автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод обеспечения целостности информации в автоматизированных информационных системах, функционирующих на основе систем управления базами данных

На правах рукописи

Архипочкии Евгений Витальевич

МЕТОД ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ, ФУНКЦИОНИРУЮЩИХ НА ОСНОВЕ СИСТЕМ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ

Специальность 05.13.19 — Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Автор:

О р [\<

7 Р : I

МОСКВА —2009

003466390

Работа выполнена в Институте криптографии связи и информатики.

Научный руководитель:

доктор технических наук,

доцент Смирнов Сергей Николаевич

Официальные оппоненты: доктор физико-математических наук,

профессор Кузьмин Алексей Сергеевич

кандидат технических наук Хургин Владимир Михайлович

Ведущая организация:

ФГУП «Научно-исследовательский институт «Восход», г. Москва

Защита состоится 13 мая 2009 г. в 15 часов 30 минут на заседании Диссертационного совета ДМ 212.130.08 в Московском инженерно-физическом институте по адресу: 115409, г. Москва, Каширское шоссе, д. 31, тел. 324-84-98, 323-92-56.

С диссертацией можно ознакомиться в библиотеке ГОУВПО Московского инженерно-физического института (государственного университета).

Отзывы в двух экземплярах, заверенные печатью, просьба направлять по адресу: 115409, г. Москва, Каширское шоссе, д. 31, диссертационные советы МИФИ, тел. +7 (495) 323-95-26.

Автореферат разослан « ¿72 » 2009 г.

Ученый секретарь диссертационного совета

Горбатов В. С.

Общая характеристика работы Введение

Неотъемлемой частью проблемы обеспечения информационной безопасности автоматизированных информационных систем (АИС) является задача обеспечения целостности информации, хранящейся в базах данных (БД) АИС, а также обеспечения целостности алгоритмов, обрабатывающих такую информацию. При несомненной важности аспектов обеспечения конфиденциальности и доступности информации, вопросы защиты информации от несанкционированного изменения для ряда информационных систем имеют приоритетный характер. При этом необходимо отметить, что условием обеспечения информационной безопасности АИС в целом, является уверенность в отсутствии несанкционированных изменений обрабатывающих информацию алгоритмов, а также гарантированная целостность технологий, обеспечивающих информационную безопасность системы.

В перечне проблем приоритетных научных исследований в области информационной безопасности Российской Федерации, утвержденном 7 марта 2008 года, констатировано, что «исследование проблем создания и развития защищенных информационно-телекоммуникационных систем, в том числе разработка методов выбора архитектуры и расчета параметров этих систем, математических моделей и технологий управления, системного и прикладного программного обеспечения с интеграцией функций защиты» является одним из приоритетных направлений научных исследований, проводимых в Российской Федерации в области информационной безопасности.

Таким образом, совершенствование известных и разработка новых методов и средств программного и аппаратного обеспечения целостности АИС является актуальной задачей, требующей научной разработки. Ее решение позволит повысить информационную безопасность существующих и проектируемых систем информационного обеспечения и защищенность компьютерных систем и сетей.

В настоящее время АИС двухзвенной и трехзвенной архитектуры достаточно широко используются для решения задач информационного обеспечения в государственных учреждениях, министерствах и федеральных агентствах. Так в 2007 году МЧС России ввело в опытную эксплуатацию автоматизированную информационную систему Государственной инспекции по маломерным судам МЧС России (АИС ГИМС); начата работа по созданию автоматизированной информационной системы Государственного пожарного надзора ГПН МЧС России (АИС ГПН).

Подобные АИС характеризуются следующими особенностями:

• наличием жестко установленного регламента взаимодействия пользователей и обслуживающего персонала с АИС;

• возможностью организации многоуровневого контроля действий пользователей, обладающих широкими полномочиями в системе;

• данные, хранящиеся и обрабатываемые в АИС, предполагают повышенные требования к обеспечению их конфиденциальности и целостности.

В целом, элементы организационного управления таких АИС являются более жесткими по сравнению с АИС, применяемыми в коммерческом секторе экономики. Так, в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 9 сентября 2000 года, определены основные угрозы АИС, используемых в органах государственного управления и специальных служб.

Вместе с тем, практически все существующие АИС указанной архитектуры имеют в своем составе системы управления базами данных (СУБД) стороннего (по отношению к создателям АИС) производителя. При этом разработчикам АИС в настоящее время недоступен исходный код СУБД промышленного уровня зарубежного производства.

Широкое использование в специализированных АИС зарубежных СУБД обусловлено объективно сложившейся ситуацией, когда разработка собственной СУБД с характеристиками, приближающимися к СУБД промышленного уровня, таким как Oracle, Microsoft SQL Server и т. п., практически невозможна из-за отсутствия отечественных компаний, обладающих соответствующим кадровым и экономическим потенциалом. Вследствие этого, при создании АИС в качестве системы управления базами данных ядра АИС, как правило, выбирается подходящее и хорошо зарекомендовавшее себя на рынке решение. Для информационных систем сферы государственного управления в отечественной практике выбор СУБД в большинстве случаев — это СУБД Oracle.

Таким образом, информация АИС хранится и обрабатывается при помощи алгоритмов, реализованных в программных модулях с закрытым кодом, потенциально обладающих недокументированными и скрытыми возможностями по отключению штатных средств разграничения доступа и защиты информации, оставленными разработчиками по ошибке. Такие «люки» могут предоставлять пользователям с ограниченными правами возможность после совершения определенных действий получать права администратора СУБД.

Основная идея решения заключается в дополнении АИС системой обеспечения целостности (СОЦ), разработке и обоснованию эффективности которой и посвящена диссертация. Ресурсами для обеспечения целостности являются как избыточность информации о защищаемом объекте, так и свойства объектов и процессов, связанных с информацией.

При этом целесообразно сформулировать следующее целевое положение.

Целью построения СОЦ является обеспечение защиты информации, обрабатываемой в АИС, от угроз со стороны нарушителя с правами не меньшими, чем права администратора СУБД, на основе которой реализовано ядро защищаемой системы.

Разработка моделей и методов защиты алгоритмов обработки и баз данных от угроз нарушения целостности, является актуальной задачей и требует проведения научных исследований с целью создания и реализации конкретной технологии защиты.

Объектом исследования являются механизмы обеспечения целостности информации и алгоритмов в АИС, построенных на основе СУБД.

Предметом исследования являются методы построения программных и аппаратных средств обеспечения целостности программ и данных в АИС рассматриваемого типа.

Цель работы состоит в разработке и обосновании решения, устраняющего уязвимость АИС, функционирующих на основе СУБД, от угрозы несанкционированного изменения обрабатываемых данных и программных компонентов БД АИС со стороны нарушителя, в том числе, обладающего правами администратора СУБД.

Задачи исследования:

1. Формирование перечня угроз и модели нарушителя целостности АИС.

2. Определение условий, при выполнении которых возможно построение СОЦ АИС. Обоснование возможности построения такой системы в рассматриваемых условиях.

3. Исследование характеристик СОЦ, определение ее компонентов и порядка их взаимодействия.

4. Построение СОЦ на основе полученных теоретических результатов.

Методы исследования базируются на использовании теории защиты

информации и математических моделей информационной безопасности, основанных на фундаментальных результатах теории множеств, математической логики и теории графов; на методах процедурного и объектно-ориентированного проектирования.

Научная новизна работы заключается в следующем:

1. Разработан и обоснован новый метод обеспечения информационной безопасности в АИС, использующих в качестве программной основы промышленные СУБД с закрытым кодом.

2. Предложена и обоснована новая архитектура СОЦ, ядром которой должен являться резидентный компонент безопасности (РКБ), состоящий из взаимодействующих модулей, размещенных на разных уровнях обеспечения целостности. Доказано, что, по крайней мере, один из модулей РКБ должен располагаться на уровне с гарантированной целостностью.

3. Разработана технология взаимодействия компонентов СОЦ с компонентами основной части АИС.

4. Доказано, что предложенный метод дополнения программных средств АИС системой обеспечения целостности обеспечивает устойчивость системы к атакам нарушителя, соответствующего предложенной модели.

Практическая значимость работы состоит в создании программных модулей, реализующих в АИС разработанные в ходе исследования алгоритмы. Важным достоинством решения является его универсальность — независимость от алгоритмов обработки, структуры и свойств таблиц защищаемой БД. Предложенная СОЦ может быть использована при проектировании и разработке АИС, функционирующих на основе СУБД стороннего (по отношению к создателям АИС) производителя. Кроме того, решение может быть внедрено в уже функционирующие АИС с внесением минимальных изменений в программный код.

На защиту выносится:

1. Метод защиты информации, обрабатываемой в АИС, построенной на основе СУБД стороннего (по отношению к создателям АИС) производителя, от угрозы несанкционированного изменения информации БД нарушителем, обладающим правами администратора СУБД.

