автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Дискреционная модель безопасности управления доступом и информационными потоками в компьютерных системах с функционально или параметрически ассоциированными сущностями

/и

На правах рукописи

Ои^41_

Колегов Денис Николаевич 0 6 Д р 200Э

ДИСКРЕЦИОННАЯ МОДЕЛЬ БЕЗОПАСНОСТИ УПРАВЛЕНИЯ ДОСТУПОМ И ИНФОРМАЦИОННЫМИ ПОТОКАМИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ С ФУНКЦИОНАЛЬНО ИЛИ ПАРАМЕТРИЧЕСКИ АССОЦИИРОВАННЫМИ СУЩНОСТЯМИ

05.13.01 - Системный анализ, управление и обработка информации (в отраслях информатики, вычислительной техники и автоматизации)

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Томск-2009

003475130

Работа выполнена в ГОУ ВПО «Томский государственный университет» на кафедре защиты информации и криптографии

Научный руководитель: доктор технических наук, профессор

Агибалов Геннадий Петрович

Официальные оппоненты: доктор технических наук, доцеит

Девянин Петр Николаевич

кандидат технических наук, доцент Останин Сергей Александрович

Ведущая организация: Институт ФСБ России (г. Екатеринбург)

Защита состоится 24 сентября 2009 г. в 10.30 на заседании диссертационного совета Д 212.267.12 при ГОУ ВПО «Томский государственный университет» по адресу: 634050, г. Томск, пр. Ленина, 36.

С диссертацией можно ознакомиться в Научной библиотеке ГОУ ВПО «Томский государственный университет» по адресу: 634050, г. Томск, пр. Ленина, 34 а.

Автореферат разослан: 2 июля 2009 г.

Ученый секретарь

диссертационного совета

доктор технических наук, профессор

В.. И. Смагин

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В настоящее время одной из актуальных задач теории логического управления доступом и информационными потоками в компьютерных системах (КС) является разработка математических моделей безопасности управления. Данная задача возникает как при теоретическом анализе безопасности КС с применением их формальных моделей, так и при тестировании механизмов защиты КС с использованием процедур, методов и средств автоматизации и компьютерного моделирования. На необходимость формализации процедур оценки безопасности, разработки общих методологий и моделей угроз безопасности КС указывается в «Концепции оценю! соответствия автоматизированных систем требованиям безопасности информации» [1]. Более того, в соответствии с «Критериями оценки безопасности информационных технологий» [2] для КС с высоким уровнем доверия обязательным является разработка формальной модели их политики безопасности управления доступом и информационными потоками.

Как правило, для теоретического анализа и обоснования безопасности КС используется подход, основанный на применении классических моделей Take-Grant, Белла-ЛаПадулы, систем военных сообщений, ролевого управления доступом, а также субъектно-ориентированной модели изолированной программной среды (ИПС) и семейства ДП-моделей [3]. С их использованием анализируется безопасность управления доступом и информационными потоками в КС с дискреционным, мандатным или ролевым управлением доступом. Последние две модели адекватно описывают безопасность КС с функционально ассоциированными с субъектами сущностями. При этом ни в одной из известных моделей не рассматриваются параметрически ассоциированные с субъектами сущности и не учитывается возможность нарушения безопасности КС при реализации запрещенных информационных потоков по памяти от таких сущностей, что не позволяет моделировать политики управления доступом и информационными потоками в реальных КС.

Другой подход, используемый для анализа безопасности управления доступом и информационными потоками в КС, ориентирован на построение потенциально возможных путей нарушения их безопасности с применением средств компьютерного моделирования систем обнаружения и предотвращения атак, систем автоматизированного выявления возможности проникновения, управления уязвимостями и анализа защищенности. Как правило, данный

подход основан на моделях формального описания и верификации политик безопасности или моделях анализа графов атак. В этих моделях используются оригинальные определения элементов и механизмов защиты КС, а реализуемый математический аппарат часто недостаточен дня анализа условий нарушения безопасности КС и формального обоснования методов и механизмов их защиты. В то же время известны модели, сочетающие теоретический подход к обоснованию безопасности КС с практическим моделированием условий ее нарушения.

Таким образом, можно сказать, что существующие теоретические модели безопасности, как правило, не позволяют в полной мере учесть существенные особенности функционирования существующих КС, реализующих механизмы управления доступом и информационными потоками (включая механизмы криптографической и стеганографической защиты, а также механизмы защиты файловых систем и \уеЬ-приложений), в том числе заключающиеся в наличии у субъектов КС параметрически ассоциированных сущностей, а имеющийся математический аппарат, используемый при компьютерном моделировании безопасности современных КС, недостаточен для ее теоретического анализа.

Цель работы. Обеспечение безопасности дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными с субъектами сущностями.

Объект исследования - КС, реализующие дискреционное управление доступом и информационными потоками.

Предмет исследования - математические модели безопасности дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными с субъектами сущностями.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

- создание математической модели безопасности дискреционного управления доступом и информационными потоками в современных КС с функционально или параметрически ассоциированными сущностями;

- разработка методов теоретического анализа и обеспечен™ безопасности КС с дискреционным управлением доступом и информационными потоками с функционально или параметрически ассоциированными сущностями;

- исследование возможности применения разработанного математического аппарата для обоснования и тестирования безопасности КС с дискреционным управлением доступом и информационными потоками.

Методы исследования. В диссертации используются основные элементы теории компьютерной безопасности, методы формального моделирования систем управления доступом и информационными потоками, методы дискретной математики и математической логики (графы, булевы функции, предикаты) и общей алгебры (множества, отношения).

Научная новшна. Разработана математическая модель, развивающая семейство дискреционных ДП-моделей и, в отличие от них, позволяющая анализировать безопасность управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными сущностями. В модели рассматривается новый вид сущностей -параметрически ассоциированных с субъектами КС, устанавливаются и обосновываются необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту, строится алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока и разрабатываются методы их предотвращения.

Достоверность полученных результатов. Все полученные в диссертации теоретические результаты имеют строгое математическое обоснование в форме теорем. Корректность построения предложенной теоретической модели подтверждена погружением в неё некоторых известных моделей безопасности, применяемых на практике. Кроме того, разработанная модель была использована для анализа безопасности современных реальных КС.

Теоретическая значимость. В диссертации разработаны математические модели, методы и алгоритмы для теоретического анализа безопасности дискреционного управления доступом и информационными потоками в современных КС. Они могут быть использованы и уже используются в дальнейших исследованиях по теории компьютерной безопасности.

Практическая значимость. Предложенные модели, методы и алгоритмы можно использовать на практике для моделирования дискреционных политик управления доступом и информационными потоками в КС с высоким уровнем доверия к их безопасности, а также для разработки методов управления,

администрирования и настройки параметров КС, позволяющих обеспечить защиту от нарушения их безопасности.

Основные результаты, выносимые на защиту. Дискреционная ДП-модель компьютерных систем с функционально или параметрически ассоциированными с субъектами сущностями, в рамках которой предложены и теоретически обоснованы:

- необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту;

- метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту;

- алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока;

- метод предотвращения утечки права доступа или реализации запрещенного информационного потока без знания и изменения реализации субъектов.

Внедрение результатов исследований. Результаты диссертации внедрены: в ФГНУ «ГНТЦ «Наука»» (г. Москва) при проведении исследований безопасности операционных систем Microsoft Windows Vista, в Томском отделении № 8616 Сбербанка России ОАО при разработке и обосновании безопасности КС файлового обмена и в учебный процесс в ГОУ ВПО «Томский государственный университет».

