автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Математические модели и программные средства защиты распределенных компьютерных систем

На правах рукописи УДК 519.68

Галатенко Алексей Владимирович

Математические модели и программные средства защиты распределенных компьютерных систем

Специальность 05.13.11 — математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата физико-математических наук

Москва - 2004

Работа выполнена в Институте проблем информационной безопасности Московского государственного университета им. М. В. Ломоносова.

Научный руководитель: доктор физико-математических наук,

профессор В. А. Васенин

Официальные оппоненты: доктор физико-математических наук,

профессор А. А. Грушо

кандидат физико-математических наук, старший научный сотрудник И. Б. Бурдонов

Ведущая организация: ФГУП "НИИ "Квант" "

Защита состоится мин. на за-

седании диссертационного совета Д.002.087.01 при Институте системного программирования РАН (109004 г. Москва, ул. Большая Коммунистическая, д. 25).

С диссертацией можно ознакомиться в библиотеке Института системного программирования РАН.

Автореферат разослан

Учёный секретарь диссертационного совета канд. физ.-мат. наук

/Прохоров СП./

Общая характеристика работы

Актуальность темы. Информационная (компьютерная) безопасность (ИБ) - ветвь информационных технологий, развивающаяся исключительно быстрыми темпами. Важность этой ветви в последние годы стала общепризнанной, что объясняется двумя основными причинами:

- ценностью накопленных информационных ресурсов;

- критической зависимостью от информационных технологий.

Проблематика ИБ не только важна, но и сложна. Свидетельством сложности является параллельный, весьма быстрый рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения, что также подчеркивает важность ИБ. Выпускается и используется все больше средств обеспечения ИБ, но большинство из них оказывается слабыми, содержащими уязвимости в спецификациях, архитектуре и/или реализации.

Средство обеспечения ИБ может быть надежным, только если его проект и реализация основаны на математических моделях, адекватно описывающих сложные современные информационные системы (ИС) и содержащих достаточные условия гарантированной безопасности, допускающих практическую проверку. Принятые в настоящее время модели безопасных систем этим требованиям не удовлетворяют, оказываясь чересчур громоздкими. Из этого следует актуальность проблемы разработки новых моделей безопасности, что важно как в теоретическом, так и в практическом плане.

В современных условиях на первый план вышел такой аспект ИБ, как доступность. Большинство атак на ИС являются именно атаками на доступность; перерывы в доступности приводят к наибольшему ущербу. В то же время, традиционные модели безопасности ориентированы в первую очередь на обеспечение конфиденциальности и целостности. Следовательно, актуальной является проблема создания математических моделей, ориентированных на доступность.

Наряду с математическими основами важнейшую роль играет архитектурная безопасность. Современные ИС уязвимы потому, что сложны, в них смешиваются прикладная функциональность и сервисы безопасности, нарушается принцип концептуальной экономии. Это делает актуальной проблему развития архитектурных подходов, обеспечивающих

минимизацию числа и сложности связей между прикладными компонентами и модулями безопасности, упрощение интерфейсов и протоколов взаимодействия между ними.

Операционные системы (ОС) - фундамент современных ИС. От уровня безопасности, который ОС обеспечивают, зависит безопасность системы в целом. Для многих категорий информационных систем, как военных, так и гражданских, необходимы ОС, удовлетворяющие повышенным требованиям к безопасности, что делает актуальной практическую реализацию в них передовых архитектурных принципов обеспечения безопасности.

Все это свидетельствует о необходимости проведения новых исследований, развития более строгого подхода к проблемам ИБ, сочетающего построение моделей доказательно безопасных систем, применимых к современным распределенным ИС, и практических разработок на этой базе.

Цель работы. Основная цель диссертационной работы состояла в исследовании, развитии и применении подхода к обеспечению информационной безопасности, предусматривающего построение математических моделей безопасных систем, обеспечение архитектурной безопасности и практическую реализацию развитых теоретических основ. В диссертационной работе решались следующие задачи:

- проведение анализа комплексного подхода к обеспечению информационной безопасности, классификация его составляющих, существующих средств и методов;

- построение вероятностной модели гарантированно защищенной системы, а также вероятностной графовой модели распределенных систем;

- исследование проблемы архитектурной безопасности в сочетании с разделением приложений и сервисов безопасности, минимизацией числа компонентов, упрощением протокола их взаимодействия;

- определение основных принципов, проектных и программных решений, необходимых для полномасштабной реализации в ОС класса Unix многоуровневой политики безопасности;

- реализация функционально полного набора встраиваемых модулей безопасности, приложений, модификаций ядра ОС класса Unix.

Научная новизна. В диссертационной работе построена новая вероятностная модель гарантированно защищенной системы и новая вероятностная графовая модель распределенной системы.Для вероятностной модели гарантированно защищенной системы получены легко проверяемые достаточные условия безопасности.

Для вероятностной графовой модели распределенной системы получены оценки как необходимого, так и достаточного числа ребер для построения состоятельной оценки совокупного числа ребер.

В рамках развития концепции встраиваемых модулей безопасности предложено новое понятие встраиваемых неинтерактивных модулей аутентификации с простым и безопасным протоколом взаимодействия с приложениями и централизованным назначением полномочий.

Предложен набор привилегий доверенных субъектов в ОС с поддержкой многоуровневой политики безопасности, обладающий свойством минимальности.

Практическая ценность. В рамках диссертационной работы реализован функционально полный набор встраиваемых неинтерактивных модулей аутентификации (PNIAM) с поддержкой средств авторизации, протоколирования и смены аутентификационных токенов. Реализовано значительное число PNIAM-приложений, таких как login, passwd, ftpfrontend, Xserver и других.

Спроектированы и реализованы изменения ядра ОС Linux, обеспечивающие полномасштабную поддержку многоуровневой политики безопасности. Создана практически полностью автоматизированная система инсталляции ОС Linux с дополнительными механизмами безопасности.

Перечисленные практические результаты используются в ядре сети MSUNet Московского государственного университета им. М.В. Ломоносова, в подразделениях Московского государственного университета им. М.В. Ломомосова, в компьютерных системах ряда других организаций науки и высшей школы, на суперкомпьютерах российско-белорусской программы "СКИФ".

Апробация работы. Основные положения диссертационной работы докладывались на Всероссийской научно-методической конференции "Телематика'99" (Санкт-Петербург, 1999), на Всероссийской научной конференции "Научный сервис в сети ИНТЕРНЕТ" (Новороссийск, 2001), на Международной научно-методической конференции "Новые информационные технологии в университетском образовании" (Кемерово, 2002), на

XIII Международной конференции "ПРОБЛЕМЫ ТЕОРЕТИЧЕСКОЙ КИБЕРНЕТИКИ" (Казань, 2002), на семинаре "Современные сетевые технологии" (МГУ, 2002).

Публикации. Результаты автора по теме диссертации опубликованы в 11 работах, список которых приведен в конце автореферата.

Структура работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы (74 наименования). В начале текста работы приведено оглавление. Общий объем диссертации составляет 87 страниц.

Краткое содержание диссертации

Во введении обосновывается актуальность темы работы, определяются ее цели и задачи, раскрывается практическая применимость полученных результатов.

