автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методы и средства обеспечения корректности идентификации субъекта доступа к ресурсам вычислительной системы

На правах рукописи

Сторожевых Сергей Николаевич

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ КОРРЕКТНОСТИ ИДЕНТИФИКАЦИИ СУБЪЕКТА ДОСТУПА К РЕСУРСАМ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2006

Работа выполнена в Санкт-Петербургском государственном университете информационных технологий, механики и оптики.

Научный руководитель:

доктор технических наук, профессор Щеглов Андрей Юрьевич, доктор технических наук, старший научный сотрудник Алексеев Анатолий Владимирович;

Официальные оппоненты:

кандидат технических наук, старший научный сотрудник Белозеров Вячеслав Алексеевич.

Ведущая организация:

СПбФ ФГУП "ЗащитаИнфоТранс".

Защита состоится 21 марта 2006 г., в /5" часов 50 минут на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском государственном университете информационных технологий, механики и оптики по адресу: 197101, Санкт-Петербург, ул. Саблинская, д. 14.

С диссертацией можно ознакомиться в библиотеке СПбГУИТМО.

Автореферат разослан " /7 " февраля 2006 г.

Ученый секретарь диссертационного совета Д 212.227.05

кандидат технических наук, доцент Поляков Владимир Иванович

£qo£ A -bVM

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследований. В условиях повсеместного применения средств вычислительной техники для организации делового документооборота, хранения и передачи конфиденциальной информации, задача обеспечения компьютерной безопасности выходит на передний план. Статистика фактов несанкционированного доступа к информации (НСД) показывает, что большинство современных информационных систем достаточно уязвимы с точки зрения безопасности.

Одним из основных элементов безопасности является операционная система (ОС) компьютера, так как, по большому счету, именно она аккумулирует в себе подавляющую часть используемых механизмов защиты. Однако, даже при использовании последних версий ОС и прикладного программного обеспечения, нельзя гарантировать полную защиту от НСД что подтверждается большим количеством известных атак на механизмы защиты ОС. Так, по данным компании US-CERT, в 2005 году в существующих ОС было выявлено 5198 уязвимостей. Эксперты, специализирующиеся в области обеспечения безопасности компьютерных технологий, прогнозируют, что количество новых уязвимых мест в компьютерных ОС будет неуклонно расти. Принимая во внимание тот факт, что появление исправлений, направленных на устранение обнаруженных уязвимостей ОС, происходит со значительными задержками, а также то, что основным принципом противодействия угрозам безопасности информации, является превентивность принимаемых мер защиты, актуальной становится задача создания средств добавочной защиты вычислительных систем (ВС).

Основой защиты от НСД является реализация разграничительной политики доступа. Существующие механизмы разграничения прав доступа предполагают наличие у субъекта доступа к ресурсам ВС уникального идентификатора и корректно реализуемы тогда и только тогда, когда исключена возможность несанкционированного выполнения одним субъектом доступа действий от имени другого субъекта доступа. Другими словами, система защиты должна обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

Однако, механизмы идентификации, применяемые в современных ОС, предусматривают неявную смену идентификатора субъекта доступа, причем корректность такой подмены идентификаторов не контролируется со стороны ОС в полной мере. Соответственно, возникает задача обеспечения корректности идентификации субъекта доступа добавочными средствами, т.е. создание таких условий функционирования системы, при которых исключена возможность фальсификации субъекта при доступе к ресурсам

Целью диссертационной работы является разработка методов и средств обеспечения корректности идентификации субъекта доступа к ресурсам ВС.

В соответствии с поставленной целью основными задачами являются:

ВС.

• исследование известных методов и механизмов идентификации, в том числе применяемых в современных ОС, с целью обнаружения причин уязвимостей, позволяющих производить атаки на расширение привилегий;

• разработка и исследование эффективности подхода к обеспечению корректности идентификации субъекта доступа к ресурсам ВС;

• разработка альтернативных методов реализации подхода на основе принципов разграничения доступа и контроля;

• разработка механизмов обеспечения корректности идентификации пользователя на основе избирательного и полномочного принципов управления доступом;

• реализация системы (разработка технических средств) обеспечения корректности идентификации субъекта доступа к ресурсам ВС для ОС семейств Windows и Unix;

• исследование влияния разработанных средств обеспечения корректности идентификации на производительность ВС.

Методы исследований основаны на теории вероятностей, теории массового обслуживания и математической статистики.

Научная новизна работы. В ходе выполнения работы получены следующие новые научные результаты:

• разработаны требования к корректности идентификации субъекта доступа и критерий оценки эффективности;

• проведено исследование известного подхода к обеспечению корректности идентификации субъекта доступа, сделан вывод о том, что его эффективность не превышает 75% (невозможно одновременно запретить все некорректные и разрешить все корректные варианты смены идентификаторов доступа);

• в соответствии с разработанными требованиями, предложен новый подход, позволяющий решить задачу обеспечения корректности идентификации субъекта доступа в общем виде (эффективность подхода 100%);

• разработаны альтернативные методы реализации предложенного подхода, основанные на разграничении доступа к сервисам олицетворения и на контроле корректности идентификации пользователя при доступе к ресурсам ВС;

• разработаны математические модели ВС и ВС с системой защиты, реализующей предложенный метод контроля корректности идентификации;

• проведено исследование влияния средств контроля корректности идентификации на производительность ВС, в результате которого сделан вывод о том, что при увеличении количества контролируемых субъектов доступа и процессов в списке правил олицетворения потери производительности могут достигать десятков процентов (при задании более 250 правил);

• предложены способы снижения влияния средств контроля корректности идентификации на производительность ВС за счет группировки пользователей по уровням полномочий и применения регулярных выражений для задания имен процессов в списке правил олицетворения, что позволяет уменьшить потери производительности до единиц процентов для практически значимого набора правил. Практическая ценность полученных результатов заключается в

следующем:

