автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Исследование и разработка методов реализации мандатных средств управления доступом в сетевых ОС семейства UNIX

кандидата технических наук
Хартиков, Денис Михайлович
город
Москва
год
2004
специальность ВАК РФ
05.13.11
Диссертация по информатике, вычислительной технике и управлению на тему «Исследование и разработка методов реализации мандатных средств управления доступом в сетевых ОС семейства UNIX»

Автореферат диссертации по теме "Исследование и разработка методов реализации мандатных средств управления доступом в сетевых ОС семейства UNIX"

УДК 004.451 На правах рукописи

DCtySc)

Хартиков Денис Михайлович

ИССЛЕДОВАНИЕ И РАЗРАБОТКА МЕТОДОВ

РЕАЛИЗАЦИИ МАНДАТНЫХ СРЕДСТВ УПРАВЛЕНИЯ ДОСТУПОМ В СЕТЕВЫХ ОС СЕМЕЙСТВА UNIX

05.13.11 - "Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей"

Автореферат диссертации на соискание ученой степени кандидата технических наук

Москва-2004

Работа выполнена в ЗАО "МЦСТ"

Научный руководитель: доктор технических наук,

профессор

Семенихин Сергей Владимирович

Официальные оппоненты: доктор физико-математических наук,

профессор

Петров Игорь Борисович

Ведущая организация: НИЦ-1 4 ЦНИИ МО РФ

Защита состоится «22» декабря 2004 г. в 13 ч. 00 мин. на

заседании диссертационного совета Д 002.043.01 при Институте Микропроцессорных Вычислительных Систем РАН по адресу: 117997, ГСП-7, г. Москва, Нахимовский проспект, д. з С корп. 1.

С диссертацией можно ознакомиться в библиотеке Института микропроцессорных вычислительных систем РАН.

Автореферат разослан 17 ноября 2004 г.

Ученый секретарь диссертационного совета:

кандидат технических наук, Добров Андрей Дмитриевич

Михайлюк М.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Массовое использование вычислительных систем для обработки информации выявило, кроме очевидных преимуществ, ряд новых проблем. Дело в том, что вычислительные мощности большинства современных компьютеров позволяют сразу нескольким пользователям одновременно обрабатывать в них разнообразную информацию, при этом вся вычислительная система используется наиболее рационально. Между тем необходимо обеспечить корректность этого процесса со стороны каждого из пользователей, а именно, нужно поддерживать в рамках системы защиту обрабатываемой информации.

Действительно, в общем случае не все пользователи должны и могут иметь в системе одинаковые права и возможности по обработке разнородной информации. Так, способность любого пользователя несанкционированно получить права неограниченного доступа ко всей информации в системе может привести к тому, что какая-либо важная и конфиденциальная ее часть будет случайно либо намеренно разглашена, искажена или уничтожена.

Для формализации требования к безопасности информационных систем правительство РФ разрабатывает и утверждает различные стандарты в области защиты информации. Стандарты строятся на основе общепризнанных научных и инженерных разработок в этой области. В частности, они определяют необходимый уровень безопасности вычислительных систем специального назначения, применяемых при обработке информации различной степени конфиденциальности в интересах государства, или для других критических приложений.

Защита от несанкционированного доступа к информации, естественно, возлагается в основном на сами системы, обрабатывающие и передающие информацию. Однако, развитие информационных систем, особенно в части программного обеспечения, происходило преимущественного эволюционно, что определялось необходимостью сохранения совместимости с их более ранними версиями. Таким образом, возникла ситуация, когда средства защиты информации в существующем программном обеспечении не могут в полной мере противостоять всем современным рискам. Более того, анализ современных вычислительных систем со всей очевидностью демонстрирует, что скорость расширения областей их применения значительно опережает темпы развития в них механизмов защиты информации. Следовательно, становится актуальной необходимость разработки эффективных дополнительных средств защиты, улучшающих показатели защищенности от несанкционированного доступа (НСД) к информации в существующем программном обеспечении, как наиболее критичном элементе современных ин

Разработку средств защиты принято начинать с построения формальной модели, описывающей их общие принципы и защитные свойства. Существуют два основных типа моделей: дискреционные и мандатные. Мандатные модели управления доступом применяются в вычислительных системах специального назначения, где требуется повышенная защита.

Вычислительные системы специального назначения строятся на базе защищенных операционных систем, которые и определяют выбор той или иной модели управления доступом. Защищенные операционные системы являются по своей сути модифицированными версиями серийных, среди которых в настоящее время доминируют ОС "MS Windows NT/2000/XP" фирмы Microsoft Corporation и множество разновидностей ОС UNIX. ОС "MS Windows", обладая удобным пользовательским интерфейсом, имеет репутацию менее надежной и масштабируемой системы, поэтому для защищенных применений различные версии UNIX, построенные на открытых стандартах, являются более приоритетными.

В наиболее развитые варианты защищенных операционных систем UNIXвстраивается мандатная модель Белла-ЛаПадулы (Bell-LaPadula model), что обусловлено высокими функциональными характеристиками защиты модели и формальными требованиям государственных стандартов. Однако она обладает рядом недостатков, на которые указывается в ряде работ. Для устранения некоторых из них уже существуют общепринятые подходы, но часть вопросов остается открытыми до настоящего времени.

При практических реализациях модель Белла-ЛаПадулы обычно напрямую встраивается в существующие операционные системы. При этом в большинстве случаев никак не учитываются недостатки модели и особенности архитектуры самих операционных систем. Такие реализации, как правило, характеризуются повышенной сложностью, отсутствием совместимости со стандартными версиями ОС и малой эффективностью.

Исходя из этого, целью диссертационной работы являлся анализ существующих способов реализации мандатной модели управления доступом к информации Белла-ЛаПадулы в защищенных операционных системах и последующая разработка методов более простой и эффективной реализации ее в ОС. При этом представлялось важным не только добиться удовлетворения требований действующих стандартов по защите информации, но и с максимальной полнотой учесть как особенности и недостатки модели Белла-ЛаПадулы, так и существующую архитектуру управления доступом к информации в ОС класса UNIX, которые наиболее часто используются при построении защищенных операционных систем. В соответствии с этим, были определены следующие основные задачидиссертационного исследования:

• Анализ мандатной модели управления доступом Белла-ЛаПадулы, включая варианты ее описания действующими нормативными документами в области информационной безопасности. Определение достоинств и недостатков модели по сравнению с другими мандатными моделями. Выявление существующих способов устранения этих недостатков.

• Анализ известных реализаций мандатной модели Белла-ЛаПадулы в ОС класса UNIX, определение их особенностей, достоинств и недостатков.

• Теоретическая разработка улучшенного, по сравнению с известными аналогами, способа интеграции модели Белла-ЛаПадулы в ОС UNIX.

• Практическая реализация разработанного способа интеграции мандатного управления доступом для одной из операционных систем класса UNIX.

Таким образом, объектом исследований являлось основанное на модели Белла-ЛаПадулы мандатное управление доступом к информации в операционных системах, а предметом исследований были способы интеграции этой модели в ОС класса UNIX.

Для достижения указанной цели, в диссертационной работе применялись следующие методы исследований:

• Анализ обоснования классической модели Белла-ЛаПадулы, имеющегося в научных публикациях ее авторов, а также изучение критических работ по этой теме.

• Анализ требований международных и отечественных стандартов в области защиты информации с целью конкретизации заложенного в них представления модели Белла-ЛаПадулы.

• Анализ архитектуры систем защиты в стандартных версиях ОС UNIX на основе изучения технической литературы, документации и доступных исходных текстов этой системы.

• Анализ известных реализаций модели Белла-ЛаПадулы в ОС класса UNIX на основании доступной технической документации и, в ряде случаев, исходных текстов таких систем.

• Синтез при помощи полученных ранее результатов улучшенной, по сравнению с известными аналогами, схемы интеграции модели Белла-ЛаПадулы в ОС UNIX.

• Практическая реализация полученной схемы мандатного управления доступом в одной из ОС иМ1Хдля доказательства ее эффективности и жизнеспособности.

Научная новизна работы. К составляющим научную новизну диссертационной работы решениям можно отнести:

• Схему организации мандатного управления доступом к файловым объектам в ОС UNIX на основе связывания классификационной метки объекта с его субъектом-владельцем.

• Метод ограничения доступных для субъектов уровней секретности информации посредством введения дополнительных атрибутов безопасности для субъектов.

• Схему организации «локально-асимметричного» мандатного управления доступом в сетях TCP/IP на основе назначения классификационных меток объектов /Р-адресам компьютеров и логическим сетевым портам.

• Метод контроля и изменения разрешенных потоков информации в системе с мандатным управлением доступом посредством введения дополнительных атрибутов безопасности для объектов.

Результаты работы, выносимые на защиту. В диссертационной работе рассматриваются и решаются проблемы повышения эффективности, простоты и совместимости при реализации мандатной модели управления доступом Белла-ЛаПадулы в операционных системах семейства UNIX.

В процессе проведения диссертационных исследований автором получены следующие основные научные результаты:

• Разработана и реализована схема интеграции мандатного управления доступом для файловых объектов в ОС UNIX.

• Разработана и реализована схема организации мандатного управления доступом в сетях TCP/IP.

• Разработаны и реализованы методы поддержания целостности обрабатываемой информации, дополняющие модель Белла-ЛаПадулы.

В рамках работы, полностью реализована действующая версия подсистемы мандатного управления доступом для ОС UNIX, функционирующая на уровне ядра системы и подтверждающая выносимые на защиту результаты.

Теоретическая значимость работы заключается в следующем:

• Разработан принцип назначения атрибутов безопасности объектов, не охваченный классической моделью Белла-ЛаПадулы. В его основу положены базовые свойства архитектуры ОС UNIX.

• Показана более высокая по сравнению с известными реализациями логическая совместимость архитектурных элементов защиты информации в ОС UNIXu модели Белла-ЛаПадулы.

