автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.12, диссертация на тему:Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системах на основе создания изолированной программной среды

На правах рукописи

О

^ Щербаков Андрей Юрьевич

МЕТОДЫ И МОДЕЛИ ПРОЕКТИРОВАНИЯ СРЕДСТВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В РАСПРЕДЕЛЕННЫХ

КОМПЬЮТЕРНЫХ СИСТЕМАХ НА ОСНОВЕ СОЗДАНИЯ ИЗОЛИРОВАННОЙ ПРОГРАММНОЙ

СРЕДЫ

05.13.12 - Системы автоматизации проектирования

05.13.13 - Вычислительные машины, комплексы, системы и сети

Автореферат

диссертации на соискание ученой степени доктора технических наук

///>::

Москва 1997

Работа выполнена в Учебно-научном центре "Проблемы защиты информации" Московского государственного института электроники и математики.

Официальные оппоненты:

доктор физико-математических наук, профессор Грушо Александр Александрович; доктор технических наук, профессор Мельников Юрий Николаевич; доктор технических наук, профессор Петров Геннадий Михайлович

Ведущая организация:

Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР)

Защита состоится 20-Р! 58 в Ю на заседании диссертационного совета Д 063.68.03 в Московском государственном институте электроники и математики по адресу: 109028, Москва, Б. Трехсеятителъский пер., д. 3/12.

С диссертацией можно ознакомиться в библиотеке МГИЭМ. Автореферат разослан "24 " 1997 г.

Ученый секретарь диссертационного совета к.т.н., доцент

£

Ю.Л. Ижванов

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ.

1. Актуальность исследования. В настоящее время при проектировании и эксплуатации компьютерных систем (КС) различного назначения проблемы обеспечения информационной безопасности стали играть ключевую роль. Это касается не только систем специального применения (например, военных), но и систем общего назначения, связанных с поддержкой критичных информационных технологий (медицина, транспорт, связь, энергетика, финансы и др.).

По данным министерства юстиции США каждые 4 секунды в мире происходит компьютерное преступление (из них свыше 40% носят умышленный характер, свыше 70% связаны с несанкционированным доступом к данным). По данным ЦБ РФ можно сделать выводы и о масштабе атак на КС, обслуживающие кредитно-финансовую сферу - масштаб потерь из-за незащищенности данных в региональных сетях оценен в 20 млрд. рублей в год (из них свыше 30% потери в системах безналичного оборота с пластиковыми карточками). За рубежом масштаб такого рода потерь (в частности, для Европы) на порядок выше.

Несомненно, в силу приведенных причин защите информации при проектировании КС уделяется самое серьезное внимание. Однако уровень готовности к теоретическим и практическим решениям проблем безопасности талек от желаемого. В методологии проектирования систем безопасности основной проблемой является отсутствие единого обоснованного подхода к разработке и эксплуатации защищенных компьютерных систем. В настоящее время превалирующей методологией проектирования является сформировавшаяся в 70 годы в США методология необходимых условий, ориентированная на качественное описание защитных механизмов (как правило, на их наличие или отсутствие). Кроме того, жизненный цикл систем безопасности (проектирование, разработка, эксплуатация, управление) ориентирован на итеративное движение, связанное с зрработкой обнаруженных слабостей в защите. Достаточное поверхностное знимание уделяется проектированию процедур управления безопасностью, "ложившийся подход к проектированию систем безопасности наследует, таким збразом, традиционную технологию проектирования и не влияет на итерационный ¡арактер процессов проектирования. Методология необходимых условий делает фактически невозможным применение средств автоматизации проектирования.

Весьма важной проблемой является также серьезное отставание методов и моделей проектирования средств защиты от практически доступных широкому кругу пользователей достижений современных сетевых информационных технологий.

Таким образом, тема диссертационной работы является актуальной и непосредственно соотносится с глобальной проблемой управления техническим циклом жизни программно-технических изделий (в данном случае относящихся к обеспечению безопасности).

Цель работы. Решение проблемы комплексного проектирования средств защиты распределенных компьютерных систем от несанкционированного доступа и разработка совокупности методов обеспечения гарантий выполнения произвольной политики безопасности (ПБ) при проектировании, эксплуатации и управлении защищаемой КС.

Задачами исследований являются:

1. уточнение моделей взаимодействия элементов КС с учетом механизма порождения и взаимовлияния субъектов (программ, процессов),

2. формулирование и обоснование условий выполнения произвольной политики безопасности при проектировании системы защиты,

3. изучение дополнительных свойств моделей, позволяющих адаптировать их к конкретной архитектуре КС и учесть их при проектировании,

4. рассмотрение модели и методов проектирования защиты применительно к реальному жизненному циклу КС,

5. уточнение политик безопасности при проектировании механизмов защиты распределенных систем (сетей),

6. формулирование и обоснование методов и моделей проектирования систем управления механизмами безопасности КС.

Общая методология исследования. Методология исследований базируется на системно-концептуальном подходе к безопасности и уточняет его исходя из предлагаемой в работе методологии достаточных условий.

Научная новизна работы заключается в следующих основных результатах:

1. предложена субъектно-ориентированная модель безопасности компьютерной системы, определяющая основную роль субъекта (активной компоненты' КС) как в процессе нарушения безопасности, так и в поддержании

заданной политики безопасности; уточнены основные термины и введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся свойств механизмов обеспечения безопасности КС в процессе их проектирования,

2. сформулированы и доказаны утверждения, описывающие условия выполнения произвольной политики безопасности; сформулирована методология достаточных условий выполнения произвольной политики безопасности при проектировании КС,

3. предложен конструктивный метод, описывающий условия гарантированного выполнения произвольной политики безопасности, задаваемой при проектировании КС - метод генерации изолированной программной среды,

4. описаны варианты реализации данного метода с учетом конкретной архитектуры КС,

5. метод генерации изолированной программной среды конкретизирован для распределенных гетерогенных КС в методе доверенной загрузки ОС; предложены критерии классификации модулей доверенной загрузки ОС, позволяющие оптимизировать параметры проектируемой системы безопасности,

6. изучена проблема сопряжения механизмов генерации изолированной программной среды со штатными средствами защита операционных систем, сформулированы и доказаны условия корректного взаимодействия модулей сопряжения и описаны структуры данных, необходимые для сопряжения,

7. предложен метод универсального сопряжения механизмов генерации изолированной программной среды с различными реализациями логической защиты (контроль целостности и т.д.) в процессе проектирования механизмов безопасности КС; сформулированы и доказаны достаточные условия корректности сопряжения,

8. уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности, связанных с полным проецированием прав пользователя на доступные ему субъекты; предложена конструктивная коррекция ПБ в сетевых средах при проектировании механизмов безопасности,

9. проведен анализ двух классов защиты от несанкционированного доступа в сетевой среде: межсетевых экранов (МЭ) и локальной защиты; предложены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды, могущие служить основой для автоматизированного проектирования средств защиты в распределенной системе,

10. предложена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные условия корректности управления, предложены методы проектирования систем управления безопасностью, обеспечивающие с одной стороны корректность управления, а с другой - работоспособность сложных программных комплексов.

Практическая ценность. Все изложенные в работе результаты доведены до практической реализации для различных операционных сред. Результаты оценочного и классификационного плана использованы при разработке ряда нормативных документов. Результаты, изложенные в работе, реализованы также в ряде программно-аппаратных систем защиты от несанкционированного доступа (M-Lock, Азимут, OCA-DOS и др.).