Апробация работы. Результаты диссертации докладывались и получили одобрение на Сибирской научной школе-семинаре с международным участием «Компьютерная безопасность и криптография» - SibeCrypt (п. Шушенское, 2006 г., г. Горно-Алтайск, 2007 г. и г. Красноярск, 2008 г.), на семинарах управления безопасности и защиты информации Сибирского банка Сбербанка России ОАО, на семинаре кафедры комплексной информационной безопасности электронно-вычислительных систем Томского университета систем управления и радиоэлектроники и на совместных научных семинарах кафедр защиты информации и криптографии, программирования, информационных технологий в исследовании дискретных структур Томского государственного университета.

Публикации. Основные результаты диссертации опубликованы в 7 статьях, в том числе 1 публикация [I] в журнале из перечня, рекомендованного ВАК для опубликования результатов кандидатских диссертаций.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, сопровождающихся выводами, заключения, библиографии, включающей 73 наименования, и приложения; изложена на 127 страницах, содержит 7 иллюстраций и 4 таблицы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность диссертационной работы, определяются цель и задачи исследования, формулируются основные положения, выносимые на защиту, показываются научная новизна, теоретическая и практическая значимость полученных результатов.

В главе 1 приводится критический обзор литературы, вводятся используемые обозначения и определения, формулируются основные предположения о свойствах рассматриваемых современных КС. Подробно рассматривается семейство дискреционных ДП-моделен КС (базовая ДП-модель, ДП-модель без кооперации доверенных и недоверенных субъектов (БК ДП-модель) и ДП-модель с функционально ассоциированными с субъектами сущностями (ФАС ДП-модель)) и излагаются применяемые в последующих главах диссертации теоремы, утверждения и их следствия [3].

Основными элементами семейства ДП-моделей являются: £=ОиС-множество сущностей, где О - множество объектов, С - множество контейнеров nOnC = 0;ScE- множество субъектов; R, — {readr, writer, appendr, execute,, own,} - множество видов прав доступа; Ra = {reada, write m appenda} - множество видов доступа; Rj = {writem write,} - множество видов информационных потоков; Nr с 5 х О х Rr и N/ с О х О х Rf суть множества запрещенных прав доступа субъектов к объектам и информационных потоков между объектами КС.

Пусть определены множества S, Е, R с 5 х Е х Rn А с S х Е х Ra, F с Е х Е х Rj и функция иерархии сущностей //: Е -> 2е. Конечный помеченный ориентированный граф без петель G = (5, Е, R и Л и /•', 11), где элементы множеств S н Е являются вершинами графа, а элементы множества R и A u F ребрами, называется графом доступов.

Пусть X(G*, OP) есть КС с множеством всех возможных состояний G*, представляемых графами доступов, и множеством правил преобразования состояний OP; X(G*, OP, G0) есть КС £(G*, OP) с начальным состоянием G0; G

- переход КС ЦО*, ОР) из состояния О в состояние С с использованием правила преобразования состояний ореОР; под б, для любого целого />0 понимается состояние КС, равное (5„ и Л, и /•„ #,), а под С и С—

состояния КС, равные Е, Л и А и Г, Н) и (5", Е\ Л' и А' и Г, 1Г) соответственно; ¿.V с 5 и Л^ = £ \ Ду суть множества соответственно доверенных (т.е. субъектов, обладающих правом доступа владения к каждой сущности КС) и недоверенных субъектов в КС !(&**, ОР); И с Е- множество всех сущностей, функционально ассоциированных с субъектом л- в состоянии Б (т.е. сущностей, от которых зависит вид преобразования данных, реализуемого субъектом .?).

В главе 2 вводится определение нового вида сущностей КС, параметрически ассоциированных с субъектами. На его основе строится расширение ФАС ДП-модели, позволяющее анализировать безопасность дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными сущностями. В рамках построенной модели устанавливаются и обосновываются необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту. Обобщается метод (метод 4.1 из [3]) предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту на случай, когда в КС наряду с информационными потоками по памяти к сущностям, функционально ассоциированным с доверенным субъектом, возможна также реализация информационных потоков по памяти от сущностей, параметрически ассоциированных с доверенным субъектом.

В современных КС наличие у субъекта данных о параметрах функционировании другого субъекта, как правило, позволяет получить первому субъекту право доступа владения ко второму субъекту. Например, получение субъектом доступа на чтение к сущности, содержащей пароли или хэш-значения паролей пользователей, фрагменты конфигурационного кода, информацию о файловой системе позволяет ему получить права доступа различных субъектов КС, в том числе и доверенных.

Определение 1. Сущность ееЕ называется параметрически ассоциированной с субъектом в состоянии С, если чтение данных в сущности е субъектом ге5 позволяет ему получить право владения к субъекту л в этом или последующих состояниях КС.

Предположение 1. Если субъект реализовал информационный поток по памяти от сущности, параметрически ассоциированной с другим субъектом, к себе, то первый субъект получает право доступа владения ко второму субъекту. Множество сущностей, параметрически ассоциированных с субъектом, задано в любом состоянии КС и не изменяется в процессе ее функционирования.

В соответствии с определением 1 и предположением 1 расширяется ФАС ДП-модель и результат расширения называется ДП-моделью с функционально или параметрически ассоциированными с субъектами сущностями, или ФПАС ДП-моделью. При расширении ФАС ДП-модели добавляется правило преобразования состояний кпом(), определяемое в следующей таблице, где ].$[ с: Е - множество всех сущностей, параметрически ассоциированных с субъектом л-.

Правило Исходное состояние КС G = (S,E,R\jA\JF,IJ) Результирующее состояние КС

know{x, у, z) x,yeS, ze/i, 2e]y[ и или x = z, или (z, x, writem)eF S" = E, A' ~ A, fT = H, F=F,R'=Ru{(x,y,ownr)}

Определение 2. Конечная последовательность графов доступов Go, ..., GN, такая, что Go \ор\ G\\opz ■■■\opN G,v для некоторых правил преобразования состояний ори ..., орц из ОР, называется траекторией функционирования КС. Она называется траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа, если при ее реализации используются монотонные правила преобразования состояний (т.е. правила, в результате применения которых не происходит удаление вершин или ребер в графе доступов), и доверенные субъекты: не дают недоверенным субъектам прав доступа к сущностям; не берут у недоверенных субъектов прав доступа к сущностям; используя информационные потоки по памяти к сущностям, не получают права доступа владения к субъектам; используя информационные потоки по памяти от сущностей, не получают нрава доступа владения к субъектам. Последняя траектория называется траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, если при ее реализации используются правила преобразования состояний lake rightQ, grant rightQ, owntakeQ, createj;ntity().

create_subject{), rename_entity{), access read(), access writeQ, access_append(), flo\v(),find(), pastQ, passQ, controlQ, определенные в рамках ФАС ДП-модели, и правило knowQ, определенное в соответствии с приведенной выше таблицей.

Пусть далее сап shareQ и сап urilejnemaryC) - соответственно предикаты возможности получения права доступа и реализации информационного потока, определенные в ФАС ДП-модели.