• Выявлена логическая совместимость архитектуры сетевых протоколов TCP/IP и модели Белла-ЛаПадулы.

Практическая ценность результатов исследований состоит в возможности реализации на их основе такой подсистемы мандатного управления доступом для любой ОС из семейства UNIX, которая не только полностью удовлетворяет требованиям действующих нормативных документов в области защиты информации, но и обладает высокой эффективностью и полной совместимостью на уровне форматов данных и протоколов со стандартными версиями этих операционных систем. Кроме того, предложенные схемы мандатного управления доступом допускают простую реализацию, что одновременно повышает уровень надежности всей системы защиты.

Описанный в диссертационной работе улучшенный способ интеграции мандатной модели Белла-ЛаПадулы в ОС класса UNIX был практически реализован в виде подсистемы мандатного управления доступом для операционной системы "Solaris 2.5.I". Полученная в результате этого защищенная версия ОС "Solaris 2.5.1" успешно прошла сертификацию на соответствие требованиям действующих стандартов для средств вычислительной техники (СВТ) 2-го класса защищенности от НСД к информации и была внедрена в состав общего программного обеспечения вычислительного комплекса «Эльбрус-90 микро».

Апробация материалов диссертационной работы проходила на XXI научно-технической конференции войсковой части 03425 (г. Москва, 2003 г.) и IXСанкт-Петербургской международной конференции «Региональная информатика-2004» («РИ-2004», г. Санкт-Петербург, 2004 г.), где докладывались ее основные положения. Ключевые элементы работы обсуждалась на ряде научно-тематических семинаров ЗАО «МЦСТ» и ИМВС РАН, а также с представителями заказчика и сертифицирующей организации при утверждении технического проекта по увеличению степени защищенности вычислительного комплекса «Эльбрус-90 микро» от несанкционированного доступа к информации. Часть материалов работы была использована в июне 2004 г. при чтении курса лекций «Вычислительный комплекс «Эльбрус-90 микро». Функционирование,

диагностика и техническое обслуживание», которое проходило в ЗАО «МЦСТ» (г. Москва) с целью повышения квалификации инженерно-технических работников.

Публикации. По теме диссертационной работы опубликованы шесть печатных работ. Кроме того, многие материалы работы вошли в состав проектной, опытно-конструкторской и эксплуатационной документации общего программного обеспечения вычислительного комплекса «Эльбрус-90 микро».

Структура и объем работы. Диссертация состоит из введения, трех глав, заключения и шести приложений. Диссертация содержит 114 страниц, 26 иллюстраций (14 - в приложениях) и одну таблицу (в приложении). Список литературы насчитывает 68 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении определяется круг вопросов, возникающих при защите информации от несанкционированного доступа в современных вычислительных системах, и общие пути их решения. Обосновывается актуальность выбранной темы диссертационной работы и рассматривается степень научной разработанности затрагиваемых проблем. Далее ставится цель диссертационной работы и формулируются задачи, решаемые для ее достижения. Затем определяются объект и предмет исследования, перечисляются его методы. Кроме того, во введении приведена краткая характеристика структурных этапов работы и ее основных результатов.

Первая глава посвящена принципам управления доступом к информации в операционных системах. Сначала поясняется суть проблем управления доступом и базовые подходы к их решению, затрагиваются вопросы их стандартизации. Далее рассматриваются основные модели безопасности и область их применения. Подробно описывается мандатная модель Белла-ЛаПадулы, обеспечивающая высокие характеристики защиты. Приводится анализ недостатков этой модели и способов их устранения. Главу завершает подробный анализ доступных реализаций модели в различных версиях ОС UNIX. Делаются выводы о преимуществах и недостатках этих реализаций, а также о возможности их применения в нашей стране.

В контексте функций, выполняемых вычислительной системой, под защитой информации принято понимать свойство системы исключать или существенно затруднять возможности пользователей случайно, либо намеренно, вызвать утечку (разглашение), искажение или уничтожение

важной информации, в обход установленных правил ее обработки. Эти правила называются политикой безопасности.

Общепринятый подход к системе защиты состоит в том, что она должна быть проста и компактна, а принципы ее функционирования открыты и доступны для исследований. Естественно предполагается, что защита не должна значительно снижать производительность компьютера и затруднять работу пользователей.

Задачи защиты информации решаются введением в системное программное обеспечение - операционные системы - специальных средств. Разработку средств защиты принято начинать с построения формальной модели, описывающей их общие принципы и защитные свойства. Она базируется на абстрактном представлении работы любой вычислительной системы, как набора обращений субъектов к объектам, в которых субъект - это активный компонент вычислительной системы (пользователь, задача, процесс), а объект - пассивный компонент, представляющий единицу хранения обрабатываемой информации. Всякое обращение субъекта определяется как доступ к информации объекта. Доступ - это элементарные операции по обработке информации, такие как чтение, запись и т.д. Таким образом, обеспечение защиты информации в операционной системе сводится к осуществлению управления при всяком доступе субъектов к объектам. Механизмы контроля определяются правилами, которые задаются моделью управления доступом, адекватной необходимому уровню защиты. Используются две базовые концепции управления доступом: дискреционное и мандатное.

Дискреционная модель предполагает, что для каждого объекта в системе определен субъект-владелец. Он может самостоятельно устанавливать необходимые права доступа к любому из своих объектов для остальных субъектов, в том числе и для себя самого.

Мандатное управление доступом устанавливает гораздо более строгие правила определения прав доступа субъектов к объектам. Оно предполагает, что на основании требуемой политики безопасности некоторый выделенный привилегированный субъект - администратор мандатного управления доступом - определяет необходимые, и согласованные с политикой безопасности, права доступа каждого из субъектов, к каждому из объектов. Никакой другой субъект системы не может устанавливать или изменять свои, либо чьи-то еще права доступа к объектам. В такой системе права доступа пользователей определяются, прежде всего, интересами безопасности владельца всей системы.

Наиболее известной и эффективной мандатной моделью является модель Белла-ЛаПадулы. Она назначает каждому субъекту и каждому объекту специальные атрибуты безопасности - классификационные метки.

Классификационные метки содержат иерархические компоненты, задающие уровень секретности информации. Для обеспечения защиты информации от несанкционированного доступа, модель накладывает жесткие ограничения на процессы доступа субъекта к объекту в системе. Ограничения базируются на отношении уровней секретности субъекта и объекта, и называются мандатными свойствами защиты.

Модель Белла-ЛаПадулы имеет следующие два свойства защиты:

• ss-property - субъект может получить доступ по чтению к объекту, только если его уровень секретности больше или равен уровню секретности объекта (read down);

• property - субъект может получить доступ по записи к объекту, только если его уровень секретности меньше или равен уровню секретности объекта (write up).

Общее правило модели представлено на рис. 1: все потоки информации в системе должны проходить в сторону неуменьшения ее уровня секретности, или - "write up - read down ".

Поддержка определяемых моделью Белла-ЛаПадулы принципов управления доступом в защищенных вычислительных системах является обязательным требованием стандартов РФ в области информационной безопасности.

Недостатками модели Белла-ЛаПадулы считаются:

• Излишняя строгость. Модель в классическом виде непрактична, так как накладывает строгие ограничения на допустимые потоки информации. В реальных системах в модель вводятся административные субъекты-посредники, которые позволяют передавать информацию в сторону уменьшения ее уровня секретности (с точки зрения модели) не нарушая при этом политики безопасности.

• Модель не решает проблемы скрытых каналов (covert channels), когда субъекты могут свободно обмениваться информацией, в реальном времени воздействуя на некоторые параметры вычислительной системы (загрузка, внешняя память и т.п.) и считывая их значения. В большинстве реальных систем скрытые каналы считаются неэффективными, и ими просто пренебрегают, но особо важные вычислительные системы должны включать средства защиты от скрытых каналов.

• Модель не решает проблему обеспечения целостности (integrity) обрабатываемой информации, допуская произвольное повышение уровня секретности любой недостоверной информации. Эта проблема решается в реальных вычислительных системах путем введения дополнительных моделей безопасности, например, модели Биба.

• Модель не определяет принципов управления своими механизмами безопасности и правил назначения атрибутов безопасности субъектам и объектам. Общепринятых подходов к решению этой проблемы выявить не удалось, более того, она часто остается без внимания разработчиков систем защиты.

Анализ доступных реализаций мандатного управления доступом -модели Белла-ЛаПадулы - для операционных систем класса UNIX проводился как среди систем, построенных на базе открытых исходных текстов, так и наиболее развитых коммерческих продуктов. Его результаты показывают, что открытые проекты защищенных систем на базе ОС "Linux" и ОС "FreeBSD" не могут быть отнесены к разряду завершенных. Кроме того, они базируются на установках политики безопасности, которые не могут удовлетворить существующим в РФ стандартам. Однако ситуация может измениться со временем, так как эти системы достаточно

быстро развиваются. Коммерческие системы ОС "Trusted Solaris" фирмы Sun Microsystems, Inc. и ОС "Trusted IRIX/B" фирмы Silicon Graphics, Inc. являются гораздо более совершенными в техническом плане, но их использование на территории РФ затруднено в силу экспортных ограничений правительств стран-производителей. К сожалению, не была найдена открытая техническая информация о российской защищенной операционной системе МСВС 3.0.

Возвращаясь к техническим результатам проведенного анализа, следует отметить, что даже наиболее совершенные из доступных реализаций модели Белла-ЛаПадулы в ОС класса UNIX часто не учитывают всех особенностей и недостатков модели, а также механизмы функционирования и элементы защиты, уже имеющиеся в UNIX. Организация управления доступом при сетевом взаимодействии в ОС также выявляет ряд проблем. Таким образом, существует необходимость разработки более простой и эффективной реализации модели, адресующей эти проблемы и соответствующей действующим стандартам.