• разработаны механизмы добавочной защиты, реализующие предложенные методы обеспечения корректности идентификации субъекта доступа к ресурсам ВС, позволяющие эффективно противодействовать атакам на расширение привилегий;

• определены условия совместного применения в ВС разработанных механизмов защиты на основе мандатного и дискреционного методов назначения и обработки ПРД;

• разработаны технические (программные) средства обеспечения корректности идентификации субъекта доступа к ресурсам ВС для ОС семейств Windows и Unix;

• разработаны математические модели для оценки характеристик функционирования системы защиты, позволяющие определить возможное количество полномочных уровней и контролируемых процессов в ВС при заданной границе потерь производительности ВС; Основные результаты работы использованы в учебном процессе на

кафедре ВТ СПбГУИТМО, а также при разработке следующих средств добавочной защиты ЗАО «НПП «Информационные технологии в бизнесе»:

• комплексной системе защиты информации (КСЗИ) «Панцирь» для ОС Windows 95/98/NT/2000;

• системе защиты данных (СЗД) «Панцирь» для ОС Windows 2000/ХР/2003;

• КСЗИ «Панцирь» для ОС Windows 2000/ХР/2003;

• КСЗИ «Блокада — НР» для ОС HP-UX 11.0.

Апробация работы. Научные и практические результаты диссертации доложены и обсуждены на:

• ХХХШ научной и учебно-методической конференции СПбГУИТМО,

2004 г.

• XXXTV научной и учебно-методической конференции СПбГУИТМО,

2005 г.

• научно-практических семинарах «Компьютерные сетевые решения и оборудование», проводимых центром научно-технической информации «Прогресс» (7-11 февраля, 13-17 июня, 10-14 октября 2005 г.). Программные решения, при разработке которых были использованы

научные и практические результаты диссертации, удостоены следующих наград:

• золотая медаль на 4 Всероссийском форуме «Банковская безопасность: состояние и перспективы развития» в конкурсе «Гарантии качества и безопасности» за КСЗИ «Панцирь» для ОС Windows 95/98/NT/2000, Москва, 2003 г.;

• золотая медаль на Международном форуме «Охрана и безопасность» в конкурсе «Эталон безопасности» за КСЗИ «Панцирь» для ОС Windows 95/98/NT/2000, Санкт-Петербург, 2003 г.;

• золотая медаль на Международном форуме «Охрана и безопасность» в конкурсе «Эталон безопасности» за СЗД «Панцирь» для ОС Windows 2000/ХР/2003, Санкт-Петербург, 2004 г.;

• диплом 14 Международной конференции и тематической выставки «Информатизация и информационная безопасность правоохранительных органов» в конкурсе «Лучший инновационный продукт» за КСЗИ «Панцирь-К» для ОС Windows 2000/ХР/2003, Москва, 2005 г.

Публикации. По теме диссертации опубликовано 6 работ. Структура и объем диссертации. Диссертация состоит из введения, пяти глав, заключения и списка литературы. Рукопись содержит 104 страницы текста, 23 рисунка и 5 таблиц. Список литературы включает 60 наименований.

СОДЕРЖАНИЕ ДИССЕРТАЦИОННОЙ РАБОТЫ

Во введении обосновывается актуальность работы и формулируются цель и задачи исследований.

В первой главе проводится исследование особенностей функционирования механизмов идентификации, применяемых в современных ОС, в результате которого установлено:

• механизмы идентификации современных ОС позволяют осуществить временную подмену идентификаторов доступа, или олицетворение, без дополнительной аутентификации (в том числе, в сторону расширения привилегий пользователя), что является угрозой безопасному функционированию ВС;

• корректность подмены идентификаторов доступа не контролируется встроенными средствами ОС в полной мере, что явилось причиной появления целой группы атак, направленных на расширение привилегий пользователя с использованием сервисов олицетворения. Сделан вывод о том, что для обеспечения компьютерной безопасности

в части противодействия атакам на расширение привилегий, необходимо производить контроль олицетворения с целью обеспечения только корректных вариантов заимствования прав.

Во второй главе разрабатываются требования, к корректности идентификации субъекта доступа и критерий оценки эффективности подхода к управлению олицетворением.

Для этого вводится каноническая модель управления олицетворением (1) контекстов защиты, т.е. такая модель, при реализации которой возможны только не приводящие к повышению привилегий субъекта доступа варианты смены идентификаторов доступа.

Пусть множество 5 = {5/...5„} — линейно упорядоченное множество субъектов доступа. В качестве субъекта доступа к = 1 ...п рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа. Введем следующую иерархию субъектов доступа: чем меньше порядковый номер (идентификатор) к субъекта, тем большими правами доступа к информации он обладает. Обозначим Х^ — исходный идентификатор субъекта доступа 5ь У* — олицетворяющий идентификатор субъекта доступа 5*..

Элемент (/¡¡) матрицы олицетворения I назначается следующим образом: = 1, если г < у; 1Ч = 0, если г> _/; где / - порядковый номер исходного идентификатора субъекта доступа (номер строки в матрице олицетворения),} - порядковый номер олицетворяющего идентификатора субъекта доступа (номер столбца в матрице олицетворения).

I =

12

Хх

*7

х„

о о о о

д—1 1 1

1 о

(1)

Критерием эффективности подхода к обеспечению корректности идентификации предлагается считать степень соответствия реализуемой подходом модели управления олицетворением канонической форме (1). Т.е. поход к обеспечению корректности идентификации субъекта доступа может считаться эффективным, если он: а) позволяет запретить все некорректные олицетворения; б) предусматривает возможность осуществления всех корректных вариантов заимствования прав.

С учетом предложенного критерия оценки эффективности проведено исследование известного подхода, реализованного в ОС Windows 2000/ХР/2003, который заключается в предоставлении возможности доступа к сервисам олицетворения только определенным учетным записям с повышенными привилегиями (т.е. субъектом доступа к сервисам олицетворения является пользователь).