Глава 1 посвящена постановке задачи обеспечения информационной безопасности, обзору существующих в данной области решений, а также выявлению подзадач, которые необходимо решить для успешного противостояния современным угрозам безопасности.

Первый раздел содержит перечень основных угроз - целостности, безопасности и доступности информации, перечень основных видов деятельности по обеспечению информационной безопасности - ликвидацию возможностей осуществления атаки, сокращение ущерба и раннее обнаружение атак, а также перечень уровней, на котором задача должна решаться - законодательный, административный, операционный и программно-технический.

Второй раздел содержит краткий обзор мер законодательного уровня. Можно выделить меры прямого законодательного действия, а также направляющие и координирующие меры. Приведен краткий обзор стандартов в области информационной безопасности, как зарубежных, так и отечественных.

Третий раздел посвящен административному уровню. Главная цель мер этого уровня - формирование программы работ в области информационной безопасности и обеспечение ее выполнения. Базовым элементом такой программы является политика безопасности - совокупность решений, направленных на защиту информации и ассоциированных с ней ресурсов. Основой политики безопасности должна быть математическая модель. В разделе приводится описание наиболее распространенных

математических моделей (Белла-Лападула, невлияния), перечисляются их недостатки (игнорирование проблемы доступности, слишком высокая гранулярность), и предлагается способ устранения недостатков - огрубление модели за счет вероятностных моделей и создание моделей, ориентированных на поддержание высокой доступности. Такие модели строятся в главе 2.

Четвертый раздел посвящен операционному уровню, состоящему из мер безопасности, ориентированных на людей. Приводится перечень мер этого уровня (управление персоналом, физическая зашита, поддержание работоспособности, реакция на нарушения безопасности и планирование восстановительных работ), дается описание каждого вида мер, проиллюстрированное реализацией в ядре сети MSUNet Московского государственного университета.

В пятом разделе приведены меры программно-технического уровня. Основными классами программно-технических мер являются идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография и экранирование.

Идентификация позволяет субъекту назвать себя, аутентификация - доказать подлинность идентификатора. Имеется широкий спектр средств аутентификации. Основная проблема заключается в архитектурной реализации глобальной схемы аутентификации в системе. В традиционных Unix-системах приложения, нуждающиеся в аутентификации, самостоятельно реализуют этот сервис, что делает схему нецелостной, статичной и трудно администрируемой. Проект РАМ (Pluggable Authentication Modules, встраиваемые модули аутентификации) решает проблему лишь частично, так как РАМ не в состоянии решать задачу неинтерактивной аутентификации. Возникает необходимость создания новой схемы, устраняющей описанные недостатки. Такая схема строится в главе 3.

Средства управления доступом позволяют задавать, какие действия субъекты могут выполнять над объектами. Наиболее распространенными моделями являются дискреционная, мандатная и ролевая. В дискреционной модели явно указывается, какие субъекты к каким объектам какой доступ могут получить. В мандатной модели с каждым субъектом и объектом ассоциируется элемент решетки, и доступы разрешаются или запрещаются в зависимости от значений меток. Суть ролевого доступа в том, что между пользователями и их привилегиями появляются промежуточные сущности - роли, каждая из которых даст пользователю

определенные права.

Дискреционная модель, реализованная в большинстве существующих систем, хотя и является самой общей, не всегда удобна в использовании. Так, для изоляции недоверенных процессов и пользователей удобно использовать мандатную модель, а для разбиения полномочий суперпользователя - ролевую модель. Реализация мандатного и ролевого управления доступом для ядра Linux приводится в главе 4.

Протоколирование - это сбор и накопление информации о событиях в информационной системе. Аудит - это анализ накопленной информации, проводимый в реальном времени или периодически. Очевидно, что задача аудита может быть успешно решена только в условиях полноты протоколирования. Задача повышения детальности и управляемости протоколирования для ядра Linux решается в главе 4.

Задачу аудита удобно разделить на ряд подзадач - сбор данных для анализа (интеграция с протоколированием), унификация и преобразование собранных данных (необходимое в силу разнородности данных и различных форматов входных данных анализаторов), анализ (на базе экспертных систем, статистических алгоритмов, нейронных сетей или приманок и ловушек), а также принятие окончательного решения и реагирование. У каждого вида анализаторов есть свои плюсы и минусы, поэтому разумным представляется совместное использование нескольких анализаторов различных типов.

Криптография предоставляет следующие сервисы: шифрование, хэш-функции, генерацию электронно-цифровой подписи и генерацию псевдослучайных последовательностей.

Пусть имеется два множества информационных систем. Экранирование - это средство разграничения доступа клиентов из одного множества к серверам из другого множества.

В шестом разделе приведены выводы. Основной вывод заключается в том, что успех в области информационной безопасности может принести только комплексный подход, сочетающий меры законодательного, административного, операционного и программно-технического уровней.

Глава 2 посвящена математическим моделям безопасных систем. Для многопользовательских распределенных систем обычные детерминированные модели гарантированно защищенных систем оказываются слишком громоздкими — в них очень много состояний. Поэтому возникает необходимость уменьшения числа состояний за счет огрубления модели. Кроме того, возникает необходимость в моделях, ориентированных

на обеспечение высокой доступности.

В первом разделе приводится обобщение модели невлияния на вероятностные автоматы.

Под вероятностным автоматом понимается тройка А — (5,2,5), где 5 и Е суть конечные множества (состояния и входной алфавит, соответственно), а 5 — функция, определенная на множестве 5 х Е и принимающая в качестве значений вероятностные меры на множестве 5 (обозначим множество таких мер через ц).

Пусть ] 5 |= п. Тогда ц = |(рх ...р„) | д > 0, г = 1.. .п, = 11.

Функция 6 может быть определена как некоторое множество стохастических матриц. Пусть | Е т. Тогда 5 = {М\... Мт).

Пусть в системе работают два пользователя: Я и Ь. Пользователь Я имеет право знать о системе все, а Ь — только часть информации. Пусть Е = Ея и ЕПусть состояние — вектор параметров, часть которых соответствует пользователю Ь, а оставшаяся часть — пользователю Н. Исходя из описанной идеологии, формально определим понятие безопасности.

Будем считать, что изначально система находится в безопасном состоянии.

Введем на 5 отношение эквивалентности, полагая Я{ ~ Э], если эти состояния отличаются только на Я-компонентах. Соответствующие классы эквивалентности индуцируют проектор 7Г: 5 -4 5/ Пусть [в] — класс эквивалентности е. Введем функцию .Р : Е* Е£, определяемую так: если и;— XI... хн, то Р (ы) = ... Р(хм), Р(а^) = Х{ при ц £ Е^, и /•'(ж,) = е при Х{ 6 Ея-

Занумеруем состояния автомата А так, что сначала берутся состояния, соответствующие первому классу эквивалентности, затем — второму, и так далее. Тогда матрицы вида М^ могут считаться состоящими из блоков, соответствующих переходу из одного класса эквивалентности в другой. Пусть | £>/ ~|= I. Обозначим через Ц1 множество вероятностных мер на Б/ Рассмотрим проектор т : у, —» щ, задаваемый так. Если р^ соответствует состоянию из г-го класса эквивалентности, то полагаем к,

= 2 Р1р и при Д 6 ц выполнено т (Д) = .. .р^).