Во второй главе, с использованием результатов первой главы, предлагается новый способ интеграции мандатного управления доступом в UNIX, обладающий рядом преимуществ по сравнению с известными аналогами. Для этого определяются субъекты и объекты доступа, а также методы доступа, применительно к ОС UNIX. Далее подробно рассматривается и обосновывается улучшенная схема интеграции мандатных правил разграничения доступа, которая просто и эффективно охватывает как объекты файлового типа, так и объекты сетевого взаимодействия. Приводятся способы устранения ограничений, имеющихся в предложенной схеме.

Для корректной реализации мандатной модели в UNIX сначала необходимо определить всех субъектов и все объекты, на которых распространяется мандатное управление доступом в этой системе. Затем следует описать для нее методы доступа субъектов к объектам и правила их разграничения.

Субъекты доступа. Субъектами ОС UNIX являются пользователи этой системы, которые могут находиться в одном из двух состояний:

• анонимный субъект - субъект, не прошедший регистрации в ОС;

• определенный субъект - субъект, прошедший регистрацию в ОС.

Для мандатного управления доступом важен только определенный субъект. Он представлен в ОС одним или несколькими процессами, исполняемыми с определенными полномочиями по доступу к объектам,

которые определяются административными регистрационными записями для этого пользователя.

В качестве субъекта может выступать ядро ОС, однако оно содержит существенную часть средств защиты системы, что предполагает корректность доступа к объектам с точностью до ошибок реализации. Таким образом, свойства ядра ОС как субъекта далее можно не рассматривать.

Объекты доступа. Особенностью операционных систем семейства UNIX является представление большинства объектов в виде объектов файлового типа, отображаемых в глобальное пространство имен (global namespace). Таким образом, взаимодействие субъектов с большинством объектов происходит через интерфейс виртуальной файловой системы и, затем, через интерфейс некоторой частной файловой системы, отвечающей за работу с конкретным типом объектов. Остальные объекты в системе связаны с сетевыми взаимодействиями и будут рассмотрены отдельно.

Методы доступа. Под доступом субъектов к объектам будем для общности изложения понимать любое взаимодействие субъекта с объектом. При мандатном управлении доступом рассматриваются следующие типы доступа:

• чтение, т.е. передача данных от объекта к субъекту;

• запись, т.е. передача данных от субъекта к объекту.

Чтение и запись здесь рассматриваются в самом общем виде, как передача информации: например, с точки зрения мандатной модели, посылка асинхронного сигнала от одного процесса другому — это доступ по записи ко второму процессу, как к объекту. В рамках ОС можно найти еще множество подобных примеров. Такой подход более удобен, чем выделение специальных типов доступа.

Схема мандатных правил разграничения доступа (ПРД).

Согласно классической модели Белла-ЛаПадулы, каждый объект в системе имеет одну, и только одну, классификационную метку. Однако можно предложить несколько схем такой организации системы.

АтриВугы безопасности cyfifaeiTai

Рис. 2. Обычный способ мандатного управления доступом в ОС UNIX.

Применяемая в коммерческих защищенных ОС "Trusted Solaris" и ОС "Trusted IRIX/B" схема мандатного управления доступом предполагает, что классификационная метка для объекта размещается в метаданных этого объекта, как показано на рис 2. Такой подход требует весьма сложной и трудоемкой модификации служебных структур данных для объектов, введение в ОС новых интерфейсов их управления, а в случае файловых объектов, это приводит к потере совместимости со стандартными файловыми системами. Значительную сложность здесь представляют процедуры экспортирования и импортирования меток вместе с объектами системы. Это часто означает потерю совместимости и в коммуникационных протоколах.

Использование естественного подхода к управлению доступом в ОС UNIX и фундаментальным свойствам этой системы позволяет предложить улучшенную схему интеграции мандатной модели Белла-ЛаПадулы в систему, учитывающую механизмы и элементы защиты, уже имеющиеся в UNIX.

Рис. 3. Новый способ мандатного управления доступом в ОС UNIX.

Базовые принципы функционирования дискреционного управления доступом в ОС КШУпредполагают, что информация, хранимая в объекте, принадлежит субъекту-владельцу этого объекта. Разумно расширить такой подход и для мандатной модели: степень секретности информации связана с ее владельцем. Таким образом, классификационную метку объекта, как это показано на рис. 3, можно однозначно связать с пользовательским идентификатором субъекта-владельца объекта, определив одновременно принцип назначения атрибутов безопасности объектов в реализации модели Белла-ЛаПадулы. Смена классификационной метки для объекта при этом эквивалентна в ОС смене владельца этого объекта.

Перечислим основные преимущества такой схемы мандатного управления доступом по сравнению с известными аналогами:

• Схема имеет простую, а следовательно, более надежную реализацию в ОС класса UNIX.

• Сохраняется совместимость со стандартными интерфейсами ОС и файловыми системами.

• Процедуры экспортирования и импортирования меток объектов при экспортировании и импортировании объектов выполняются автоматически и «прозрачно» для пользователей. Сохраняется совместимость для всех коммуникационных протоколов.

• Не происходи г ухудшения производительности системы.

• Мандатное управление доступом осуществляется в системе полностью независимо, т.е. соответствующая функциональность может быть легко включена или выключена.

Эта схема имеет определенные ограничения. Основное из них состоит в том, что все объекты, принадлежащие конкретному пользователю, будут всегда иметь одну, и только одну, классификационную метку. Однако оно легко устраняется заведением «фиктивных» пользователей в ОС. Учетные записи этих пользователей в системе заблокированы, функционально используется только их уникальные идентификаторы. Таким пользователям назначаются требуемые классификационные метки объектов. Затем владельцем объекта может быть назначен какой-либо «фиктивный» пользователь с требуемой классификационной меткой.

Далее рассмотрим объекты ОС, участвующие в сетевых взаимодействиях и не отображаемые в глобальное пространство имен системы.

Проведенный анализ показал, что схема поддержки сетевого взаимодействия при мандатном управлении доступом в коммерческих защищенных ОС "Trusted Solaris" и ОС "Trusted IRWB" обладает рядом недостатков. В этих системах сетевые объекты и субъекты не выделяются явно для управления доступом, вместо этого при передаче информации по сети одновременно передаются ее атрибуты безопасности -классификационные метки. Таким образом, при запросе субъекта на доступ на удаленный компьютер передается метка этого субъекта вместе с информацией о запросе. Аналогично, при передаче информации из объекта передается также и классификационная метка этого объекта. Пример такой схемы управления доступом приведен на рис. 4.

Для передачи классификационных меток по сети используются расширения протоколов TCP/IP - опциональное увеличение служебной информации, передаваемой в пакетах данных, куда и помещаются метки. Сетевые интерфейсы ОС прикладного уровня расширяются возможностями добавлять классификационные метки к передаваемой информации и считывать метки для принимаемой информации. Одновременно и вся сетевая подсистема в ядре ОС модифицируется для поддержки описанных расширений протоколов TCP/IP.

Теряется совместимость со стандартными протоколами TCP/IP, и защищенная система не может работать в рамках обычной сети. На практике потеря совместимости гораздо сильнее, - так, ОС "Trusted Solaris" и ОС "Trusted IRJX/B" реализуют свои собственные расширения протоколов, несовместимые между собой. В составе защищенной системы могут работать либо только компьютеры с ОС "Trusted Solaris", либо только компьютеры с ОС "TrustedIRIX/B".

Теряется совместимость с сетевыми прикладными программами. Для поддержки изменившихся сетевых интерфейсов такие программы должны быть модифицированы, т.е. в своей работе они должны явно учитывать наличие мандатного управления.

Практическая реализация описанных изменений слишком сложна, что не позволяет достичь высокой надежности. Она требует значительных изменений на всех уровнях сетевого программного обеспечения в ОС, от конкретных приложений и системных библиотек до модулей ядра ОС. В частности, увеличивается сложность сетевой подсистемы в ядре ОС, что может добавить в нее новые ошибки.

Для создания более эффективной схемы управления доступом, обратимся к основным принципам работы сетевых протоколов TCP/IP. Архитектура этих протоколов разрабатывалась с учетом разбиения коммуникационной инфраструктуры на три логических составляющих: процессы, компьютеры и сети. Процессы, работающие на различных компьютерах, полагаются главными коммуникационными субъектами и объектами, они являются конечными точками при передаче информации по сети, которая служит при этом только "прозрачной" средой для передачи и не участвует в доступе. Именование компьютеров происходит явно на уровне протокола IP при помощи четырехбайтового адреса. Именование процессов (субъектов) на каждом из компьютеров происходит на уровне протоколов транспортного уровня UDP и TCP при помощи двухбайтового номера логического сетевого порта, задающего логический сетевой канал обмена информацией.

Рис. 5. Новый способ мандатного управления доступом в сети TCP/IP.

Заложенная в архитектуру протоколов TCP/IP и реализованная в ОС UNIX схема адресации субъектов и объектов при сетевом взаимодействии позволяет предложить весьма простую и эффективную «локально-асимметричную» схему мандатного управления доступом. Достаточно назначить каждому сетевому IP-адресу и каждой паре «логический номер сетевого порта/транспортный протокол (TCP или UDP)» соответствующую классификационную метку объекта. Теперь при

обращении любого сетевого приложения (субъекта) к определенному IP-адресу и логическому сетевому порту мандатный доступ может контролироваться локально, без дополнительных запросов по сети и передачи атрибутов безопасности, просто путем сравнения соответствующих классификационных меток субъекта и объекта. Такая схема представлена на рис. 5.

Достоинства этой схемы вполне очевидны:

• Не требуется модификация сетевых протоколов, сохраняется полная совместимость со стандартным стеком TCP/IP.

• Не требуется модификация прикладных сетевых интерфейсов системы, сохраняется совместимость с сетевыми приложениями.

• Практическая реализация этой схемы управления доступом проста и не требует значительных изменений в ОС.