Достоверность результатов. Достоверность всех формальных результатов обоснована корректной постановкой задач, выводами и доказательствами. Достоверность общих положений подтверждается ссылками на публикации и результаты моделирования.

Апробация работы. Основные результаты работы докладывались и обсуждались на специализированных конференциях и семинарах: Технология электронных коммуникаций (ТЭК) - ТЭК-93, ТЭК-94, Региональная информатика (РИ): РИ-94, РИ-95, семинары Ассоциации российских банков, семинары кафедр и УНЦ МГИЭМ и др. вузов. Результаты обсуждались также в сетевых конференциях по безопасности Relcom, FIDO и Internet. Отдельные параграфы работы размещены для постоянного использования по адресу: mm.fzi.rsuh.ru.

Публикации. Список основных публикаций приведен в конце работы.

Структура и объем диссертации. Диссертация состоит из введения, шести глав, заключения и приложений.

АВТОР ЗАЩИЩАЕТ:

1. Решение актуальной проблемы проектирования средств защиты для распределенных КС, включающее:

- уточнение модели субъектно-объектного взаимодействия в КС и разработка субъектно-ориентированной модели безопасности КС,

- доказательство достаточных условий выполнения произвольной ПБ в КС при проектировании систем безопасности,

- метод генерации изолированной программной среды как практический метод реализации достаточных условий выполнения произвольной ПБ в процессе проектирования.

2. Решение актуальной проблемы разработки совокупности методов проектирования механизмов реализации и гарантирования политики безопасности в защищенной КС, обеспечивающей сохранение гарантий ПБ на всех этапах жизненного цикла КС и включающее:

- доказательство выполнения гарантий свойств сопрягаемых подсистем в рамках защищенной КС,

- конструктивная коррекция ПБ при проектировании системы безопасности для сетевых сред,

методы проектирования системы управления безопасностью в распределенных КС, обеспечивающие работоспособность сложных программных комплексов и гарантирующие выполнение заданной при проектировании ПБ.

3. Теоретические и экспериментальные результаты проектирования подсистем безопасности, включающие:

- классификации механизмов безопасности в рамках сформулированных методов проектирования, включающие механизмы обеспечения безопасности сетевого взаимодействия,

- описание структур данных и алгоритмов проектирования, реализующих предложенные методы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении подчеркнуты актуальность и значимость исследования, проводится экскурс в историю вопроса. Кратко рассмотрены результаты, изложенные в работах

других авторов, выделены нерешенные проблемы. Сформулированы цель работы, задачи и направления исследований. Изложены исходные положения работы.

В первой главе рассматриваются методы и модели проектирования системы поддержания гарантий выполнения произвольной политики безопасности в рамках субъектно-объектного взаимодействия в КС. Формулируется совокупность взаимосвязанных понятий, описывающих процесс порождения субъектов КС, взаимодействия субъектов и объектов, а также процесс корректного межсубъектного взаимодействия. Исходными положениями для исследований являются:

- положение о том, что гарантированная защита в КС понимается как гарантированное выполнение ПБ, заданной при проектировании,

- допущение о безошибочной работе аппаратной части КС.

В главе предлагается субъектно-ориентировагшая модель безопасности КС -модель КС, находящаяся в рамках декомпозиции КС на субъекты и объекты, базирующаяся на понятиях порождения субъекта и корректности субъектов относительно друг друга. Данная модель постулирует решающую роль субъекта (активной компоненты КС) как в процессе обеспечения защиты, так и ее нарушения.

Взаимодействие субъектов и объектов в субъектно-ориентированной модели описывается двумя отображениями - Create и Stream.

Отображение Create(Sj,Oi)->Sk описывает порождение субъекта Sk из объекта Oi при активизирующем воздействии субъекта Sj. Порождение субъекта отвечает событию «запуск программы» или «порождение процесса» в КС.

Состояние субъекта в КС описывается состоянием некоторых связанных (ассоциированных) с ним объектов - так, состояние работающей программы в некоторый момент времени описывается вектором исполняемого кода в оперативной памяти. С целью учета влияния субъектов друг на друга, а также для более строгого формулирования понятия потоков информации в КС вводится понятие ассоциированных с субъектом объектов.

Объект Oi в момент времени t ассоциирован с субъектом Sm, если состояние объекта Oj повлияло на состояние субъекта е следующий момент времени.

Выделяются функционально ассоциированные объекты (от состояния которых •зависит вид преобразования информации в субъекте) и ассоциированные объекты-данные, от которых преобразование зависит как от аргументов.

Основное свойство субъекта КС "быть активным" реализуется в возможности выполнения операций над объектами. Для описания данных операции вводится понятие потока.

Потоком информации между объектам От и объектом О] называется произвольная операция над объектом О/, реашзуемая в субъекте Л и зависящая от От (обозначение Биеат(8'1,От)->0/7

15 рамках понятия потоков определяется и ключевое для процесса проектирования системы безопасности понятие «доступ» и «разграничение доступа».

Доступом субъекта 5/ к объекту О) будем позывать порождение потока информации между ассоциированным с субъектом объектами .9/( От) и объектом (Ц.

Все множество потоков доступа Р (рассматриваемое как объединение множеств 14 потоков »о все рассматриваемые моменты времени) произвольным образом разобьем на два непересекающихся подмножества: N и Ь: N -подмножество потоков, описывающее несанкционированный доступ (НСД). Ь -подмножество потоков, описывающее легальный доступ. Тогда:

Правша разграничения доступа (ПРД} субъектов к объектам есть формально описанные потоки, принадлежащие подмножеству /„.

Для реализации ПБ (в смысле разрешения потоков только из Ь в соответствии с ПРД) проектируется специальный субъект - монитор безопасности объектов.

Монитор безопасности объектов (МБО) - субъект, который разрешает поток, принадлежащий только множеству легального доступа /.. Разрешение потока в данном случае понимается как выполнение операции над объектом, а запрещение -как неизменность объекта-получателя потока.

Показано, что при изменении ассоциированных с МБО объектов может измениться и функция МБО, заключающаяся в фильтрации потоков, а, следовательно, возникнуть возможность НСД (рис. № 1).

Рис. № 1. Возможные пути нарушения ПБ (АО - ассоциированные объекты)

В связи с этим вводится понятие корректности субъектов.

Пара субъектов Si и Sj называется исвлияющей друг на друга (или корректной относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любым функционально ассоциированным объектом субъекта Si( O.ti) и Sj(Osj), причем O.sj не яаляется ассоциированным объектом Si, a Osi не является ассоциированным объектом Sj.

Колее жесткое определение абсолютной корректности описывает межсубъектиое взаимодействие при пустом пересечении множеств ассоциированных обьек гон.

Определение абсолютной корректности позволяет сформулировать и доказать достаточные условия гарантированного осуществления только легального доступа.

Монитор безопасности объектов разрешает порождение потоков только из множества L, если осе существующие в системе субъекты абсолютно корректны относительно него и друг друга.

Однако это утверждение накладывает весьма жесткие и трудноисполнимые условия на свойства субъектов в КС и практически неисполнимо при проектировании. Кроме того, принципиально невозможно гарантировать корректность любого субъекта, активизируемого в КС. относительно МБО. В связи

с этим в процесс проектирования системы безопасности вводится монитор безопасности субъектов.

Монитор безопасности субъектов (МБС) - субъект, который разрешает порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и порождающих объектов.

Воздействие МБС выделяет во всем множестве S субъектов КС подмножество разрешенных Е.

Далее в работе формулируется определение изолированности КС.

Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС.