Определение 3. Пусть имеются G0 - начальное состояние КС Z(G*, ОР), недоверенный субъект xcNs n Sn и субъект yeS0, где х * у. Предикат can_share_own(х, у, G<h Ls), является истинным тогда, и только тогда, когда существует такая траектория G0 f-(y)1 G\ \-ор2 ■ ■ ■ [оРк Gm без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, что N > 0 и (х, у, o\vnr)e]{v. Предикат directly_can_share_own(x, у, G0, Ls), является истинным тогда, и только тогда, когда существует последовательность субъектов st, ..., sm в S0, где = х, s„, = у um >2, таких, что для каждого i - 1,..., т - 1 выполняется одно из следующих условий.

Условие 1. Si&NsП S0, i,e[.v, +,] или е+ ,[;

Условие 2. Истинен предикат can_share{mvnr, Sj, ь G0, Ls)',

Условие 3. Существует сущность f е[.у,, ¡] или ee]si+i[, такая, что истинен предикат can_write_memory(sh е, G0, Ls) или can_write_memory(e, s„ G0, Ls) соответственно.

Теорема 1. Пусть имеется G0 - начальное состояние КС Z(G*, ОР), (х, у, ownr)eNr, где xeNs Г\ S0, у £ S0ux* у. Тогда предикат can_share_own{x, у, G0, Ls) является истинным, если и только если существует последовательность субъектов ,У|, ..., sm в So, где ¿i = х, sm = у и т > 2, таких, что выполняется одно из условий.

Условие 1. т = 2 и истинен предикат directly_can_share_o\vn(x, у, G0, Ls).

Условие 2. т > 2 и для каждого i = 1, ..., т - 2 выполняется одно из условий:

- s„ s,i\sNs гл S0 и истинны предикаты directly сап share_o\vn(sh s,+1, G0, Ls), directly_can_sharej)wn(si+\, j1+2, G0, Ls);

- i < m-2, Si, i,,2eA'y n Sa и истинны предикаты directly сап jhare_own(si, ,s>b G0, Ls), directly_can_share own(s,+2, G0, Ls);

- i < от-2, j-,+1, Sn2eNsn So и истинны предикаты directly_can_share_own(sl+i, s„ Go, Ls), directly_can_shareown{s,^, i,+i, G0, Ls);

- 1gMs Sa и истинны предикаты directly can share own(sm, s,, G0, Ls), directly_can_shareown(shU s,4.2, Go, Ls).

Определение 4. Пусть имеются доверенные субъекты у, у' и у" из LsC\S0, сущности е, е' и е" из Еа, такие, что eiLs n So, t>'e[y'j и е" е]>"[. Субъекту называется функционально корректным относительно сущности е, если субъект у не реализует информационного потока по памяти от сущности е к сущности е\ Субъект у называется параметрически корректным относительно сущности е, если субъект у не реализует информационного потока по памяти от сущности <?'' к сущности е.

Теорема 2. Пусть имеются Go - начальное состояние КС X(G*, OP, Go), недоверенный субъект xeNs n Sa и доверенный субъект yeLs n Sa. Пусть истинен предикат can_share_owr.(x, у, G0, Ls). Тогда существуют недоверенный субъект -х' е Ns n S(h доверенный субъект у' e/^rvSo и сущность ееЕ0, такие, что выполняется одно из следующих условий. Условие 1. дс' = е и или ее[>■'], или ее]у'[. Условие 2. ее|у'] и (х\ е, ar)eR0, где а,е {ownr, write,, appendr}. Условие 3. ее]у'[ и (х\ е, ar)eR0, где а, б {own,, readr}. Условие 4. Существует доверенный субъект у"еД? о Sa, такой, что истинен предикат can_writejnemory(y'\ е, Go, Ls), где ее [у'] и выполняется одно из условий:

- (у'\ х\ readr)eRü и субъект у" не является функционально корректным относительно сущности х';

- (х\у", аЛ)е/?о, где а,е {writer, appendг};

- существует сущность с' е£с, такая, что (х\ е\ а,), (у", е', readme R{h где are{ownr, writen append,} и субъект у" не является функционально корректным относительно сущности е'.

Условие 5. Существует доверенный субъекту"S0, такой, что истинен предикат can write memoryie, у", Go, As), где ее]у'[ и выполняется одно из условий:

- (x',y",readr)eRo,

- (у", х\ ar)eRa, где arz {write,, appendr} и субъект у" не является параметрически корректным относительно сущности д:';

- существует сущность е'е£0, такая, что (х\ е\ а,), (у", е\ еRlh где are{own,, readr}, {write п append,} и субъект у" не является параметрически корректным относительно сущности е\

Пусть j-'/£) с £ и ур{Е) с Е суть множества сущностей, относительно которых в состоянии G доверенный субъект у соответственно функционально и параметрически корректен.

Метод 1 - предотвращение возможности получения права доступа владения недоверенным субъектом к доверенному субъекту. Пусть имеются КС X(G*, OP, Go), в которой ни один недоверенный субъект не обладает правом доступа владения ни к одному доверенному субъекту, множества доверенных субъектов Ls и недоверенных субъектов Ms.

Шаг 1. Рассмотреть реализацию каждого доверенного субъекта у е r\ St, и описать множества [у] и ]>[.

Шаг 2. Для каждого доверенного субъекта yeL<; г> S0 исключить недоверенных субъектов из множеств [у] и |>{, для чего, если потребуется, изменить реализацию доверенного субъекта так, чтобы в множества [у] и ]у[ не вошли новые недоверенные субъекты.

Шаг З.Для каждого доверенного субъекта yeLs r\ So из множества прав доступа Ro удалить права доступа own,, write,, appendнедоверенных субъектов к сущностям из множества [у] и права доступа own,, read, недоверенных субъектов к сущностям из множества 1у[.

Шаг 4. Для каждого доверенного субъектаyeLs n S0:

- используя алгоритм проверки истинности предиката can_share_own{x\ у\ Go, Ls), описать множества сущностей у/Ео) и »(-Ео);

- рассмотреть каждого недоверенного субъекта xeNs о Sq, не входящего в множество сущностей у/Ео) и уР(Ео). Если потребуется, изменив реализацию доверенного субъекта у так, чтобы в множество у/Е0) и уР{Е0) не вошли новые недоверенные субъекты, относительно которых субъект у является функционально или параметрически некорректным, обеспечить его функциональную и параметрическую корректность относительно недоверенного субъекта х, после чего добавить субъекта х в множество у/.Ео)иур(Ео);

- рассмотреть каждую сущность ееЕа \ yj(E0), к которой право доступа аг нз {ownr, unler, appendr} имеет хотя бы один недоверенный субъект xeNs n Sc,. Удалить право доступа а, у субъекта х к сущности с или, изменив реализацию доверенного субъекта у так, чтобы в множество у/Еа) не вошли новые сущности, относительно которых субъект у является функционально некорректным, обеспечить его функциональную корректность относительно сущности е, после чего добавить сущность е в множество у/,Е0)', ~ рассмотреть каждую сущность ееЕ0 \ур(Е0), к которой право доступа аг из {o\vnr, read,} имеет хотя бы один недоверенный субъект xeNs гл S0. Удалить право доступа ссг у субъекта х к сущности е или, изменив реализацию доверенного субъекта у так, чтобы в множество ур(Е0) не вошли новые сущности, относительно которых субъект у является параметрически некорректным, обеспечить его параметрическую корректность относительно сущности е, после чего добавить сущность е в множество уР{Е0).

Теорема 3. В результате применения метода 1 к КС I(G*, ОР, G0) будет получена КС, в которой для каждого недоверенного субъекта xeNs П So и доверенного субъекта у eis г\ So предикат can_share_o\vn(x, у, Go, L.s) является ложным.