• Мандатное управление доступом в сети происходит компактно, на компьютере-инициаторе доступа.

Очевидно, что предложенная модель доступа работает только в рамках полностью однородной сети с согласованной политикой безопасности, поскольку никак не контролируются входящие соединения и потоки информации. Управление доступом всегда производится на компьютере-инициаторе обмена, что и предполагает согласованность политики безопасности всех компьютеров в сети. Это, впрочем, в равной степени относится и к описанной ранее реализации коммерческих ОС.

Основное ограничение предложенной схемы мандатного управления доступом в сети - то, что каждый из сетевых объектов, определяемых IP-адресами компьютеров и логическими сетевыми портами, будет всегда иметь одну назначенную классификационную метку. Этим фиксируется потенциальный уровень мандатного доступа к информации, передаваемой по каждому из логических сетевых каналов. Однако, как уже указывалось, такая модель использования сетей TCP/IP предполагалась еще при проектировании их протоколов.

Перейдем к описанию классификационных меток субъектов.

Каждый процесс - определенный субъект - имеет в системе классификационную метку, равную классификационной метке пользователя, соответствующего действующему пользовательскому идентификатору (EUID) процесса. Для каждого пользователя системы, обладающего уникальным идентификатором, система хранит одну, и только одну, классификационную метку. Таким образом, и метка

субъекта, как и метка файлового объекта, однозначно связывается с идентификатором пользователя, см. рис. 3.

Новый процесс, создаваемый в ОС, получает классификационную метку своего предка. При изменении действующего идентификатора пользователя процесса изменяется, соответственно, и метка секретности процесса. Субъекты, за исключением администратора мандатной политики безопасности системы, не имеют права назначать и модифицировать какие-либо классификационные метки субъектов и объектов, в том числе и свои метки. Это строго определено мандатным принципом контроля доступа.

Далее в классическую модель Белла-ЛаПадулы вводятся средства поддержания целостности обрабатываемой информации. Для субъектов -это дополнительные атрибуты безопасности, ограничивающие максимальный и минимальный доступные им уровни секретности информации в объектах. Для объектов — это атрибут безопасности, определяющий один из девяти («write up - read down», «write equal — read equal», «write equal - read down», «no write - read down» и т.д.) разрешенных в системе потоков информации, связанной с объектом. Эти меры позволяют ограничить распространение недостоверной информации и избежать необходимости реализации модели Биба (см. ОС "Trusted IRIX/B") в системе.

В остальном модель практически не отличается от стандартной. При любой попытке субъекта осуществить доступ к объекту система сравнивает их классификационные метки на основании всех мандатных свойств защиты и правил управления доступом модели Белла-ЛаПадулы (см. выше), кроме того, учитываются доступные для субъекта уровни секретности и разрешенные для объекта потоки информации.

Отметим, что все предложенные схемы интеграции мандатного управления доступом в ОС класса UNIX не противоречат требованиям стандартов РФ в области информационной безопасности.

Третья глава посвящена вопросам практической реализации в ОС "Solaris 2.5.1" новых решений по интеграции мандатного управления доступом, описанных во второй главе. Таким образом, на практике обосновывается правильность и жизнеспособность предложенной модели для систем класса UNIX. Рассматриваются общая структура мандатной подсистемы и ее основные компоненты. Большое внимание уделяется точкам вызова по управлению доступом, интегрированным в ядро операционной системы. Исследуются особенности функционирования ряда стандартных системных пакетов и утилит ОС UNIX при мандатном управлении доступом. Рассматриваются администрирование мандатной подсистемы и работа пользователей при мандатном управлении доступом.

Описанная схема интеграции модели Белла-ЛаПадулы получила практическое применение в защищенной версии ОС "Solaris" для вычислительного комплекса «Эльбрус-90микро». Кратко рассмотрим основные элементы реализации.

Загружаемый модуль ядра ОС Jkamelisysftnacadm

Рис. 6. Общая структура реализации мандатной подсистемы в ОС UNIX.

Подсистема мандатного управления доступом, показанная на рис. 6, в комплексе средств защиты (КСЗ) ОС состоит из четырех компонент:

• Модуль ядра ОС macctl, обеспечивающий функции диспетчера доступа. Модуль содержит около 12300 строк на языке С.

• Служебная административная утилита (~3650 строк на языке С) и библиотека пользовательского уровня (~30000 строк на языке С), обеспечивающие настройку и управление модулем в ядре ОС, доступ к конфигурационным данным подсистемы и т.д. Файл сценария автоматического запуска мандатного управления доступом при старте ОС и останова при останове всей ОС.

• Набор конфигурационных файлов подсистемы мандатного управления доступом. Также поддерживается возможность размещения конфигурационных данных не в локальных файлах, а в сетевых информационных службах типа NIS, NIS+, LDAP и т.д.

• Набор точек вызова в ядре ОС, обеспечивающих запросы на доступ к диспетчеру мандатной подсистемы. Запросы генерируются для всех случаев доступа субъектов к объектам. Эти изменения затронули 50 файлов исходных текстов ядра.

При старте системы, непосредственно перед ее переходом в многопользовательский режим работы, административная утилита, при помощи специализированной библиотеки пользовательского уровня, считывает из конфигурационных файлов и загружает в диспетчер доступа все атрибуты безопасности. Затем включается мандатное управление доступом, так что оно сразу распространяется на субъектов, регистрирующихся в ОС после ее перехода в многопользовательский режим.

Для поддержки загрузки мандатных атрибутов безопасности модуль ядра ОС macctl имеет специальный системный вызов, который может быть успешно выполнен только администратором политики безопасности системы. Следовательно, никакие другие субъекты не могут влиять на управление мандатной подсистемой.

Диспетчер доступа, осуществляющий в системе собственно управление доступом, и все его точки входа также реализованы в модуле macctl, что гарантирует безопасную работу подсистемы под защитой контекста ядра ОС. Таким образом, обеспечивается целостность средств защиты.

Важным моментом интеграции мандатного управления доступом в операционную систему является правильное расположение точек вызова диспетчера в ядре. Действительно, только наличие корректного диспетчера и вспомогательных средств для его управления и настройки не могут решить проблему. КСЗ ОС должен также генерировать запросы к диспетчеру во всех случаях доступа субъектов к объектам. Если в каких-либо случаях доступа не генерируются запросы к диспетчеру, то мандатная подсистема не исключает полностью несанкционированный доступ субъектов к информации.

С целью решения этой проблемы были подробно изучены поддерживаемые потоки информации в ОС, и все возможные механизмы доступа субъектов к объектам.

Для файловых объектов в ОС "Solaris", доступ к которым происходит через специализированные файловые системы, потребовалось внести однотипные изменения в реализации функций VOPACCESS0 и VOPjSETATTRQ этих файловых систем.

Функция VOP ACCESS0 отвечает за определение прав доступа к объекту в файловой системе и содержит проверку дискреционных прав доступа. В эти функции была добавлена проверка мандатных прав доступа из модуля macctl.

Функция VOP_SETATTR() отвечает за установку и смену различных атрибутов (в том числе и дискреционных), связанных с файловым объектом и хранимых в его метаданных. В частности, может изменяться идентификатор субъекта-владельца объекта, что в реализованной модели мандатного управления доступом означает смену классификационной метки секретности для объекта. Безопасность в данном случае гарантируется монопольным по доступу вызовом диспетчера, который проверяет корректности смены идентификатора с точки зрения мандатной политики безопасности.

Таким образом, мандатное управление доступом было обеспечено в ОС для всех объектов в файловых системах. Аналогичные изменения были сделаны для объектов межпроцессного взаимодействия IPC стандарта System V.

Из остальных точек вызова диспетчера доступа в ядре ОС следует выделить явную смену действующего идентификатора пользовательского процесса и механизм делегирования полномочий пользователей, активируемый битом доступа "Set user ID on execution" (SUID) в атрибутах безопасности исполняемых файлов. В обоих случаях диспетчер проверяет эквивалентность классификационных меток старого и нового субъектов.

Для поддержки мандатного управления доступом в сетевой подсистеме потребовалось расширить формат сообщений, передаваемых для модулей STREAMS, идентификатором субъекта доступа, и дополнить модули протоколов TCP и UDP вызовами диспетчера доступа.

Доработанная версия ОС "Solaris 2.5.1" для вычислительного комплекса «Эльбрус-90микро», в которую была включена описанная реализация мандатной подсистемы, успешно прошла сертификацию на соответствие требованиям стандартов РФ для СВТ 2-го класса защищенности от НСД к информации. Таким образом, можно говорить о положительной независимой оценке предложенных решений по мандатному управлению доступом.

Вся подсистема содержит около 46400 строк кода на языке С.

В заключении приводятся основные результаты диссертационной работы. Делаются выводы о выполнении в полном объеме всех целей исследования. Также описываются наиболее перспективные направления дальнейших исследований в области средств управления доступом и защиты информации.

В приложениях содержится таблица с определениями терминов и понятий в области защиты информации, изложение истории развития и обзор стандартов по информационной безопасности различных стран (в том числе и международных соглашений), анализ общей структуры комплекса средств защиты ОС UNIX, исследование дискреционных механизмов защиты в стандартной версии ОС "Solaris 2.5.1", справочная информация о конфигурации мандатной политики безопасности в доработанной версии ОС "Solaris 2.5.1", исходные тексты на языке программирования С некоторых важных модулей и функций подсистемы мандатного управления доступом, реализованной для ОС "Solaris 2.5.1".