2. Структура СОЦ, алгоритмы работы ее компонентов и порядок их взаимодействия.

Внедрение результатов исследований. Результаты диссертации внедрены в образовательный процесс кафедры 731 факультета информационной безопасности Института криптографии, связи и информатики Академии ФСБ России путем подготовки лекционных материалов по темам «Механизмы обеспечения целостности СУБД» и «Проектирование безопасности БД» курса «Защита в СУБД» по специальностям 090102 — «Компьютерная безопасность» и 090105 — «Комплексное обеспечение информационной безопасности автоматизированных систем».

Публикации. По теме диссертации опубликовано 6 печатных работ, в том числе 2 работы в научных изданиях, рекомендованных ВАК России для опубликования результатов диссертаций на соискание ученой степени кандидата наук.

Апробация работы. Результаты диссертационного исследования докладывались и получили одобрение на следующих конференциях:

1. X международная научно-практическая конференция «Информационная безопасность». Таганрог, Таганрогский технологический институт южного федерального университета, 2008 год.

2. II Международная научно-практическая конференция. Москва, Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации, 2007 год.

3. Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых "Безопасность информационного пространства", Екатеринбург, 2005 год.

4. XIV Общероссийской научно технической конференции. Санкт-Петербург, Политехнический университет, 2005 год.

Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения, списка публикаций по теме исследования и списка литературы. Основная часть работы изложена на 127 страницах машинописного текста, содержит 8 схем и 5 таблиц.

Основное содержание работы

Во введении обоснована актуальность работы, поставлены цели и задачи исследования, научная новизна и практическая ценность работы, сформулированы основные положения, выносимые на защиту.

В первой главе:

• Определена типовая архитектура АИС, функционирующей под управлением СУБД.

• Сформулирован основной принцип достоверности данных, которым предлагается руководствоваться при проектировании и применении СОЦАИС.

• Определена угроза нарушения целостности, противодействию которой посвящена диссертация. Разработана модель нарушителя, реализующего такую угрозу.

• Выявлены средства СУБД, которые в силу своей независимости от действий нарушителя с правами администратора СУБД, могут быть использованы для построения СОЦ.

На рисунке 1 показана типовая архитектура защищаемых АИС.

В качестве программных компонентов клиентской части выступают формы, отчеты, подключаемые библиотеки. Данные компоненты являются объектами операционной системы (ОС) клиентской части.

Программными компонентами серверной части АИС уровня СУБД являются хранимые программные компоненты — пакеты, процедуры, функции, триггеры. Их отличительная особенность заключается в том, что они представляют собой объекты базы данных, то есть хранятся и управляются как любые другие данные БД. Доступ к таким компонентам на выполнение, модификацию, удаление задается средствами СУБД.

Программными компонентами серверной части АИС уровня ОС являются подключаемые библиотеки. Они хранятся в файловой системе ОС серверной части и не являются объектами СУБД.

ОС серверной и клиентской частей могут быть разными, например, клиентская часть может функционировать под управлением Windows ХР, серверная — под управлением Solaris SPARC.

В случае двухзвенной архитектуры АИС, пользователи работают на рабочих станциях, на которых функционирует клиентская часть АИС. В случае трехзвенной архитектуры, данная схема остается актуальной с той лишь разницей, что клиентская часть АИС функционирует на промежуточном звене, называемом сервером приложений (Application Server). Пользователи взаимодействуют с АИС при помощи интернет браузеров, подключаемых к серверу приложений.

ОС клиентской части

Программные компоненты АИС

Приложения, не входящие в состав АИС

N-1/

ОС серверной части

СУБД

Программные компоненты АИС уровня СУБД

Программные компоненты АИС уровня ОС

Ьаза данных^^^

Приложения, не входящие е состав АИС

Рисунок 1 — Типовая архитектура АИС с СУБД.

В рамках настоящей работы под угрозой нарушения целостности БД АИС будем понимать возможность несанкционированного изменения обрабатываемой в БД информации либо обрабатывающих ее программных компонентов схемы БД.

Под доступом на низком уровне (низкоуровневым доступом) будем понимать доступ к записям таблиц БД (в том числе к таблицам словаря данных) вследствие подключения к схеме БД с помощью штатных программных средств, предназначенных для администрирования, и/или программных продуктов, разработанных сторонними разработчиками, например, SQL Plus, SQL Navigator и пр.

Под API АИС (или API части функциональности АИС) будем понимать набор методов серверной части, получающих или изменяющих данные БД. Например, для таблицы PERSON может быть создан серверный метод Get_Person(), получающий данные из определенной записи этой таблицы.

Под доступом на высоком уровне (высокоуровневым доступом) будем понимать доступ к записям таблиц через пользовательский интерфейс клиентской части АИС или API АИС.

Обеспечение целостности АИС, имеющей типовую архитектуру, предполагает решение следующих задач:

1) обеспечение целостности программных компонентов клиентской части;

2) обеспечение целостности программных компонентов серверной части уровня БД;

3) обеспечение целостности хранящейся в БД и обрабатываемой в ней информации;

4) обеспечение целостности программных компонентов серверной части уровня СУБД1;

5) обеспечение целостности информации при ее передаче по каналу связи между клиентской и серверной частями.

В представляемой работе задача обеспечения целостности ставится и решается для задач 3) и 4) данного списка.

В отличие от СУБД остальные части АИС разрабатывается доверенным производителем. Поэтому целесообразно сформулировать уточняющее постановку задачи предположение:

Предположение 1. В рамках исследования предполагается, что программный код АИС за исключением закрытого кода СУБД, реализован корректно, то есть средства описания правил целостности и доступа, средства разграничения доступа, криптографические алгоритмы и пр., реализованные в компонентах клиентской части АИС и в компонентах АИС уровня ОС не содержат закладок и уязвимостей.

Сформулированное в предположении 1 условие с необходимостью приводит к истинности следующего утверждения.

Утверждение 1. При существовании в АИС механизмов аутентификации и корректного разделения полномочий на основе политики безопасности, несанкционированное изменение информации, хранящейся и обрабатываемой в АИС, возможно только при низкоуровневом доступе.

Данное утверждение не означает, что все изменения, производимые при доступе на низком уровне несанкционированны. Существует круг задач, связанных с администрированием СУБД или АИС в целом, для выполнения которых доступ к БД и ее изменение могут быть осуществлены только на низком уровне. В данном исследовании предполагается, что подобные санкционированные действия выполняются сотрудниками из числа доверенных пользователей (администраторов АИС) в режиме контроля, обеспечиваемого внесистемными средствами (например, организационно-кадровыми методами).

Сформулируем основной принцип достоверности данных, которым предлагается руководствоваться при проектировании и использовании АИС:

Следствие 1.1. Хранящиеся и обрабатываемые в АИС данные считаются достоверными, только если они предоставлены системой через интерфейс клиентской части АИС, либо получены через API АИС, независимо от действительного содержимого таблиц БД АИС.

Утверждение 1 и следствие из него позволяют уточнить условия успешной реализации нарушителем атаки:

1 В СУБД код программных компонентов хранится в таблицах словаря данных, следовательно, данная задача тесно коррелированна с предыдущей. Но поскольку на уровне представления информации в СУБД программные компоненты и данные отличаются, будем рассматривать их отдельно.

Утверждение 2. Атака, целью которой является несанкционированное изменение обрабатываемых АИС данных, считается успешной тогда и только тогда, когда система предоставляет измененные данные пользователю на высоком уровне (либо через API АИС).

Отметим, что обеспечение целостности информации, обрабатываемой в АИС, невозможно без обеспечения целостности программных компонентов, обрабатывающих и предоставляющих эту информацию.

Таким образом, основной задачей исследования является построение и обоснование состава и алгоритмов рабош СОЦ, защищающей данные, хранящиеся и обрабатываемые в БД, а также программные компоненты серверной части уровня БД от атак со стороны нарушителя, обладающего правами администратора СУБД, на основе которой функционирует АИС. Исходя из утверждений 1,2 и следствия 1.1, опишем модель нарушителя.

1. Нарушитель имеет возможность подключиться к БД АИС на низком уровне.

2. На низком уровне нарушитель имеет возможность выполнять просмотр, изменение, удаление записей таблиц, самих таблиц, функций, методов, пакетов, триггеров БД, запуск любых методов, остановку пакетных заданий сервера СУБД (job), изменение времени и параметров их запусков.

3. Следствие из п. 2. Нарушителю известен открытый код компонентов АИС серверной части уровня СУБД. Он может исследовать исходный код всех хранимых серверных процедур, функций, пакетов, триггеров.

4. Нарушитель не может получать открытую информацию из канала связи клиент-сервер.2

5. Нарушитель не может исследовать функционирование серверной части АИС уровня ОС — заниматься отладкой как программных компонентов АИС уровня ОС (библиотек), так и отладкой серверной части используемой СУБД с целью получения информации, передающейся внутри сервера СУБД в процессе функционирования системы.

