционного и ролевого контроля доступа к ресурсам, то, как было показано, например, в [3], выполнение ПБ невозможно обосновать формально в общем случае. Вместе с тем, это удается сделать в ряде конкретных случаев, что было продемонстрировано в диссертации для изолированного компьютера под управлением Windows. В общем же случае стандарты предписывают обосновывать гарантированность выполнения ПБ путем активного исследования ИС - анализа системы аутентификации и идентификации пользователей, системы разграничения доступа, корректности реализации субъектов, участвующих в защите информации.

Вместе с тем, слабая документированность самой ОС Windows, равно как и аппаратной части, на которой работает операционная система, не дает полной гарантии выполнения ПБ во всех случаях жизни. Важно подчеркнуть, что защищенность системы всегда носит скорее вероятностный характер. Средства, которые необходимо затратить на получение несанкционированного доступа к информации должны быть соизмеримы с ценностью этой информации, поэтому можно полагать, что в подавляющем большинстве случаев закладки уровня «железа» или операционной системы не будут активированы.

1. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации М.: Изд-во "Яхтсмен", 1996. - 187 с.

2. Грушо А.А., Тимонина ЕЕ. Двойственность многоуровневой политики безопасности //Методы и технические средства обеспечения безопасности информации: Тез. докл. СПб: Изд-во СПбГТУ. 2000.-С. 40-41.

3. Тимонина Е. Е. Анализ угроз скрытых каналов и метода построения гарантированно защищенных распределенных автоматизированных систем.: Дис. д-ра техн. наук.- М.,2004. 204 с.

4. Щербаков А.Ю. Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системахна основе создания изолированной программной среды. : Дис. . д-ра техн. наук. М., 1997. -263 с.

5. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: изд. Молгачева С.В., 2001. - 352 с.

6. Щербаков А.Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе // Безопасность информационных технологий. 1997. - №1. - С. 15-26.

7. Зегжда Д.П. Принципы и методы создания защищенных систем обработки информации. : Дис. . д-ра техн. наук. Санкт-Петербург,2002. - 380 с.

8. Зегжда П.Д. Безопасные информационные системы на основе защищенной ОС. // Проблемы информационной безопасности. Компьютерные системы, 1999, №1, С. 96-99

9. Зегжда Д.П. Создание систем обработки закрытой информации на основе защищенной ОС и распространенных приложений. // Проблемы информационной безопасности. Компьютерные системы. №1 1999.-С. 106-109.

10. Коньков А.К., Коньков К.А. Политики безопасности и их реализация в доменах и рабочих группах Windows. 42 // Безопасность информационных технологий. М., 2006. №2, - С. 50-56.

11. Коньков А.К., Коньков К.А. Об одном из способов повышения степени защищенности ОС MS Windows. // Информационные технологии и вычислительные системы. М., 2006. №1, - С. 45-60.

12. Соломон Д., Русинович М. Внутреннее устройство Microsoft Windows 2000. -СПб.: Питер; М: Издательско-торговый дом «Русская редакция», 2001. 752 стр.

13. Галатенко В.А. Основы информационной безопасности: Учебн. пособие. М.: Интернет-Университет информационных технологий, 2006. - 205 с.

14. Галатенко В.А. Стандарты информационной безопасности: Учебн. пособие. М.: Интернет-Университет Информационных Технологий, 2006. - 263 с.

15. Сорокина С.И., Тихонов А.Ю., Щербаков А.Ю. Программирование драйверов и систем безопасности: Учебн. Пособие М.: изд. Молгачева С.В., 2001.-352 с.

16. Головатский М.А., Коньков А.К. Защита информации в сетяхбеспроводной связи. // ConnectlMnp Связи, М., 2006, №6, - С. 94-96.

17. Конявский В.А. Методы и аппаратные средства защиты информационных технологий электронного документооборота: Дис. д-ра техн. наук.- М.,2005. 360 с.

18. Боковенко И.Н., Корт С.С. Язык описания политик безопасности. // Проблемы информационной безопасности. Компьютерные системы. №1 1999.-С. 17-25.