Понятие изолированной среды субъектов позволяет переформулировать и доказать достаточное условие гарантированной защищенности от НСД следующим образом.

Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой КС реализуется только доступ, описанный в Т1РД (т.е. обеспечивается гарантированное выполнение ПБ).

Данное утверждение носит конструктивный характер и служит методической основой для проектирования МБО, МБС и взаимосвязей между ними.

Далее в первой главе исследуется проблема различения одинаково поименованных объектов-источников, в связи с чем вводится понятие порождения субъекта с контролем неизменности объекта-источника.

Операция порождения субъекта Create(Sk,Om)->Si называется порождением с контролем неизменности объекта, если для любого момента времени t > tO, в который активизирована функция Create, порождение субъекта Si возможно только при тождественности объектов Om[tO] и Om[t].

Для процесса порождения субъектов с контролем неизменности объектов-источников формулируется и доказывается базовая теорема, определяющая свойства зашиты при проектировании и реализации изолированной программной среды.

Если в момент времени tg в изолированной КС действует только порождение субъектов с контролем неизменности объекта, и существуют потоки от любого

субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момешп времени />% КС также остается изолированной (абсолютно изолированной).

На основании описанной модели формулируется методология проектирования гарантировано защищенных от НСД КС, которая названа методологией достаточных условий. Сущность данной методологии состоит в том, что при проектировании защитных механизмов в КС необходимо опираться на совокупность приведенных выше достаточных условий, что гарантирует пыполненис защитных свойств, определенные при реализации МБО п КС (т.е. гарантированную защищенность от НСД согласно принятым исходным положениям).

Рис. № 2. Субъектно-ориентнрованная модель безопасности (ОУ - объект управления) Методы проектирования политик безопасности формализуют процесс построения подмножеств Ь и N. Важно заметить, что в рамках субъектно-ориентированной модели не производится уточнений известных политик безопасности I! части НСД, но формулируются условия гарантированной реализации той или иной политики безопасности. Поскольку критерий разбиения на множества Ь и N не участвует в условиях утверждений (постулируется лишь наличие субъекта, реализующего фильтрацию потоков Ь и ¡4), то можно говорить

об инвариантности субъсктно-орнентироаалпой модели относительно достаточно широкого класса заданных при проектировании КС политик безопасности. Архитектура защищенной КС к рамках субъектно-орпснтнрованной модели представлена на рис. № 2.

Далее в первой главе описаны практические методы построения изолированных программных сред.

Из сформулированных и доказанных утверждений вытекает описание процесса проектирования в виде последовательности этапов.

1. проверка попарной корректности субъектов, существующих п КС,

2. проектирование и реализация программно (или программно-аппаратно) МБС таким образом, чтобы:

- для любого субъекта и любого объекта производился контроль порождения субъектов, •

- порождение любого субъекта происходило с контролем неизменности объекта-источника,

3. проектирование и реализация МБО в рамках сформулированной политики безопасности.

Поскольку корректность субъектов является основой для генерации изолированной программной среды, то изучению данной проблемы также уделено место в данной главе - сформулированы достаточные условия к программному обеспечению (ПО) защищенной КС.

Поскольку па практике контроль неизменности объектов строится на базе неоднозначных отображений (хеш-функшш) и представляется вероятностной процедурой, то невозможно говорить о точном выполнении базовой теоремы об изолированной программной среде (поскольку неизменность объекта гарантируется лишь с некоторой вероятностью, не равной I). Следовательно, условия приведенных утверждений выполняются с некоторой вероятностью, зависящей в основном от свойств применяемых для контроля целостности хеш-функций и вероятности безошибочной работы аппаратной части КС в течение заданного времени.

Таким образом, обоснован вывод о том, что основными элементами поддержания изолированности программной среды яшшотся контроль целостности

и контроль порождения субъектов (которому в реальных КС соответствует порождение процессов).

Основное содержание современных подходов к проектированию ПО -иерархичность. В связи с этим метод генерации изолированной программной среды рассматривается в условиях существования в различное время объектов разной иерархии (сектор, кластер, файл). Вводится понятие последовательности активизации субъектов КС - 21, которая задает множество пар аргументов для функции Create. Достаточные условия гарантий ПБ переформулируются с учетом различной иерархии объектов-источников и наличия фиксированной для каждого сеанса последовательности ZJ (описывающей последовательность активизации программной компоненты КС в начальный момент работы (в период загрузки)). Формулируется метод "безопасной загрузки" или ступенчатого контроля, который является практически значимым для описания алгоритмов автоматизированного проектирования средств генерации изолированной программной среды. Он заключается в постепенном установлении неизменности компонент программно-аппаратной среды КС по мере возрастания уровня иерархии потоков.

При решении практических вопросов генерации изолированной программной среды предлагается два направления.

Первое из ннх связано с использованием внешних по отношению к КС субъектов (как правило, размещенных на лнешнем носителе) целостность которых гарантируется методами надежного хранения или периодического контроля.

Второе направление связано с локализацией изолированной программной среды в рамках территориально ограниченного рабочего места (как правило, ПЭВМ) н использует аппаратную поддержку для задания предопределенной последовательности активизации субъектов (Z!). Данное направление, как правило, включает аппаратную поддержку аутентификации пользователей.

Свойства метода генерации изолированной программной среды рассмотрены также в условиях возможности опосредованного НСД.

Опосредованный несанкционированный доступ (ОНСД) понимается как действия (инициирование потоков) некоторого субъекта в рамках поддерживаемой МБО политики безопасности, которые либо создают новые объекты в КС, либо изменяют ассоциированные объекты субъектов; данные действия осуществляются указанным субъектом автономно.

Указанный субъект, реализующий ОНСД, называется разрушающим программным воздействием (РПВ).

Доказано утверждение.

В изолированной программной среде с контролем целостности объектов-источников для порождения субъектов ОНСД невозможен.

Например, заражение вирусом либо невозможно в силу невозможности запуска программы-вирусоносителя, либо зараженный исполняемый файл не может быть активизирован в силу нарушения его целостности.

В данной главе вводятся понятия, формулируются и доказываются утверждения и описываются методы и модели, которые являются базовыми для всего последующего изложения. Тем самым формируется теоретическая и методологическая база работы.

Основными теоретическими выводами из изложенного в данной главе являются: вывод о возможности конструктивного описания свойств КС при проектировании защитных механизмов на языке межсубъектного взаимодействия и вывод о возможности формулирования и обоснования условий гарантированного выполнения произвольной ПБ при проектировании.

Основной практически^ вывод состоит в том, что теоретически обоснованный метод проектирования гарантировано защищенной КС (метод генерации изолированной программной среды) может быть практически реализован.

Необходимо отметить также, что вводимые формальные понятия и доказанные на их основе утверждения имеют значение и для решения более общей проблемы -проектирования КС с гарантированием произвольных априорно заданных свойств.

Во второй главе работы рассмотрена конкретизация (в рамках гетерогенной программной и аппаратной сетевой среды) различных этапов генерации изолированной программной среды.

Исходным положением для исследований является факт наличия в ряде случаев МБО и МБС в состав субъектов операционной среды (ОС).

Метод обеспечения гарантий ПБ при проектировании остается в основном в рамках предыдущей главы, но в некоторой части уточняется.

В качестве базового метода проектирования средств генерации изолированной программной среды для развитой сетевой ОС предлагается метод доверенной загрузки ОС.