ОСНОВНЫЕ ВЫВОДЫ ПО РЕЗУЛЬТАТАМ РАБОТЫ

Диссертационная работа посвящена вопросам повышения простоты, надежности и эффективности реализации мандатной модели управления доступом к информации Белла-ЛаПадулы в защищенных версиях ОС UNIX. В ходе исследований и разработки схем реализации учитывались не только требования действующих стандартов по защите информации, но и особенности и недостатки модели Белла-ЛаПадулы, а также существующая архитектура управления доступом к информации в UNIX и структура сетевых протоколов TCP/IP. Поставленные задачи решены практически в виде подсистемы мандатного управления доступом для защищенной версии ОС "Solaris 2.5.1", входящей в состав вычислительного комплекса «Эльбрус-90микро». В ходе решения поставленных задач были достигнуты следующие результаты:

1. Проведен анализ основных свойств и недостатков мандатной модели Белла-ЛаПадулы. Результатом анализа является вывод о необходимости применения дополнительных правил назначения атрибутов безопасности субъектам и объектам, а также средств обеспечения целостности обрабатываемой информации, при реализации модели в защищенных операционных системах.

2. Проведен анализ известных реализаций модели Белла-ЛаПадулы в ряде свободных и коммерческих версий защищенных ОС класса UNIX. Результатом анализа является вывод о том, что даже наиболее совершенные из этих реализаций часто не учитывают все особенности и недостатки модели, а также механизмы функционирования и элементы защиты, уже имеющиеся в UNIX.

3. Для решения задачи повышения простоты, надежности и эффективности реализации мандатного управления доступом в ОС UNIXпреддоженъl следующие основные методы:

• Метод связывания классификационной метки объекта с идентификатором его субъекта-владельца для организации мандагаого управления доступом к файловым объектам в ОС, позволяющий решить задачу назначения меток для объектов.

• Метод ограничения минимального и максимального доступных для субъектов уровней секретности информации для обеспечения ее целостности в системе без реализации дополнительных моделей безопасности.

• Метод назначения классификационных меток адресам компьютеров и логическим сетевым портам, как объектам доступа, для организации мандатного управления доступом в сетях TCP/IP.

• Метод контроля и изменения разрешенных для объектов информационных потоков в системе с мандатным управлением доступом, служащий для дополнительного обеспечения целостности обработки информации.

Реализация предложенных методов интеграции мандатного управления доступом в защищенной ОС класса UNIX показала, что это более эффективное, надежное и простое решение по сравнению с известными. Кроме того, оно позволяет максимально задействовать элементы существующей архитектуры защиты информации в UNIX, a также сохранить совместимость со стандартными версиями этой операционной системы как на уровне системных вызовов и форматов данных в файловых системах, так и в рамках коммуникационных протоколов.

Тестирование, опытная эксплуатация и успешная независимая сертификация подсистемы мандатного управления доступом для доработанной версии ОС "Solaris 2.5.1", включенной в состав базового программного обеспечения вычислительного комплекса «Эльбрус-90микро», на практике продемонстрировали, что все разработанные методы могут быть использованы в составе КСЗ защищенной ОС класса UNIXn В ПОЛНОЙ мере выполняют стоящие перед ними задачи. Кроме того, все предложенные решения могут быть реализованы максимально простым и совместимым образом для любой защищенной операционной системы, основанной на программной архитектуре и стандартах UNIX.

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Хартиков Д.М. Реализация мандатной модели защиты информации в операционной системе UNIX //Информационные технологии и вычислительные системы. №2,2004, с. 94-105.

2. Хартиков Д.М. Исследование дискреционного управления доступом в ОС класса UNIX II Высокопроизводительные вычислительные системы и микропроцессоры. Сборник научных трудов, вып. 6 - М.: ИМВС РАН, 2004. С. 65-76.

3. Хартиков Д.М. Простая схема мандатного управления доступом в ОС класса UNIXII Компьютеры в учебном процессе. № 7,2004. С. 3-14.

4. Хартиков Д.М. Исследование общей структуры комплекса средств защиты в ОС класса UNIXII Компьютеры в учебном процессе. № 8, 2004. С. 3-10.

5. Хартиков ДМ. Способ мандатного управления доступом в ОС UNIX для сетей TCP/IP //Тезисы докладов IX Санкт-Петербургской международной конференции «Региональная информатика-2004» («РИ-2004»). - СПб.: СПИИ РАН, 2004.

6. Хартиков Д.М. Эффективный способ реализации средств мандатного управления доступом на основе меток секретности в операционных системах класса UNIX. //Тезисы докладов XXI научно-технической конференции войсковой части 03425. - М.: в/ч 03425,2003.

Принято к исполнению 10/11/2004 Исполнено 12/11/2004

Заказ № 441 Тираж 100 экз

ООО «11-й ФОРМАТ» ИНН 7726330900 Москва, Балаклавский пр-т, 20-2-93 (095)747-64-70 (095)318-40-68 www autoreferat ru

239 10

Оглавление автор диссертации — кандидата технических наук Хартиков, Денис Михайлович

Список иллюстраций.

Список таблиц.

Введение.

Глава 1. Принципы управления доступом в ОС.'

1.1. Основные модели безопасности.

1.2. Модель Белла - ЛаПадулы.

1.3. Существующие реализации мандатных моделей.

1.4. Выводы.'

Глава 2. Способ интеграции мандатного управления доступом в ОС.

2.1. Общие требования к модели управления доступом.

2.2. Субъекты доступа.

2.3. Объекты доступа.

2.4. Методы доступа.

2.5. Комплексные правила разграничения доступа.

2.6. Улучшенная схема мандатных правил разграничения доступ

2.7. Дополнения к модели и параметры атрибутов безопасности.

2.8. Выводы.

Глава 3. Реализация мандатного управления доступом в ОС "Solaris".

3.1. Общая структура подсистемы управления доступом.

3.2. Диспетчер доступа, модуль ядра ОС.

3.3. Административная утилита и пользовательская библиотека.

3.4. Конфигурационные файлы.

3.5. Точки вызова управления доступом в ядре ОС.

3.6. Функционирование ряда системных пакетов и утилит.

3.1. Администрирование мандатного управления доступом.

3.8. Работа пользователя при мандатном управлении доступом.

3.9. Выводы.

Введение 2004 год, диссертация по информатике, вычислительной технике и управлению, Хартиков, Денис Михайлович

Массовое использование вычислительных систем для обработки информации выявило, кроме очевидных преимуществ, ряд новых проблем. Дело в том, что вычислительные мощности большинства современных компьютеров позволяют сразу нескольким пользователям одновременно обрабатывать в них разнообразную информацию, при этом вся вычислительная система используется наиболее рационально. Между тем необходимо обеспечить корректность этого процесса со стороны каждого из пользователей, а именно, нужно поддерживать в рамках системы защиту обрабатываемой информации:

Действительно, в общем случае не все пользователи должны и могут иметь в системе одинаковые права и возможности по обработке разнородной информации. Так, способность любого пользователя несанкционированно получить права неограниченного доступа ко всей информации в системе может привести к тому, что какая-либо важная и конфиденциальная ее часть будет случайно либо намеренно разглашена, искажена или уничтожена.

Развитие технологий передачи и обработки информации повлекшее за собой как улучшение функциональности компьютеров, так и значительное удешевление аппаратного и программного обеспечения, позволило существенно расширить рамки применения вычислительных средств. При этом возможные риски от несанкционированного доступа к информации приобретают характер катастрофы, затрагивая все жизненно важные аспекты существования современного общества и государства.

Для формализации требования к безопасности информационных систем правительство РФ разрабатывает и утверждает различные стандарты в области защиты информации. Существуют аналогичные стандарты правительства США и международный стандарт. Стандарты разных стран строятся на основе похожих подходов к защите, появившихся в результате общепризнанных научных и инженерных разработок в этой области. В частности, они определяют необходимый уровень безопасности вычислительных систем специального назначения, применяемых при обработке информации! различной степени конфиденциальности в интересах государства, или для других критических приложений.

Защита от несанкционированного доступа к информации, естественно, возлагается в основном на сами системы, обрабатывающие и передающие информацию. Однако, развитие информационных систем, особенно в части программного обеспечения, происходило преимущественного эволюционно, что определялось необходимостью сохранения совместимости с их более ранними версиями. Таким образом, возникла ситуация, когда средства защиты информации в существующем программном обеспечении не могут в полной мере противостоять всем современным рискам. Более того, анализ современных вычислительных систем со всей очевидностью демонстрирует, что скорость расширения областей их применения значительно опережает темпы развития в них механизмов защиты информации. Следовательно, становится актуальной необходимость разработки эффективных дополнительных средств защиты, улучшающих показатели защищенности от несанкционированного доступа к информации в существующем программном обеспечении, как наиболее критичном элементе современных информационных систем.

Разработку средств защиты принято начинать с построения формальной модели, описывающей их общие принципы и защитные свойства. Существуют два основных типа моделей: дискреционные и мандатные. Мандатные модели управления доступом применяются в вычислительных системах специального назначения, где требуется повышенная защита. Более подробно эти модели будут рассмотрены в первой главе.

Вычислительные системы специального назначения строятся на базе защищенных операционных систем, которые и определяют выбор той или иной модели управления доступом. Защищенные операционные системы являются по своей сути модифицированными версиями серийных, среди которых в настоящее время доминируют ОС "MS Windows NT/2000/XP" фирмы Microsoft Corporation и множество разновидностей ОС UNIX. ОС "MS Windows ", обладая удобным пользовательским интерфейсом, имеет репутацию менее надежной и масштабируемой системы, поэтому для защищенных применений различные версии UNIX, построенные на открытых стандартах, являются более приоритетными.

В наиболее развитые варианты защищенных операционных систем UNIX встраивается мандатная модель Белла-ЛаПадулы (Bell-LaPadula model), что обусловлено высокими функциональными характеристиками защиты модели и формальными требованиям государственных стандартов.

Модель Белла-ЛаПадулы подробно описывается в научных публикациях ее авторов [33, 34]. Однако эта модель обладает рядом недостатков, на которые указывается в более поздних работах критического характера [35, 45]. Для устранения некоторых из недостатков уже существуют общепринятые подходы, но часть вопросов остается открытыми до настоящего времени.