В главе 3 решается задача поиска всех путей утечки права доступа или реализации запрещенного информационного потока в ФПАС ДП-модели КС. Для этого вводятся определения замыканий графов доступов ДП-моделей, графов распространения доступов и графов распространения прав доступа или реализации информационных потоков. Формулируются и обосновываются алгоритмы преобразования графов доступов в их замыкания, построения графов распространения прав доступа или реализации информационных потоков, поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока. Предлагается и теоретически обосновывается метод предотвращения утечки права доступа или реализации запрещенного информационного потока в рамках ФПАС ДП-модели КС без знания и изменения реализации субъектов.

Определение 5. Пусть имеются G0 - начальное состояние КС E(G*, ОР, G0), сущности х, уеЕ0, такие, что х ф у, и ае/?^. Говорят, что в КС £(G*, ОР, Go) возможна утечка права доступа или реализация запрещенного информационного потока (х, у, а), если соответственно (лс, у, а) 2 R0, (х, у, а)еЛ'г,

и возможен переход КС в состояние С, в котором (х, у, а)еЛ' или (х,у, сх)гР0, (х, у, а)еМ/ и возможен переход КС в состояние С, в котором (х, у, а)еР. Нарушением безопасности (х, у, а) КС ЦС*, ОР, Со) называется утечка права доступа (х,у, а)еМг или реализация запрещенного информационного потока (х, у, а)еЛу. Обозначим Щ= Ы, и Лу.

Определение 6. Граф доступов С, полученный из графа доступов й ДП-модели КС применением правил преобразования состояний этой ДП-модели, называется замыканием графа доступов О, если применение к графу С данных правил не приводит к появлению в нем новых ребер.

При построении замыканий графов доступов предполагается, что в ДП-моделях: применяются только монотонные правила преобразования состояний, субъекты создают сущность в контейнере только один раз, субъекты не инициируют многократного выполнения одинаковых правил преобразования и не создают новых субъектов из сущностей. На основе определений базовой, БК, ФАС и ФПАС ДП-моделей предлагаются алгоритмы построения замыкания графа доступов этих ДП-моделей КС и доказываются теоремы, их обосновывающие.

Для КС £(С*, ОР, С0) вводится граф ОТ = (В, Ррг и Рр1), называемый графом распространения прав доступа, доступов и информационных потоков или сокращенно графом распространения доступов, при помощи следующего индуктивного определения.

База индукции. В = 0, Ррг и Рр = 0, О = С0.

Шаг индукции. Если ореОР и С \-орС\ (а„ Ь„ ос,) для /= 1,..., п суть ребра в состоянии б, необходимые для применения правила ор, и а.еНф (с,, <-/,, р,) для ) = 1,..., т суть ребра в состоянии (Г, являющиеся результатом применения ор, и Р,еЯта/, то В = В и{(я1, ¿)Ь (Х|),(а„, Ъ„, сс„)}, Ррг = Ррг и {((а,, Ъъ а,)хор), ..., ((«„, Ьт аП)хор)} , РрВ и {{орх{сх, <1\, р!)), ..., (Орх(ст, (1т, Рт))}, - С.

Определение 7. Пусть С - состояние КС 1.(0*, ОР), йТ - (В, Ррг<оРр5) -ее граф распространения доступов, х, уеЕ0, х * у и аеЯф Тогда графом распространения права доступа (х, у, а)еИ или графом реализации информационного потока (х, у, а)еУ в состоянии в называется подграф С/1'(х, у, а) = (В\ Р'рги Р'р;) графа ОТ, если выполняются следующие условия.

Условие 1. (х,у, а)еВ'.

Условие 2. Если (орх(х,у, а))еРр5, то ореВ' и (орх(х,у, а))еР'р$.

Условие 3 (индуктивное). Если ((а„ Ь„ а)хор)еРрг, то (а„ Ьи а,)еВ\ ((а„ Ь„ а,)хор)еР,рг и для ; = 1, ...,/; подграф СТ(а„ Ь„ а¡) в графе СТ(х,у, а) является графом соответственно распространения права доступа или реализации информационного потока (а/, Ь,, а,).

Определение 8. Последовательность со(х, у, а) = (х, у, а), ор, ш(аь Ьи щ), ..., <о(а„, Ьт, а„,) вершин графа СТ(х, у, а) называется со -путем нарушения безопасности (х, у, а)еЛгг/, если для со(х, у, а) выполняются следующие условия.

Условие 1. (ор, (х,у, а))еСЛ'(х, у, а).

Условие 2. ((а/, 6„ а,), ор)еОТ(х,у, а) для г = 1,..., т.

Последовательность т(лг, у, а), получающаяся из ш(х, у, а) удалением вершин из В \ (На и ОР), называется т-путем нарушения безопасности (х, у, а). Последовательность о(х, у, а), получающаяся из т(х, у, а) удалением вершин из ОР, называется а-пумем нарушения безопасности (х, у, а).

Для поиска всех возможных путей нарушения безопасности в ДП-моделях следует построить графы распространения прав доступа или реализации информационных потоков. Это может быть сделано по графу распространения доступов, построенному по его определению. В этом случае система управления доступом, обладающая конечными ресурсами, должна хранить и анализировать данные обо всей предыстории функционирования КС. Таким образом, в ДП-моделях целесообразно разработать алгоритмы построения графа распространения права доступа или реализации информационного потока по текущему состоянию КС Т.(<3*, ОР, Са), что и делается далее в работе.

Пусть (х, у, а)еА'ф С - замыкание ДП-модели КС, СТ(х, у, а) = (В, Рр,и Рр5) - граф распространения права доступа или реализации запрещенного информационного потока (х, у, а) в состоянии С, В\ = {\'<~В: уе/?' и Р}, В2 = {убВ: у&ОР), п = |В1|, т = \Вг\, Ф: К Ч^ В2 У~биективные отображения в непересекающиеся множества булевых переменных X={хь ..., х„}, У "{у¡, ..., Ут}-

Алгоритм 1 построения всех ш-, т- и о-путей нарушения безопасности (х, у, сс)еЛ^компьютерной системы ОР, Со).

Шаг 1. Инициализировать/= ф {х,у, а), I] = 0, ¿2 = 0.

Шаг 2. Для каждого х, из А' \ Ц в/найти У, = {ууеУ: (у '"'(у,), Ф~'(х^б/^}, положить ¿1 = ¿1 и {*,}. Если все такие У, пусты, то перейти на шаг 5; в

противном случае для каждого непустого У, заменить х, в /на конъюнкцию х, с дизъюнкцией всех переменных из У).

Шаг 3. Для каждого^ из У\ ¿2 в/найти X, = {^еХ: (<рч(х/), 1 (}',))<= РрА, положить {х,} и заменить у, в /на конъюнкцию у, и всех переменных

изХ„

Шаг 4. Перейти на шаг 2.

Шаг 5. Рассматривая / как формулу, задающую булеву функцию, привести ее к виду ДНФ. Выписать все элементарные конъюнкции в ней и в каждой из них заменить символы переменных вершинами графа ОТ(х, у, а) по правилам замены <р~!: X -> и цГ1: У -» Вг и знак конъюнкции - знаком конкатенации. Полученные так последовательности вершин графа ОТ(х, у, а) представляют собой все ©-пути нарушения безопасности (х, у, а). По этим со-путям построить т(х,у,а)иа(х,у,а).