Ниже приведен пример, иллюстрирующий недостатки данного подхода в части задания правил олицетворения. В рассматриваемом примере правом олицетворения обладают два наиболее привилегированных субъекта доступа 5*, k = 1, 2. Матрица олицетворения в данном случае имеет вид:

Х*Л X.

О о о о

'л-1 1 1

"А о

у,

1 1

о >0

Вид полученной матрицы ие соответствует (1). Это свидетельствует о том, что при назначении правил олицетворения подобным образом существует угроза разрешить некорректные олицетворения (единица на сером фоне), а также отсутствует возможность разрешить некоторые корректные варианты заимствования прав (нули на сером фоне).

В процентном отношении эффективность известного подхода в части запрещения некорректных олицетворений (Е^) и разрешения корректных олицетворений (Ег) можно выразить следующим образом:

1-

*-1

•100%; Ег =

С1

я+1

•100%,

(2)

V. /

где Л = 1, если является субъектом доступа, наделенным привилегией олицетворения, иначе Я = 0.

В результате проведенного исследования с учетом (2) сделан вывод о том, что результирующее (усредненное) значение эффективности известного подхода не превышает 75%. Это свидетельствует о том, что при использовании известного подхода как минимум четверть всех возможных вариантов олицетворений являются разрешенными или запрещенными вопреки сформулированным выше условиям корректности идентификации.

Низкая эффективность известного подхода обусловлена тем, что при назначении права олицетворения отдельному пользователю отсутствует возможность указания конкретных целевых идентификаторов пользователей, т.е. тех пользователей, чей идентификатор доступа может присваиваться в результате олицетворения. По сути, пользователю либо разрешается, либо запрещается производить олицетворение со всеми пользователями ВС.

Предлагается подход к обеспечению корректности идентификации субъекта доступа, позволяющий, в отличие от известных аналогов, назначать правила олицетворения с учетом как исходного, так и целевого идентификаторов доступа. Предлагаемый подход позволяет в полной мере реализовать приведенную каноническую модель олицетворения (1), и, следовательно, его эффективность как в части запрещения некорректных, так и в части разрешения корректных олицетворений максимальна (Еа = ЕЯ = 100%).

Также, исходя из того, что в общем случае отдельные процессы могут затребовать собственных разрешений олицетворения, именно процесс предложено рассматривать в качестве субъекта доступа, для которого назначаются правила заимствования контекстов защиты с учетом исходного и целевого идентификаторов доступа. В отличие от известного подхода, при реализации которого все функционирующие в ВС процессы разделяют общие правила олицетворения, предлагаемый подход позволяет при необходимости учесть требования к олицетворению отдельных доверяемых программ, что позволяет максимально минимизировать влияние защитной среды на условия функционирования программного обеспечения.

В рамках реализации предложенного подхода предлагаются альтернативные методы, основанные на принципах разграничения и контроля. Смысл разграничения доступа к сервисам олицетворения состоит в предотвращении самого факта некорректного олицетворения. Задача контроля — своевременно обнаружить факт некорректного олицетворения с целью блокирования действий злоумышленника. Причем процедура контроля может запускаться как синхронно (по расписанию), так и асинхронно (по какому-либо событию). Синхронному способу запуска процедуры контроля присуще множество недостатков, и поэтому далее в работе он не рассматривался.

Начало

Проверка прав субъекта доступа

нет

Конец

Рис. 1. Проверка запроса на доступ с использованием метода асинхронного контроля корректности олицетворения

Применительно к методу асинхронного контроля необходимо выделить события, которые можно рассматривать как причину запуска процедуры контроля олицетворения. Т.к. конечной целью злоумышленника при проведении атаки на расширение привилегий является осуществление НСД к ресурсам ВС, то предлагается производить контроль корректности олицетворения именно при запросе доступа к ресурсу. В соответствии с общей идеей метода, результат авторизации субъекта доступа при обращении ресурсу будет положительным (доступ разрешен) только при условии корректности идентификации субъекта доступа (см. рис. 1).

Данный метод максимально прост в реализации, т.к. в этом случае задача контроля возлагается на механизмы контроля доступа к ресурсам ВС (как правило, уже существующие в системе добавочной защиты).

В третьей главе разрабатываются механизмы обеспечения корректности идентификации субъекта доступа, реализующие полномочную и избирательную модели управления доступом, на основе предложенных методов разграничения и контроля.

Проведен сравнительный анализ разработанных механизмов, результаты которого показали: а) механизмы, выполненные на основе методов разграничения доступа к сервисам олицетворения и асинхронного контроля корректности идентификации при доступе к ресурсам ВС, эквивалентны в части противодействия атакам на повышение привилегий с целью НСД; б) реализация полномочного принципа контроля доступа с использованием мандатного метода обработки ПРД существенно упрощает администрирование, однако не решает задачу обеспечения компьютерной безопасности в общем * виде; в) для обеспечения корректности идентификации субъекта доступа в полной мере, целесообразно применять дискреционный механизм в дополнение к мандатному.

Сделан вывод о том, что при совместном использовании мандатного и дискреционного механизмов, дискреционный механизм должен реализовывать запретительную политику разграничения прав доступа.

В четвертой главе рассматриваются аспекты практической реализации программных средств обеспечения корректности идентификации субъекта доступа к ресурсам ВС.

В виду того, что, в части защиты от НСД, метод асинхронного контроля корректности олицетворения эквивалентен методу разграничения к сервисам олицетворения, и, вместе с тем, более прост в реализации, именно метод асинхронного контроля был выбран при разработке средств обеспечения корректности идентификации.

Т.к., в общем случае тип ресурсов, при доступе к которым должен производиться контроль идентификации, может различаться (например, в ОС семейства Microsoft Windows это могут быть как файловые объекты, так и ключи реестра), то модуль контроля корректности олицетворения (МККО) предложено разрабатывать изолированно от специфики реализации диспетчеров доступа к ресурсам определенного типа. Те. МККО должен

предоставлять диспетчерам доступа максимально общий интерфейс проверки правильности идентификации субъекта доступа.