6. Цель нарушителя состоит в том, чтобы несанкционированно измененные или внесенные им данные обрабатывались и предоставлялись системой как целостные. Следовательно:

7. Нарушитель не заинтересован в нарушении работоспособности системы, поскольку в силу Утверждения 2, данные могут быть предоставлены как целостные только функционирующей системой.

Особенностью СУБД является то, что программные компоненты подуровня представления информации СУБД хранятся в БД в специальных таблицах словаря данных. Их исходный код в открытом виде доступен любому

2 Данное условие выполняется для большинства СУБД, например, в Oracle при определенных настройках применяется защищенный протокол SSL.

пользователю СУБД, имеющему соответствующие права. Производители СУБД предлагают различные средства для сокрытия выполняемого исходного кода (например, утилита WRAP в СУБД Oracle), но эффективного решения не существует. Так, для всех современных версий СУБД Oracle в свободном доступе существует утилита REWRAP, переводящая код закрытый утилитой WRAP в исходный. По этой причине в модели нарушителя особо отмечен пункт 2 — исходный код всех программных компонентов СУБД доступен для просмотра и модификации пользователем с правами администратора СУБД.

Предложенная модель нарушителя является актуальной в силу объективных условий возможности существования реального нарушителя, действующего в рамках предложенной модели. Она основывается на представленной типовой архитектуре АИС. Нарушитель, соответствующий предложенной модели, способен реализовать угрозу нарушения целостности.

В завершении главы выполнен анализ средств и специфических свойств СУБД, которые будут использованы для решения поставленной задачи.

Во второй главе применяются математические модели теории компьютерной безопасности для обоснования возможности создания СОЦ для защиты АИС типовой архитектуры от атак со стороны нарушителя, соответствующего сформулированной модели нарушителя. Также определяются необходимые свойства резидентного компонента безопасности как ядра СОЦ.

Одной из наиболее часто используемых моделей защиты информации в АИС является субъектно-ориентированная модель (СО-модель) и связанная с ней концепция изолированной программной среды (ИПС). Изолированная программная среда это совокупность (множество) программ, в которой:

• никакая активизированная программа не влияет на другую активизированную программу;

• никакая активизированная программа не влияет на данные, которые используются для создания (активизации) другой программы;

• каждая программа может использовать только те данные, которые ей разрешено использовать политикой безопасности;

• каждая программа может активизировать только те программы, целостность которых установлена и активизация которых ей разрешена политикой безопасности.

В силу архитектуры рассматриваемой АИС и сформулированной модели нарушителя полное выполнение требований базовой теоремы о генерации ИПС является невозможным, поскольку в роли «программы» может выступать либо используемый нарушителем программный продукт, не являющийся частью АИС, либо модифицированный нарушителем компонент АИС.

Решение задачи исследования может быть достигнуто расширением ИПС до доверенной вычислительной среды (ДВС), согласно модели, наиболее полно представленной в исследовании В. А. Конявского в приложении к защите электронного документооборота. ДВС принадлежит классу СО-моделей и

позволяет выполнить более точный учет особенностей АИС типовой архитектуры и модели нарушителя.

ДВС представляет собой фрагмент среды взаимодействия компонентов АИС, для которого установлена и поддерживается в течение заданного интервала времени целостность объектов, целостность взаимосвязей между ними и выполняемых функций.

Концептуальные отличия модели ДВС от модели ИПС перечислены ниже.

1. Требование неизменности программных средств в модели ИПС заменяется требованием целостности компонентов АИС, из которого вытекает требование сохранения в течение рассматриваемого периода времени в требуемом диапазоне состава объектов и процессов, их взаимосвязей и параметров функционирования.

Неизменность — синоним фиксированности, и требование неизменности предполагает статическое состояние АИС (программные компоненты уровня БД рассматриваются как хранящиеся в БД объекты). Целостность — следствие динамического характера информации, ее отображения как процесса (выполнение кода программных компонентов уровня БД). Вычислительная среда меняется во времени, и задача защиты информации — обеспечение изменений в предусмотренном штатном режиме. Но тогда задача становится динамической, а динамический характер информации с необходимостью требует отслеживания ее изменений во времени. Если ставится задача контроля целостности системы, то необходимо реализовать измерение состояния меняющихся во времени параметров системы и сравнение измеренных значений с эталоном. Следовательно:

2. Доверенная вычислительная среда принципиально предполагает наличие некого «контролера», отслеживающего ее параметры — компонента безопасности.

Если компонент безопасности будет находиться «вне» среды, то обязательно должен бьггь некий элемент, разрешающий такой контроль и вмешательство в процесс функционирования среды при фиксации нежелательных режимов. В таком случае задача сводится к предыдущей. Следовательно, компонент безопасности необходимо встраивать в состав АИС, это должен быть резидентный объект. В соответствии с полученным заключением данный компонент называется резидентным компонентом безопасности (РКБ).

С практической точки зрения, включение РКБ в состав АИС предоставляет широкие возможности для возложения на этот компонент ряда дополнительных, помимо контроля состояния системы, функций оповещения, регулирования и управления процессами в АИС.

3. С одной стороны, РКБ предназначен для защиты АИС, а с другой, — сам является частью АИС и, таким образом, сам нуждается в защите.

Теоретически идеальная защита вычислительной среды недостижима, но практически сформулированный тезис сводится к тезису о том, что сам РКБ должен характеризоваться намного более высоким уровнем защищенности,

нежели остальные компоненты АИС. Поэтому при практической реализации целостность РКБ должна обеспечиваться более высоким уровнем (для уровня представления СУБД — уровнем ОС; для уровня ОС — аппаратными методами).

Учитывая, что нарушитель согласно модели имеет возможность модифицировать как данные, так и программные компоненты АИС уровня БД, с практической точки зрения задача сводится к созданию и поддержанию доверенной вычислительной среды, а не к теоретическому доказательству и практической реализации ее изолированности.

РКБ должен участвовать в обеспечении целостности объектов на этапе функционирования режима эксплуатации АИС.

Определяются особенности и свойства РКБ как ключевого компонента системы обеспечения целостности:

1. Автономность. РКБ должен быть максимально автономен относительно компонентов АИС, безопасность которых он должен обеспечивать.

2. Примитивность. РКБ по своей функциональной сущности должен представляться выделенным особо защищенным компонентом, выполняющим ограниченный набор функций.

3. Управляемость. Сигналы на изменение набора правил обеспечения целостности должны поступать РКБ извне по отношению к самому РКБ и защищаемым компонентам АИС. Подлинность и корректность таких команд должны устанавливаться с использованием криптографических методов.

4. Размещение. Модель ДВС, являясь развитием СО-модели ИПС, позволяет установить рад положений, связанных с конкретной реализацией РКБ, реализующих функции защиты доверенности среды. Система имеет линейную архитектуру (линейная система), если множество объектов строго упорядочено — всякому объекту, за исключением начального, предшествует один и только один объект. Иначе, любой процесс технологии инициируется одним и только одним процессом.

О = /о,, г = \,Ы} система из N взаимосвязанных объектов о,, (технология О, состоящая из N процессов о¡).

Система с линейной архитектурой может быть отображена в виде последовательности объектов о„ начинающейся с объекта о; и заканчивающейся объектом оц.

Линейная система является целостной, если установлена целостность каждого из ее объектов о, е О, / = .

Связь между любой парой объектов (о» 01+1) при проверке целостности линейной системы описывается (и,+./)-местной функцией проверки целостности объекта:

Л = /,) = /,»Ал.Р,,г>•••> ) = ) ¿^ууч,

где рц, ра,..., р1.„ — параметры объекта Функция /¡, 1 = \,Ы-\, устанавливает целостность объекта о,+;, если целостность объекта о( зафиксирована. При этом функции ^(о^-ом, ' = ЦУ -1, являются функциями следования.

Справедливо:

Утверждение 3. Об установлении целостности линейной системы. Целостность линейной системы установлена тогда и только тогда, когда установлена целостность объекта Одг.

Таким образом, задача установления целостности линейной системы эквивалентна задаче установления целостности объекта

Пусть подмножество М с О есть множество объектов системы, целостность которых установлена.

Множество М разрешимо, если существует алгоритм Ам, который по любому объекту о( дает ответ, принадлежит оь множеству М или не принадлежит.

Можно использовать эквивалентное (в соответствии с тезисом Черча) определение:

Множество М разрешимо, если оно обладаем вычислимой всюду определенной (общерекурсивной) функцией %и, такой, что

Множество М называется перечислимым, если оно является областью значений некоторой общерекурсивной функции, то есть существует общерекурсивная функция У^х) такая, что о, е М, если и только если для некоторого хеЫ о,= Ч'^х). Функция Ум(х) называется перечисляющей для множества М.

Классическим результатом теории алгоритмов является следующее утверждение: множество М разрешимо, если и только если М и М перечислимы.