>=1

Пусть М(1) — множество квадратных матриц размеров 1x1. Определим функцию Адг : Е£ М (I) следующим образом. Пусть из € Е£, из = ш(1).. .из(к) и М = Мш(1) •... • Мш(к).

В матрице М происходит объединение состояний, соответствующих одному классу эквивалентности так, что для каждого класса выбирается один представитель, и в качестве вероятности перехода из данного класса в другие берется суммарная вероятность попадания из выбранного состояния в состояния другого класса. Таким образом, от матрицы М размеров п х п переходим к матрице N размеров 1 х I и говорим, что

Определение безопасности системы. Система, задаваемая вероятностным автоматом А = (5, Е, ¿), называется безопасной, если выполнены следующие два условия: (1) отображение 6, такое что

корректно определено и действует в (2) следующая диаграмма коммутативна:

Сформулируем достаточные условия безопасности системы. Будем говорить, что матрица вида Мк обладает свойством стационарности, если сумма элементов каждого блока по строке постоянна независимо от выбора строки в блоке. Матрица вида Мк обладает свойством диагональ-ности, если все ее внедиагональные блоки состоят из нулей.

Теорема 1.1. Для выполнения условия (1) безопасности системы достаточно, чтобы матрицы Мк, соответствующие каждому элементу Ич, были стационарными.

Теорема 1.2. Для выполнения условия (2) безопасности системы достаточно, чтобы матрицы Мк, соответствующие каждому элементу £д, обладали свойством диагональности.

Отметим, что при отсутствии недостижимых состояний достаточные условия являются и необходимыми. Также отметим, что, инвертировав метки безопасности, можно получить модель, ориентированную на поддержание целостности.

Второй раздел посвящен модели, позволяющей оценивать интегральную загруженность (доступность) системы по наблюдению части каналов. Интенсивность трафика - важный параметр, уменьшение интенсивности может означать неполадки в системе, повышение - атаку на доступность. Наблюдение за интенсивностью во всей системе может оказаться слишком трудоемким, поэтому предпочтительнее найти минимальный

объем, обеспечивающий состоятельность оценок.

Рассмотрим случайный граф. Пусть {zi,... ,хп} — множество вершин; ребра в графе появляются независимо, с одинаковой вероятностью 0 < ja < 1; в графе нет параллельных ребер и петель. Каждое значение р индуцирует вероятностную меру на графе; обозначим эту меру через

Рр-

Пусть N = С%,0 < а < b < 1, А = aN, В = bN. А и В соответствуют нижней и верхней границе допустимого числа ребер (естественно считать, что "нормальное" число ребер является долей общего числа ребер). Обозначим через V число ребер случайного графа.

Пусть {хч,... , Xik} — некоторое выделенное подмножество множества вершин. Без ограничения общности можно считать, что выделенные вершины имеют номера от 1 до к. Мы наблюдаем подграф, натянутый HcL . . . ) Пусть v — число ребер этого подграфа. По наблюдению v требуется определить, лежит ли число ребер всего графа в описанных выше пределах.

Пусть К = С%,с\ = аК,С2 = ЪК. Найдем, при каких к при стремлении п к бесконечности можно построить состоятельную оценку, а при каких — нет.

Теорема 2.1. Пусть ^ оо(п оо). Тогда для любого е,0 < е < 1, следующие события сходятся к 0 при гг -> оо по вероятности в любой мере Рр, 0 < р < 1:

(1)(У>Д1/<(1-ф1)

(2)(V<A,v>{l + £)Cl)

(3)(V>B,u<(l-e)c2)

(4)(V<B,v>(l + e)c2)

Теорема 2.2. Пусть к = о(у/п)(п —> оо). Тогда по наблюдению за числом ребер подграфа нельзя построить состоятельную оценку числа ребер всего графа.

Глава 3 посвящена реализации сервисов безопасности на основе встраиваемых модулей. Анализируются встраиваемые модули аутентификации (РАМ); в качестве решения выявленных проблем предлагаются встраиваемые неинтерактивные модули аутентификации (PNIAM), в которых минимизировано число поддерживаемых сущностей, упрощен и сделан более безопасным протокол взаимодействия с приложениями, централизовано начальное назначение полномочий. Описываются реализованные модули и соответствующие приложения.

Первый раздел является введением. Во втором разделе обосновывается необходимость разделения приложений и сервисов безопасности. В области информационной безопасности имеют место две противоречивые тенденции: снижение уровня защищенности, обеспечиваемого существующими реализациями, как в силу появления новых уязвимостей и атак, так и из-за повышения быстродействия компьютеров, а также появление новых сервисов безопасности, обладающих повышенной защищенностью. Чтобы поддерживать защищенность, необходимо переходить на новые реализации сервисов или модифицировать старые. Это можно сделать экономически и технически целесообразным образом, только если многочисленные сложные приложения отделены от сервисов. Ряд сервисов (например, идентификация/аутентификация) удобно реализовывать централизованно в рамках локальной или корпоративной сети, чтобы поддерживать концепцию единого входа в систему. Очевидно, централизованные сервисы должны быть свободны от специфики приложений. Кроме того, набор используемых сервисов безопасности может варьироваться.

Третий раздел посвящен описанию встраиваемых модулей и поддерживающей их инфраструктуры. Предлагается ввести библиотеку (менеджер) встраиваемых модулей, ответственную за взаимодействие между приложениями и модулями. Введение такой библиотеки позволит свести все взаимодействие к локальному (несетевому) случаю. Итоговая архитектура представлена на рис. 1.

Четвертый раздел посвящен описанию встраиваемых модулей аутентификации (РАМ). Выявляется ряд недостатков. Первый класс недостатков связан с алгоритмом диалога между модулями и приложениями. Диалог происходит путем вызова диалоговой функции. Недостатки такого решения таковы:

- предпочтительность декларационных средств по сравнению с процедурными;

- невозможность обработки структурированных запросов;

- невозможность реализации неинтерактивных схем;

- вовлечение приложения в протокол неизвестной семантики (возможность таким образом реализовать скрытый канал).

Кроме того, используемое РАМ понятие сессии представляется избыточным - целесообразно заменить его поддержкой протоколирования;

Встраиваемые Встраиваемые

1------- 1 мод ¡щи для клиентской Г 1 модули для серверной

1 часта 1 1 части

1 1 1 1 1 1

1 Клиентская 1 Серверная

1 библиотека 1 библиотека

1 встраиваемых 1 встраиваемых

ф модулей 1 1 модулей

Пользователь 1 — т

Клиентская Серверная

приложения приложения

Рис. 1. Инфраструктура встраиваемых модулей.

управление счетами пользователей носит фрагментарный характер.