Также рассмотрены различные аспекты реализации основных элементов системы обеспечения корректности идентификации на основе доминирующей в настоящее время платформы Microsoft Windows NT, а именно: а) способ реализации модуля контроля корректности олицетворения; б) общие принципы построения диспетчеров доступа к ресурсам ВС (файловым объектам и ключам реестра) в составе системы обеспечения корректности идентификации субъекта доступа.

Помимо этого, предложена альтернативная реализация диспетчера доступа к ресурсам ВС, предполагающая совмещение функций разграничения доступа и обеспечения корректности идентификации субъекта доступа в едином механизме.

В пятой главе с использованием аналитических моделей, было проведено исследование влияние средств обеспечения корректности идентификации, реализующих метод асинхронного контроля корректности олицетворения при доступе к ресурсам ВС, на производительность ВС. При построении аналитических моделей был использован аппарат теории массового обслуживания. Для определения входных параметров аналитических моделей были выбраны типовые задачи, с которыми чаще всего приходится сталкиваться в ВС общего назначения:

• Обработка текстов. Редактирование и верстка.

• Математическая и статистическая обработка данных.

• Разработка программ. Редактирование и сборка.

В результате экспериментов, проведенных с приложениями, выполняющими эти задачи в ОС MS Windows, были определены следующие параметры: среднее число обращений и среднее время выполнения запроса к файлам и реестру, а также среднее время выполнения всей задачи.

Для проведения исследований были разработаны математические модели ВС и ВС с системой защиты, реализующей предложенный метод контроля корректности идентификации.

Модель ВС (см. рис. 2) представляет собой разомкнутую сеть массового обслуживания (СеМО). Обозначены следующие вероятности обращения к ресурсам ВС (определены экспериментально для принятых классов задач):

РсасЫ ~ вероятность поступления запроса к кэш памяти ОС, Preg - вероятность поступления запроса к реестру, Рш ~ вероятность поступления запроса к НЖМД, Р0 - вероятность окончания обработки заявки.

В качестве входного потока был принят стационарный пуассоновский поток (простейший), т.к. простейший поток создает наиболее тяжелый режим работы для системы. Если система обеспечивает желаемую эффективность функционирования при простейшем потоке заявок на входе, то обслуживание системой других случайных потоков заявок будет

выполняться, по крайней мере, не хуже (в частности, производительность системы будет не ниже).

Рис. 2. Модель ВС без системы защиты

Также было сделано предположение, что распределение длительности обслуживания в узлах модели подчиняется экспоненциальному закону.

Для определения среднего времени обслуживания использовано следующее соотношение:

ь_ и

1+аЛци' (3) '

где: а - коэффициент передачи в СМО,

Ао - интенсивность потока заявок на входе СеМО, и - среднее время пребывания заявки в СМО.

Исходя из вероятностей перехода заявки из одного узла СеМО в другой, были определены следующие выражения для нахождения коэффициентов передач:

• а = М + пгее+ ПсасНе (СМО ЦП-ОП);

• а = пш (СМОНЖМД).

Зная время пребывания заявки (среднее время выполнения) в СМО НЖМД, в соответствии с (3) было определено среднее время обслуживания в этом узле. Для определения средней длительности обслуживания в СМО ЦП-ОП были использованы формула (3) и следующее соотношение: + псаске)исри + пш • иш, откуда и _ и-Пщ-Уш _ и~пш 'иш

СРЫ К + + псас1к 2(пге(, + псасЫ ) + пш+\'

где: псас1к — количество обращений к кэш памяти ОС,

исри— среднее время пребывания в СМО процессор — ОП, иш— среднее время пребывания в СМО НЖМД,

— количество обращений к НЖМД, пге& — количество обращений к реестру, N— количество этапов счета, и — среднее время пребывания в СеМО.

Расчет характеристик модели производился, исходя из условия существования стационарного режима в рассматриваемой сети:

1 1 1

Я0 < тш

а\Ьсри а2ЬШ )

Модель ВС с системой защиты, представлена на рис. 3.

Рис. 3. Модель ВС с системой защиты

По сравнению с рассматриваемой ранее моделью без системы защиты (см. рис. 2), в этой СеМО изменились вероятности перехода заявок в узлы СеМО, из-за обработки запросов на проверку прав доступа

Среднее время обслуживания в СМО ЦП - ОП в этой модели определяется следующим выражением:

, ,0 Ьскеск(ПГЦ + »соске + )

где: Ь^.- время обслуживания в модели без системы защиты;

Ьс/хск - время проверки запроса диспетчером доступа.

В качестве иллюстрации результатов расчета моделей на рис. 4 представлена типичная характеристика времени выполнения прикладной задачи.

Проверка адекватности разработанных моделей проводилась с помощью натурных испытаний и показала, что характеристики математических моделей отличаются от характеристик реальной ВС на единицы процентов (до 5%) на практически значимом диапазоне параметров,

что позволяет использовать эти модели для расчетов, при построении системы защиты, или ВС, использующей систему защиты.

Интенсивность поступления заявок. 1/с

Рис. 4. Характеристики моделей с потоком заявок Microsoft Word 2003

Анализ характеристик моделей показывает, что время выполнения задачи б ВС, при введении в нее средств идентификации, увеличивается незначительно по сравнению с потерями, приходящимися на реализацию разграничительной политики диспетчером доступа.

Отдельно было проведено исследование зависимости потери производительности от времени проверки идентификации, которое определяется длиной списка правил олицетворения. Сделан вывод, что при большом числе правил олицетворения (более 250 правил) потери производительности могут достигать десятков процентов.

Для снижения влияния средств контроля олицетворения на эффективность функционирования ВС было предложено использовать два способа уменьшения длины списка правил олицетворения контекстов защиты. Первый способ заключается в использовании идентификаторов групп, сопоставленных с конкретными уровнями полномочий, вместо идентификаторов пользователей. Второй способ состоит в использовании регулярных выражений (масок), покрывающих несколько имен процессов.