Линейная система является целостной, если М — разрешимое множество и М совпадает с О: М = О.

В исследовании В. А. Конявского доказываются следующие 2 утверждения.

Утверждение 4. Об использовании РКБ.

Задача контроля целостности системы разрешима только при использовании РКБ.

Из утверждения следует:

Следствие 4.1. Установление целостности возможно только при расширении АИС РКБ.

Следствие 4.2. Установление целостности АИС невозможно только за счет средств одного уровня без использования РКБ.

Рассмотрим теперь вопрос о размещении РКБ в системе, описываемой линейной структурой.

Утверждение 5.0 размещении РКБ в линейной системе.

РКБ может быть размещен в системе линейной структуры произвольным образом, при условии, что в системе присутствует объект ор с гарантированной целостностью.

Таким образом, установлено, что РКБ (по крайней мере, его часть) должен располагаться на уровне, целостность которого считается гарантированной. В рамках принятой модели нарушителя, таким уровнем является серверная часть АИС уровня ОС.

5. Структура. Первый шаг алгоритма ступенчатого контроля для создания ДВС должен базироваться на применении некоторой неизменяемой (немодифицируемой) процедуры, выполняющей роль доверенной точки для развертывания следующих этапов.

Учитывая типовую архитектуру АИС, модель нарушителя и определенный выше уровень с гарантированной целостностью, устанавливаем, что такой стартовой точкой или доверенным рубежом могут являться:

• Серверная библиотека уровня ОС, написанная на языке С++ или на ассемблере. В этом случае необходимым условием безопасности является недоступность такой библиотеки для дизассемблирования или отладки силами нарушителя.

• Аппаратная часть АИС, представляющая собой, например, накопитель на флеш памяти с USB интерфейсом с неизменяемой доверенной информацией, или устройство типа USB-CryptoKey и т. п.

Исходя из этого, можно сделать заключение, что РКБ должен размещаться на всех уровнях в диапазоне от доверенного рубежа, до уровня, которому принадлежат защищаемые объекты включительно. Следовательно, РКБ сам по себе является не отдельным программным или аппаратным модулем, но состоит из набора модулей, каждый из которых принадлежит своему уровню из определенного выше диапазона.

Таким образом, РКБ должен состоять из взаимодействующих модулей, размещенных на разных уровнях.

В третьей главе определены модули СОЦ и алгоритмы их взаимодействия как внутри СОЦ, так и с остальной частью АИС. Доказано, что предложенная схема размещения модулей СОЦ в АИС гарантирует устойчивость системы к атакам со стороны нарушителя, действующего согласно модели.

Для построения СОЦ необходимо определить дополнительные требования к составу АИС, а именно: в клиентской части АИС, в серверной части АИС уровня ОС и в серверной части АИС уровня СУБД должны быть корректно реализованы следующие алгоритмы:

• Хеш-функция h(str), возвращающая строку — хеш-значение от переданной строки sir.

• Алгоритм шифрования encfstr, к) и расшифрования dec(str, к), соответственно зашифровывающий и расшифровывающий строку str на ключе к.

• Алгоритм получения случайного значения rand.

Под конфиденциальной информацией (в контексте СОЦ) будем понимать информацию, доступ к которой имеет ограниченное множество программных модулей АИС.

Контейнер конфиденциальной информации (ККЮ представляет собой запись в таблице CPSjCONT, входящей в состав СОЦ; с помощью ККИ обеспечивается защищенное хранение конфиденциальной информации и параметров её использования механизмом распределения конфиденциальной информацией и прочими компонентами АИС.

Значением ККИ будем называть конфиденциальную информацию, хранящуюся в данном ККИ.

Конфиденциальная информация контейнеров используется модулями СОЦ (системные контейнеры). Кроме того, конфиденциальная информация может использоваться модулями АИС, не входящими в состав СОЦ (пользовательские контейнеры).

Под горизонтальной целостностью таблицы будем понимать состояние целостности значений защищаемых столбцов каждой ее строки.

Под вертикальной целостностью таблицы будем понимать состояние соответствия количества строк этой таблицы некоторому эталонному значению.

Определение 5. Критичными пакетами будем называть пакеты БД АИС:

а) входящие в состав СОЦ;

б) передающие и обрабатывающие значения защищенных столбцов таблиц БД АИС;

в) пакеты, в которых реализованы алгоритмы h(), епс(), dec(), rand в серверной части АИС уровня СУБД.

Обозначим Р* множество критичных пакетов серверной части БД АИС.

На рисунке 2 представлен модульный состав СОЦ.

Монитор безопасности является частью РКБ, реализованной на уровне БД АИС. Статически монитор безопасности реализуется входящим в состав СОЦ пакетом CPSJPSECMON. В динамическом аспекте монитор безопасности представляет собой непрерывно функционирующее пакетное задание (job). Для функционирования АИС такое задание должно бьггь всегда активно. Каждый компонент СОЦ серверной части при любом вызове должен проверять работу монитора безопасности. Каждый программный компонент АИС клиентской части при запуске и в особо критичных местах должен проверять работу монитора безопасности вызовом соответствующего метода пакета CPSJPSECMON. Такая проверка может происходить через подключаемые библиотеки прозрачно для основной части разработчиков клиентской части. В случае если монитор безопасности не функционирует, любой проверяющий компонент продолжать работу не должен.

/"• 1 Серверная яасть АИС \

Подсистема

обеспечения

горизонтальной

целостности Механизм

распределения

Механизм конфиден-

циальной

защиты методов информации

от запуска на

низком уровне

Подсистема

обеспечения

вертикал ьр мой

целостности

СУБД

Монитор безола> ности

Подсистема обеспечения целостности пакетов и триггеров

ОС

Библиотека

Ср5_8ГТ).80

РКБ

Аппаратный ключ

/Аппа;

X

Защищаемые объекты БД, не входящие в СОЦ

Рисунок 2 — Модульный состав СОЦ.

Каждый компонент СОЦ серверной части при любом вызове должен проверять работу монитора безопасности. Каждый программный компонент АИС клиентской части при запуске и в особо критичных местах должен проверять работу монитора безопасности вызовом соответствующего метода пакета СРБР^ЕСМОК Такая проверка может происходить через подключаемые библиотеки прозрачно для основной части разработчиков клиентской части. В случае если монитор безопасности не функционирует, любой проверяющий компонент продолжать работу не должен.

При запуске монитор безопасности:

• получает мастер-ключ от библиотеки ф5_5тя.50 уровня ОС серверной части АИС с использованием протокола Диффи-Хеллмана;

• на основании мастер-ключа определяет целостность программных компонентов СОЦ, а также вертикальную и горизонтальную целостность таблиц, входящих в СОЦ;

• в случае установления целостности проверяемых объектов, происходит их эксклюзивная блокировка из сессии монитора безопасности.

Если хотя бы один из этапов не успешен, запуск серверного задания не происходит.

Библиотека cps_sm.so представляет собой компонент РКБ, размещенный на уровне ОС серверной части АИС. В статическом аспекте она представляет собой библиотеку, разработанную на языке С++, размещенную в файловой системе сервера СУБД. Методы cps_sm.so доступны для вызова из программных компонентов СОЦ уровня БД.

При получении запроса мастер-ключа от монитора безопасности, библиотека передает управление аппаратной части РКБ, который проверяет целостность библиотек cps_sm.so, и при положительном результате передает ей мастер-ключ. На основании полученного мастер-ключа библиотека устанавливает целостность монитора безопасности (пакет CPS_PSECMON) и передает ему мастер-ключ.

Аппаратная часть СОЦ является компонентом РКБ, реализованным на физическом уровне. Технически она предоставляет собой плату, вставляемую в разъем сервера СУБД АИС. В зависимости от технической реализации АИС и СОЦ, может использоваться плата, вставляемая непосредственно в системную плату сервера, либо в разъем USB. Данный компонент является частью РКБ, размещенной на аппаратном уровне, и содержит код части РКБ, мастер-ключ и код контроля целостности библиотеки cps_sm.so. Простейший вариант аппаратной части СОЦ может быть построен на основе широко использующихся накопителях на флеш памяти с USB интерфейсом.

При получении запроса мастер-ключа от библиотеки cps_sm.so, управление передается коду, содержащемуся в данном компоненте. После чего компонент идентифицирует библиотеку cpsjsm.so, проверяет ее целостность и, в случае положительного результата, передает библиотеке мастер-юпоч.

Таким образом, в случае аппаратной части СОЦ, реализованной в виде USB-накопителя, для запуска АИС необходимо наличие накопителя в разъеме сервера. После успешного запуска монитора безопасности ключ может быть изъят.

Механизм распределения конфиденциальной информации является средством хранения набора ККИ и предоставляет другим программным компонентам программный интерфейс для управления ККИ. В атрибутах каждого ККИ хранится список программных пакетов, в которые может быть передана его конфиденциальная информация. Любой программный компонент АИС уровня представления информации СУБД, как входящий в СОЦ, так и не входящий, может получить доступ к конфиденциальной информации, хранящейся в контейнере, при условии, что это разрешено свойствами контейнера.