В практических реализациях модели Белла-ЛаПадулы преобладают прямые методы ее встраивания в существующие операционные системы. При этом в большинстве случаев никак не учитываются недостатки модели и особенности архитектуры самих операционных систем. Такие реализации, как правило, характеризуются повышенной сложностью, отсутствием совместимости со стандартными версиями ОС и малой эффективностью.

Исходя из приведенного выше, целью диссертационной работы являлся анализ существующих способов реализации мандатной модели управления доступом к информации Белла-ЛаПадулы в защищенных операционных системах и последующая разработка методов более простотой и эффективной ее реализации в ОС. При этом представлялось важным не только добиться удовлетворения требований действующих стандартов по защите информации, но и с максимальной полнотой учесть как особенности и недостатки модели Белла-ЛаПадулы, так и существующую архитектуру управления доступом к информации в ОС класса UNIX\ которые наиболее часто используются при построении защищенных операционных систем. В соответствии с этим, были определены следующие основные задачи диссертационного исследования:

1) Анализ мандатной модели управления доступом Белла-ЛаПадулы, включая варианты ее описания действующими нормативными документами в области информационной безопасности. Определение достоинств и недостатков модели по сравнению с другими мандатными моделями. Выявление существующих способов устранения этих недостатков.

2) Анализ известных реализаций мандатной модели Белла-ЛаПадулы в ОС класса UNIX,Определение их особенностей, достоинств и недостатков.,

3) Теоретическая разработка улучшенного, по сравнению с известными аналогами, способа интеграции модели Белла-ЛаПадулы в ОС UNIX, основанная на полученных ранее результатах.

4) Практическая реализация разработанного способа интеграции мандатного управления доступом для одной из операционных систем класса UNIX.

Таким образом, объектом исследований являлось основанное на модели Белла-ЛаПадулы мандатное управление доступом к информации в операционных системах, а предметом исследований были способы интеграции этой модели в ОС класса UNIX.

Для достижения указанной выше цели, в диссертационной работе применялись следующие методы исследований:

1) Анализ обоснования классической модели Белла-ЛаПадулы, имеющегося в научных публикациях ее авторов, а также изучение критических работ по этой теме.

2) Анализ требований международных и отечественных стандартов в области защиты информации с целью конкретизации того представления модели Белла-ЛаПадулы, которое в них заложено.

3) Анализ архитектуры систем защиты в стандартных версиях ОС UNIX на основе изучения технической литературы, документации и доступных исходных текстов этой системы.

4) Анализ известных реализации модели Белла-ЛаПадулы в ОС класса UNIX на основании доступной технической документации и, в ряде случаев, исходных текстов таких систем.

5) Синтез при помощи полученных ранее результатов улучшенной, по сравнению с известными аналогами, схемы интеграции модели Белла-ЛаПадулы в ОС UNIX.

6) Практическая реализация полученной схемы мандатного управления доступом в одной из ОС UNIX для доказательства ее эффективности и жизнеспособности.

К составляющим научную новизну диссертационной работы решениям можно отнести:

1) Схему организации мандатного управления доступом к файловым объектам в ОС UNIXuz основе связывания классификационной метки объекта с его субъектом-владельцем;

2) Метод ограничения доступных для субъектов уровней секретности информации посредством введения дополнительных атрибутов безопасности для субъектов.

3) Схему организации «локально-ассиметричного» мандатного управления доступом в сетях TCP/IP на основе назначения: классификационных меток объектов IP адресам компьютеров и логическим сетевым портам.

4) Метод контроля и изменения разрешенных потоков информации в системе с мандатным управлением доступом посредством введения дополнительных атрибутов безопасности для объектов.

Теоретическая значимость работы заключается в следующем:

1) Разработан принцип назначения атрибутов безопасности объектов, не адресуемый в стандартной модели Белла-ЛаПадулы. В его основу положены базовые свойства архитектуры ОС UNIX.

2) Показана более высокая по сравнению с известными реализациями логическая совместимость архитектурных элементов защиты информации в ОС UNIX и модели Белла-ЛаПадулы.

3) Выявлена логическая совместимость архитектуры сетевых протоколов TCP/IP и модели Белла-ЛаПадулы.

Прикладная ценность результатов исследований состоит в возможности реализации на их основе такой подсистемы мандатного управления доступом для любой ОС из семейства UNIX, которая не только полностью удовлетворяет требованиям действующих нормативных документов в области защиты информации, но и обладает высокой эффективностью и полной совместимостью на уровне форматов данных и протоколов со стандартными версиями этих операционных систем. Кроме того, предложенные схемы мандатного управления доступом допускают простую реализацию, что одновременно повышает уровень надежности всей системы защиты.

Описанный в диссертационной работе улучшенный способ интеграции мандатной модели Белла-ЛаПадулы в ОС класса UNIX был практически реализован в виде подсистемы мандатного управления доступом для операционной системы "Solaris 2.5.1". Полученная в результате этого защищенная версия ОС "Solaris 2.5.1" успешно прошла сертификацию на соответствие требованиям РД [23] для СВТ 2-го класса защищенности от НСД к информации и была внедрена в состав общего программного обеспечения вычислительного комплекса «Эльбрус-90 микро».

Апробация материалов работы , проходила на XXI научно-технической конференции войсковой части 03425 (г. Москва, 2003 г.) и на IX Санкт-Петербургской международной конференции «Региональная информатика -2004» («РИ-2004», г. Санкт-Петербург, 2004 г.), где докладывались основные положения настоящей диссертационной работы. Ключевые элементы работы обсуждалась на ряде научно-тематических семинаров ЗАО «МЦСТ» и i ИМВС РАН, а также с представителями заказчика и сертифицирующей организации-при утверждении технического проекта по увеличению степени защищенности вычислительного комплекса «Эльбрус-90 микро» от несанкционированного доступа к информации: Часть материалов работы была использована в июне 2004 года при чтении курса лекций «Вычислительный комплекс «Эльбрус-90 микро». Функционирование, диагностика и техническое обслуживание», которое проходило в ЗАО «МЦСТ» (г. Москва) с целью повышения квалификации инженерно-технических работников.

По теме диссертационной работы опубликованы шесть печатных работ, список которых приводится далее.

1) Хартиков Д М. Реализация мандатной модели защиты информации в операционной системе UNIX //Информационные технологии и вычислительные системы.№2, 2004, с. 94-105.

2) Хартиков Д.М: Исследование дискреционного управления доступом в ОС класса UNIXII Высокопроизводительные вычислительные системы и микропроцессоры. Сборник научных трудов, вып. 6 - М.: ИМВС РАН, 2004. С. 65-76.

3) Хартиков Д.М. Простая схема мандатного управления доступом в ОС класса UNIXII Компьютеры в учебном процессе. № 7, 2004. С. 3-14.

4) Хартиков Д.М. Исследование общей структуры комплекса средств защиты в ОС класса UNIXII Компьютеры в учебном процессе. № 8, 2004. С. 3-10.

5) Хартиков Д.М. Способ мандатного управления доступом в ОС UNIX для сетей TCP/IP //Тезисы докладов IX Санкт-Петербургской международной конференции «Региональная информатика-2004» («РИ-2004»). - СПб.: СПИИ РАН, 2004.

6) Хартиков Д.М. Эффективный способ реализации средств мандатного управления доступом на основе меток секретности в операционных системах класса UNIX. //Тезисы докладов XXI научно-технической конференции войсковой части 03425: - М:: в/ч 03425, 2003.

Кроме того, многие материалы работы вошли в состав проектной, опытно-конструкторской и эксплуатационной документации общего программного обеспечения вычислительного комплекса «Эльбрус-90 микро».

Рассмотрим теперь структурные этапы дальнейшего изложения.

Работа состоит из настоящего введения, трех глав, заключения и шести приложений; Логика описания строится на переходе от анализа и развития теоретических вопросов мандатного управления доступом в операционных системах, затрагиваемых в первой и второй главах, к основным аспектам их практической реализации и применения, описываемым на конкретном примере в третьей главе. Дополнительные, но не менее важные материалы приводятся в приложениях.

Первая глава посвящена принципам управления доступом к информации в операционных системах. Сначала поясняется суть проблем управления доступом и базовые подходы к их решению, затрагиваются вопросы их стандартизации. Обосновывается приоритетность выбора систем класса UNIX, среди других операционных систем, для построения защищенных версий программного обеспечения вычислительных систем специального применения. Далее рассматриваются основные модели безопасности и область их применения. Подробно описывается мандатная модель Белла-ЛаПадулы, обеспечивающая высокие характеристики защиты. Приводится анализ недостатков этой модели и способов их устранения. Поскольку поддержка в защищенных операционных системах модели мандатного управления доступом Белла-ЛаПадулы является обязательным требованием стандартов, действующих в РФ, главу завершает подробный анализ доступных ее реализаций в различных версиях ОС UNIX. Делаются выводы о преимуществах и недостатках этих реализаций, а также о возможности их применения в нашей стране.

Во второй главе, с использованием результатов первой главы, предлагается новый способ интеграции мандатного управления доступом в UNIX, обладающий рядом преимуществ по сравнению с известными аналогами. Он учитывает как особенности архитектуры операционной системы UNIX, так и действующие нормативные документы по информационной безопасности. Для этого сначала описываются общие требования к модели управления доступом, затем определяются субъекты и объекты доступа, а также методы доступа, применительно к ОС UNIX. Далее подробно рассматривается и обосновывается собственно улучшенная схема интеграции мандатных правил разграничения доступа, которая просто и эффективно охватывает как объекты файлового типа, так и объекты сетевого взаимодействия. Приводятся способы устранения ограничений, имеющихся в предложенной схеме. Глава завершается описанием ряда дополнений к модели и параметров атрибутов безопасности субъектов и объектов ОС.