Реализация метода 1 в КС требует знания и возможности изменения реализации каждого доверенного субъекта, что не всегда выполнимо на практике. Таким образом, целесообразно разработать метод, позволяющий предотвратить нарушение безопасности в ФПАС ДП-модели КС без знания и изменения реализации субъектов.

Определение 9. Пусть С0- начальное состояние КС 2(С*, ОР, Сй) и (х, у, а) - нарушение безопасности в ней. Право доступа (х0, уа, ао)е/?о влияет на нарушение безопасности (х, у, а), если оно используется для перехода КС в состояние С, в котором (х, у, а)еЯ,иР. Множество прав доступа М(х, у, а), влияющих на нарушение безопасности (х, у, а) КС, называется устраняющим, если после удаления всех прав доступа этого множества из множества Но графа доступов С0 в КС ЦС*, ОР, С0) не найдется траектории С0 [<>р\ Сп [орг ■■■ \оРы СЛ', что (х, у, ос)еЛдги^. Устраняющее множество М(х, у, а) называется минимальным, если для всякого (а, Ь, Р)еМ(х, у, а) множество М{х, у, а) \ {(а, Ь, р)} не является множеством, устраняющим нарушение безопасности (х, у, а) КС.

Алгоритм 2 построения всех множеств, устраняющих нарушение безопасности (х,у, а) компьютерной системы Х(6'*, ОР, С0)-

Шаг 1. Инициализировать/= ф (х,у, а).

Шаг 2. Для каждого х, из Xв/найти У-, = {у,е}': (у "'(у,), (х,))еРр^\. Если все такие У, пусты, то перейти на шаг 5; в противном случае для каждого непустого У, заменить х, в/на конъюнкцию всех переменных из У,.

Шаг З.Для каждого у, из У найти X, = {хуеХ: (<р~'(*/), 4/ ''(у^)еРрг} и заменить yi в/на дизъюнкцию всех переменных х, из X,.

Шаг. 4. Перейти на шаг 2.

Шаг 5. Рассматривая f как формулу, задающую булеву функцию, найти все решения уравнения/ = 1 относительно ее переменных из X

Шаг 6. Для любого решения этого уравнения если суть все

переменные, равные 1 в данном решении, то ), ..., есть

множество, устраняющее нарушение безопасности (х, у, а) КС; оно является минимальным, если {*1]5 ..., х,,} содержит минимальное число переменных, равных 1 среди всех других решений.

Метод 2 - предотвращение утечки права доступа или реализации запрещенного информационного потока без знания и изменения реализации субъектов. Пусть определены КС Х(С*, ОР, О о) с начальным состоянием С0, множества доверенных субъектов недоверенных субъектов Л'у, запрещенных прав доступа ¿V, и запрещенных информационных потоков Л}- и нарушение безопасности (л, _>>, а).

Шаг 1. Построить замыкание С графа доступов С70 ФПАС ДП-модели КС

Е(С* ОЛ а0).

Шаг 2. Если (г, у, а)гЛ' и то нарушение безопасности (х, а) в ФПАС ДП-модели КС £((/*, ОР, С0) невозможно. Иначе выполнить шаг 3.

Шаг 3. Построить граф ОТ(х, у, а) в состоянии О' ФПАС ДП-модели КС ЦС, ОР, во).

Шаг 4. Построить все М(х, у, а) по алгоритму 2.

Шаг 5. Из множеств, найденных на 4 шаге, выбрать некоторое минимальное множество М(х, у, а) и затем с помощью административных средств КС или средств безопасности обеспечить отсутствие прав доступа из этого М(х, у, а) в графе О0.

Теорема 4. В результате применения метода 2 к КС Х(С*, ОР, С(1) будет получена КС, в которой невозможна утечка права доступа или реализация запрещенного информационного потока (*, у, а)еХг/.

В главе 4 на базе ФПАС ДП-модели строится ДП-модель сетевых дискреционных КС с уязвимостями. В ней предполагается, что нарушители могут использовать различные уязвимости (ошибки в системных и прикладных процессах, доверие, доступ к паролям, раскрытие параметров), позволяющие получать контроль над субъектами КС. Для использования механизмов

разработанных моделей при анализе безопасности КС на практике (например, в системах управления уязвимостями, в подсистемах корреляций событий систем обнаружения и предотвращения атак) предлагается метод представления реальной КС в рамках сетевой ДП-модели. Применение данного метода позволяет получить граф доступов начального состояния С,0 ДП-модели ЦС*, ОР) сетевой КС с уязвимостями. С целью демонстрации возможности использования математических моделей безопасности для анализа уязвимостей формально описываются модели нарушителя и дается математическое определение стойкости КС к проникновению в соответствии с «Критериями оценки безопасности информационных технологий» [2]. Рассматриваются также существующие подходы к построению потенциально возможных путей нарушения безопасности сетевых КС с дискреционным управлением доступом при компьютерном моделировании их безопасности и показывается, каким образом в этих подходах может быть применена сетевая ДП-модель. В рамках ФПАС ДП-модели анализируется безопасность управления доступом и информационными потоками в реальной КС файлового обмена на базе технологии шлюза прикладного уровня. Для этого строится ДП-модель файлового обмена, в которой формулируются и теоретически обосновываются требования по обеспечению безопасности в КС файлового обмена.

В заключении приводятся основные полученные результаты:

1. Разработана дискреционная ФПАС ДП-модель КС, в рамках которой обоснованы необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту.

2. Предложен метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъеету в ФПАС ДП-модели КС.

3. В рамках ФПАС ДП-модели КС построен алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока.

4. Разработан и теоретически обоснован метод предотвращения утечки права доступа или реализации запрещенного информационного потока в ФПАС ДП-модели КС без знания и изменения реализации субъектов.

5. Показана возможность применения ФПАС ДП-модели для анализа безопасности управления доступом и информационными потоками в современных сетевых КС с уязвимостями.

ПУБЛИКАЦИИ IIO ТЕМЕ ДИССЕРТАЦИИ

1. Колегов Д.И. ДП-модель компьютерной системы с функционально и параметрически ассоциированными с субъектами сущностями // Вестник Сибирского государственного азрокосмического университета имени академика М. Ф. Решетнева. - 2009. ~ Вып. 1 (22) : в 2 ч. - Ч. 1. -С. 49-54.

2. Колегов Д.Н. Общая схема вероятностной поточной шифрсистемы // Вестник Томского университета. Приложение. - 2006. - № 17. - С. 112-115.

3. Колегов Д.Н. Проблемы синтеза и анализа графов атак // Вестник Томского университета. Приложение. - 2007. - № 23. - С.180-188.

4. Колегов Д.Н. Применение ДП-моделей для анализа защищенности сетей // Прикладная дискретная математика. - 2008. - № 1. - С. 71-88.

5. Колегов Д.Н., Качанов М.А. Расширение функциональности системы безопасности ядра Linux на основе подмены системных вызовов // Прикладная дискретная математика. - 2008. - № 2. - С. 76-80.

6. Колегов Д.Н. Анализ безопасности информационных потоков по памяти в компьютерных системах с функционально и параметрически ассоциированными сущностями // Прикладная дискретная математика. -2009.-№ 1 (З).-С. 117-126.

7. Колегов Д.Н. Об использовании формальных моделей для анализа уязвимостей // Прикладная дискретная математика, - 2009. - № 1 (3). -С. 113-117.