Перед передачей конфиденциальной информации происходит аутентификация вызывающего программного пакета, что исключает передачу конфиденциальной информации модулю, не имеющему прав на её получение. Каждый ККИ представляет собой запись в таблице, при этом все значимые атрибуты зашифрованы на мастер-ключе. Целостность механизма контролируется монитором безопасности.

Механизм защиты методов от запуска на низком уровне представляет собой средство, обеспечивающее санкционированный запуск методов пакетов СОЦ, а также методов АИС, для которых необходима защита информации. Все защищенные методы могут выполняться только в «проинициализированной» сессии, то есть сессии, в которой в защищенной глобальной переменной пакета механизма хранится некое значение, определяющее, что данная сессия успешно прошла этап инициализации. Изменение такого значения происходит методом программного пакета механизма инициализации с передачей в него в качестве одного из атрибутов секретного значения определенного системного ККИ. В любом компоненте клиентской части АИС должен происходить вызов инициализирующего кода, скрытно от основной части разработчиков клиентской части — например, через подключаемые библиотеки, доступные только в скомпилированном виде и снабженные элементами защиты от дизассемблирования. Целостность механизма контролируется монитором безопасности.

Подсистема обеспечения горизонтальной целостности таблиц служит для определения санкционированности внесения новой записи или изменения существующей записи в защищаемых таблицах. Внесение и изменение записей таблицы в проинициализированной сессии считается санкционированным, в этом случае происходит расчет контролирующего кода для изменяемой или вносимой строки. Целостность строк рассчитывается и определяется с помощью значения хеш-функции h() от конкатенации значений защищаемых столбцов таблицы с добавлением значения ККИ.

Наилучшим вариантом для АИС, построенных на СУБД Oracle, является размещение вызывающего расчет кода в триггере «on each row» — тем самым достигается прозрачность для основной части разработчиков АИС. Расчет контролирующего кода происходит на основе значения системного ККИ, отдельного для каждой из защищаемых таблиц. Кроме того, механизм предоставляет метод проверки целостности записи любой таблицы по ее rowid или первичному ключу. В любом компоненте клиентской части АИС при обработке записи защищаемой таблицы (например, при предоставлении хранящейся в ней информации пользователю) должен происходить вызов кода, проверяющего контролирующий код записи. Вызов может происходить через подключаемые библиотеки прозрачно для основной части разработчиков клиентской части. Реакция системы на обнаружение записи с нарушенной целостностью определяется системными настройками. Целостность подсистемы контролируется монитором безопасности.

Механизм контроля целостности программных компонентов серверной части уровня БД служит для определения целостности программных компонентов, а также предоставляет возможность РКБ блокировать защищаемые программные компоненты на время работы монитора безопасности. Данной подсистемой обеспечивается целостность всех программных компонентов СОЦ уровня БД; также существует возможность обеспечения целостности пользовательских компонентов. Целостность

критичных программных компонентов контролируется с помощью значения хеш-функции h() от конкатенации строк пакета с добавлением значения ККИ. Программный код данного механизма входит в программный пакет CPS_PSECMON монитора безопасности, целостность которого контролируется библиотекой cps_sm.so уровня ОС серверной части АИС.

Подсистема обеспечения вертикальной целостности таблиц служит для определения факта несанкционированного удаления строк из защищаемых таблиц. Целостность подсистемы контролируется монитором безопасности.

Докажем, что предлагаемое взаимодействие компонентов СОЦ делает систему с внедренной СОЦ устойчивой к атакам со стороны нарушителя, действующего согласно принятой модели.

Введем следующие обозначения:

val(TAB.d) или просто val(d) — значение поля d, хранящееся в таблице БД TAB в строке со значением первичного ключа рк.

valu(TAB.d) или просто valu(d) — значение, переданное пользователю АИС, как хранящееся в таблице TAB в строке со значением первичного ключа рк.

null* — не предоставление информации и/или не функционирование клиентской части АИС в целом и/или информирование ответственных лиц о нарушении правил ограничения целостности в системе.

job — состояние, в котором находится АИС при работающем мониторе безопасности.

-•job — состояние, в котором находится АИС при неработающем мониторе безопасности.

Тогда работу клиентской части АИС в плане передачи информации из БД пользователю АИС можно представить как преобразование:

Client (val(d)) = valu(d)

При внедрении СОЦ в АИС преобразование Client заменяется на преобразование Clientмв, такое что:

мг, ,valu(d), если job

Client™ (valid))

[null , если -job

Аналогично, работу API серверной части АИС можно представить как преобразование:

API(val(d)) = val(d) Функционирование подсистемы обеспечения горизонтальной целостности таблиц при защите таблицы TAB и включение столбца d в перечень защищенных может быть представлено как:

(состояние строки тс, если строка целостная

состояние строки -¡тс, в противном случае Обозначим АР1Мс пакет API с внедренной проверкой горизонтальной целостности возвращаемых значений. Тогда:

ivalid), если строкав состоянии тс

null , если строка в состоянии —тс Обозначим атаку, целью которой является несанкционированное изменение защищенного значения d таблицы TAB в некоторой строке, как:

A 1(d): val(d)—*val'(d) Нарушитель, действующий в рамках модели, способен провести атаку A 1(d) на строку, отбираемой по значению первичного ключа рк, введя команды: update TAB set d-<noeoe значение val '(d)> wherepk=val(pk); commit;

При этом пользователь получит информацию Client(val'(d)) = val'u(d). Объектом атаки А1 являются хранящиеся в системе данные.

Обозначим атаку, целью которой является несанкционированное изменение кода критичного программного объекта БД р&Р* как:

А2(р):р-+р'

В практическом аспекте это означает введение нарушителем команды

типа:

create or replace package body p_api as t

Объектом атаки A2 являются технологии обработки данных. Существенным теоретическим результатом диссертационной работы является

Утверждение 6. Для обеспечения устойчивости АИС к атакам А1 и А2 необходимо и достаточно передавать пользователю информацию по следующему принципу:

valu(d) = Client (APIMC(val(d))) Утверждение 7. Атака нарушителя на СОЦ с целью расчета контролирующего кода горизонтальной целостности строки защищенной таблицы в рамках модели нарушителя сводится к атаке А2.

Утверждение 8. Атака нарушителя на СОЦ с целью расчета контролирующего кода целостности критичных программных компонентов БД в рамках модели нарушителя сводится к атаке А2.

Утверждение 9. Любая атака в рамках модели нарушителя на защищенную информацию серверной части БД АИС является атакой А1 или А2, либо сводится к атаке А2.

Из утверждений 6 и 9 следует, что предлагаемое взаимодействие компонентов СОЦ делает систему с внедренной СОЦ устойчивой к атакам со стороны нарушителя, действующего согласно принятой модели.

В четвертой главе подробно освещены особенности компонентов СОЦ, показаны наиболее важные моменты их реализации. Также представлены относительные данные по производительности системы с внедренной СОЦ. Кроме того, проведен анализ работы АИС с СОЦ в условиях атак на систему, совершаемых нарушителем, действующим в рамках модели нарушителя.

Для практической реализации выбран следующий состав АИС:

• СУБД Oracle 10i.

• Клиентская часть функционирует под управлением ОС Windows ХР.

• Серверная часть функционирует под ОС семейства Unix.

Значение решения поставленной научно-технической задачи состоит в разработке автором нового метода защиты информации от нарушения целостности, в обеспечении информационной безопасности технической системы типовой архитектуры. В ходе исследования автором был разработан метод защиты информации в процессе её хранения и обработки, устраняющий уязвимость АИС, функционирующих на основе СУБД от угрозы несанкционированного изменения данных и программных компонентов БД АИС со стороны нарушителя, в том числе, обладающего правами администратора СУБД.

Основные результаты работы

В ходе проведенного исследования были получены следующие основные результаты.

1. Предложен и обоснован новый подход к обеспечению информационной безопасности в АИС с СУБД, заключающийся во внедрении в АИС СОЦ.

2. Решение основано на разработанном автором алгоритме взаимодействия компонентов СОЦ с основной частью АИС.

3. Установлено, что ядром СОЦ должен являться РКБ, состоящий и? взаимодействующих модулей, размещенных на разных уровнях. По крайней мере, один из модулей ядра должен располагаться на уровне с гарантированной целостностью.

4. Определен набор компонентов СОЦ и порядок их взаимодействия. Доказано, что предложенный метод дополнения АИС СОЦ обеспечивает устойчивость системы к атакам нарушителя, действующего в рамках модели.

5. Представлены относительные данные по производительности системы с внедренной СОЦ. Проведен анализ работы АИС с СОЦ в условиях атак на систему, совершаемых нарушителем, действующим в рамках модели нарушителя.