Третья глава посвящена вопросам практической реализации в ОС "Solaris 2.5.1" тех новых решений по интеграции мандатного управления доступом, которые описываются во второй главе. Таким образом, на практике обосновывается правильность и жизнеспособность предложенной модели для систем класса UNIX. Рассматривается общая структура мандатной подсистемы и ее основные компоненты: диспетчер доступа в ядре ОС, административная утилита и пользовательская библиотека, конфигурационные файлы. Большое внимание уделяется точкам вызова^ по управлению доступом, интегрированным в ядро операционной системы. Исследуются особенности функционирования ряда стандартных системных пакетов и утилит ОС UNIX при мандатном управлении доступом. Рассматривается администрирование мандатной подсистемы, и работа пользователей при мандатном управлении, доступом.

Основные выводы, сделанные по результатам всей работы, содержатся в заключении. Кроме того, приводятся наиболее перспективные направления дальнейших исследований в области средств управления доступом и защиты информации:

Определения ключевых терминов и понятий приводятся в тексте, по мере их использования. Стандартизованное определение терминов и понятий дано в приложении 1.

Любые исследования в области информационной безопасности должны учитывать требования соответствующих стандартов, поэтому приложение 2 содержит историю развития и обзор стандартов разных стран; в том числе и международных соглашений. Особое внимание уделяется вопросам практического применения при разработке средств защиты информации нормативных документов, действующих в РФ;

Первой задачей, возникающей при интеграции новых средств защиты информации от несанкционированного доступа для уже существующей вычислительной системы, является необходимость тщательного изучения принципов функционирования этой системы, поддерживаемых в ней информационных потоков, общей структуры комплекса средств защиты (КСЗ) и уже реализованных в нем моделей безопасности: Приложение 3 содержит такой анализ для ОС класса UNIX.

Серийные версии UNIX реализуют, как правило, только дискреционное управление доступом. Приложение 4 содержит краткое изложение данных, полученных в результате исследования дискреционных механизмов защйты, реализованных в стандартной версии ОС "Solaris 2.5.1". Таким образом, на конкретном примере рассматриваются базовые принципы организации управления доступом в UNIX. Описываются основные свойства дискреционной политики безопасности в системе, и степень ее соответствия действующим в РФ нормативным документам.

Приложение 5 содержит справочную информацию о конфигурации мандатной политики безопасности в доработанной версии ОС "Solaris 2.5.1". Также приводится ряд особенностей функционирования подсистемы мандатного управления доступом в операционной системе.

В приложении 6 приводятся исходные тексты некоторых важных модулей и функций подсистемы мандатного управления доступом для ОС "Solaris 2.5.1" на языке программирования С.

Следует отметить, что достаточно большой объем как самой работы, так и приложений к ней, объясняется, во-первых, спецификой рассматриваемых вопросов. Действительно, в области исследований и разработок средств защиты информации принято избегать голословных утверждений и выводов, напротив, необходимо стараться подробно объяснять, обосновывать и даже, в ряде случаев, формально доказывать предлагаемые методы и решения по информационной безопасности. Во-вторых, в настоящий момент наблюдается явный недостаток литературы по тематике работы, многие вопросы слабо освещены в открытых источниках, а по вопросам проектирования и реализации мандатных средств защиты не имеется доступной информации не только на русском, но и на иностранных языках. Поэтому, множество теоретических и практических данных, собранных и проанализированных в настоящей работе, могут быть полезными в качестве справочного пособия для разработчиков средств защиты.

В процессе исследований использовались только материалы, опубликованные в открытых и общедоступных информационных источниках, не содержащие конфиденциальных или секретных данных. Результаты работы также не являются конфиденциальными или секретными. Доступ к исходным текстам программ осуществлялся только с разрешения правообладателей.

Следует отметить, что вне зависимости от наличия каких-либо отдельных средств защиты информации в вычислительной системе, только полное удовлетворение всех требований действующих стандартов может гарантировать требуемый уровень защиты при обработке информации в ней. Иными словами, реализация только идей, приведенных в данной работе, не решает полностью задачу защиты, а является одним из шагов на пути ее успешного решения.

Заключение диссертация на тему "Исследование и разработка методов реализации мандатных средств управления доступом в сетевых ОС семейства UNIX"

Развитие вычислительной техники; привело к тому, что она широко применяется для обработки различной рода конфиденциальной информации.При этом возникают проблемы обеспечения защиты информации от несанкционированного доступа.Задачи защиты информации рещаются введением? в системное программное обеспечение - операционные системы - специальных средств.Средства защиты строятся на основе формальных моделей, определяющих принципы. управления доступом пользователей; вычислительных систем (субъектов) к обрабатываемой информации

(объектам). Модели делятся на два класса - дискреционные и мандатные.Мандатные модели; обеспечивают больщую защиту, но менее удобны для пользователей, чем дискреционные модели. В силу этого, мандатное управление доступом применяется только при обработке особо конфиденциальной информации. Основное свойство всех мандатных моделей состоит в обязательном характере атрибутов управления доступом субъектов к объектам, назначаемых администратором политики безопасности системы.Наиболее известной и эффективной мандатной моделью является модель Белла-ЛаПадулы. Она назначает каждому субъекту и каждому объекту специальные атрибуты безопасности - классификационные метки.Классификационные метки содержат иерархические компоненты, задающие уровень секретности информации. Обще правило модели: все потоки, информации в системе должны проходить в сторону не уменьшения ее уровня секретности, или - "write up - read down".Поддержка модели управления доступом Белла-ЛаПадулы в защищенных вычислительных системах является обязательным требованием стандартов РФ в области информационной безопасности: Анализ доступных реализаций мандатного управления доступом -

модели Белла-ЛаПадулы - для операциоиных систем класса UNIX показал, что они часто не учитывают всех особенностей и недостатков модели, а также механизмы функционирования и элементы защиты, уже имеющиеся в UNIX.Таким образом, существует необходимость разработки более простой и эффективной реализации модели, соответствующей действующим стандартам.Использование естественного подхода к зшравлению доступом в 0G UNIX W фундаментальным: свойствам этой системы, позволило предложить улучшенную схему интеграции мандатной модели в систему.Базовые принципы; функционированияt 0G LW/X предполагают, что информация; хранимая; в объекте, принадлежит субъекту-владельцу этого объекта. Было решено расширить такой подход и для мандатной модели: степень секретности информации связана с ее владельцем. Таким образом, классификационную метку объекта можно однозначно связать с пользовательским идентификатором субъекта-владельца объекта, определив одновременно принцип назначения атрибутов безопасности объектов в реализации модели Белла-ЛаПадулы.Перечислим основные преимущества такой схемы мандатного управления доступом, по сравнению с доступными аналогами:

1) Модель имеет простую реализацию в ОС класса UNIX.2) Сохраняется совместимость со стандартными файловыми системами.3) Процедуры экспортирования и импортирования меток объектов при экспортировании и импортировании объектов выполняются автоматически и «прозрачно» для пользователей. Сохраняется совместимость для всех коммуникационных протоколов.4) Не происходит ухудшение производительности системы.5) Мандатное управление доступом осуществляется в системе полностью независимо, т.е. соответствующая функциональность может быть легко включена, либо выключена.Кроме того, представленная? модель содержит средства, поддержания^ целостности обрабатываемой информации, состоящие в ограничении; доступных уровней секретности для субъектов и в определении разрешенных потоков информации для объектов, что позволяет избежать дополнительной реализации модели Биба в ОС. На основе аналогичного естественного подхода к организации и архитектуре семейства протоколов TCP/IP, была предложена «локально ассиметричная» схема мандатного управления доступом в сети, полностью решающая эту проблему на сетевом уровне. Ее основу составляет назначение каждому сетевому IP адресу и каждой паре логический номер сетевого порта/транспортный протокол (TCP или UDP), как объектам доступа, соответствующей классификационной метки.Приведем достоинства такой схемы, по сравнению с другими защищенными ОС:

1) Не требуется модификация сетевых протоколов, сохраняется полная совместимость со стандартным стеком TCP/IP:

2) Не требуется модификация прикладных сетевых интерфейсов системы, сохраняется совместимость с сетевыми приложениями.3) Практическая реализация этой схемы управления доступом проста, и не требует значительных изменений в ОС.

4) Мандатное управление доступом в сети происходит компактно, на компьютере-инициаторе доступа.Были описаны способы устранения ограничений, имеющихся в представленной мандатной модели. Также отметим, что модель полностью соответствует требованиям стандартов РФ в области информационной безопасности, и не противоречит классической модели Белла-ЛаПадулы.Практическая реализация улучшенной схемы, мандатного управления доступом на базе ОС "Solans" версии? 2.5:1. подтвердила ее надежность и жизнеспособность.Общую структуру мандатной подсистемы в ОС составляют следующие основные компоненты КСЗ: диспетчер доступа в ядре OG, пользовательская библиотека и административная утилита, конфигурационные файлы.Отличительным свойством всей подсистемы является ее функциональная компактность.Надежность мандатного управления доступом в ОС может обеспечиваться только генерацией вызовов к диспетчеру мандатной подсистемы во всех случаях доступа субъектов к объектам. Таким образом, были определены и описаны все необходимые вызовы диспет^шра, интегрированные в ядро ОС, а также способы их реализации, включая методы решения солзо^ствующих этому проблем.ОС С/Лта" разрабатывалась и развивалась без учета мандатных правил разграничения достзша. Ввиду этого, был исследован ряд важных вопросов, связанных с функционированием существующих системных и пользовательских приложений в ОС после интеграции в нее мандатной подсистемы.Кроме того, рассмотрены основные принципы разработки и администрирования автоматизированных систем на базе ОС "Solaris" с поддержкой мандатного управления доступом. Указаны особенности работы пользователей в таких системах.В рамках проекта по усилению степени защищенности вычислительного комплекса «Эльбрус-90микро» [6], версия ОС "Solaris", в которую была интегрирована описанная мандатная подсистема, успешно прошла сертификацию на соответствие требованиям РД [23] для СВТ 2-го класса защищенности от НСД к информации.Подсистема содержит около 46400 строк кода на языке Таким образом, можно говорить о выполнении в полном объеме всех целей данной диссертационной работы.Для дальнейшего развития предложенной модели, возможно ее расширение информационными метками для объектов доступа и перенос ее реализации в одну из операционных систем с открытыми исходными текстами; например ОС "Linux ".Кроме того, полезно исследовать методы дальнейшего усиления защиты в ОС, путем интеграции в нее элементов модели Кларка-Вилсона; Особый интерес при этом представляет эффективная и компактная реализация модели минимальных привилегий, которая позволит не только избавиться от суперпользователя в ОС класса UNIX, но и разделить полномочия администратора политики безопасности между несколькими субъектами, а также получить большую гибкость в реализации мандатной политики безопасности.Перспективным и мало изученным направлением исследований являются механизмы контекстной защиты информации в операционных системах для архитектур с мощной аппаратной поддержкой средств защиты, типа «Эльбрус». Здесь возможно создание ОС со структурой, принципиально отличной от большинства современных систем, обладающей весьма эффективными и простыми средствами защиты, в том числе и в файловых системах.