В результате проведенного исследования сделан вывод о том, что при применении предложенных способов снижения потерь производительности средства контроля корректности олицетворения способны обеспечивать безопасность ВС в части противодействия атакам на расширение привилегий для приемлемого числа зарегистрированных в системе субъектов доступа, при этом потери производительности составляют единицы процентов.

В заключении приводятся основные результаты и выводы,

полученные в ходе диссертационной работы:

1. Проведено исследование особенностей функционирования механизмов идентификации современных ОС, в результате которого установлено:

• механизмы идентификации современных ОС позволяют осуществить временную подмену идентификаторов доступа, или олицетворение, без дополнительной аутентификации;

• корректность подмены идентификаторов доступа не контролируется встроенными средствами ОС в полной мере, что явилось причиной появления целой группы атак, направленных на расширение привилегий пользователя с использованием сервисов олицетворения.

2. Разработаны требования к корректности идентификации субъекта доступа и критерий эффективности, в соответствии с которым эффективность известного подхода, реализованного в ОС Windows 2000/ХР/2003, не превышает 75%.

3. С учетом разработанных требований, предложен новый подход к обеспечению корректности идентификации субъекта доступа, имеющий показатель эффективности 100% и позволяющий:

• эффективно противодействовать угрозам расширения привилегий;

• минимизировать влияние защитной среды на условия функционирования программного обеспечения.

4. Предложены альтернативные методы обеспечения корректности идентификации субъекта доступа, основанные на разработанном подходе:

• метод разграничения доступа к сервисам олицетворения;

• методы синхронного и асинхронного контроля корректности олицетворения.

5. Разработаны механизмы обеспечения корректности идентификации субъекта доступа, реализующие полномочную и избирательную модели управления доступом.

6. Разработаны программные средства обеспечения корректности идентификации субъекта доступа к ресурсам ВС для ОС семейств Windows и Unix.

7. Проведено исследование влияния средств обеспечения корректности идентификации на производительность ВС с помощью разработанных для этой цели математических моделей и получены следующие результаты:

• при большом числе правил олицетворения (более 250 правил) потери производительности могут достигать десятков процентов;

• предложены способы снижения потерь производительности на основе сокращения длины списка правил олицетворения, при применении которых потери производительности составляют единицы процентов;

• характеристики математических моделей отличаются от характеристик реальной ВС на единицы процентов (до 5%) на практически значимом диапазоне параметров, что позволяет использовать эти модели для расчетов при построении системы защиты.

мое А

16

$- 374 1 {

СПИСОК ОПУБЛИКОВАННЫХ РАБОТ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Сторожевых С.Н. Подход к классификации и жизненный цикл атак на компьютерные системы // Научно-технический вестник СПбГУИТМО. Выпуск 14. Информационные технологии, вычислительные и управляющие системы, 2004, с. 154-158

2. Сторожевых С.Н. Противодействие расширению привилегий // Научно-технический вестник СПбГУИТМО. Выпуск 19. Программирование, управление и информационные технологии, 2005, с. 15-18

3. Сторожевых С.Н. Щеглов А.Ю., Криптографическая защита файловых объектов // Защита информации. Конфидент, №5(53), 2003, с. 51-55

4. Сторожевых С.Н. Щеглов А.Ю., Защита добавочными средствами. Часть I. Защита сервисов олицетворения // Технологии безопасности, №16(15), 2004, с. 34-37

5. Сторожевых С.Н. Щеглов А.Ю., Вопросы обеспечения корректности идентификации пользователя при доступе к ресурсам ВС. Часть I. Анализ существующих подходов. Предлагаемое решение // Вопросы защиты информации, №2(69), 2005, с. 39-43

6. Сторожевых С.Н. Щеглов А.Ю., Вопросы обеспечения корректности идентификации пользователя при доступе к ресурсам ВС. Часть II. Реализация системы контроля олицетворения // Вопросы защиты информации, №3(70), 2005, с. 2-5

Тиражирование и брошюровка выполнены в Центре «Университетские телекоммуникации». Санкт-Петербург, Саблинская ул., 14. Тел. (812)233-46-69

С

Объем 1 п.л.

Тираж 100 экз.

Введение.

Глава 1. Недостатки механизмов идентификации современных ОС.

1.1. Принципы построения систем защиты от НСД.

1.2. Формализация ПРД к ресурсам ВС.

1.3. Недостатки существующих механизмов идентификации.

1.4. Уязвимость механизмов идентификации по отношению к угрозам расширения привилегий.

1.5. Выводы.

Глава 2. Методы обеспечения корректности идентификации субъекта доступа.

2.1. Подход к решению задачи. Обоснование эффективности подхода.

2.2. Альтернативные методы обеспечения корректности идентификации субъекта доступа.

2.2.1. Разграничение доступа к сервисам олицетворения.

2.2.2. Контроль корректности олицетворения.

2.2.2.1. Синхронный контроль.

2.2.2.2. Асинхронный контроль.

2.3. Сравнительная оценка предложенных методов.

2.4. Результаты и выводы.

Глава 3. Механизмы обеспечения корректности идентификации субъекта доступа.

3.1. Механизмы разграничения доступа к сервисам олицетворения.

3.1.1. Основополагающие принципы управления доступом к ресурсам

3.1.1.1. Каноническая модель управления доступом.

3.1.1.2. Избирательный и полномочный принципы управления доступом.

3.1.2. Реализация диспетчера доступа к сервисам олицетворения.

3.1.2.1. Дискреционный механизм управления доступом.

3.1.2.2. Мандатный механизм управления доступом.

3.2. Механизмы контроля корректности идентификации при доступе к ресурсам ВС.

3.3. Сравнительный анализ предложенных механизмов.

3.4. Условия совместного применения дискреционного и мандатного механизмов.

3.5. Результаты и выводы.

Глава 4. Реализация системы обеспечения корректности идентификации пользователя.