Пятый раздел посвящен встраиваемым неинтерактивным модулям аутентификации (PNIAM). Описываются функции, доступные приложению (аутентификации - pniam_authenticate, авторизации -pniam_authorize, протоколирования - pniam_account_start и pniam_ac-count_end, и смены аутентификационных токенов - pniam_change). Диалог между приложениями и модулями производится посредством именованных элементов данных (pniam_item), передаваемых с помощью структуры pniam_request, состоящей из списков pniam_item для входных и выходных данных, а также для информационных сообщений. За счет стандартизации диалога исправляются недостатки, присущие диалогу в РАМ. Функция авторизации позволяет полноценно работать с счетами пользователей. Вместо функций работы с сессиями в РАМ в PNIAM представлены функции протоколирования. Отметим простоту архитектуры PNIAM (рис. 2), а также простоту конфигурирования - в общем конфигурационном каталоге выделяются подкаталоги для каждого обслуживаемого приложения, содержащие подмножества множетсва из пяти файлов: authen (конфигурация модулей аутентификации), author

Рис. 2. Инфраструктура встраиваемых неинтерактивных модулей аутентификации.

(авторизации), account (протоколирования), change (смены токенов) и validate (валидации токенов).

Шестой раздел посвящен реализованным PNIAM-модулям. Представлен функционально полный набор встраиваемых неинтерактивных модулей, в том числе модули аутентификации по одноразовым паролям, по RSA- и DSA-ключам, DES- и МD5-паролям, модули авторизации по идентификатору и групповому идентификатору, модуль авторизации по passwd- и shadow-файлам, модули авторизации по параметрам доступа (время, адрес, терминал и т.п.), модуль протоколирования почтовых сессий, модули протоколирования в журналы wtmp и lastlog, модули смены DES- и МD5-паролей, модули валидации паролей с помощью простых проверок и по словарю. Общее число модулей более 30.

Седьмой раздел посвящен PNIAM-приложениям. Создан целый ряд таких приложений, включая login (открытие пользователю интерактивной сессии), su (открытие сессии или выполнение команды от имени другого пользователя), passwd (смена пароля), vlock (блокирование консоли), Xserver (графическая оболочка), sshd (демон протокола ssh), qmail-auth (блок аутентификации, авторизации и протоколирования рорЗ-модуля почтового сервера qmail).

Восьмой раздел содержит выводы. Встраиваемые модули - гибкое и мощное средство реализации сервисов безопасности. Они позволяют сделать приложения независимыми от особенностей конкретных реализа-

ций, сохраняя в то же время простоту прикладного программного интерфейса и высокую выразительную силу средств конфигурирования. Анализ модулей РАМ показал, однако, что у данного подхода имеются как сильные, так и слабые стороны. При проектировании и реализации встраиваемых неинтерактивных модулей аутентификации сделана попытка минимизировать число поддерживаемых сущностей, упростить интерфейс и стандартизовать используемые в нем сущности, избежать потенциально уязвимых с точки зрения информационной безопасности возможностей. Самим автором и под его руководством реализован функционально полный набор встраиваемых неинтерактивных модулей аутентификации, а также значительное число PNIAM-приложений.

Глава 4 посвящена реализации многоуровневой политики безопасности в ОС Linux. Первая часть представляет собой введение. Во второй части дается описание многоуровневой политики безопасности. В качестве основы многоуровневой политики безопасности строится решетка ценностей S, являющаяся прямым произведением линейной решетки L и решетки подмножеств множества С с естественным отношением порядка для всех упомянутых решеток. Элементы L трактуются как уровни допуска (секретности) для субъектов (объектов), а элементы множества С - как категории некой предметной области. Задается отображение множества объектов в решетку S: s : О S Информационный поток из объекта X в объект Y считается разрешенным тогда и только тогда, когда а[Х) < *(У)

Если это условие выполнено, то говорят, что Y выше X. Соответственно, все информационные потоки вниз запрещены. Существование потоков и из X в Y, и из Y в X возможно только при условии s(X) — s(Y).

Для реализации многоуровневой политики безопасности применяется мандатное управление доступом, основанное на сравнении меток безопасности. В метках в виде небольших целых чисел представлены уровни допуска (секретности), а в виде битовых шкал - наборы категорий. Подобное представление позволяет эффективно реализовать сравнение меток.

В третьем разделе приводятся требования к системам, реализующим многоуровневую политику безопасности с точки зрения "Общих критериев". Выделяются такие требования, как мандатное управление доступом, иерархические атрибуты безопасности, а также роли безопасности.

Четвертый раздел содержит основные проектные решения. Выделяются такие сущности, как пользователь, файл, процесс и сетевой пакет.

Одним из основных требований было обеспечение обратной совместимости ОС с поддержкой многоуровневой политики и без нее. Как следствие, для хранения меток безопасности для файлов были использованы свободные поля описателя файла (inode). В результате уровень занимает три бита, маска категорий - 61 бит.

Традиционное для Unix-систем разделение привилегий на суперпользователей и обычных пользователей недостаточно для реализации многоуровневой политики (что подтверждается существованием в модели Белла-Лападула понятия доверенного субъекта), что обосновывает необходимость введения более развитого механизма привилегий, описанного в следующих разделах.

Пятый раздел посвящен авторизации пользователей. При входе в систему пользователю присваивается метка безопасности, которая наследуется всеми дочерними процессами. Метки хранятся в файле /etc/mac; реализация выставления метки проведена с помощью технологии PNIAM.

В шестом разделе описывается организация доступа к файлам. В качестве исходной файловой системы была выбрана система ext2. Как отмечалось выше, метка хранится в свободных полях описателя файла, и затем копируется в логический описатель. При проверке полномочий (осуществляемой модифицированной функцией permission) происходит сравнение метки логического описателя файла с меткой процесса. Для возможности просмотра мандатных меток файлов модифицирована структура stat, содержащая информацию о файловых атрибутах. Для повышения детализации протоколирования возможно протоколирование системных вызовов open и exec для заданных процессов. Для этого вводятся флаги в логическом описателе файлов и в структуре описателя процесса. Для просмотра и смены меток протоколирования введены системные вызовы, оформленные в виде отдельной библиотеки. Для поддержки просмотра и смены меток безопасности файла введены системные вызовы, а также модифицированы существующие вызовы. Таким образом, применительно к файлам обеспечена поддержка многоуровневой политики безопасности для всех категорий - пользователей, программистов и системных администраторов.

Седьмой раздел посвящен процессам и средствам их взаимодействия. В структуру описателя процесса вводится мандатная метка, которая может просматриваться и модифицироваться с помощью введенных системных вызовов. Для простоты просмотра меток модифицирована утилита ps. В описатели средств межпроцессного взаимодействия (вклю-

чая Unix-сокеты) также введена мандатная метка. При создании объекта наследуется метка порождающего процесса. Так как взаимодействие двустороннее, для непривилегированных процессов взаимодействие разрешено только с процессами с совпадающей меткой. Для введения административных ролей введен ряд атомарных привилегий, охватывающих операции с файлами, процессами и сетью. Привилегии хранятся в описателе процесса; они могут быть разделены на четыре класса: обход многоуровневой политики безопасности, изменение меток безопасности, изменение параметров протоколирования и изменение меток процессов. На основе атомарных привилегий могут быть реализованы такие роли, как администратор файловой системы, администратор резервного копирования, администратор сетевого домена, администратор процессов и главный администратор.