6. Благодаря модульной структуре разработанной СОЦ, в ней заложены широкие возможности для ее развития, совершенствования, а также «тонкой» подстройки к конкретной реализации АИС. Интеграция СОЦ и АИС может происходить на любом этапе жизненного цикла АИС с доработками, не требующими существенных затрат.

7. В целом, значение решения поставленной научно-технической задачи состоит в разработке автором нового метода защиты информации от нарушения целостности, в обеспечении информационной безопасности технической системы типовой архитектуры.

8. Таким образом, автором был разработан метод защиты информации в процессе её хранения и обработки, устраняющий уязвимость АИС,

функционирующих на основе СУБД от угрозы несанкционированного изменения данных и программных компонентов БД АИС со стороны нарушителя, в том числе, обладающего правами администратора СУБД.

Публикации по теме исследования

1. Архипочкин Е. В. Система обеспечения целостности АИС, имеющей в своем составе СУБД. Архитектура и взаимодействие компонентов // Проблемы информационной безопасности. Компьютерные системы. 2008. №2. С. 29-41.

2. Архипочкин Е. В. Особенности и свойства резидентного компонента безопасности в аспекте обеспечения целостности АИС // Известия Южного федерального университета. Технические науки. 2008. №8. С. 102-111.

3. Архипочкин Е. В. Особенности и свойства резидентного компонента безопасности в аспекте обеспечения целостности АИС: Материалы X международной научно-практической конференции «Информационная безопасность». 4.1. - Таганрог: Изд-во ТТИ ЮФУ, 2008, С. 282-286.

4. Архипочкин Е. В. Построение системы обеспечения целостности информации, обрабатываемой в автоматизированной информационной системе, имеющей в своем составе СУБД. Информатизация и глобализация социально-экономических процессов: Сборник научных трудов II Международной научно-практической конференции 21 ноября 2007 г. — М.: ВНИИПВТИ, 2007 — 340 стр. С. 219-221.

5. Архипочкин Е. В. Обеспечение целостности информации базы данных, являющейся частью АИС // Методы и технические средства обеспечения безопасности информации: Материалы XIV Общероссийской научно технической конференции. СПб.: Изд-во Политехнического университета, 2005.154с. С. 9-11.

6. Архипочкин Е. В. Построение ДВС как метод обеспечения целостности БД АИС // Материалы Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых "Безопасность информационного пространства", Екатеринбург 2005. С. 39-40.

Отпечатано в ООО «Компания Спутник+» ПД № 1-00007 от 25.09.2000 г. Подписано в печать 30.03.09. Тираж 80 экз. Усл. п.л. 1,44 Печать авторефератов: 730-47-74,778-45-60

Список используемых сокращений.

Введение.

Глава 1. Модель нарушителя, основная угроза и средства противодействия.

1.1. Основные понятия.

1.2. Уровни обеспечения целостности.

1.3. Угроза нарушения целостности.

1.4. Модель нарушителя.

1.5. Средства СУБД, использование которых возможно для решения задачи.

Выводы к главе 1.

Глава 2. Обоснование возможности построения системы обеспечения целостности при заданных условиях.

2.1. Изолированная программная среда и гарантировано защищенная система.

2.2. Переход от изолированной программной среды к доверенной вычислительной среде.

2.3. Особенности резидентного компонента безопасности.

Выводы к главе 2.

Глава 3. Компоненты системы обеспечения целостности и порядок их взаимодействия.

3.1. Компоненты СОЦ и их функционирование.

3.2. Порядок взаимодействия компонентов СОЦ.

3.3. Обоснование устойчивости АИС с внедренной СОЦ к типовым атакам.

Выводы к главе 3.

Глава 4. Реализация компонентов СОЦ и анализ работы АИС с внедренной СОЦ.

4.1. Монитор безопасности.

4.2. Механизм распределения конфиденциальной информации.

4.2.1. Общие положения.

4.2.2. Описание решения.

4.2.3. Считывание мастер-ключа.

4.2.4. Работа со значениями контейнеров.

4.3. Обеспечение доверенного запуска методов.

4.4. Обеспечение целостности программных компонентов АИС.

4.5. Механизм обеспечения горизонтальной целостности таблиц.

4.5.1. Описатель правил контроля целостности.

4.5.2. Код контроля целостности.

4.5.3. Алгоритм работы методов расчета кода контроля целостности.

4.5.4. Методы проверки целостности.

4.5.5. Восстановление целостности.

4.5.6. Анализ предлагаемого решения и временные характеристики.

4.6. Функционирование АИС с СОЦ в условиях типовых атак.

Выводы к главе 4.

Неотъемлемой частью проблемы обеспечения информационной безопасности автоматизированных информационных систем (АИС) является задача обеспечения целостности информации, хранящейся в базах данных (БД) АИС, а также обеспечения целостности алгоритмов, обрабатывающих такую информацию. При несомненной важности аспектов обеспечения конфиденциальности и доступности информации, вопросы защиты информации от несанкционированного изменения для ряда информационных систем имеют приоритетный характер. При этом необходимо отметить, что условием обеспечения информационной безопасности АИС в целом, является уверенность в отсутствии несанкционированных изменений обрабатывающих информацию алгоритмов, а также гарантированная целостность технологий, обеспечивающих информационную безопасность системы.

В перечне проблем приоритетных научных исследований в области информационной безопасности Российской Федерации [32] констатировано, что «исследование проблем выбора архитектуры и расчета параметров защищенных информационно-телекоммуникационных систем, математических моделей и технологий управления, системного и прикладного программного обеспечения-с интеграцией-функций защиты, средств взаимодействия, устройств передачи и распределения информации», является одним из приоритетных направлений научных исследований, проводимых в Российской Федерации в области информационной безопасности1.

Таким образом, совершенствование известных и разработка новых методов и средств программного и аппаратного обеспечения целостности АИС является актуальной задачей, требующей научной разработки. Ее решение позволит повысить информационную безопасность

1 Утверждены Исполняющим обязанности Секретаря Совета Безопасности Российской Федерации, председателя научного совета при Совете Безопасности Российской Федерации 7 марта 2008 г. 5 существующих и проектируемых систем информационного обеспечения оперативной деятельности и защищенность компьютерных систем и сетей.

Крупный вклад в развитие теории и практики безопасности сложных технических систем, информационного взаимодействия, защиты технических, программных и информационных ресурсов внесли отечественные ученые [6-7,10-12,15-18,24,39-40]. Их усилиями сформирована научная и методическая база для дальнейшего углубления и обобщения теоретических и практических результатов на одном из актуальных направлений исследований — разработке теоретических положений и практического использования средств защиты информационных объектов и технологий хранения и обработки информации.

В настоящее время АИС двухзвенной и трехзвенной архитектуры достаточно широко используются для решения задач информационного обеспечения в государственных учреждениях, министерствах и федеральных агентствах. Так в 2007 году МЧС России ввело в опытную эксплуатацию автоматизированную информационную систему Государственной инспекции по маломерным судам МЧС России (АИС ГИМС); начата работа по созданию автоматизированной информационной системы Государственного пожарного надзора ГПН МЧС России (АИС ГПН).

Подобные АИС характеризуются следующими особенностями:

• наличием жестко установленного регламента взаимодействия пользователей и обслуживающего персонала с АИС;

• возможностью организации многоуровневого контроля действий пользователей, обладающих широкими полномочиями в системе;

• данные, хранящиеся и обрабатываемые в АИС, предполагают повышенные требования к обеспечению их конфиденциальности и целостности.

В целом, элементы организационного управления таких АИС являются более жесткими по сравнению с АИС, применяемыми в коммерческом секторе экономики. Так, в Доктрине информационной безопасности Российской Федерации [14] определены основные угрозы АИС, используемых в органах государственного управления и специальных служб.

Вместе с тем, практически все существующие АИС имеют в своем составе системы управления базами данных (СУБД) стороннего (по отношению к создателям АИС) производителя. При этом разработчикам АИС в настоящее время недоступен исходный код СУБД промышленного уровня зарубежного производства.

Широкое использование в специализированных АИС СУБД зарубежного производства обусловлена объективно сложившейся ситуацией, когда разработка собственной СУБД с характеристиками, приближающимися к характеристикам СУБД промышленного уровня, таким как Oracle, Microsoft SQL Server и т. п., практически нереальна из-за отсутствия отечественных компаний, обладающих соответствующим кадровым и экономическим потенциалом. Вследствие этого, при создании АИС в качестве системы управления базами данных ядра АИС, как правило, выбирается подходящее и хорошо зарекомендовавшее себя на рынке решение. Для информационных систем сферы государственного управления в отечественной практике выбор СУБД в большинстве случаев — это СУБД Oracle.