19. Department of Defense. Trusted Computer System Evaluation Criteria. -DoD 5200.28, STD. 1993.

20. Harrison M., Ruzzo W. Monotonic protection systems. // Foundation of secure computation, 1978.

21. Harrison M., Ruzzo W., Uhlman J. Protection in operating systems. // Communications of the ACM, 1976.

22. Столлингс В. Криптография и защита сетей: принципы и практика, 2-е изд. М.: Вильяме, 2001.- 672 с.

23. Рихтер Дж., КларкДж. Программирование серверных приложений для Microsoft Windows 2000. СПб: Питер, 2001. - 592 с.

24. Дейтел Г. Введение в операционные системы. Том 2 М.: Мир, 1987. -398 с.

25. Ховард М., ЛебланкД. Защищенный код. -М.: Издательско-торговый дом «Русская редакция», 2004. 704 с.

26. Таненбаум Э. Современные операционные системы. СПб: Питер, 2002.1040 с.

27. Bell D.Е., LaPaclula L.J. Secure Computer Systems: Mathematical Foundations. MITRE Technical Report 2547, Vol. II, MITRE, Bedford, MA, 1973.

28. Bell D.E., LaPadula L.J. Secure computer systems: Unified expositionand Multics interpretation. MITRE Technical Report 2997, MITRE, Bedford, MA, 1975.134 p.

29. Castano S., Fugini M.G., MartellaG., SamaratiP. Database Security. Addison-Wesley, 1995.456 p.

30. McLean J. The specification and modeling of computer security. IEEE Computer, 23(1), 1990. p. 9-16.33 .HaighJ.T. A Comparison of Formal Security Models. Proc. 7th

31. National Computer Security Conference, Gaithersburg, MD, 1984. p. 88-111. ЗА.McLean J. A Formal Method for the Abstract Specification of Software. Journal of the ACM, 31(3), 1984. p. 600-627.

32. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.

33. Гостехкомиссия России. Руководящий документ. Средства вы числительной техники. Защита от несанкционированного до ступа к информации. Показатели защищенности от НСД к информации. Москва, 1992.

34. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступак информации. Классификация автоматизированных систем и требования по защите информации. Москва, 1992.

35. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Москва, 1992.

36. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО 15408-1-99: В 3 ч. Ч. 1: Введение и общая модель. Первая редакция. М.: Госстандарт России, 1999.51 с.

37. Булаее В.В. Разработка архитектуры системы контроля доступа к распределенным корпоративным базам данных : Дис. канд. техн. наук. Ростов н/Д, 2004. - 157 с.

38. Теренин А.А. Методика построения защищенной вычислительной сети электронных платежей : Дис. канд. техн. наук. -М., 2003. 207 с.

39. Шнайер Б. Прикладная криптография. М.: ТРИУМФ, 2003. - 815 с.

40. АЬ. Rives t R.L., Shamir A., Adleman L.M. A Method for Obtaining Digital signatures and Public-Key Cryptosystems // Comunications of the ACM, Feb 1978, pp. 120-126

41. Al.Rivest R.L., Shamir A, Adleman L.M. On Digital Signatures and Public Key Cryptosystems // MIT Laboratory for Computer Science, Technical Report, Jan 1979

42. W. Diffie and M.E. Hellman New Directions in Cryptography // IEEE Transactions on Iformation Theory, v. IT-22, n.6, Nov 1976, pp. 644-654

43. Лукацкий А.В. Обнаружение атак. СПб, БХВ-Петербург, 2001. - 624 с.5А.Анин Б. Ю. Защита компьютерной информации. СПб, БХВ-Петербург 2000,384 с.

44. Касперски К. Небезопасное шифрование паролей в NT. // Открытые системы, М., 2000, №12. http://www.osp.ru/text/302/178352.

45. Сечко Е. Получение прав администратора в Windows NT, http://wahack.org.ru/bintxt/hackntl.shtml

46. Ы.Биличенко А.В., Коньков А.К, Коньков К.А. Организация сетевой защиты на основе технологии VPN. // Труды Всероссийской научно-практической конференции «Методы и средства защиты конфиденциальной информации». Обнинск, 2004 г. С.71.

47. Бабичев С.Л., Головатский М.А., Коньков А.К., Царин А.А., Коньков

48. К.А. Защита информации в операционной среде Microsoft Windows. // Современные проблемы фундаментальных и прикладных наук. Часть VII. Прикладная математика и экономика: Труды XLVIII конференции МФТИ. М.- Долгопрудный, 2005 г. С. 151.