Восьмой раздел описывает реализацию мандатного разграничения доступа для сетевых пакетов. При создании сокет получает метку породившего процесса; пакет получает метку породившего сокета (метка хранится в заголовке ip-пакета в поле Options). В силу того, что сетевой обмен носит двусторонний характер, непривилегированные процессы могут получать сетевые пакеты только с той же меткой. Вклад автора в данном случае состоит в модификации PNIAM-варианта ftp-frontend, чтобы он при приеме соединения проверял метки безопасности приходящих пакетов и, если они не являются допустимыми для данного пользователя, возвращал ошибку авторизации (PNIAM-модуль pniam_mac_author), a также выставлял соответствующую метку и привилегии для пользовательского соединения.

Девятый раздел посвящен дополнительным средствам администрирования - средствам сетевой и локальной установки системы с минимальным вмешательством пользователя, средствам для работы с метками безопасности процессов и файлов, средствам для управления метками и привилегиями пользователей (на основе технологии PNIAM).

Десятый раздел содержит выводы. Требование реализации многоуровневой политики безопасности является обязательным для операционных систем, используемых в режимных организациях и участвующих в обработке информации с грифом секретности. Основным элементом такой реализации является модификация ядра ОС. Непосредственно автором или при его активном участии были спроектированы и реализованы изменения ядра, обеспечивающие полномасштабную поддержку многоуровневой политики безопасности. В рамках реализации концепции до-

веренного субъекта выбран и реализован набор привилегий процессов, обладающий свойством минимальности, что существенно для уменьшения числа потенциальных уязвимостей ОС. Созданные решения используются в ядре сети MSUNet Московского государственного университета им. М.В. Ломоносова, в подразделениях Московского государственного университета им. М.В. Ломоносова, в компьютерных системах ряда других организаций науки и высшей школы.

В заключении перечислены основные результаты диссертационной работы и показана их практическая значимость.

1. Исследован и применен комплексный подход к обеспечению информационной безопасности, классифицированы его составляющие, проанализированы существующие средства и методы.

2. Построена вероятностная модель гарантированно защищенной системы и легко проверяемые достаточные условия безопасности для нее.

3. Построена вероятностная графовая модель распределенной системы, получены оценки как необходимого, так и достаточного числа ребер для построения состоятельной оценки совокупного числа ребер. Построенная модель может быть использована для оценки совокупных потоков данных в сетевой системе по наблюдениям за подсетями.

4. Обосновано разделение приложений и сервисов безопасности как элемент архитектурной безопасности. Предложена концепция встраиваемых неинтерактивных модулей аутентификации (PNIAM), в которых минимизировано число поддерживаемых сущностей, упрощен и сделан более безопасным протокол взаимодействия с приложениями, централизовано начальное назначение полномочий.

5. Определены основные принципы, проектные и программные решения, необходимые для полномасштабной реализации в ОС класса Unix многоуровневой политики безопасности. В число таких принципов и решений входят полнота охвата сущностей ОС, минимизация спектра привилегий доверенных субъектов, обеспечение обратной совместимости.

6. Лично автором или под его руководством реализован функционально полный набор встраиваемых неинтерактивных модулей аутентификации, а также значительное число PNIAM-приложений.

7. Лично автором или при его активном участии спроектированы и реализованы изменения ядра ОС Linux, обеспечивающие полномасштабную поддержку многоуровневой политики безопасности. В рамках реализации концепции доверенного субъекта выбран и реализован набор привилегий процессов, обладающий свойством минимальности.

8. Перечисленные выше практические результаты используются в ядре сети MSUNet Московского государственного университета им. М.В. Ломоносова, в подразделениях Московского государственного университета им. М.В. Ломоносова, в компьютерных системах ряда других организаций науки и высшей школы.

Таким образом, в диссертационной работе содержится решение задачи, имеющей существенное значение для обеспечения информационной безопасности современных распределенных информационных систем.

Личный вклад. Все результаты исследований, составляющие содержание диссертации, получены лично автором. Также лично автором или под его руководством получены практические результаты диссертационной работы.

Работы автора по теме диссертации

1. Бетелип В. Б., Галатепко А. В., Галатенко В. А., Кобза,ръ М. Т., Сидак А. А. Классификация средств активного аудита в терминах "Общих критериев" // Информационная безопасность. Инструментальные средства программирования. Базы данных. — М.: НИИСИ РАН, 2001. С. 4-27.

2. Васепин В.А., Галатенко А.В. О проблемах информационной безопасности в сети Интернет // "Глобальная информатизация и безопасность России". М.: Издательство Московского университета, 2001. С. 199-214.

3. Галатенко А. В. Активный аудит // Jetlnfo №8, 1999. http: //www. j et Шо. ru/1999/8/l/art iclel. 8.1999. html

4. Галатенко А.В. Об автоматной модели защищенных компьютерных систем // Интеллектуальные системы. Т. 4, вып. 3-4. Москва, 1999. С. 263-270.

5. Галатенко А.В. Об автоматной модели защищенных компьютерных систем // Материалы XIII Международной конференции "ПРОБЛЕМЫ ТЕОРЕТИЧЕСКОЙ КИБЕРНЕТИКИ". Части 1,11. - М.: Изд-во центра прикладных исследований при механико-математическом факультете МГУ, 2002. С. 43.

6. Галатенко А.В. О применении методов теории вероятностей для решения задач информационной безопасности // Вопросы кибернетики. Информационная безопасность. Операционные системы реального времени. Базы данных. - М.: НИИСИ РАН, 1999. С. 14-45.

7. Галатенко А.В. Реализация многоуровневой политики безопасности в ОС Linux // Информационная безопасность. Инструментальные средства программирования. Микропроцессорные архитектуры.

- М.: НИИСИ РАН, 2003. С. 107-125.

8. Галатенко А.В. Реализация сервисов безопасности на основе встраиваемых модулей // Информационная безопасность. Инструментальные средства программирования. Микропроцессорные архитектуры.

- М.: НИИСИ РАН, 2003. С. 91-106.

9. Галатенко А.В., Галатенко В.А. О постановке задачи разграничения доступа в распределенной объектной среде // Вопросы кибернетики. Информационная безопасность. Операционные системы реального времени. Базы данных. - М.: НИИСИ РАН, 1999. С. 3-13.

10. Галатенко А.В., Лаврентьев А.Ю., Наумов А.А., Создание дистрибутива программного обеспечения для кластеров // Тезисы Международной научно-методической конференции "Новые информационные технологии в университетском образовании" — Кемерово, 2002. С. 192-194.

11. Галатенко А. В., Савочкин А. В. Реализация системы управления доступом к информации в виде встраиваемых модулей аутентификации // Тезисы докладов Всероссийской научно-методической конференции "Телематика'99" - СПб, 1999. С. 106-107.

Подписано в печать 3.12.2004 Формат 60x88 1/16. Объем 1.5 усл.п.л.

Тираж 100 экз. Заказ № 211 Отпечатано в ООО «Соцветие красок» 119992 г.Москва, Ленинские горы, д.1 Главное здание МГУ, к. 102

Введение

Актуальность темы

Цели диссертационной работы.

Научная новизна.

Практическая ценность.

Апробация

Публикации.

Объем и структура работы.

1 Средства и методы обеспечения информационной безопасности

1.1 Общие положения.