4.1. Архитектура системы.

4.2. Интерфейс администратора.

4.3. Модуль контроля корректности олицетворения.

4.4. Диспетчер доступа к ресурсам как элемент системы обеспечения корректности идентификации.

4.4.1. Диспетчер доступа к файловым объектам.

4.4.2. Диспетчер доступа к ключам реестра.

4.5. Альтернативная реализация диспетчера доступа к ресурсам.

4.6. Результаты и выводы.

Глава 5. Исследование влияния средств обеспечения корректности идентификации субъекта доступа на производительность ВС.

5.1. Цели и задачи.

5.2. Модель рабочей станции без системы защиты.

5.2.1. Система массового обслуживания НЖМД.

5.2.2. СМО процессор - оперативная память.

5.2.3. Сетевая модель рабочей станции.

5.2.4. Модель рабочей станции с системой защиты.

5.3. Исследование падения производительности.

5.4. Проверка адекватности модели.

5.5. Выводы.

В условиях повсеместного применения средств вычислительной техники для организации делового документооборота, хранения и передачи конфиденциальной информации, задача обеспечения компьютерной безопасности выходит на передний план. Статистика фактов несанкционированного доступа к информации (НСД) показывает, что большинство современных информационных систем достаточно уязвимы с точки зрения безопасности.

Одним из основных элементов безопасности является операционная система (ОС) компьютера, так как, по большому счету, именно она аккумулирует в себе подавляющую часть используемых механизмов защиты. Однако, даже при использовании последних версий ОС и прикладного программного обеспечения, нельзя гарантировать полную защиту от НСД, что подтверждается большим количеством известных атак на механизмы защиты ОС. Так, по данным компании US-CERT, в 2005 году в существующих ОС было выявлено 5198 уязвимостей. Эксперты, специализирующиеся в области обеспечения безопасности компьютерных технологий, прогнозируют, что количество новых уязвимых мест в компьютерных ОС будет неуклонно расти. Принимая во внимание тот факт, что появление исправлений, направленных на устранение обнаруженных уязвимостей ОС, происходит со значительными задержками, а также то, что основным принципом противодействия угрозам безопасности информации, является превентивность принимаемых мер защиты, актуальной становится задача создания средств добавочной защиты вычислительных систем (ВС).

Основой защиты от НСД является реализация разграничительной политики доступа. Существующие механизмы разграничения прав доступа предполагают наличие у субъекта доступа к ресурсам ВС уникального идентификатора и корректно реализуемы тогда и только тогда, когда исключена возможность несанкционированного выполнения одним субъектом доступа действий от имени другого субъекта доступа. Другими словами, система защиты должна обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

Соответственно, возникает задача обеспечения корректности идентификации субъекта доступа, т.е. создание таких условий функционирования системы, при которых исключена возможность фальсификации субъекта при доступе к ресурсам ВС.

Целью настоящей диссертационной работы является разработка методов и средств обеспечения корректности идентификации субъекта доступа к ресурсам ВС.

В соответствии с поставленной целью основными задачами являются:

• исследование известных методов и механизмов идентификации, в том числе применяемых в современных ОС, с целью обнаружения причин уязвимостей, позволяющих производить атаки на расширение привилегий;

• разработка и исследование эффективности подхода к обеспечению корректности идентификации субъекта доступа к ресурсам ВС;

• разработка альтернативных методов реализации подхода на основе принципов разграничения доступа и контроля;

• разработка механизмов обеспечения корректности идентификации пользователя на основе избирательного и полномочного принципов управления доступом;

• реализация системы (разработка технических средств) обеспечения корректности идентификации субъекта доступа к ресурсам ВС для ОС семейств Windows и Unix;

• исследование влияния разработанных средств обеспечения корректности идентификации на производительность ВС.

Методы исследований основаны на теории вероятностей, теории массового обслуживания и математической статистики.

Научная новизна работы. В ходе выполнения работы получены следующие новые научные результаты:

• разработаны требования к корректности идентификации субъекта доступа и критерий оценки эффективности;

• проведено исследование известного подхода к обеспечению корректности идентификации субъекта доступа, сделан вывод о том, что его эффективность не превышает 75% (невозможно одновременно запретить все некорректные и разрешить все корректные варианты смены идентификаторов доступа);

• в соответствии с разработанными требованиями, предложен новый подход, позволяющий решить задачу обеспечения корректности идентификации субъекта доступа в общем виде (эффективность подхода 100%);

• разработаны альтернативные методы реализации предложенного подхода, основанные на разграничении доступа к сервисам олицетворения и на контроле корректности идентификации пользователя при доступе к ресурсам ВС;

• разработаны математические модели ВС и ВС с системой защиты, реализующей предложенный метод контроля корректности идентификации;

• проведено исследование влияния средств контроля корректности идентификации на производительность ВС, в результате которого сделан вывод о том, что при увеличении количества контролируемых субъектов доступа и процессов в списке правил олицетворения потери производительности могут достигать десятков процентов (при задании более 250 правил);

• предложены способы снижения влияния средств контроля корректности идентификации на производительность ВС за счет группировки пользователей по уровням полномочий и применения регулярных выражений для задания имен процессов в списке правил олицетворения, что позволяет уменьшить потери производительности до единиц процентов для практически значимого набора правил. Практическая ценность полученных результатов заключается в следующем:

• разработаны механизмы добавочной защиты, реализующие предложенные методы обеспечения корректности идентификации субъекта доступа к ресурсам ВС, позволяющие эффективно противодействовать атакам на расширение привилегий;

• определены условия совместного применения в ВС разработанных механизмов защиты на основе мандатного и дискреционного методов назначения и обработки ПРД;

• разработаны технические (программные) средства обеспечения корректности идентификации субъекта доступа к ресурсам ВС для ОС семейств Windows и Unix;

• разработаны математические модели для оценки характеристик функционирования системы защиты, позволяющие определить возможное количество полномочных уровней и контролируемых процессов в ВС при заданной границе потерь производительности ВС; Основные результаты работы использованы в:

• комплексной системе защиты информации (КСЗИ) «Панцирь» для ОС Windows 95/98/NT/2000;

• системе защиты данных (СЗД) «Панцирь» для ОС Windows 2000/ХР/2003;

• КСЗИ «Панцирь» для ОС Windows 2000/ХР/2003;

• КСЗИ «Блокада — НР» для ОС HP-UX 11.0;

• учебном процессе на кафедре ВТ СПбГУИТМО. Основные положения, выносимые на защиту:

• требования к корректности идентификации субъекта доступа и критерий оценки эффективности;

• подход к обеспечению корректности идентификации субъекта доступа к ресурсам ВС.