СПИСОК ЛИТЕРАТУРЫ

1. ФСТЭК России. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации [Электронный ресурс]. - URL: http://www.fstec.ru/_ücen/015.pdf.

2. Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий : в 3 ч. [Электронный ресурс]. - URL: http:// www.fstec.ru/_razd/_i spo .htm.

3. Девянин П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. - М. : Радио и связь, 2006.-176 с.

Тираж 100 экз. Отпечатано в КЦ «Позитив» 634050 г. Томск, пр. Ленина 34а

Введение.

Глава 1. Состояние проблемы и основные понятия.

1.1. Краткая характеристика состояния проблемы.

1.2. Основные понятия теории компьютерной безопасности.

1.3. Основные положения дискреционных ДП-моделей КС.

Глава 2. Дискреционная ДП-модель КС с функционально или параметрически ассоциированными с субъектами сущностями.

2.1. Правила преобразования состояний.

2.2. Условия получения права доступа владения недоверенными субъектами.

2.3. Анализ условий получения права доступа владения недоверенным субъектом к доверенному субъекту.

2.4. Метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту.

Глава 3. Анализ путей нарушения безопасности в ДП-моделях КС с дискреционным управлением доступом.

3.1. Построение замыканий графов доступов.

3.2. Графы распространения доступов.

3.3. Поиск путей нарушения безопасности КС.

Глава 4. Моделирование безопасности сетевых КС с дискреционным управлением доступом.

4.1. ДП-модель сетевой КС с уязвимостями.

4.2. Применение СДУ ДП-модели в системах компьютерного моделирования безопасности.

4.3. Определение теоретической стойкости КС к проникновению.

4.4. Анализ безопасности управления доступом и информационными потоками в КС файлового обмена.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В настоящее время одной из актуальных задач теории компьютерной безопасности является разработка математических моделей безопасности управления доступом и информационными потоками в современных компьютерных системах (КС). Данная задача возникает как при теоретическом анализе безопасности КС с применением их формальных моделей, так и при тестировании механизмов защиты КС с использованием процедур, методов и средств автоматизации и компьютерного моделирования. На необходимость формализации процедур оценки безопасности, разработки общих методологий и моделей угроз безопасности КС указывается в «Концепции оценки соответствия автоматизированных систем требованиям безопасности информации» [65]. Более того, в соответствии с «Критериями оценки безопасности информационных технологий» [18, 19, 20, 49] для КС с высоким уровнем доверия обязательным является разработка формальной модели их политики- безопасности управления доступом и информационными потоками.

Как правило, для теоретического анализа и обоснования безопасности КС используется подход, основанный на применении классических моделей [6, 51] Take-Grant, Белла-ЛаПадулы, систем военных сообщений, ролевого управления доступом, а также субъектно-ориентированной модели изолированной программной среды (ИПС) [66] и семейства ДП-моделей [50]. С их использованием анализируется безопасность управления доступом и информационными потоками в КС с дискреционным, мандатным или ролевым управлением доступом. Последние две модели адекватно описывают безопасность КС с функционально ассоциированными с субъектами сущностями. При этом ни в одной из известных автору моделей не рассматриваются параметрически ассоциированные с субъектами сущности и не учитывается возможность нарушения безопасности КС при реализации запрещенных информационных потоков по памяти от таких сущностей, что не позволяет моделировать политики управления доступом и информационными потоками в реальных КС.

Другой подход, используемый для анализа безопасности управления доступом и информационными, потоками в КС, ориентирован на построение потенциально возможных путей нарушения их безопасности с применением средств компьютерного моделирования систем обнаружения и предотвращения атак, систем автоматизированного выявления возможности проникновения, управления^ уязвимостями и анализа защищенности [4, 13, 15, 26, 33]. Как правило, данный подход основан на моделях формального описания и верификации политик безопасности или моделях анализа графов атак [25]. В этих моделях используются оригинальные определения элементов и механизмов защиты КС, а реализуемый математический аппарат часто недостаточен для анализа условий нарушения безопасности КС и формального обоснования методов и механизмов их защиты. В то же время известны модели [6, 40]; сочетающие теоретический подход к обоснованию безопасности КС с практическим моделированием условий ее нарушения.

Таким образом, можно сказать, что существующие теоретические модели безопасности, как правило, не позволяют в полной мере учесть существенные особенности функционирования существующих КС, реализующих механизмы управления доступом и информационными потоками (включая механизмы криптографической и стеганографической защиты, а также механизмы защиты файловых систем и web-приложений), в том числе заключающиеся в наличии у субъектов КС параметрически ассоциированных сущностей, а имеющийся математический аппарат, используемый при компьютерном моделировании безопасности современных КС, недостаточен для-ее теоретического анализа.

Цель работы. Обеспечение безопасности дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными с субъектами сущностями.

Объект исследования — КС, реализующие дискреционное управление доступом и информационными потоками.

Предмет исследования - математические модели безопасности дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными с субъектами сущностями.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

- создание математической модели безопасности дискреционного управления доступом и информационными потоками в современных КС с функционально или параметрически ассоциированными с субъектами сущностями;

- разработка методов теоретического анализа и обеспечения безопасности КС с дискреционным управлением доступом с функционально или параметрически ассоциированными с субъектами сущностями;

- исследование возможности применения разработанного математического аппарата для обоснования и для тестирования безопасности КС с дискреционным управлением доступом.

Методы исследования. В диссертации используются основные элементы теории компьютерной безопасности, методы формального моделирования систем управления доступом и информационными потоками, методы дискретной математики и математической логики (графы, булевы функции, предикаты) и общей алгебры (множества, отношения).

Научная новизна. Разработана математическая модель, развивающая семейство дискреционных ДП-моделей и, в отличие от них, позволяющая анализировать безопасность управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными' с субъектами сущностями. В модели рассматривается новый вид сущностей -параметрически ассоциированных с субъектами КС, устанавливаются и обосновываются необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту, строится алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока и разрабатываются методы их предотвращения.

Достоверность полученных результатов. Все полученные в диссертации теоретические результаты имеют строгое математическое обоснование в форме теорем. Корректность построения предложенной, теоретической модели подтверждена погружением в неё некоторых известных моделей безопасности, применяемых на практике. Кроме того, разработанная модель была использована для анализа безопасности современных реальных КС.

Теоретическая значимость. В диссертации разработаны математические модели, методы и алгоритмы для теоретического анализа безопасности дискреционного управления доступом и информационными потоками в современных КС. Они могут быть использованы и уже используются в дальнейших исследованиях по теории компьютерной безопасности.

Практическая значимость. Предложенные модели, методы и алгоритмы можно использовать на практике для формального анализа уязвимостей и моделирования дискреционных политик управления доступом и информационными потоками в КС с высоким уровнем доверия к их безопасности, а также для разработки методов управления, администрирования и настройки параметров КС, позволяющих обеспечить защиту от нарушения их безопасности.

Основные результаты, выносимые на защиту. Дискреционная ДП-модель компьютерных систем с функционально или параметрически ассоциированными с субъектами сущностями, в рамках которой-предложены и теоретически обоснованы:

- необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту;

- метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту;

- алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока;

- метод предотвращения утечки права доступа или реализации запрещенного информационного потока без знания и изменения реализации субъектов.