1.2 Законодательный уровень

1.3 Административный уровень.

1.4 Операционный уровень.

1.4.1 Управление персоналом.

1.4.2 Физическая защита.

1.4.3 Поддержание работоспособности.

1.4.4 Реакция на нарушения режима безопасности

1.4.5 Планирование восстановительных работ.

1.5 Программно-технические меры.

1.5.1 Идентификация и аутентификация.

1.5.2 Управление доступом.

1.5.3 Протоколирование и аудит.

1.5.4 Криптография.

1.5.5 Экранирование.

1.5.6 Связь программно-технических регуляторов.

1.6 Выводы.

2 Математические модели безопасных систем

2.1 Введение.

2.2 Обобщение модели невлияния на вероятностные автоматы

2.2.1 Введение.

2.2.2 Основные понятия и результаты.

2.2.3 Вспомогательные утверждения

2.2.4 Доказательство теорем.

2.3.2 Основные понятия и результаты.41

2.3.3 Вспомогательные утверждения .42

2.3.4 Доказательство теорем.44

2.3.5 Заключение.45

3 Реализация сервисов безопасности на основе встраиваемых модулей 47

3.1 Введение.47

3.2 Необходимость разделения приложений и сервисов безопасности .47

3.3 Встраиваемые модули и поддерживающая их инфраструктура . .49

3.4 Встраиваемые модули аутентификации и их анализ . 51

3.5 Встраиваемые неинтерактивные модули аутентификации . 52

3.6 Функционально полный набор встраиваемых неинтерактивных модулей аутентификации.56

3.7 PNIAM-приложения.59

3.8 Выводы.61

4 Реализация многоуровневой политики безопасности в ОС Linux 62

4.1 Введение.62

4.2 Многоуровневая политика безопасности.62

4.3 Требования к операционным системам, реализующим многоуровневую политику безопасности.63

4.4 Основные проектные решения.66

4.5 Авторизация пользователей .68

4.6 Управление доступом к файлам.69

4.7 Процессы и их взаимодействие.73

4.8 Управление межсетевым доступом .76

4.9 Дополнительные средства администрирования.77

4.10 Выводы.77

Заключение 79

Литература 81

Введение

Актуальность темы

Информационная (компьютерная) безопасность (ИБ) - ветвь информационных технологий, развивающаяся исключительно быстрыми темпами. Важность этой ветви в последние годы стала общепризнанной, что объясняется двумя основными причинами:

- ценностью накопленных информационных ресурсов;

- критической зависимостью от информационных технологий.

Проблематика ИБ не только важна, но и сложна. Свидетельством сложности является параллельный, весьма быстрый рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения, что также подчеркивает важность ИВ. Выпускается и используется все больше средств обеспечения ИБ, но большинство из них оказывается слабыми, содержащими уязвимости в спецификациях, архитектуре и/или реализации.

Средство обеспечения ИБ может быть надежным, только если его проект и реализация основаны на математических моделях, адекватно описывающих сложные современные информационные системы (ИС) и содержащих достаточные условия гарантированной безопасности, допускающих практическую проверку. Принятые в настоящее время модели безопасных систем этим требованиям не удовлетворяют, оказываясь чересчур громоздкими. Из этого следует актуальность проблемы разработки новых моделей безопасности, что важно как в теоретическом, так и в практическом плане.

В современных условиях на первый план вышел такой аспект ИБ, как доступность. Большинство атак на ИС являются именно атаками на доступность; перерывы в доступности приводят к наибольшему ущербу. В то же время, традиционные модели безопасности ориентированы в первую очередь на обеспечение конфиденциальности и целостности. Следовательно, актуальной является проблема создания математических моделей, ориентированных на доступность.

Наряду с математическими основами важнейшую роль играет архитектурная безопасность. Современные ИС уязвимы потому, что сложны, в них смешиваются прикладная функциональность и сервисы безопасности, нарушается принцип концептуальной экономии. Это делает актуальной проблему развития архитектурных подходов, обеспечивающих минимизацию числа и сложности связей между прикладными компонентами и модулями безопасности, упрощение интерфейсов и протоколов взаимодействия между ними.

Операционные системы (ОС) - фундамент современных ИС. От уровня безопасности, который ОС обеспечивают, зависит безопасность системы в целом. Для многих категорий информационных систем, как военных, так и гражданских, необходимы ОС, удовлетворяющие повышенным требованиям к безопасности, что делает актуальной практическую реализацию в них передовых архитектурных принципов обеспечения безопасности.

Все это свидетельствует о необходимости проведения новых исследований, развития более строгого подхода к проблемам ИБ, сочетающего построение моделей доказательно безопасных систем, применимых к современным распределенным ИС, и практических разработок на этой базе.

Цели диссертационной работы

Основная цель диссертационной работы состояла в исследовании, развитии и применении подхода к обеспечению информационной безопасности, предусматривающего построение математических моделей безопасных систем, обеспечение архитектурной безопасности и практическую реализацию развитых теоретических основ.

В диссертационной работе решались следующие задачи:

- проведение анализа комплексного подхода к обеспечению информационной безопасности, классификация его составляющих, существующих средств и методов;

- построение вероятностной модели гарантированно защищенной системы, а также вероятностной графовой модели распределенных систем;

- исследование проблемы архитектурной безопасности в сочетании с разделением приложений и сервисов безопасности, минимизацией числа компонентов, упрощением протокола их взаимодействия;

- определение основных принципов, проектных и программных решений, необходимых для полномасштабной реализации в ОС класса Unix многоуровневой политики безопасности;

- реализация функционально полного набора встраиваемых модулей безопасности, приложений, модификаций ядра ОС класса Unix.

Научная новизна

В диссертационной работе построена новая вероятностная модель гарантированно защищенной системы и новая вероятностная графовая модель распределенной системы. Для вероятностной модели гарантированно защищенной системы получены легко проверяемые достаточные условия безопасности.

Для вероятностной графовой модели распределенной системы получены оценки как необходимого, так и достаточного числа ребер для построения состоятельной оценки совокупного числа ребер.

В рамках развития концепции встраиваемых модулей безопасности предложено новое понятие встраиваемых неинтерактивных модулей аутентификации с простым и безопасным протоколом взаимодействия с приложениями и централизованным назначением полномочий.

Предложен набор привилегий доверенных субъектов в ОС с поддержкой многоуровневой политики безопасности, обладающий свойством минимальности.

Практическая ценность

В рамках диссертационной работы реализован функционально полный набор встраиваемых неинтерактивных модулей аутентификации (PNIAM) с поддержкой средств авторизации, протоколирования и смены аутентификационных токенов. Реализовано значительное число PNIAM-приложений, таких как login, passwd, ftp-frontend, Xserver и других.

Спроектированы и реализованы изменения ядра ОС Linux, обеспечивающие полномасштабную поддержку многоуровневой политики безопасности. Создана практически полностью автоматизированная система инсталляции ОС Linux с дополнительными механизмами безопасности.

Перечисленные практические результаты используются в ядре сети MSUNet Московского государственного университета им. М.В. Ломоносова, в подразделениях Московского государственного университета им. М.В. Ломоносова, на суперкомпьютерах российско-белорусского проекта "СКИФ".