• альтернативные методы и механизмы защиты, реализованные на основе предложенного подхода;

• результаты исследований эффективности предложенного подхода к обеспечению корректности идентификации субъекта доступа к ресурсам ВС.

Апробация работы. Научные и практические результаты диссертации доложены и обсуждены на:

• XXXIII научной и учебно-методической конференции СПбГУИТМО,

2004 г.

• XXXIV научной и учебно-методической конференции СПбГУИТМО,

2005 г.

• научно-практических семинарах «Компьютерные сетевые решения и оборудование», проводимых центром научно-технической информации «Прогресс» (7-11 февраля, 13-17 июня, 10-14 октября 2005 г.). Программные решения, при разработке которых были использованы научные и практические результаты диссертации, удостоены следующих наград:

• золотая медаль на 4 Всероссийском форуме «Банковская безопасность: состояние и перспективы развития» в конкурсе «Гарантии качества и безопасности» за КСЗИ «Панцирь» для ОС Windows 95/98/NT/2000, Москва, 2003 г.;

• золотая медаль на Международном форуме «Охрана и безопасность» в конкурсе «Эталон безопасности» за КСЗИ «Панцирь» для ОС Windows 95/98/NT/2000, Санкт-Петербург, 2003 г.;

• золотая медаль на Международном форуме «Охрана и безопасность» в конкурсе «Эталон без опасности» за СЗД «Панцирь» для ОС Windows 2000/ХР/2003, Санкт-Петербург, 2004 г.;

• диплом 14 Международной конференции и тематической выставки «Информатизация и информационная безопасность правоохранительных органов» в конкурсе «Лучший инновационный продукт» за КСЗИ «Панцирь-К» для ОС Windows 2000/ХР/2003, Москва, 2005 г.

Публикации. По теме диссертации опубликовано 6 работ. Структура и объем диссертации. Диссертация состоит из введения, пяти глав, заключения и списка литературы. Рукопись содержит 104 страницы текста, 23 рисунка и 5 таблиц. Список литературы включает 60 наименований.

5.5 Выводы

1. Реализация предлагаемого метода асинхронного контроля олицетворения в рассматриваемой ВС за счет анализа корректности идентификации существенно увеличивает время проверки прав доступа (на десятки процентов) при большом числе правил олицетворения.

2. При применении группировки имен пользователей и задания имен процессов с помощью регулярных выражений в списке правил олицетворения контекстов защиты, удается существенно снизить потери производительности (до единиц процентов). 3. Характеристики математических моделей отличаются от характеристик реальной ВС на единицы процентов (до 5%) на практически значимом диапазоне параметров, что позволяет использовать эти модели для расчетов, при построении системы защиты, или ВС, использующей систему защиты.

Заключение

1. Проведено исследование особенностей функционирования механизмов идентификации современных ОС, в результате которого установлено:

• механизмы идентификации современных ОС позволяют осуществить временную подмену идентификаторов доступа, или олицетворение, без дополнительной аутентификации (в том числе, в сторону расширения привилегий пользователя), что является угрозой безопасному функционированию ВС;

• корректность подмены идентификаторов доступа не контролируется встроенными средствами ОС в полной мере, что явилось причиной появления целой группы атак, направленных на расширение привилегий пользователя с использованием сервисов олицетворения.

2. Разработаны требования к корректности идентификации субъекта доступа и критерий эффективности, в соответствии с которым эффективность известного подхода, реализованного в ОС Windows 2000/ХР/2003, не превышает 75% (невозможно одновременно запретить все некорректные и разрешить все корректные варианты смены идентификаторов доступа).

3. С учетом разработанных требований, предложен новый подход к обеспечению корректности идентификации субъекта доступа, имеющий показатель эффективности 100% и позволяющий:

• эффективно противодействовать угрозам расширения привилегий;

• минимизировать влияние защитной среды на условия функционирования программного обеспечения.

4. Предложены альтернативные методы обеспечения корректности идентификации субъекта доступа, основанные на разработанном подходе:

• метод разграничения доступа к сервисам олицетворения;

• методы синхронного и асинхронного контроля корректности олицетворения.

5. Разработаны механизмы обеспечения корректности идентификации субъекта доступа, реализующие полномочную и избирательную модели управления доступом.

6. Разработаны программные средства обеспечения корректности идентификации субъекта доступа к ресурсам ВС для ОС семейств Windows и Unix.

7. Проведено исследование влияния средств обеспечения корректности идентификации на производительность ВС с помощью разработанных для этой цели математических моделей и получены следующие результаты:

• при большом числе правил олицетворения (более 250 правил) потери производительности могут достигать десятков процентов;

• предложены способы снижения потерь производительности на основе сокращения длины списка правил олицетворения, при применении которых потери производительности составляют единицы процентов;

• характеристики математических моделей отличаются от характеристик реальной ВС на единицы процентов (до 5%) на практически значимом диапазоне параметров, что позволяет использовать эти модели для расчетов, при построении системы защиты, или ВС, использующей систему защиты.

1. Алиев Т.И., Довгий П.С. Расчет и оптимизация систем массового обслуживания. Методические указания к учебно-исследовательской работе "Исследование цифровых управляющих систем" — JL: ЛИТМО, 1985.