Пусть предопределен порядок загрузки компонентов ОС (загрузка компонентов ОС в рамках субъсктнс-ориентированной модели понимается как порождение различных субъектов ОС из соответствующих объектов-источников различного уровня иерархии). Процедуру загрузки ОС назовем доверенной, если:

- установлена неизменность компонент ОС (объектов), участвующих в загрузке (обозначение - 0$), причем неизменность установлена до порождения первого субъекта из Л,

- установлена неизменность последовательности 23, она неизменна в течение заданного интервала времени и не может быть изменена никем, кроме предопределенного пользователя (пользователей) КС,

Основная проблема при реализации доверенной загрузки состоит в доступе к высшему уровню иерархии объектов ОС (файлам) до загрузки собственно данной ОС. При известном алгоритме генерации изолированной программной среды для некоторой ОС (базовой) предлагается итеративная реализация доверенной загрузки с использованием ресурсов базовой ОС в виде последовательности этапов,

1. происходит аутентификация пользователя Р1 (возможно, с использованием аппаратного носителя пользователя - АНП),

2. проверяется права пользователя по использованию аппаратной компоненты рабочего места Тш (Тш, например, ПЭВМ),

3. контролируется целостность (на основе индивидуальной информации ьго пользователя Ю, либо без нее) всех объектов базовой ОС локально или удаленно (через технические средства сети) связанном с Тш,

. 4. загружается базовая операционная система и контролируется целостность шлюзового ПО, служащего для доступа к объектам загружаемой ОС,

5. загружается шлюзовое ПО, которое представляет собой субъект, позволяющий в рамках потоков базовой ОС осуществить доступ к объектам загружаемой ОС (при этом становится доступным (как минимум, в режиме чтения) файловая структура загружаемой ОС, размещенная локально на Тш),

6. контролируется целостность объектов уровней, меньших К (И -максимальный уровень представления о&ьектов в загружаемой ОС),

7. контролируется целостность объектов максимального уровня иерархии И (как правило, файлов) загружаемой ОС (доступ через функции шлюзового ПО),

8. контролируется целостность объекта, задающего последовательность загрузки компонент ОС (21),

9. осуществляется принудительная загрузка (инициируется предопределенный в силу целостности объектов Ог и последовательности 21 порядок загрузки компонент ОС) проверенной на целостность ОС.

Свойства метода доверенной загрузки описаны утверждением.

Пусть ядро ОС содержит МБО и МБС, инициируемые в ОС субъекты попарно корректны и их объекты-источники принадлежат множеству проверяел1ых на неизменность в ходе доверенной загрузки, МБО запрещает изменение любого объекта-источника и выполнена процедура доверенной загрузки ОС, тогда после инициирования ядра ОС генерируется изолированная программная среда.

Генерация изолированной программной среды означает, в свою очередь согласно результатам первой главы, гарантированное выполнение ПБ, задаваемой МБО из ядра ОС.

Существенные особенность могут вноситься в процесс проектирования средств реализации описанного метода (этапы 1-9) комплектацией технических средств рабочего места Тт. Рассмотрены 16 различных конфигураций КС, связанных с наличием раздела базовой ОС на локальном рабочем месте, наличие аппаратных средств поддержки аутентификации пользователя, наличием внешнего носителя и возможностью удаленной загрузки базовой ОС. Для каждой конфигурации выявлены особенности в условиях реализации метода доверенной загрузки и выделены группы оптимальных конфигураций, связанных с наличием аппаратной поддержки аутентификации.

Дальнейшая совершенствование метода доверенной загрузки ведется в направлении сосредоточения описанных выше механизмов (этапы 1-9) в аппаратно-программном модуле.

Аппаратный модуль доверенной загрузки (АМДЗ) - комплекс аппаратно-программных средств, устанавливаемый в техническую компоненту КС и обеспечивающий, как минимум, выполнение следующих функций:

1. доступ к технической компоненте КС при положительном результате аутентификации пользователя,

2. загрузку базовой ОС,

3. загрузку шлюзового ПО,

4. проверку целостности объектов загружаемой ОС,

5. принудительную загрузку пользовательской ОС.

Для АМДЗ вводится классификация, которая дополняет классы защиты СВТ и АС, приводимые в руководящих документах Гостехкомиссии РФ. Выделяются 4 класса защиты: класс 4 - фрагментарная защита, классы 3 и 2 - структурированная защита (подсистемы безопасности), класс 1 - доказательная защита (таблица №1). Таблица №1. Классификация свойств АМДЗ при проектировании.

Наименование показателя Безопасность

Класс защищенности

Вероятность ложной аутентификации (на попытку доступа), не выше 10-5 10'7 10-9 10-"

Наличие символьного пароля пользователя для инициирования процедур доверенной загрузки - + + ■+

Невозможность обхода АМДЗ при помощи органов управления + = = +

Невозможность копирования АНП - + = =

Хранение информации для аутентификации в недоступном для восприятия виде - - + =

Защита сессии взаимодействия АНП и АМДЗ - - + =

Загрузка базовой ОС из внутренних данных - - + =

Загрузка шлюзового ПО из внутренних данных - - +

Запрет загрузки пользовательской ОС, отличной от базовой - + — —

Учет

Наличие журнала попыток НСД +■ + + +

Возможность аудита состояния АМДЗ - - + +

Гарантии

Очистка перед аутентификацией - + + +

Тестирование ПО АМДЗ - + = +

Тестирование аппаратной части АМДЗ " - - + +

Целостность ПО АМДЗ - + +

Программно-логическая защита данных ДМДЗ + = =

Аппаратная защита данных АМДЗ - - + +

Вероятность совпадения хеш-функции 10-9 Ю-'» 10-30 =

Гарантии возврата управления, либо принудительной загрузки пользовательской ОС - + + =

Гарантии проектирования - - + +

Гарантии архитектуры - - - +

Контроль модификации - - + =

Свойства комплекса____

[ Возможность удаленного управления ! - | - | + [Т

Документация

Руководство пользователя - -+ = =

Руководство администратора + + + =

Тестовая документация - - + =

Проектная документация - - + -

Обоснование гарантий архитектуры - - - +

Обозначения: "-" - нет требований к данному классу; "+" - новые или дополнительные требования; "=" - требования совпадают с требованиями предыдущего класса.

Классификация свойств АМДЗ призвана конкретизировать защитные и эксплуатационные свойства для применения взвешенного (по стоимости) подхода к проектированию защиты (стоимость проектирования, реализации и сопровождения АМДЗ при переходе к следующему классу защиты увеличивается в среднем 2-2.5 раза). Изложенные во второй главе теоретические результаты и приводимые критерии классификации могут служить основой для создания системы автоматизированного проектирования устройств АМДЗ. На основе требований к 4 классу АМДЗ создан комплекс М-Ьоск, рекомендованный для защиты сети МГИЭМ.

Основным теоретическим выводом второй главы является вывод о возможности получения изолированной программной среды для операционной системы со встроенными МБО и МБС при использовании процедуры доверенной загрузки. При этом гарантируется выполнение ПБ, реализуемой средствами (МБО) данной ОС.

С практической точки зрения описанные в данной главе механизмы важны для оптимизации трудозатрат на проектирование и реализацию механизмов защиты (максимальное использование штатных средств) и для разработки методик проектирования защиты при различных конфигурациях гетерогенной сетевой КС. Ограничением для применения описанных методов является в ряде случаев априорная неприменимость ПБ ОС для пользователя защищенной КС (т.е. случай, когда реализуемая в ОС ПБ по каким-либо причинам не устраивает пользователя).

В третьей главе рассматриваются вопросы, связанные с сопряжением средств защиты уже присутствующих в КС (штатных) с дополнительными средствами защиты.