Апробация

Основные положения диссертационной работы докладывались на Всероссийской научно-методической конференции "Телематика'99" (Санкт-Петербург, 1999), на Всероссийской научной конференции "Научный сервис в сети ИНТЕРНЕТ" (Новороссийск, 2001), на Международной научно-методической конференции "Новые информационные технологии в университетском образовании"(Кемерово, 2002), на XIII Международной конференции "ПРОБЛЕМЫ ТЕОРЕТИЧЕСКОЙ КИБЕРНЕТИКИ" (Казань, 2002), на семинаре "Современные сетевые техноло-гии"(МГУ, 2002).

Публикации

По теме диссертации опубликовано 15 печатных работ [7], [11], [12], [14], [15], [16], [17], [18], [19], [20], [21], [22], [23], [24], [72].

Объем и структура работы

Диссертация состоит из введения, четырех глав, заключения и списка литературы.

4.10 Выводы

Требование реализации многоуровневой политики безопасности является обязательным для операционных систем, используемых в режимных организациях и участвующих в обработке информации с грифом секретности. Основным элементом такой реализации является модификация ядра ОС.

Непосредственно автором или при его активном участии были спроектированы и реализованы изменения ядра, обеспечивающие полномасштабную поддержку многоуровневой политики безопасности. В рамках реализации концепции доверенного субъекта выбран и реализован набор привилегий процессов, обладающий свойством минимальности, что существенно для уменьшения числа потенциальных уязвимостей ОС. Созданные решения используются в ядре сети MSUNet Московского государственного университета им. М.В. Ломоносова, а также в подразделениях Московского государственного университета им. М.В. Ломоносова.

Заключение

В диссертационной работе получены следующие основные результаты.

1. Исследован и применен комплексный подход к обеспечению информационной безопасности, классифицированы его составляющие, проанализированы существующие средства и методы.

2. Построена вероятностная модель гарантированно защищенной системы и легко проверяемые достаточные условия безопасности для нее.

3. Построена вероятностная графовая модель распределенной системы, получены оценки как необходимого, так и достаточного числа ребер для построения состоятельной оценки совокупного числа ребер. Построенная модель может быть использована для оценки совокупных потоков данных в сетевой системе по наблюдениям за подсетями.

4. Обосновано разделение приложений и сервисов безопасности как элемент архитектурной безопасности. Предложена концепция встраиваемых неинтерактивных модулей аутентификации (PNIAM), в которых минимизировано число поддерживаемых сущностей, упрощен и сделан более безопасным протокол взаимодействия с приложениями, централизовано начальное назначение полномочий.

5. Определены основные принципы, проектные и программные решения, необходимые для полномасштабной реализации в ОС класса Unix многоуровневой политики безопасности. В число таких принципов и решений входят полнота охвата сущностей ОС, минимизация спектра привилегий доверенных субъектов, обеспечение обратной совместимости.

6. Лично автором или под его руководством реализован функционально полный набор встраиваемых неинтерактивных модулей аутентификации, а также значительное число PNIAM-приложений.

7. Лично автором или при его активном участии спроектированы и реализованы изменения ядра ОС Linux, обеспечивающие полномасштабную подцержку многоуровневой политики безопасности. В рамках реализации концепции доверенного субъекта выбран и реализован набор привилегий процессов, обладающий свойством минимальности.

8. Перечисленные выше практические результаты используются в ядре сети MSUNet Московского государственного университета.

Таким образом, в диссертационной работе содержится решение задачи, имеющей существенное значение для обеспечения информационной безопасности современных распределенных информационных систем.

1. Аграновский А. В., Хади Р. А., Фомченко В. Н., Мартынов А. П., Снапков В. А., "Теоретико-графовый подход к анализу рисков в вычислительных сетях". "Конфидент", №2, 2002, http://www.confident.ru/magazine/new/50.html

2. Анни П., "Тонкие клиенты", Jetlnfo, №6, 2000, http://www.j etinfо.ru/2000/6/2000.6.pdf

3. Барсуков В., "Защита компьютерных систем от силовых деструктивных воздействий", Jetlnfo JVS2, 2000, http://www. j etinfо.ru/2000/2/2/article2.2.2000.html

4. Барсуков В., "Физическая защита информационных систем", Jetinfo №1, 1997, http://www.jetinfo.rU/1997/l/l/articlel.1.1997.html

5. Безопасность информационных технологий. Меточная защита. Профиль защиты (первая редакция). — Центр безопасности информации, 2002.

6. Безопасность информационных технологий. Многоуровневые операционные системы в средах, требующих среднюю робастность. Профиль защиты (вторая редакция). — Центр безопасности информации, 2002.

7. Бухараев Р. Г., "Вероятностные автоматы", Казань, 1970.

8. Ван дер Варден Б. Л. "Математическая статистика". М.: ИЛ, 1960.

9. Васенин В.А., Галатенко А.В., "О проблемах информационной безопасности в сети Интернет". — "Глобальная информатизация и безопасность России", Издательство Московского университета, 2001, с. 199-214.

10. Васенин В.А., Галатенко А.В., Савочкин А.В., "К построению систем информационной безопасности для научно-образовательных сетей". — Труды Всероссийской научной конференции "Научный сервис в сети ИНТЕРНЕТ", 2001, с. 178-181.

11. Винклер А., "Задание: шпионаж". Jetlnfo №19, 1996, http://www.jetinfo.ru/1996/19/l/articlel.19.1996.html

12. Галатенко А. В., "Активный аудит". Jetlnfo №8, 1999, http://www.jetinfо.ru/1999/8/l/articlel.8.1999.html

13. Галатенко А.В., "Об автоматной модели защищенных компьютерных систем". — "Интеллектуальные системы", т. 4, вып. 3-4, Москва, 1999г., с. 263-270.

14. Галатенко А.В., "О применении методов теории вероятностей для решения задач информационной безопасности". — Вопросы кибернетики. Информационная безопасность. Операционные системы реального времени. Базы данных. Москва, НИИ СИ РАН, 1999г., с. 14-45.

15. Галатенко А.В., "Реализация многоуровневой политики безопасности в ОС Linux". — Информационная безопасность. Инструментальные средства программирования. Микропроцессорные архитектуры. Москва, НИИСИ РАН, 2003г., с. 107-125.

16. Галатенко А.В., "Реализация сервисов безопасности на основе встраиваемых модулей". — Информационная безопасность. Инструментальные средства программирования. Микропроцессорные архитектуры. Москва, НИИСИ РАН, 2003г., с. 91-106.

17. Галатенко А.В., "Средства и методы обеспечения информационной безопасности (обзор)". — Информационная безопасность. Инструментальные средства программирования. Москва, НИИСИ РАН, 2002г., с. 92-116.

18. Галатенко А.В., Галатенко В.А., "О постановке задачи разграничения доступа в распределенной объектной среде". — Вопросы кибернетики. Информационная безопасность. Операционные системы реального времени. Базы данных. Москва, НИИСИ РАН, 1999г., с. 3-13.