Внедрение результатов исследований. Результаты диссертации внедрены:

1) в ФГНУ «ГНТЦ «Наука»» при проведении исследований по теме «Навет Ф»: «Комплексное исследование подсистемы безопасности операционных систем типа Microsoft Windows Vista»;

2) в Томском отделении № 8616 Сбербанка России* ОАО при разработке и при обосновании безопасности технологической схемы файлового обмена между корпоративной локальной вычислительной сетью (ЛВС) банка и сегментом сети Интернет на базе шлюза прикладного уровня;

3) в курсы лекций' «Теоретические основы компьютерной безопасности», «Анализ безопасности компьютерных систем», «Защита-в компьютерных сетях» для студентов кафедры защиты информации и криптографии Томского государственного университета, обучающихся по специальности 090102 «Компьютерная безопасность».

Личный вклад автора. Все результаты, представленные в диссертационной работе, получены автором лично.

Апробация работы. Результаты диссертации докладывались и получили одобрение на^ Сибирской научной школе-семинаре с международным участием «Компьютерная безопасность и криптография» - SibeCrypt (п. Шушенское, 2006 г., г. Горно-Алтайск, 2007 г. и г. Красноярск, 2008 г.), на семинарах управления безопасности и защиты информации Сибирского банка Сбербанка России ОАО, на семинаре кафедры комплексной информационной безопасности электронно-вычислительных систем Томского университета систем управления и радиоэлектроники и на совместных научных семинарах кафедр защиты информации и криптографии, программирования, информационных технологий в исследовании дискретных структур Томского государственного университета.

Публикации. Основные результаты диссертации опубликованы в статьях [67 - 73], в, том числе 1 публикация [71] в журнале из перечня, рекомендованного ВАК для' опубликования результатов кандидатских диссертаций.

Структура и объём диссертации. Диссертация состоит из введения, четырех глав, заключения, библиографии, включающей 73 наименования, и приложения; изложена на 127 страницах, содержит 7 иллюстраций-и 4 таблицы.

Результаты работы могут быть использованы на практике в КС с дискреционным управлением доступом с функционально или параметрически ассоциированными с субъектами сущностями для формального анализа уязвимостей, для формального моделирования политик управления доступом и информационными потоками и для разработки методов управления, администрирования и настройки параметров КС, позволяющих обеспечить защиту от нарушения ее безопасности.

Заключение

В данной диссертационной работе рассмотрены вопросы создания и применения математических моделей дискреционного управления доступом и информационными потоками для разработки и для анализа безопасности КС с функционально или параметрически ассоциированными с субъектами сущностями. Получены следующие основные результаты.

1. Разработана дискреционная ФПАС ДП-модель КС, в рамках которой обоснованы необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту.

2. Предложен метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту в рамках ФПАС ДП-модели КС.

3. Построен алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока в ФПАС ДП-модели КС.

4. Разработан и теоретически обоснован метод предотвращения утечки права доступа или реализации запрещенного информационного потока в рамках ФПАС ДП-модели КС без знания и изменения реализации субъектов.

5. Показана возможность применения ФПАС ДП-модели для анализа безопасности управления доступом и информационными потоками в современных сетевых КС с уязвимостями.

1. Amenaza. A Quick Tour of Attack Tree Based Risk Analysis Электронный ресурс.. - Режим доступа : http://www.amenaza.com

2. Amman, P. Using Model Checking to Analyze Network Vulnerabilities / P. Amman, R. Ritchey // Proc. of the 2000 IEEE Symposium on Security and Privacy. 2000. - P. 156 - 165.

3. Ammann, P. Scalable Graph-Based Network Vulnerability Analysis / P. Am-mann, D. Wijesekera, S. Kaushik // Proc. of the 9th ACM Conference on Computer and Communications Security / New York: ACM Press. 2002. -P. 217-224.

4. Artz, M. NETspa, A Network Security Planning Architecture: M.S. Thesis / M. Artz; Cambridge / Massachusetts Institute of Technology. 2002.

5. Bell, D. E. Secure Computer Systems: Unified Exposition and Multics Interpretation / D. E. Bell, L. J. LaPadula // Bedford, Mass.: MITRE Corp. -1976. MTR-2997. - Rev. 1.

6. Bishop, M. Computer Security: Art and Science / M. Bishop. ISBN 020144099-7, 2002. -1084 p.

7. Bishop, M. Extending the Take-Grant Protection System / M. Bishop, J. Frank; University of California at Davis / Department of Computer Science. -1984.

8. Camtepe, B. A Formal Method for Attack Modeling and Detection: TR-06-01 / S. Camtepe, B. Yener; Rensselaer Polytechnic Institute / Computer Science Department. 2006.

9. Core Impact Электронный ресурс. Режим доступа : http://coresecurity.com.

10. Cullum, J. Perfomance Analysis of Automated Attack Graph Generation Software: Master's Thesis / J. Cullum; Naval Postgraduate School. Monterey, California, 2006.

11. Dacier, M. A Petri Net Representation.of the Take-Grant Model / M. Dacier I I 6th IEEE Computer Security Foundations Workshop CSFW'93 / Franconia, New Hampshire, USA, 1993.

12. Dacier, M. Privilege graph: an extension to the Typed Access Matrix model / M. Dacier, Y. Deswarte // Computer Security ESORICS 94, Third European Symposium on Research in Computer Security / Brighton, UK, 1994.

13. Danforth, M. Models for Threat Assessment in Networks: PhD dissertation / M. Danforth; Davis / University of California, 2006.

14. Futoransky, A. Building'Computer Networks Attacks Электронный,ресурс. / A. Futoransky Режим* доступа : http://www.coresecurity.com/files/ attachments/FutoranskyNotarfrancescoRicharteSarrauteNetworksAttacks 2003.pdf

15. Gorodetski, V. Attacks Against Computer Network: Formal Grammar-based Framework and Simulation Tool / V. Gorodetski, I. Kotenko // Lecture Notes in Computer Science. Vol. 2516.

16. Harrison, M. Protection in> Operating Systems / M: Harrison, W. Ruzzo, J. Ullman // Communication of ACM, 19(8). 1976. - P. 461 - 471.

17. Herzog, P. Open-source Security Testing Methodology Manual Электронный ресурс. / P. Herzog Режим доступа: http://osstmm.org.

18. Information technology Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. - ISO/IEC 15408-1, 1999.

19. Information technology Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements. - ISO/IEC 15408-2, 1999.

20. Information, technology Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements. - ISO/IEC 15408-3, 1999.

21. Information systems security assessment framework Электронный ресурс. Режим доступа: http://oissg.org.

22. Jones, A. A-Linear Time Algorithm for Deciding Security / A. Jones, R. Lip-ton, L. Snyder // Proc. 17th Annual Symposium on the Foundations of Computer Science. 1976. - P. 33 - 41.

23. Jajodia, S. Topological Analysis of Network Attack Vulnerability / S. Jajodia, S. Noel, B. O'Berry // Managing Cyber Threats: Issues, Approaches and Challenges, 2003.

24. Lanawehrm, E. A Security Model for Military Message Systems / E. Lanawehrm, L. Heitmeyer, J. McLean // ACM Trans / On Computer Systems. -Vol. 9, № 3. P. 198-222.

25. Lippmann, R. P. An Annotated Review of Past Papers on Attack Graphs Technical Report ESC-TR-2005-054 / R. P. Lippmann, K. W. Ingols; Lexington / MIT Lincoln Laboratory, 2005.

26. Lippmann, R.P. Evaluating and Strengthening Enterprise Network Security Using Attack Graphs: Technical Report ESC-TR-2005-064 / R.P. Lippmann, K.W. Ingols; Lexington / MIT Lincoln Laboratory, 2005.