В рамках выполнения доверенной загрузки пользовательской ОС и при наличии дополнительных средств аутентификации (АМДЗ) рассмотрена задача передачи параметров аутентификации в загружаемую ОС.

Основой для работы штатных механизмов безопасности является, как правило, символьный пароль пользователя, в то время как АМДЗ любого класса аутентифицирует пользователя по принадлежащему ему аппаратному носителю (АНП). Корректное сопряжения - описанная в терминах субъектно-ориентированной модели совокупность условий для проектирования и реализации механизмов передачи и хранения информации в тракте АМДЗ-штатиые средства защиты, не нарушающих корректности участвующих в потоках субъектов.

С точки зрения описания процесса проектирования указанная задача имеет ряд аспектов. Первый из них - техническое сопряжение субъектов ОС (интерфейс), осуществляющих штатную процедуру аутентификации с дополняемыми субъектами, получившими информацию от АМДЗ. Второй аспект связан с гарантиями передачи параметров в модули аутентификации. Третий аспект связан с проектированием необходимых структур данных, обеспечивающих с одной стороны независимость их от структуры и свойств аппаратного носителя пользователя (АНП), а с другой -хранение данных для штатных механизмов в необходимых форматах и без нарушения ПБ, предусмотренной для ОС, с которой сопрягается АМДЗ.

Сформулируем модель потоков при сопряжении.

Пусть существуют: субъект Saut - субъект аутентификации, принадлежащий загружаемой ОС и субъект Srd - субъект разграничения доступа (реализующий МБО и МБС), которому передается информация пользователя от субъекта аутентификации. В ряде случаев, инициируется и обратный поток. Следовательно, в общем случае существуют два потока Stream(Sx,Ok)->Om, где Sx субъект, инициирующий поток от ассоциированного объекта Ок субъекта Saut к ассоциированному объекту От субъекта Srd и поток Stream(Sx,Og)->Of, где Sx -субъект, инициирующий поток от ассоциированного объекта Og субъекта Srd к ассоциированному объекту Of субъекта Saut.

Сформулировано и доказано следующее важное утверждение, указывающее субъект-инициатор потока.

Необходимым условием корректности субъекта аутентификации и субъекта разграничения доступа явмштся условия:

Sx—Srd при Stream(Sx, Ok)->Om

Sx-Saut при StreamfSx, Og)->Of

Предложены два метода сопряжения - метод эмуляции органов управления и метод замены аугентифицирующего субъекта. Важно заметить, что для обоих методов предполагается наличие в КС дополнительного субъекта - модуля сопряжения (МС), который получает информацию от АМДЗ и передает ее либо в Saut (эмуляция органов управления), либо непосредственно в Srd (замена аугентифицирующего субъекта).

Показано, что МС должен выполнять следующие функции:

- получать данные о пользователе от АМДЗ,

- получать дополнительную информацию духя передачи к модулям ОС,

- передавать полученную информацию к модулям Saut и Srd.

Предположим, что функции МС реализованы гарантировано - при запросе

параметров от Saut или Srd они гарантировано передаются (гарантированная передача подразумевает тождественное отображение соответствующих объектов) от МС. Предположит также, что выполнены условия попарной корректности МС, Saut и Srd.

При выполнении указанных условий доказано утверждение, определяющее свойства проектируемой системы сопряжения и ее связь с методом доверенной загрузки.

При условиях гарантированной реализации МС и неизменности всех компонент ОС, получающих информацию от МС и неизменности последовательности реализации компонент, включающей МС, достигается гарантированное сопряжение со штатными механизмами.

Метод эмуляции органов управления основывается на свойстве субъекта аутентификации обращаться, как минимум, к субъекту программно-аппаратного уровня для получения информации от органов управления (как правило, от клавиатуры). Суть метода состоит во встраивании в поток между объектами некоторого субъекта, который имитирует ввод пользовательской информации с клавиатуры.

Метод замены аугентифицирующего субъекта основан на известном описании потоков между Saut и Srd и, как следует из названия, реализуется заменой штатного субъекта Saut на некоторый новый субъект, взаимодействующий в общем

случае с АМДЗ и со штатным субъектом. Данный метод подробно рассмотрен для ОС Windows NT (замена библиотеки MSGINA.DLL). В приложении приведен макет модуля сопряжения.

При проектировании механизмов сопряжении АМДЗ со штатным субъектом аутентификации решается еще одна важная проблема, связанная с различными типами данных, обрабатываемых в АМДЗ и используемых в субъекте аутентификации загружаемой ОС.

Предполагается, что i-й АНП содержит два информационных поля: IDi -неизменяемый идентификатор i-ro пользователя, который является аналогом имени и В ■ аутентифицирующая информация пользователя, которая может переписываться (IDi и Ki - первичная аутентифицирующая информация пользователя). Без существенного ограничения общности можно считать такую структуру присущей всем известным АНП.

Описаны алгоритмы структуры данных, которые позволяют определить произвольную информацию, необходимую для сопряжения (вторичная аутентифицирующая информация) по хранящейся в АНП (IDi и Ki). Показан также нецелесообразность хранения групповых свойств пользователей КС в АНП

Теоретические выводы по результатам исследований в данной главе позволяют сформулировать необходимые свойства АНП для сопряжения (минимизация объема хранения и наличие только индивидуальных свойств). Кроме того, с теоретической точки зрения важны результаты, описывающие условия корректного сопряжения штатных и наложенных средств защиты в ОС.

Основные практические результаты данной главы заключаются в описании структур данных для универсального сопряжения, а также в рассмотрении конструктивного примера сопряжения с механизмом штатной аутентификации для ОС Windows NT.

В четвертой главе исследуются проблемы, связанные с применения внешнего субъекта, реализующего функции логического преобразования информации (модуля реализации защитных функций - МРЗФ). МРЗФ может реализовывать стандартные алгоритмы контроля целостности, электронной цифровой подписи и т.д. Данная проблема весьма актуальна при широком распространении стандартизированных средств криптографической защиты (типа"Верба" 'Криптон"или Clipper).

Систему -защиты с МРЗФ предлагается рассматривать » рамках проектирования разделяемо!! технологии применения функций логической зашиты - такого порядка использования средств логической защиты информации в КС (чаще всего - криптографической защиты), при котором:

- не требуется изменений п программном обеспечении (и содержании и составе субъектов КС) при изменении алгоритмов защиты (исключая сам МРЗФ),

- в КС однозначно выделяется модуль (программно-техническая реализация субъекта) реализации защитных функций (МРЗФ).

При формулировании условий для проектирования комплексной защиты предлагается рассматривать следующую модель функционирования МРЗФ. Пусть имеется вызывающий субъект Si и его ассоциированные объекты Ok (объект для передачи информации к МРЗФ) и Of (объект возврата информации от МРЗФ после се преобразования). Для субъекта МРЗФ выделим ассоциированные объекты От для приема информации от вызывающего модуля и Or для размещения информации перед ее транспортировкой к вызвавшему субъекту Si.

П рамках введенной модели сформулированы понятия корректной работы МРЗФ (как совокупность гарантированного преобразования информации, гарантированной передачи и возврата результата) и показано, что корректная работа МРЗФ гарантируется при замыкании субъектов КС в изолированную программную среду с контролем неизменности объектов-источников и включении в состав субъектов собственно МРЗФ.