2. Алиев Т.И. Математические методы теории вычислительных систем. Учебное пособие —Л.: ЛИТМО, 1979

3. Алиев Т.И., Довгий П. С., Муравьева Л. А. Расчет и оптимизация моделей массового обслуживания. Методические указания по использованию комплекса программ — Л.: ЛИТМО, 1987

4. Алиев Т.И., Довгий П.С., Падун Б.С. Исследования систем оперативной обработки. Методические указания к учебно-исследовательским работам — Л.: ЛИТМО, 1979

5. Андреев А.Г. и др. Microsoft Windows 2000 Server. Русская версия, — СПб.: БХВ-Петербург, 2002

6. Анин Б. Защита компьютерной информации, — СПб.: BHV Санкт -Петербург, 2000

7. Бородин А.Н. Элементарный курс теории вероятностей и математической статистики. 3-е изд., испр. И доп. — СПб.: Издательство "Лань", 2002.

8. Бронштейн И.Н., Семендяев К.А. Справочник по математике — М.: Государственное издательство физико-математической литературы, 1962.

9. Брагг Р. Система безопасности Windows 2000.: /Пер. с англ. — М.: Издательский дом «Вильяме», 2002

10. Ю.Ботт Э., Зихерт К. Эффективная работа: Безопасность Windows. — СПб.: Питер, 2003

11. Гайкович В.Ю., Ершов Д.В. Гибкое управление средствами защиты — необходимое условие их успешного применения // Системы безопасности, связи и телекоммуникаций — 1997, № 3

12. Гайкович В.Ю. Лабиринт управления доступом: в поисках выхода // Системы безопасности, связи и телекоммуникаций — 1998, № 6

13. И.Галатенко В. Информационная безопасность // Открытые системы. — 1995, №5 (13).

14. Герасименко В.А., Размахнин М.К. Программные средства защиты информации в вычислительных, информационных и управляющих системах и сетях // Зарубежная радиоэлектроника. — 1986, № 5.

15. Герасименко В.А., Размахнин М.К., Родионов В.В. Технические средства защиты информации // Зарубежная радиоэлектроника. — 1989.

16. Герасименко В.А., Размахнин М.К. Организация работ по защите информации в системах обработки данных // Зарубежная радиоэлектроника. — 1989, № 12.

17. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. — Москва, 1992.

18. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. — Москва, 1992.

19. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. — Москва, 1992.

20. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. — Москва, 1992.

21. Дейтел Г. Введение в операционные системы. Т. 1. — М.: Мир, 198723.3има В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий — СПб.: Издательство Санкт-Петербургского университета, 1999.

22. Коул Э. Руководство по защите от хакеров. — М.: Издательский дом «Вильяме», 2002

23. Кофман А., Крюон Р. Массовое обслуживание. Теория и приложения. — М.: Мир, 1965.

24. Лебедев А.Н. Открытые системы для закрытой информации // Открытые системы — 1993, вып. 3.

25. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet -СПб, 1997

26. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet (книга 2)-СПб, 1997

27. Мельников В.В. Безопасность информации в автоматизированных системах. М.: Финансы и статистика, 2003.

28. Основы теории вычислительных систем. Под ред. С.А. Майорова, учебное пособие для вузов. — М., Высшая школа, 1978

29. Президент Российской Федерации. Указ от 3 апреля 1995 г.№ 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации".

30. Репин В.И., Музалевский Ю.С. Семинар "О построении систем защиты важных объектов" // Стройпрофиль — 2001, № 10

31. Родин Г. Некоторые соображения о защите программ //КомпьютерПресс.1991, №10.

32. Саати Т.Л., "Элементы теории массового обслуживания и ее приложения"

33. М.: Советское радио, 1965.

34. Скембрей Д., Мак-Клар С. Секреты хакеров. Безопасность Windows 2000готовые решения. — М.: Издательский дом «Вильяме», 2002.

35. Соломон Д., Руссинович М. Внутреннее устройство Microsoft Windows 2000. Мастер-класс. — СПб.: Питер; М.: Издательско-торговый дом «Русская редакция», 2001.

36. Скалинов С.А., Зырин Н.В., Шабунин А.Б. Вектор развития комплексных систем безопасности // Защита информации. Инсайд, №1,2005

37. Ухлинов J1.M. Международные стандарты в области обеспечения безопасности данных в сетях ЭВМ. Состояние и направления развития. // Электросвязь. — 1991, № 6.

38. Федеральный Закон "Об информации, информатизации и защите информации". — "Российская газета", 22 февраля, 1995.

39. Шураков В.В. Надежность программного обеспечения систем обработки данных. М.: Статистика, 1987.

40. Щеглов А.Ю., Сторожевых С.Н. Криптографическая защита файловых объектов // Защита информации. Конфидент, №5(53), 200342.1Цеглов А. Ю. Защита компьютерной информации от несанкционированного доступа, СПб.: Наука и техника, 2004

41. CSC-STD-003-85, Computer Security Requirements Guidance for Applying the Department of Defense System Evaluation Criteria in Specific Environments.

42. Department of Defense Trusted Computer System Evaliation Criteria. DoD 5200.28-STD, 1993.

43. National Computer Security Center. A Guide to Understanding Discretionary Access Control in Trusted Systems. NCSC-TG-003, 1987.

44. Holbrook P., Reynolds J. (Editors). Site Security Handbook. Request for Comments: 1244, 1991.

45. I.M. Olson, M.D. Abrams, Computer Access Policy Choices. Computer & Security. - Vol. 9 (1990), number 8. P. 699-714.

46. Russel D., Gangemi G. T. Sr. Computer Security Basics. O'Reilly & Associates, Inc., 1992.

47. Stang D.J., Moon S. Network Security Secrets. IDG Books Worldwide Inc., 1993.

48. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800. CCITT, Geneva, 1991.

49. The Generally Accepted System Security Principles (GSSP). Exposure Draft. -GSSP Draft Sub-committee, 1994.