Таким образом, конфиденциальная информация АИС хранится и обрабатывается при помощи алгоритмов, реализованных в программных модулях с закрытым кодом, потенциально обладающих недокументированными и скрытыми возможностями по отключению штатных средств разграничения доступа и защиты информации, оставленными разработчиками по ошибке. Такие «люки» могут

2 Утверждена Президентом Российской Федерации 9 сентября 2000 г., № Пр. — 1895. 7 предоставлять пользователям с ограниченными правами возможность после совершения определенных действий получать права администратора СУБД.

Основная идея решения заключается в дополнении АИС системой обеспечения целостности (СОЦ), разработке и обоснованию эффективности которой и посвящена диссертация. Ресурсами для обеспечения целостности являются как избыточность информации о защищаемом объекте, так и свойства объектов или процессов, связанных с информацией. При этом целесообразно сформулировать следующее целевое положение.

Целью построения СОЦ является обеспечение защиты информации, обрабатываемой в АИС, от угроз со стороны нарушителя с правами не меньшими, чем права администратора СУБД, на основе которой реализовано ядро защищаемой системы.

Разработка моделей и методов защиты алгоритмов обработки и баз данных от угроз нарушения целостности, является актуальной задачей и требует проведения научных исследований с целью создания и реализации конкретной технологии защиты.

Объектом исследования являются механизмы обеспечения целостности информации и алгоритмов в АИС, построенных на основе СУБД.

Предметом исследования являются методы построения программных и аппаратных средств обеспечения целостности программ и данных в АИС рассматриваемого типа.

Цель работы состоит в разработке и обосновании решения, устраняющего уязвимость АИС, функционирующих на основе СУБД, от угрозы несанкционированного изменения обрабатываемых данных и программных компонентов БД АИС со стороны нарушителя, в том числе, обладающего правами администратора СУБД.

Задачи исследования:

1. Формирование перечня угроз и модели нарушителя целостности АИС.

2. Определение условий, при выполнении которых возможно построение СОЦ АИС. Обоснование возможности построения такой системы в рассматриваемых условиях.

3. Исследование характеристик СОЦ, определение ее компонентов и порядка их взаимодействия.

4. Построение СОЦ на основе полученных теоретических результатов.

Методы исследования базируются на использовании теории защиты информации и математических моделей информационной безопасности, основанных на фундаментальных результатах теории множеств, математической логики и теории графов; на методах, процедурного и объектно-ориентированного проектирования.

Научная новизна работы заключается в следующем:

1. Разработан и обоснован новый метод обеспечения информационной безопасности в АИС, использующих в качестве программной основы промышленные СУБД с: закрытым кодом.

2. Предложена и обоснована новая архитектура СОЦ, ядром которой должен являться резидентный компонент безопасности (РКБ), состоящий из взаимодействующих модулей, размещенных на разных уровнях обеспечения целостности. Доказано, что, по крайней мере, один из модулей РКБ должен располагаться на уровне с гарантированной целостностью.

3. Разработана технология взаимодействия компонентов СОЦ с компонентами основной части АИС.

4. Доказано, что предложенный метод дополнения программных средств АИС системой обеспечения целостности обеспечивает устойчивость системы к атакам нарушителя, соответствующего предложенной модели.

Практическая значимость работы состоит в создании программных модулей, реализующих в АИС разработанные в ходе исследования алгоритмы. Важным достоинством решения является его универсальность — независимость от алгоритмов обработки, структуры и свойств таблиц защищаемой БД. Предложенная СОЦ может быть использована при проектировании и разработке АИС, функционирующих на основе СУБД стороннего (по отношению к создателям АИС) производителя. Кроме того, решение может быть внедрено в уже функционирующие АИС с внесением минимальных изменений в программный код.

На защиту выносится:

1. Метод защиты информации, обрабатываемой в АИС, построенной на основе СУБД стороннего (по отношению к создателям АИС) производителя, от угрозы несанкционированного изменения информации БД нарушителем, обладающим правами администратора СУБД.

2. Структура СОЦ, алгоритмы работы ее компонентов и порядок их взаимодействия.

Публикации. По теме диссертации опубликовано 6 печатных работ, в том числе 2 работы в научных изданиях, рекомендованных ВАК России для опубликования результатов диссертаций на соискание ученой степени кандидата наук.

Внедрение результатов исследований. Результаты диссертации внедрены в образовательный процесс кафедры 731 факультета информационной безопасности Института криптографии, связи и информатики Академии ФСБ России путем подготовки лекционных

10 материалов по темам «Механизмы обеспечения целостности СУБД» и «Проектирование безопасности БД» курса «Защита в СУБД» по специальностям 090102 — «Компьютерная безопасность» и 090105 — «Комплексное обеспечение информационной безопасности автоматизированных систем».

Апробация работы. Результаты диссертационного исследования докладывались и были одобрены на следующих конференциях:

1. X международная научно-практическая конференция «Информационная безопасность». Таганрог, Таганрогский технологический институт южного федерального университета, 2008 год.

2. II Международная научно-практическая конференция. Москва, Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации, 2007 год.

3. Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых "Безопасность информационного пространства", Екатеринбург, 2005 год.

4. XIV Общероссийской научно технической конференции. Санкт-Петербург, Политехнический университет, 2005 год.

Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения, списка публикаций по теме исследования и списка литературы. Основная часть работы изложена на 127 страницах машинописного текста, содержит 8 схем и 5 таблиц.

Выводы к главе 4

1. Показаны особенности компонентов СОЦ и наиболее важные моменты их реализации. Система предназначена для внедрения в АИС, имеющую в своем составе СУБД Oracle 10g, которая функционирует под управлением ОС семейства Unix. Интеграция СОЦ и АИС может происходить на любом этапе жизненного цикла АИС с доработками, не требующими существенных затрат.

2. Представлены относительные данные по производительности системы с внедренной СОЦ.

3. Проведен анализ работы АИС с СОЦ в условиях атак на систему, совершаемых нарушителем, действующим в рамках модели нарушителя.

Заключение

1. Диссертационная работа посвящена разработке и обоснованию решения, устраняющего уязвимость АИС, функционирующих на основе СУБД, от угрозы несанкционированного изменения данных и программных компонентов БД АИС.

2. В работе предложен и обоснован новый подход к обеспечению информационной безопасности в АИС с СУБД, заключающийся во внедрении в АИС СОЦ.

3. Решение основано на разработанном автором алгоритме взаимодействия компонентов СОЦ с основной частью АИС.

4. Установлено, что ядром СОЦ должен являться РКБ, состоящий из взаимодействующих модулей, размещенных на разных уровнях. По крайней мере один из модулей ядра должен располагаться-, на уровне с гарантированной целостностью.

5. Определен набор компонентов СОЦ и порядок их взаимодействия. Доказано, что предложенный метод дополнения АИС СОЦ обеспечивает устойчивость системы к атакам нарушителя, действующего в рамках модели.

6. Представлены относительные данные по производительности системы с внедренной СОЦ. Проведен анализ работы АИС с СОЦ в условиях атак на систему, совершаемых нарушителем, действующим в рамках модели нарушителя.

7. Благодаря модульной структуре разработанной СОЦ, в ней заложены широкие возможности для ее развития, совершенствования, а также «тонкой» подстройки к конкретной реализации АИС. Интеграция СОЦ и АИС может происходить на любом этапе жизненного цикла АИС с доработками, не требующими существенных затрат.

8. В целом, значение решения поставленной научно-технической задачи состоит в разработке автором нового метода защиты информации от нарушения целостности, в обеспечении информационной безопасности технической системы типовой архитектуры.

9. Таким образом, автором был разработан метод защиты информации в процессе её хранения и обработки, устраняющий уязвимость АИС, функционирующих на основе СУБД от угрозы несанкционированного изменения данных и программных компонентов БД АИС со стороны нарушителя, в том числе, обладающего правами администратора СУБД.

Публикации по теме исследования

1. Архипочкин Е. В. Система обеспечения целостности АИС, имеющей в своем составе СУБД. Архитектура и взаимодействие компонентов // Проблемы информационной безопасности. Компьютерные системы. 2008. №2. С. 29-41.

2. Архипочкин Е. В. Особенности и свойства резидентного компонента безопасности в аспекте обеспечения целостности АИС // Известия Южного федерального университета. Технические науки. 2008. №8. С. 102-111.

3. Архипочкин Е. В. Особенности и свойства резидентного компонента безопасности в аспекте обеспечения целостности АИС: Материалы X международной научно-практической конференции «Информационная безопасность». 4.1. - Таганрог: Изд-во ТТИ ЮФУ, 2008, С. 282-286.

4. Архипочкин Е. В. Построение системы обеспечения целостности информации, обрабатываемой в автоматизированной информационной системе, имеющей в своем составе СУБД. Информатизация и глобализация социально-экономических процессов: Сборник научных трудов II Международной научно-практической конференции 21 ноября 2007 г. — М.: ВНИИПВТИ, 2007 — 340 стр. С. 219-221.