Если в изолированной (абсолютно изолированной) КС существуют только субъекты, которые корректно вызывают МРЗФ и обеспечивают корректный возврат результата к МРЗФ, существует собственно МРЗФ, действует контроль порождения субъектов с контролем неизменности объектов-источников, а также исключено существование потоков к От или Or стороны любого субъекта Sj от начала Stream (Sx, Ok)->Om до завершения Stream (Sx, Or)->Of, то МРЗФ вызывается корректно в течение всего времени активности КС.

Подробно рассмотрены случаи реализации составного потока (через один или несколько промежуточных субъектов - например, при сетевом взаимодействии) при передаче и возврате параметров (случай распределенной КС). Определены условия применимости приводимого утверждения для составного потока

Решнотся также вопросы, связанные с проблемой универсальной реализации МРЗФ и наличием нескольких различных МРЗФ в КС. Определяются необходимые лля корректно!"! реализации МРЗФ структуры данных и форматы вызовов. Рассматриваю гея вопросы особенностей проектирования информационной технологии для КС с МРЗФ - вводится понятие мультиеервиса логической зашиты (при наличии нескольких МРЗФ) и логического шлюза (с возможностью перехода от одного алгоритма зашиты к другому).

Рассмотренная модель передачи информации требует конкретизации методой проверки попарной корректности субъектов (поскольку передача и возврат результата могут приводить к перезаписи функционально ассоциированных объектов). Описав метод автоматизированного анализа ПО на попарную корректность и дана его детализация для программ на языке «С>>.

Основным теоретическим результатом данной главы является вывод о принципиальной возможности обеспечения корректного взаимодействия с внешним субъектом (в рамках введенных понятий корректного использования) при условии генерации изолированной среды. Показано, что в совокупности с гарантиями проектирования ПО или аппаратной части самого МРЗФ изолирование прсмраммпой среды обеспечивает корректное взаимодействие средств защиты с сервисами, ревизованными в одном или нескольких МРЗФ. Важным выводом является и то, что в условиях потенциальной некорректности МРЗФ относительно произвольного исполь ¡уюшего его субъекта условие генерации изолированной программной среды становится не только достаточным, но и необходимым.

Практическими результатами данной главы являются:

- выделение опасных ситуаций при передаче и возврате результата; формулирование способов корректного возврата результата в рамках принятой в настоящее время архитектуры внешних вызовов,

- описание структур данных и функций открытого интерфейса взаимодействия с МРЗФ.

- описание свойств субъекта, участвующего в составном потоке.

Результаты данной главы важны также в контексте решения глобальной задачи

проектирования КС с гарантированными свойствами, среди которых обязательны условия корректности вызова ряда функций (сервисов) и получения результата от них. Поскольку существенных ограничений на свойства вызываемого субъекта не

¡итожено, то полученные результаты могут быть применены при рассмотрении произвольных сервисов КС.

В пятой главе изучаются проблемы, касающиеся зависимости свойств защищенности от распределенности КС. Теоретической базой для рассмотрения проблем НСД в распределенной КС служит уточненная субъектно-ориентированная модель (в которой поток рассмотрен с учетом иерархии объектов сетевой среды типа файл-пакет). Особенностью сформулированной модели является наличие удаленного субъекта X, управляемого злоумышленником и разделение субъектов и объектов на принадлежащие внешнему и локальному сегменту КС. В рамках введенной модели рассмотрены два основных метода зашиты - метод межсетевого экранирования (основной зарубежный метод) и предложен метод локальной защиты с коррекцией политики безопасности.

При рассмотрении метода локальной защиты показана несостоятельность политик безопасности, связанных с установлением прав доступа Т (право доступа понимается как возможность реализации потока из некоторого класса, например, "запись") для пользователя Рп, а не субъекта, управляемого этим пользователем (обозначим: Ьп(Т)-множество объектов, доступных пользователю Рп с правом доступа Т к объектам КС, Ох - ассоциированный объект X, Ok - ассоциированный объект локального субъекта Si, взаимодействующего с субъектом X, например, телекоммуникационного процесса).

В условиях действия политики безопасности с полным проецированием прав пользователя Рп на локальные объекты КС субъект X имеет доступ Т к любому объекту множества Ln(T) при условии существования потоков Stream (X,Ok)->Ox и Stream(X,Ox)->Ok и доступности (в смысле возможности инициирования) субъекта Si для пользователя Рп.

Смысл данного утверждения состоит в том, что практически все существующие системы безопасности с указанием прав доступа относительно пользователей недостаточно корректны (ненадежны) в сетевой среде.

Предложена конструктивная коррекция ПБ при проектировании, связанная с "расщеплением" прав доступа, т.е. установление прав относительно отдельного субъекта или групп субъектов.

Методика проектирования средств защиты в распределенной КС описана в данной главе последовательностью этапов.

1. формулируется политика безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов - чисто локальные (доступ только к объектам локального сегмента) и телекоммуникационные и установить раздельные прав для этих групп),

2. относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов),

3. реализуется МБО, выполняющий указанную политику безопасности,

4. субъекты локального сегмента КС замыкаются в изолированную программную среду с контролем целостности объектов-источников.

Важно подчеркнуть роль изолированной среды при проектировании механизмов локальной защиты, поскольку с целью достижения злоумышленных целей субъектом X возможно порождение в рамках локального сегмента новых субъектов (например, через механизм удаленного вызова), либо методами ОНСД (внедрение РПВ).

Метод межсетевого экранирования уточняет модель потоков в распределенной системе, рассматривая иерархическую декомпозицию объектов (декомпозицию на подобъекты (пакеты) при межсетевом взаимодействии). Предполагается также наличие фильтрующего подобъекты субъекта БГ (межсетевой экран, МЭ).

Введено понятие гарантированной изоляции как описание свойств МБО в случае декомпозиции объектов КС на подобъекты. Сформулировано и доказано необходимое условие гарантированной изоляции (обозначение: - объект доступа из локального сегмента).

Для того чтобы фильтр Sf был гарантировано изолирующим, необходимо обеспечить существование потока между &1геат(8^0})->0е, где Ое ассоциированный объект служащий для сравнения с восстановленным из

последовательности нодобъектов образом объекта О], и выполнить условие тождественности Ое и О].

Смысл доказанного утверждения состоит в необходимости проектирования механизмов сборки объектов высокого уровня из подобъектов в рамках МЭ. Метод межсетевого экранирования дополнен рядом решений с учетом доказанных утверждений. Показана эквивалентность изолированной программной среды и метода фильтрации последовательности пакетов по признаку порождения неким субъектом (сервисом) для локального сегмента КС.

Исходя из своистн сформулированной модели межсетевого взаимодействия, коррекций ПГ> в распределенной системе и понятий гарантированной изоляции предложен комплексный подход к проектированию нроптаммно-техкнческцч решений межсетевой защиты (введено 5 классов по принципу роста затрат и надежности зашиты при проектировании и реализации технических решений). Классификация рассматривает не только свойства МЭ, но и свойства взаимодействующих КС (таблица № 2).

Таблица Ка 2. Классификация свойств межсетевой защиты при проектировании

или апалте готового технического решения.