19. Галатенко А.В., Лаврентьев А.Ю., Наумов А.А., Слепухин А.Ф., "Создание дистрибутива программного обеспечения для кластеров". — Труды Всероссийской научной конференции "Научный сервис в сети ИНТЕРНЕТ", 2002, стр. 229-231.

20. Галатенко А. В., Савочкин А. В. "Реализация системы управления доступом к информации в виде встраиваемых модулей аутентификации". Тезисы докладов Всероссийской научно-методической конференции "Телематика'99", 1999, с. 106-107

21. Галатенко В. А., "Информационная безопасность: практический подход". Под редакцией В. Б. Бетелина. М.: Наука, 1998.

22. Гаценко О. Ю., "Защита информации", Спб., Сентябрь, 2001.

23. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. — М.: ИПК Издательство стандартов, 2002.

24. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценкибезопасности информационных технологий. Часть 2. Функциональные требования безопасности. — М.: ИПК Издательство стандартов, 2002.

25. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. — М.: ИПК Издательство стандартов, 2002.

26. Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. — Москва, 2002.

27. Грушо А. А. "Некоторые статистические задачи на графах". "Математические заметки", т. 36, №2, 1984, стр. 269-277.

28. Грушо А. А. "Теоретические основы защиты информации". "Яхтсмен", 1996.

29. Зорич В.А., "Математический анализ, часть I". Москва, Наука, 1981

30. Колмогоров А. Н. "О представлении непрерывных функций нескольких переменных в виде суперпозиции непрерывных функций одного переменного". Докл. АН СССР, 1957. Т. 114, №5. с. 953-956.

31. Материалы по аутентификации по магнитным и смарт-картам, http: //home. hkstar. com/~alanchan/paper s/smartCardSecurity/

32. Материалы по аутентификации по отпечаткам пальцев, http://biometrics.ru/ru/get?1001501835506167

33. Материалы по встраиваемым модулям аутентификации, http: //kernel. org/pub/linux/libs/pam/

34. Материалы по межсетевому экрану Cisco PIX FireWall, http: //www. cisco. com/univercd/cc/td/doc/product/iaabu/pix/

35. Материалы по отчетам ФБР о компьютерной преступности в США, http://www.gocsi.com/

36. Материалы по проекту iptables, http://www.netfilter.org/

37. Материалы по ролевому доступу на сервере Национального института стандартов и технологий США, http://csrc.nist.gov/rbac/

38. Материалы по ssh, http://www.ssh.com/tech/archive/secsh. cfm

39. Семенов Г., "Не только шифрование, или обзор криптотехнологий". Jetlnfo, №3, 2001, http://www.j etinfо.ru/2001/3/2/article2.3.2001.html

40. Тимонина E. Скрытые каналы передачи информации (обзор). — Jet Info, 2002, 11

41. Трубачев А. П., Долинин М .Ю., Кобзарь М .Т., Сидак А .А., Соро-ковиков В. И., "Оценка безопасности информационных технологий". Под общей редакцией В.А. Галатенко. М.: СИП РИА, 2001

42. Уоссерман Ф., "Нейрокомпыотерная техника. Теория и практика". Мир, 1992

43. Ширяев A.H., "Математическая статистика". Москва, Наука, 1980

44. Amoroso Е. G., "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response". Intrusion.Net Books, 1999.

45. Bace R., Melt P., "Intrusion Detection Systems", NIST Special Publication on Intrusion Detection System, 2001.

46. Bugtraq mailing list, http://www. securityfocus. com

47. Capobianco M., Frank O., "Comparison of statistical graph-size estimators". Journal of Statistical Planning and Inference, №6, 1982, pp. 87-97.

48. Common Methodology for Information Technology Security Evaluation. Part 2:Evaluation Methodology. Version 1.0. — CEM-99/045, August, 1999.

49. Department of Defense Trusted Computer System Evaliation Criteria. DoD 5200.28-STD, 1985

50. Durst R., Champion Т., Witten В., Miller E., Spagnulol L., "Testing and Evaluating Computer Intrusion Detection Systems". Communicaions of the ACM., Vol. 42, No. 7, pp. 53-61., July 1999

51. Frank O., "Estimation of Graph Totals". Scandinavian Journal of Statistics, №4, 1977, pp. 81-89.

52. Goodman L. A. "On estimation of the number of classes in a population". Ann. Math. Stat., 1949, v. 20, №4, pp. 572-579

53. Goodman L.A. "Sequential sampling tagging for population size problem". Ann. Math. Stat., 1953, v. 24, №1, pp. 56-59

54. Goguen J. A., Meseguer J., "Unwinding and interference control". "Proc. of the 1984 IEEE Computer Society Symposium on Computer Security and Privacy", pp. 75-86, Oakland, CA, 1984

55. Harris B. "Statistical inference in the classical occupancy problem unbiased estimation of the number of classes". Ann. Math. Stat., 1968, v. 63, pp. 837-847.

56. Information technology — Security techniques — Evaluation criteria for IT security Part 1: Introduction and general model. — ISO/IEC 154081.1999

57. Information technology — Security techniques — Evaluation criteria for IT security Part 2: Security functional requirements. — ISO/IEC 15408-2.1999

58. Information technology — Security techniques — Evaluation criteria for IT security Part 3: Security assurance requirements. — ISO/IEC 15408-3.1999

59. Javitz H. S., Valdes A., "The NIDES Statistical Component Description and Justification", http://www.sdl.sri.com/proj ects/nides/index5.html

60. Labeled Security Protection Profile. Version l.b. — U.S. Information Systems Security Organization. U.S. National Security Agency, 8 October 1999.

61. Lindqvist U., Porras P., "Detecting Computer and Network Misuse Through the Production-Based Expert System Toolset (P-BEST)". Proceedings of the 1999 IEEE Symposium on Security and Privacy, Oakland, California., May 9-12, 1999

62. McLean J., "Reasoning about security models". "Proc. of the 1987 IEEE Computer Society Symposium on Research in Security and Privacy", pp 123-131, Oakland, CA, 1987

63. Morgan A. Pluggable Authentication Modules (РАМ). — Internet Draft: draft-morgan-pam-08.txt, Dec 8, 2001

64. Moskowitz I. S., Costich O. L., "A Classical Automata Approach to Noninterference Type Problems". Department of the Navy, Naval Research Laboraory, 1992.

65. Protection Profile for Multilevel Operation Systems in Environments Requiring Medium Robustness. Version 1.22. — Information Systems Assurance Directorate. U.S. National Security Agency, 23 May 2001.

66. Ranumi M., Landfield K., Stolarchuk M., Sienkiewicz M., Lambeth A., Wall E., "Implementing A Generalized Tool For Network Monitoring". Proceedings of the 11th Systems Administration Conference (LISA '97), San Diego, California., October 26-31, 1997

67. Sandhu R. S., Coyne E. J., Feinstein H. L., Youman С. E., "Role-Based Access Control Models", Computer, pp. 38-47, February 1996.

68. Savochkin A., Galatenko A., Naumov A. Pluggable Non Interactive Authentication Modules. — http://www.msu.ru/pniam/pniam.html

69. Schneier В., "Applied Cryptography". John Wiley and Sons, 1996.

70. Web-сервер с материалами по "Общим критериям". — http://www.commoncriteria.org/