5. Архипочкин Е. В. Обеспечение целостности информации базы данных, являющейся частью АИС // Методы и технические средства обеспечения безопасности информации: Материалы XIV Общероссийской научно технической конференции. СПб.: Изд-во Политехнического университета, 2005. 154с. С. 9-11.

6. Архипочкин Е. В. Построение ДВС как метод обеспечения целостности БД АИС // Материалы Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых

Безопасность информационного пространства", Екатеринбург 2005. С. 39-40.

1. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В.

2. Основы криптографии. 3-е изд., испр. и доп. М.: Гелиос АРБ, 2005.

3. Баранов А. П., Борисенко Н. П., Зегжда П. Д., Корт С. С., Ростовцев А. Г. Математические основы информационной безопасности. Спб.: 1997.

4. Безопасность информационных технологий — Руководство по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003.

5. Большаков А. А, Петряев А. Б, Платонов В. В, Ухлинов Л. М. Основы обеспечения безопасности данных в компьютерных системах исетях. Часть 1: Методы, средства и механизмы защиты данных. // Спб.: ВИККА им. Можайского.—1995.

6. Гадасин В. А., Давыдова Т. В., Конявский В. А. Системные основы технологии защиты электронной информации // Управление защитой информации. 2001. - Том 5. - №1.

7. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. М.: «Энергоатомиздат», 1994, кн. 1, кн. 2.

8. Герасименко В. А, Малюк А. А. Основы защиты информации. — М.: МИФИ, 1997.

9. Гадасин В. А., Давыдова Т. В, Конявский В. А. Системные технологии защиты электронной информации // Управление защитой информации. — М. — Минск, 2001. — Том 4. №1. - 0,4 п.л.

10. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Введ. 2006-01-01. - М.: Стандартинформ, 2006.

11. Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. — М.: Яхтсмен, 1996.

12. Девянин П. Н. Модели безопасности компьютерных систем. — М.: Издательский центр «Академия», 2005 — 144 с.

13. Девянин П. Н., Михальский О. О., Правиков Д. И., Щербаков

14. A. Ю. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. — М.: Радио и связь, 2000.

15. Дейт К. Дж. Введение в системы баз данных, 7-е издание.: Пер. с англ. — М.: Издательский дом «Вильяме», 2001. — 1072 с.:ил.

16. Дорофеев А. Н. Моделирование и анализ конфликтов транзакций в информационных системах на основе гетерогенных баз данных: Автореф. дис. канд. техн. наук. Воронеж:, 2003.

17. Дубровин А. С. Модели и алгоритмы автоматизированного управления подсистемой контроля целостности в системах защиты информации: Автореф. дис. канд. тех. наук.— Воронеж, 2003.

18. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. — М.: Горячая линия Телеком, 2000.

19. Зегжда П. Д., Зегжда Д. П., Семьянов П. В., Корт С. С., Кузьмич

20. B. М., Медведовский И. Д., Ивашко А. М., Баранов А. П. Теория и практика обеспечения информационной безопасности. — М.: Яхтсмен, 1996.

21. Зима В. М., Молдовян A.A. Многоуровневая защита информационно-программного обеспечения вычислительных систем. Учеб. пособие / ВИККА им. А.Ф. Можайского. — СПб., 1997.

22. Кайт Т. Oracle для профессионалов. Книга 1. Архитектура и основные особенности: Пер. с англ. — К.: ООО «ТИД ДС», 2003. — 662 с. ТК.

23. Кайт Т. Oracle для профессионалов. Книга 2. Расширение возможностей и защита: Пер. с англ. — К.: ООО «ТИД ДС», 2003. — 848 с.

24. Конявский В. А. Методы и механизмы аппаратной безопасности // Безопасность информационных технологий. — 1999, —№1 — С.59-73.

25. Конявский В. А. Основные направления обеспечения информационной безопасности в информационных системах и сетях // Управление защитой информации.—2001.—Т. 5.,№2. С. 147-157.

26. Конявский В. А. Методы и аппаратные средства защиты информационных технологий электронного документооборота: Дис. докт. техн. наук. — М., 2005.

27. Конявский В. А., Жуков Н. С. Техническая защита объектов электросвязи // Электросвязь. — 1999. №9. — С.5-10.

28. Конявский В. А., Фролов Г. В. Компьютерная преступность и информационная безопасность. — Ми.: АРИЛ, 2000. — Глава 11. Гарантированная защита информации от несанкционированного доступа в автоматизированных системах. 1,9 п.л.

29. Корт С. С. Теоретические основы защиты информации. — М.: «Гелиос АРБ», 2004.

30. Крылов Г. О. и др. Словарь терминов и определений в области информационной безопасности. М.: ВАГШ, 2004.

31. Кузнецов А. П., Андельсон-Венский Г. Н. Дискретная математика для инженеров. — М.: Энергоатомиздат, 1988.

32. Мельников В. В. Защита информации в компьютерных системах. — М.: Финансы и статистика, 1997.

33. Першаков А. С. О возможности гарантированной защиты информации в доверенной среде // Проблемы информационной безопасности.

34. Руководящий документ — Безопасность информационных технологий — Критерии оценки безопасности информационных технологий — Часть 1: Введение и общая модель, Гостехкомиссия России, 2002.

35. Руководящий документ — Безопасность информационных технологий — Критерии оценки безопасности информационных технологий — Часть 2: Функциональные требования безопасности, Гостехкомиссия России, 2002.

36. Руководящий документ — Безопасность информационных технологий — Критерии оценки безопасности информационных технологий — Часть 3: Требования доверия к безопасности, Гостехкомиссия России, 2002.

37. Руководящий документ — Безопасность информационных технологий — Руководство по регистрации профилей защиты, Гостехкомиссия России, 2003.

38. Руководящий документ — Безопасность информационных технологий — Положение по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003.

39. Сёмкин С. Н., Беляков Э. В., Гребенев С. В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации. — М.: «Гелиос АРБ», 2005.

40. Смирнов С. Н. Безопасность систем баз данных. — М.: Гелиос АРБ, 2007.

41. Смирнов С. Н. Вероятностные модели обеспечения информационной безопасности автоматизированных систем // Безопасность информационных технологий. №2, 2006 г., стр. 12-17.

42. Трахтенброд Б. А. Алгоритмы и вычислительные автоматы. — М.: Советское радио, 1974.

43. Ухлинов JI. М., Мирошниченко К. Г. О формализации процессов защиты информации в вычислительных сетях // Автоматика и вычислительная техника. 1992 №1. С. 6-12.

44. Феллер У. М. Введение в теорию вероятностей и её приложения. Том 1 — М.: 1964.

45. Ходаковский Е. А. Системология безопасности // Безопасность. Информационный сборник фонда национальной и международной безопасности. —М. 1997, № 7-9(39), стр. 178-185.

46. Щербаков А. Ю. Введение в теорию компьютерной безопасности. — М.: Издатель Молгачева С.В., 2001 — 352 с.

47. Щербаков А. Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе // Безопасность информационных технологий. — 1997. №1. — с. 15-26.

48. Щербаков А. Ю. Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системах на основе создания изолированной программной среды: Автореф. дис. докт. тех. наук. — М., 1997.

49. Ярочкин В. И. Безопасность информационных систем. М.: Ось-89, 1996.

50. Bell D.E., La Padula J. Security Computer Systems: A Mathematical Model. Bedford, Massachusetts: Mitre Corp., 1973. 11. MTR — 2547. (NTIS AD-771 543)

51. Bishop M. Computer security: Art and Science. Addison Wesley Professional, 2002.

52. Bishop M. Theft of Information in the Take-Grant Protection System // J. Computer Security. — 3(4) (1994/1995).

53. Common Evaluation Methodology for Information Technology Security Evaluation. Part 1: Introduction and general model, version 0.6, 19 January 1997

54. Common Evaluation Methodology for Information Technology Security Evaluation. Part 2: Evaluation Methodology, version 1.0, August 1999

55. Evaluation Methodology for the Common Criteria for Information Technology Security Evaluation, version 1.1a, 19 April 2002

56. Guide for Production of Protection Profiles and Security Targets.

57. O/JTC1 /SC27/N2449. DRAFT v0.9, January 2000

58. Eswaran K. P., Gray J. N., Lorie R. A., Traiger I. L. The Notions of Consistency and Predicate Locks in a Data Base System // CACM. — November, 1976. — 19, №11.

59. Fernandez E. B., Summers R. C., Wood C. Database Security and Integrity. Landwehr C/ Formal Models for Computer Security // Computing Surveys. 1981. Vol.13. №3. P. 247-278.

60. Information technology — Security techniques — Protection Profile registration procedures. ISO/IEC 15292:2001.

61. Marlene T., Aaron N. Oracle Security Handbook Osborne/ McGraw-Hill, New-York, 2001.

62. McLean J. Security Models. In Encyclopedia of Software Engineering-(ed. John Marcinisk). — Wiley Press, 1994.