Показатели защищенности 5 4 3 2 1

Свойства экрана

Фильтрация проходящих через МЭ объектов (пакетов):

- по служебной информации (адресу) + + + +

- по содержательной информации - - 7 +

- по интегральной информации (время, дата н т.д.) - - + =

- по типу субъекта, порождающего поток проходящих объектов - + —

- с возможностью преобразования служебной информации пакетов (векторизация) - - + —

Управление и регистрация

Л окал ы roe упра влей ие + + = = =

Удалеикос управленне - - + —

Регистрация - + + + =

Администрирование (идентификация и аутентификация администратора) = + + +

Администрирование (регистрация действий) + + + = =

Администрирований (эргономические параметры) - - + = ¡ +

Гарантии

Целостность + = + + i +

Изолированная программная среда в рамках МЭ - - + + +

Восстановление + = = + -

Тестирование + + + + +

Руководство администратора зашиты + = = = --

Тестовая документация + + + + +

Конструкторская (проектная) документация + + + + +

Свойства защищаемого локального сегмента КС

Политика безопасности с разделением доступа процессов ЛС КС к объектам ЛС КС - - + —

Гарантии тракта взаимодействия с МЭ (невлияние субъектов ЛС КС на МЭ) + + = + +

Изолированная программная среда в рамках защищаемого ЛС КС - - + н- +

Предлагаемая классификация как основа для проектирования включает в себя как защитные, так и эргономические свойства, а также необходимый перечень технической документации.

Основные теоретические результаты данной главы:

модель распределенной системы на базе уточнения субъектно-ориентированной модели КС,

- доказательство несостоятельности класса политик безопасности с полным проецированием прав пользователя на нее доступные ему субъекты,

формулирование понятий корректной фильтрации и ее условий, доказательство функционального тождества изолированной программной среды для локального сегмента КС и фильтра приложений (фильтра прикладного уровня,

- формулирование метода расщепления прав пользователя и подход к проектированию комплексной защиты на базе МЭ и локальной защиты (таблица № 2).

Основными практическими результатами данной главы являются:

- анализ существующих решений по межсетевому экранированию,

классификация средств межсетевого взаимодействия с указанием необходимых свойств программно-технического решения.

Проведенные исследования могут служить основой как для проектирования комплекса программно-технической защиты при межсетевом взаимодействии, так и для анализа (классификации) уже существующих технических решений в данной области.

Шестая глава посвящена проектированию системы управления защитой в КС.

Проблема управления безопасностью является малоизученной, однако статистика нарушений в области защиты утверждает, что до 40% нарушений защиты приходится на просчеты в управлении. В связи с этим проблема проектирования средств управления безопасностью представляется весьма важной.

Предлагается и в этой части придерживаться методологии достаточных условий и рассматривать вопросы управления в общем контексте предлагаемых в работе методов и моделей, связанных с генерацией изолированной программной среды.

Вводится понятие корректного управления

КС называется корректно управляемой, если поток к объекту управления (ОУ) существует только для субъекта управления.

Смысл корректного управления состоит в том, что изменение объекта управления (содержащего описание потоков из Ь) доступно только одному выделенному субъекту.

Формулируются достаточные условия корректного управления.

Если в КС поддерживается изолированная программная среда с контролем неизменности объектов-источников и существует МБО, который разрешает доступ на запись к ОУ только управляющему субъекту, то с момента активизации МБО управление в КС корректно.

Вводится также понятие корректного управления в строгом смысле (управление без нарушения изолированности среды). Данное понятие весьма важно для управления МБС.

Формулируется и доказывается еще одно весьма важное утверждение, описывающее условия нарушения изолированности при управлении.

При существовании изолированной программной среды с контролем неизменности объектов-источников и наличии корректного управления, нарушение изолированности (как возможность инициирования произвольного субъекта) возможно только при включении в ОУ МБС объекта-источника, порождающего указанный субъект.

Смысл данного утверждения состоит в том, что условия нарушения корректности управления в изолированной среде не связаны с ее свойствами, но зависят только от правильности действий администратора (что позволяет точно разграничить ответственность при нарушении).

В данной главе рассмотрены также особенности проектирования субъекта управления в сетевой среде; описаны различные ситуации локализации объектов и субъектов управления, а также распределенный объект управления. Для всех конфигураций определены свойства ОУ и описаны свойства КС для реализации той или иной модели управления. Описан также метод управления изолированной средой в сложных программных комплексах (метод мягкого администрирования) и

изучены его свойства. Метод мягкого администрирования состоит в фиксации на этапе опытной эксплуатации всех или избранных аргументов функций Create (исходный материал для составления множества Е) и Stream (для составления ПРД). Ценность метода состоит в том, что администратор безопасности выполняет только операцию редуцирования (сокращения) списков и сравнение функций целостности объектов с эталонными. Возможность применения мягкого администрирования целесообразно предусмотреть еще на этапе проектирования. Применение метода мягкого администрирования позволяет говорить о процессе автоматизации составления ПРД, что является новым результатом как в теории, так и в практике.

Основным теоретическим результатом данной главы является доказательство утверждения, что условия гарантий ПБ и условия корректного управления как достаточные условия совпадают при доверии к администратору. Этот вывод представляется весьма важным для описания процесса проектирования защищенных систем - если придерживаться методологии достаточных условий при проектировании и реализации заданной ПБ в КС, применяя для этого генерацию изолированной программной среды, то корректное управление будет автоматически обеспечиваться.

Основной практический вывод состоит в том, что возможно описать метод формирования объектов управления, с одной стороны учитывающий

распределенность системы и ставящий целью централизованное управление с рабочего места администратора, а с другой - удовлетворяющий условиям корректности управления и в ряде случаев корректности управления в строгом смысле (без нарушения изолированности).

Изложенный в данной главе материал представляется весьма важным как для проектирования программно-технических решений по управлению защитой, так и с методологической точки зрения для организации эксплуатации с соблюдением реализованной в МБО политики безопасности.

В заключении обобщена методология проектирования гарантировано защищенной КС с учетом сетевой архитектуры, учитывающая результаты всех глав работы и показывающая место каждой главы в процессе проектирования. Подчеркнут вывод об универсальном характере метода генерации изолированной программной среды как в процессе обеспечения гарантий ПБ при проектировании взаимодействия с субъектами реализации внешних защитных функций, так и при организации управления защитой от НСД. Взаимосвязь методов проектирования приведена на рис. № 3.

Рис. № 3. Взаимосвязь методов проектирования защитных механизмов

в КС.

В приложениях приведены практические реализации предлагаемых в работе методов и алгоритмов для различных операционных сред (MS DOS, Windows 3.x, Windows NT). Приводятся копии документов об использовании результатов работы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИОННОЙ РАБОТЫ.

Основным результатом работы является решение проблемы комплексного проектирования средств защиты распределенных компьютерных систем от несанкционированного доступа и разработка совокупности методов обеспечения гарантий произвольной политики безопасности при проектировании, эксплуатации и управлении защищаемой КС. Решение получено на основе исследования,

обобщения и развития методов и моделей проектирования систем безопасности для широкого класса гетерогенных компьютерных систем и сетей с территориально распределенной обработкой информации, имеющих субъектно-объекгную иерархическую декомпозицию.