27. McDermott, J. P. Attack Net Penetration Testing / J. P. McDermott // Proc. of the 2000 Workshop on New Security Paradigms / New York: ACM Press, 2001.-P. 15-21.

28. McLean, J. The Specification and Modeling of Computer Security / J. McLean, D. John // Computer. 1990. - Vol. 23. - No. 1.

29. McNab, C. Network Security Assessment, second edition / C. McNab. -ISBN-10:0-596-51030-6, 2007.-478 p.

30. Technical Guide to Information Security Testing and Assessment. Recommendations of the National Institute of Standards and Technology / M. Souppaya et al. 2008.

31. Ou, X. MulVAL: A Logic-based Network Security Analyzer / X. Ou, S. Go-vindavajhal, A. Appel // In 14th USENIX Security Symposium / Baltimore, MD, USA.-2005.

32. Ou, X. A Scalable Approach to Attack Graph Generation / X. Ou, W. Boyer, M. McQueen // Proc. of the 13th ACM conference on Computer and communications security. 2006.

33. Phillips, C. A Graph-Based System for Network-Vulnerability Analysis / C. Phillips, L. Swiler L // Proc. of the New Security Paradigms Workshop / Charlottesville. 1998.

34. Ramakrishnan, C. Model-Based Analysis of Configuration Vulnerabilities / C. Ramakrishnan, R. Sekar // Journal of Computer Security. V.10. - №.1 - 2. -2002.-P. 189-209.

35. Sandhu, R. The Typed Access Matrix Model / R. Sandhu // Proc. 1992 IEEE Symposium on Research in security and Privacy. 1992. - P. 122-136.

36. Sandhu, R. Rationale for the RBAC96 Family of Access Control Models / R. Sandhu // Proc. of the 1st ACM Workshop on Role-Based Access Control. -1997.

37. Sandhu, R. Role-Based Access Control / R. Sandhu // Advanced in Computers / Academic Press. 1998. - Vol. 46.

38. Schneier, B. Attack Trees / B. Schneier // Dr. Dobbs Journal. 1999.

39. Network Vulnerability Analysis Thorough Vulnerability Take-Grant Model /th

40. H. R. Shahriary et al. // Proc. of 7 International Conference on Information and Communications Security. 2005.

41. Sheyner, O. Scenario Graphs and Attack Graphs: Ph.D. dissertation / O. Sheyner; Carnegie Mellon University. Pittsburgh, 2004.

42. The Killer Web App. / C.A. Shiller et al. ISBN-10: 1-59749-135-7. -2007.-459 p.

43. Computer-Attack Graph Generation Tool / L. P. Swiler et al. // Proc. of the Second DARPA Information Survivability Conference & Exposition (DISCEX II) / Los Alamitos, California, IEEE Computer Society. 2001. -V. II.-P. 307-321.

44. Templeton, S. A Requires/Provides Model for Computer Attacks / S. Templeton, K. Levitt // Proc. of the 2000 Workshop on New Security Paradigms / New York: ACM Press. 2001.

45. Брагг, P. Система безопасности Windows 2000 / P. Брагг; пер. с англ. -М.: Издательский дом «Вильяме». 2001. - 592 е.: ил.

46. База уязвимостей SecurityFocus Электронный ресурс. Режим доступа: http://www.securityfocus.com/bid.

47. База уязвимостей NVD Электронный ресурс. Режим доступа: http://nvd.nist.gov.

48. Буренин, П.В. Подходы к построению ДП-модели файловых систем / П.В. Буренин // Прикладная дискретная математика. 2009. - №1(3). - С. 93-113.

49. Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий : в 3 ч. Электронный ресурс. Режим доступа: http://www.fstec.ru/razd/ispo.htm.

50. Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П. Н. Девянин. М.: Радио и связь, 2006. - 176 с.

51. Девянин, П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. Заведений / П. Н. Девянин. М.: Издательский центр "Академия", 2005. - 144 с.

52. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин и др.. М.: Радио и связь, 2000. - 192 с.

53. Зегжда, Д. П. Основы безопасности информационных систем / Д.П. Зег-жда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

54. Касперский, К. Техника сетевых атак. Том 1: Приемы противодействия / К. Касперский. М.: СОЛОН-пресс, 2001. - 400 с.

55. Каталог уязвимостей CVE Электронный ресурс. Режим доступа : http://cve.mitre.org.

56. Кнут, Д. Искусство программирования для ЭВМ / Д. Кнут. М: Мир, 1976.-т. 1.-736 с.

57. Искусство взлома и защиты систем / Козиол, Дж. и др.. СПб.: Питер, 2006.-416 е.: ил.

58. Котенко, И.В. Интеллектуальная система анализа защищенности компьютерных сетей / И.В. Котенко, М.В. Степашкин, В.С* Богданов Электронный ресурс. Режим доступа : http://www.positif.org/docs/ SPIIRAS-NCAr06-Stepashkin.pdf.

59. Лепихин, В.Б. Сравнительный анализ сканеров безопасности. Функциональные возможности сканеров безопасности / В.Б. Лепихин, С.В. Гордейчик Электронный ресурс. Режим доступа : http://securitylab.ru/ analytics/downloads/secscanpt2.pdf.

60. Лепихин В.Б. Сравнительный анализ сканеров безопасности. Тест на проникновение Электронный ресурс. Режим доступа : http://www.itsecurity.ru/edu/actions/2008-pentest.zip.

61. Проскурин, В.Г. Защита в операционных системах: Учеб. пособие для вузов / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. М.: Радио и связь, 2000. - 168 с.

62. Робачевский, А. Операционная система UNIX / А. Робачевский. СПб.: БХВ-Петербург, 2000. - 528 с.

63. Сбербанк России- ОАО. Требования по обеспечению информационной безопасности в автоматизированных системах Сбербанка России. — М.: 2008.

64. ФСТЭК России. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации Электронный ресурс. -Режим доступа: http://www.fstec.ru/licen/015.pdf.

65. Щербаков, А. Ю. Введение в теорию и практику компьютерной безопасности / А. Ю. Щербаков М.: издатель Молгачева С.В. - 2001. - 352 с.

66. Колегов, Д. Н. Общая схема вероятностной поточной шифрсистемы / Д. Н. Колегов // Вестник Том. ун-та. Приложение. 2006. - № 17. — С.112115.

67. Колегов, Д. Н. Проблемы синтеза и анализа графов атак / Д. Н. Колегов // Вестник Том. ун-та. Приложение. 2007. - № 23. - С. 180 - 188.

68. Колегов, Д. Н. Применение ДП-моделей для анализа защищенности сетей / Д. Н. Колегов // Прикладная дискретная математика. 2008. - №1. -С. 71 -88.

69. Колегов, Д. Н. Расширение функциональности системы безопасности ядра Linux на основе подмены системных вызовов / М. А. Качанов, Д. Н. Колегов // Прикладная дискретная математика. 2008. - №2. - С. 76 -80.

70. Колегов, Д. Н. Анализ безопасности информационных потоков по памяти в компьютерных системах с функционально и параметрически ассоциированными сущностями / Д. Н. Колегов // Прикладная дискретная математика. 2009. - №1(3). - С. 117 - 126.

71. Колегов, Д. Н. Об использовании формальных моделей для анализа уязвимостей / Д. Н. Колегов // Прикладная дискретная математика. -2009. -№1(3). -С. 113-117.