Библиография Хартиков, Денис Михайлович, диссертация по теме Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

1. Бабаян Б.А. Защищенные информационные системы, - ЗАО «МЦСТ»: электронный ресурс.: Метод доступа: http://www.elbrus.ni/mcst/pub.shtml.

2. Бек Л. Введение в системное программирование: Пер. с англ. - М.: Мир, 1988.-448 стр.

3. Вахалия Ю. UNIX изнзпгри: Пер. с англ. - СПб.: Питер, 2003. - 844 стр.

4. Вихорев В. Технические средства защиты информации: анализ состояния современного рынка: Государственная техническая комиссия при президенте РФ электронный ресурс.: Метод доступа: http://www.infotecs.ru/gtc/.

5. Вычислительные комплексы «Эльбрус-90 микро». - ЗАО «МЦСТ»: электронный ресурс.: Метод доступа: http://www.elbrus.ru/mcst/vk2;shtml.

6. Вычислительный комплекс «Эльбрус-90 микро». Общее программное обеспечение. Операционная система SunOC. Руководство оператора: -М.: ЗАО «МЦСТ», 2003 // Материалы депонированы в архив ЗАО «МЦСТ».

7. Вычислительный комплекс «Эльбрус-90 микро». Общее программное обеспечение. Операционная система SunOC. Руководство программиста. - М.: ЗАО «МЦСТ», 2003 // Материалы депонированы в архив ЗАО «МЦСТ».

8. Вычислительный комплекс «Эльбрус-90 микро». Общее программное обеспечение. Операционная система SunOC. Руководство системного программиста. - М.: ЗАО «МЦСТ», 20037/ Материалы депонированы в архив ЗАО «МЦСТ».

9. РобачевскийА.М. Операционная система UNIX. - СПб.: БХВ - Санкт- Петербург, 1999. - 582 стр.

10. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения: Государственная техническая комиссия при президенте РФ электронный ресурс.: Метод доступа: http://www.infotecs.ni/gtc/.

11. Соломон Д., Русинович М. Внутреннее устройство Microsoft Windows 2000. Мастер-класс: Пер. с англ. — СПб.: Питер; М.: Издательско-торговый дом «Русская редакция», 2001. - 752 стр.

12. Таненбаум Э. Современные операционные системы. 2-е изд.: Пер. с англ. - СПб.: Питер, 2004. - 1040 стр.

13. Тюлин А., Жуков И;, Ефанов Д. Защищенная операционная система МСВС 3.0 // Открытые системы. - 2001, № 10. - электронный ресурс.: Метод доступа: http://www.osp,ru/os/2001/10/020.htm.

14. Ховард М., Лебланк Д. Защищенный код: Пер. с англ. - М: Издательско- торговый дом «Русская редакция», 2003.- 704 стр.

15. Эндрюс Г.Р. Основы многопоточного, параллельного и распределенного программирования: Пер. с англ. — М.: Издательский дом «Вильяме», 2003.-512 стр.

16. Anderson J.P; Computer Security Technology Planning Study - Volume I / Technical Report ESD-TR-73-51, Electronic Systems Division, Air Force Command^ Hanscom AFB - Bedford, MA, 1972.

17. Bach MJ. The Design of the UNIX Operating System. - Prentice-Hall, USA, 1986.-486 p.

18. Bell D.E., LaPadula L.J, Secure Computer Systems' Mathematical Foundations and Model / Technical Report MTR 2547 v. 2, The MITRE Coфoration. - 1973.

19. Bell D.E., LaPadula L.J. Secure computer system: unified exposition and Multics interpretation / Technical Report ESD-TR-75-306, The MITRE Coфoration. - Bedford, MA, 1975.

20. Biba K. Integrity Considerations for Secure Computer Systems / Technical Report 76-372, U.S. Air Force Electronic Systems Division. - 1977.

21. Common Criteria for Information Technology Security Evaluation, Part 1: Introduction and general model, CCIMB-99-031, Version 2.1. - 1999. -online., available from Internet: http://www.commoncriteria,org. - 61 p.

22. Common Criteria for Information Technology Security Evaluation, Part 2: Security functional requirements, CCIMB-99-032, Version 2.1 - 1999. -online., available from Internet: http://www.commoncriteria.org. - 362 p.

23. Common Criteria for Information Technology Security Evaluation, Part 3: Security assurance requirements, CCIMB-99-033, Version 2.1 - 1999. -online., available from Internet: http://www.commoncriteria.org. - 216 p.

24. Department of Defense Trusted Computer System Evaluation Criteria / DoD 5200.28-STD, U.S. Department of Defense. -Washington, D.C., 1985.

25. DrakeC, Brown K. PANIC! System Crash Dump Analisys Handbook. - Prentice-Hall PTR, USA, 1995. - 496 p.

26. Glossary of Computer Security Terms / NGSC-TG-004-88, National Computer Security Center. - USA, 1988.

27. IEEE (POSIX) Draft P1003.1e: Capabilities and MAC for UNIX. - IEEE Standards Committee, - online., available from Internet: http://wt.xpilot.org/publications/posix. 1 e/download:html.

28. Lampson B.W. A Note on the Confinement Problem // Communications of the ACM. - 1973. - vol. 10. - P. 613-615.

29. Mauro J., McDougall R. Solaris Internals: Core Kernel Architecture. - Prentice-Hall PTR, USA, 2000. - 704 p.

30. McLean J. A Comment on the "Basic Security Theorem" of Bell and 1.aPadula // Information Processing Letters 20. - Washington, D.C., 1985. -P. 67-70.

31. Open Source Bl OS Project. - Silicon Graphics, Inc. - online., available from Internet: http://oss.sgi.com.

32. Rule Set Based Access Contror(RSBAC) for Linux. - Linux. - online., available from Internet: http://www.rsbac.org.

33. Security-Enhanced Linux Project. - National Security Agency, Central Security Service. - online., available from Internet: http://www.nsa.gov/selinux/.

34. SGI Trusted IRIX 6.5. - Silicon Graphics, Inc. - online., available from Internet: http://www.sgi.com.

35. Solaris 2.5 Reference Manual AnswerBook. - Sun Microsystems, Inc. - online., available from Internet: http://docs.sun.com.

36. Solaris 2.5 Software Developer AnswerBook. - Sun Microsystems, Inc. - online., available from Internet: http://docs.sun.com.

37. Solaris 2.5 System Administrator AnswerBook. - Sun Microsystems, Inc. - online., available from Internet: http://docs.sun.com.

38. Solaris 2.5 User AnswerBook. - Sun Microsystems, Inc. - online., available from Intemet: http://docs.sun.com.

39. Solaris 2.5.1 Driver Developer AnswerBook. - Sun Microsystems, Inc. - online., available from Intemet: ht^://docs.sun,com.

40. Solaris 8 System Administration Guide, Volume 2. Role-Based Access Control (RBAC). - Sun Microsystems, Inc. - online., available from Intemet: http://docs.sun.com.

41. Solaris; Operating System (SPARC & x86). - Sun Microsystems, Inc. - online., available from Intemet: http://www.sun.com.

42. TrustedBSD Project. - FreeBSD. - online., available from Intemet: http ://www. trustedbsd. org.

43. Trusted IRIX/CMW Security Administration Guide. - Silicon Graphics, Inc. - online., available from Intemet: http://www.sgi.com.

44. Trusted IRIX/CMW Security Features User's Guide. - Silicon Graphics, Inc. - online., available from Internet: http://www.sgi.conL

45. Trusted Solaris 2.5.Г AnswerBook. - Sun Microsystems, Inc. - online., available from Intemet: http://docs.sun,com.

46. Trusted Solaris 2.5.1 Release Notes. - Sun Microsystems, Inc. - online., available from Intemet: http://docs.sun.com.

47. Trusted Solaris Administration Overview. - Sun Microsystems, Inc. - online., available from Intemet: http://docs.sun.com.

48. Trusted Solaris Adminisfrator's Procedures. - Sun Microsystems, Inc. - online., available from Internet: http://docs.sun.com.

49. Trusted Solaris Developer's Guide. - Sun^ Microsystems, Inc. - online., available from Intemet: http://docs.sun.com.

50. Trusted Solaris Installation and Configuration. - Sun Microsystems, Inc. - online., available from Intemet: http://docs.sim.com.

51. Trusted Solaris Label Administration. - Sun Microsystems, Inc. -online., available from Intemet: http://docs.sun.com.

52. Trusted Solaris Operating System. - Sun Microsystems, Inc. - online., available from Intemet: http://www.sun.com.

53. Trusted Solaris User's Guide. - Sun Microsystems, Inc. - online., available from Internet: http://docs.sun.com.