В процессе решения исследуемой проблемы в диссертационной работе получены значимые научные результаты, представляющие самостоятельную практическую и теоретическую ценность для разработки методов проектирования систем безопасности в широком классе КС, а именно:

- предложена субъектно-ориентированная модель безопасности компьютерной системы, уточнены основные термины и введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся свойств механизмов обеспечения безопасности КС в процессе их проектирования,

сформулированы и доказаны утверждения, описывающие условия выполнения произвольной политики безопасности; сформулирована методология достаточных условий выполнения произвольной политики безопасности при проектировании КС,

- предложен конструктивный метод, описывающий условия гарантированного выполнения произвольной политики безопасности, задаваемой при проектировании КС - метод генерации изолированной программной среды, описаны варианты реализации данного метода с учетом конкретной архитектуры КС,

- метод генерации изолированной программной среды конкретизирован для распределенных гетерогенных КС в методе доверенной загрузки ОС; предложены критерии классификации модулей доверенной загрузки ОС, позволяющие оптимизировать параметры проектируемой системы безопасности

- изучена проблема сопряжения механизмов генерации изолированной программной среды со штатными средствами защиты операционных систем, сформулированы и доказаны условия корректного взаимодействия модулей сопряжения и описаны структуры данных, необходимые для сопряжения,

- предложен метод универсального сопряжения механизмов генерации изолированной программной среды с различными реализациями логической защиты (контроль целостности и т.д.) в процессе проектирования механизмов безопасности КС; сформулированы и доказаны достаточные условия корректности сопряжения,

- уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности, связанных с полным проецированием прав пользователя на доступные ему субъекты; предложена конструктивная коррекция ПБ в сетевых средах при проектировании механизмов безопасности, проведен анализ двух классов защиты от несанкционированного доступа в сетевой среде: межсетевых экранов (МЭ) и локальной защиты; предложены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды, могущие служить основой для автоматизированного проектирования средств защиты в распределенной системе,

предложена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные условия корректности управления, предложены методы проектирования систем управления безопасностью, обеспечивающие с одной стороны корректность управления, а с другой - работоспособность сложных программных комплексов.

Таким образом, полученные результаты являются решением крупной теоретико-прикладной проблемы комплексного проектирования гарантировано защищенных от НСД распределенных компьютерных систем, имеющей большое народнохозяйственное значение.

Основные результаты диссертации изложены в следующих работах.

1. В.Г.Рябов, А.Ю.Щербаков. Блочные преобразования дискретной информации. М., в/ч 33965, 1989. - 41 с.

2. А,Ю.Щербаков. Рекомендации по защите информации в персональном компьютере. //Защита информации в персональных компьютерах и сетях. М., «СофтМаркет», 1991, с. 3-9.

3. А.Ю.Щербаков. Сравнительные таблицы характеристик и свойств некоторых программных средств защиты информации в ПЭВМ, предлагаемых на отечественном рынке. //Защита информации в персональных компьютерах и сетях. М., «СофтМаркет», 1991, с. 11-17.

4. А.Ю.Щербаков. Обзор средств защиты от копирования. //Защита информации в персональных компьютерах и сетях. М., «СофтМаркет», 1991, с. 1821.

5. А.Щербаков. Защита от копирования. Построение программных средств. М., Эдэль, 1992. - 80 с.

6. А.Щербаков. Средства защиты программ от несанкционированного копирования. //PC Magazine/Russian Edition, №3, 1992. - с. 65-6S.

7. А.Щербаков. Разрушающие программные воздействия. М., «Эдэль» - Киев. «Век», 1993. - 64 с. -

8. Scherbakov A. Destructive Programm Influences. Trans. IBM (с), 1994. - 75 pp.

9. А.Щербаков. Тенденции применения средств защиты информации в сфере информационного обеспечения банковской деятельности. //Сб. материалов конф. "Информационная безопасность". Спб., 1994, с.25-26.

10. В.КЛевин, Ю.В.Коршунков, А.В.Ларин, С.Ф.Михайлов, Ю.В.Соколов, Ю.А.Тимофеев, А.Ю.Щербаков. Сб. трудов Академии Криптографии РФ «Исследование и разработка принципов построения программных и программно-аппаратных методов защиты информации в вычислительных системах от НСД и разрушающих воздействий». - М., 1994. - 163 с.

11. Лобзин И.Л., Маркелов В.В., Панфилов ИЛ., Петров A.A., Самохин Ю.В., Щербаков А.Ю. Методология построения защиты от разрушающих программных воздействий. //Сб. трудов Академии Криптографии РФ «Разработка концепции защиты авгоматизированных систем обработки информации от НСД и вирусных воздействий», 1994. - с. 29-47.

12. А.Щербаков. Информационное оружие - новая угроза компьютерным системам. // «Банк», № 1, 1995, с. 23-29.

13. А.Щербаков. Компьютерам снова угрожают. // «Частный сыск, охрана, безопасность». № 1, 1995, с.72-79.

14. А.Щербаков. Нетрадиционные методы проникновения к информации в компьютерных системах. // «Безопасность, достоверность, информация», 1995, № 1 - с.24-27, № 2 - с.27-30.

15. А.Щербаков. Проблема защиты от программных закладок в банковских информационных системах. //Материалы семинара "Банковская безопасность и компьютерные мошенничества". М., АРБ, 1996, с. 9-11.

16. А.Щербаков. К вопросу о сопряжении сетей с различным уровнем конфиденциальности информации. //Материалы первой межведомственной конференции "Научно-техническое и информационное обеспечение деятельности спецслужб". Часть 1, том № 1, 1996, с. 373.

17. А.Щербаков. Анализ проблемы защиты от несанкционированного доступа в автоматизированных системах обеспечения безналичных платежей с применением

пластиковых карточек. //Сб. материалов семинара "Безопасность электронных документов и пластиковых карточек". М., НТЦ АРБ. 1996, с. 16-17.

18. И.В.Прокофьев, А.Ю.Щербаков. Разработка системы защиты информации от НСД в ЛВС вуза. М., МГИЭМ, 1996. - 57 с.

19. И.В.Прокофьев, Г.В.Проскурин, А.Ю.Щербаков. Разработка комплекта учебно-методических и научных материалов и технических средств обучения по проблеме защиты информации. М., МГИЭМ, 1996 - 90 с.

20. И.В.Прокофьев, А.Ю.Щербаков. Методические указания к самостоятельным и лабораторным работам по курсу «Основы защиты информации в ЭВМ и ЛВС». М„ МГИЭМ, 1996. - 17 с.

21. А.Щербаков. Защита персональной и корпоративной информации в сети Internet: проблемы и решения. //Сб. тезисов семинара "Интернет и безопасность банков". М., НТЦ АРБ, 1996, с. 11-12.

22. А.Щербаков, Введение в проблему защиты информации криптографическими методами. М., МГИЭМ, 1997. - 51 с.

23. А.Щербаков. К вопросу о гарантированной реализации политики безопасности в компьютерной системе. //Безопасность информационных технологий. № 1, 1997, с. 15-25.

24. А. Щербаков. Практические методы опосредованного НСД в современных операционных системах, //Сб. тезисов научно-практического семинара "Практические вопросы информационной безопасности". - М., НТЦ АРБ, 1997, с. 13-14.

25. А.Щербаков. Анализ методов организации безопасного межсетевого взаимодействия. //Безопасность информационных технологий. № 1, 1997, с.45-54.

26. А.Щербаков. Безопасность при использовании ресурсов сети Internet -необходимое условие интеграции в информационные технологии постиндустриального общества. //Материалы Всероссийской научно-практической конференции "Россия: государство, общество, личность". М., 1997, с. 147-153.

27. Антимонов С.Г., Демидов A.A., Промыслов A.A., Сенькин В.М., Шеин A.B., Щербаков А.Ю. Руководящий документ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов (проект). М., Гостехкомиссия России, 1997. - 21 с.

28. А.Щербаков. К вопросу оценки защитных свойств межсетевых экранов. //Материалы научно-практического семинара «Сеть ИНТЕРНЕТ для банков: возможности и опасности» 16-19 сентября 1997 г. - М., НТЦ АРБ, 1997. - с. 11-12.

Подписано к печати 19.II.97 г» Зак.194 Объём 2п.л. Тир.100 МПШ. Москва,М. Пионерская ул., 12