автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.18, диссертация на тему:Модели управления доступом в распределенных компьютерных системах

На правах рукописи

БИКТИМИРОВ МАРАТРАМИЛЕВИЧ

Модели управления доступом в распределенных компьютерных системах

05.13.18 - Математическое моделирование, численные методы и комплексы программ

05.13.01 - Системный анализ, управление и обработка информации

003448895

Автореферат диссертации на соискание ученой степени кандидата технических наук

Казань, 2008

1 6 О ИТ 2008

003448895

Работа выполнена в Казанском государственном техническом университете им. А. Н. Туполева

Научные руководители: доктор физ.-мат. наук, профессор, заслуженный

деятель науки РТ Елизаров Александр Михайлович;

доктор технических наук Сиразетдинов Рифкат Талгатович

Официальные оппоненты: доктор физ.-мат. наук, профессор

Сотников Александр Николаевич;

доктор технических наук, профессор, заслуженный деятель науки и техники РТ Песошин Валерий Андреевич

Ведущая организация: Институт системного программирования Российской

академии наук (г. Москва)

Защита состоится «31» октября 2008 года в 13-00 часов на заседании Диссертационного совета Д 212.079.01 в Казанском государственном техническом университете им. А. Н. Туполева по адресу: 420111, Казань, ул. К. Маркса, д. 10

С диссертацией можно ознакомиться в научной библиотеке Казанского государственного технического университета им. А. Н. Туполева

Автореферат разослан «29» сентября 2008 г.

Ученый секретарь Диссертационного совета

доктор физ.-мат. наук, профессор ^ Данилаев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. В настоящее время при проектировании и эксплуатации компьютерных систем (КС) различного назначения проблемы обеспечения информационной безопасности стали играть ключевую роль. Практика показала, что наиболее важными являются две задачи - обеспечение управления доступом в информационно-телекоммуникационных системах (ИТС) и учет влияния распределенности ресурсов и инфраструктуры ИТС. Управление доступом должно учитывать, с одной стороны, как наличие штатных средств реализации (механизмы, встроенные в операционные среды и прикладные системы), так и наличие различных уровней управления - персональный, корпоративный, региональный и федеральный. Проблема распределенности заключается в том, что интеграция различных коммуникационных и информационных ресурсов порождает проблемы как с управляемостью системы (включая компоненту информационной безопасности), так и с корректным формулированием и реализацией различных политик безопасности (ПБ). Однако уровень готовности к теоретическим и практическим решениям проблем безопасности далек от желаемого. В методологии проектирования систем безопасности основной проблемой является отсутствие единого обоснованного подхода к разработке и эксплуатации защищенных компьютерных систем. Достаточное поверхностное внимание уделяется проектированию и реализации процедур управления доступом к информации. Весьма важной проблемой является также серьезное отставание методов и моделей проектирования средств защиты информации и управления доступом к ней от достижений современных сетевых информационных технологий, практически доступных широкому кругу пользователей.

При разработке сложных систем обеспечения информационной безопасности основную роль играет так называемая модель управления доступом. В англоязычной литературе для обозначения сходного понятия используются термины «security model» (модель безопасности) и «security policy model» (модель политики безопасности). Эта модель определяет правила управления доступом к информации, потоки информации, разрешенные в системе таким образом, чтобы система всегда была безопасной. Целью построения модели управления доступом является выражение сути требований по безопасности к данной системе. Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как модель является формальной, возможно осуществить доказательство различных свойств безопасности всей системы.1

Таким образом, тема диссертационной работы является актуальной и непосредственно связана с глобальной проблемой управления техническим циклом жизни программно-технических изделий (в данном случае относящихся к обеспечению информационной безопасности).

Целью диссертации является разработка моделей управления доступом в распределенных компьютерных системах и их апробация в распределенных корпоративных

1 Гайкович В Ю., Ершов Д В. Основы безопасности информационных технологий - М.: МИФИ, 1995 -86 с.

сетях регионального уровня. Для достижения поставленной цели необходимо провести:

• уточнение моделей взаимодействия элементов КС с учетом механизма порождения и взаимовлияния субъектов;

• системный анализ процедур создания, эксплуатации и управления системой безопасности ИТС применительно к реальному жизненному циклу КС;

• формулирование и обоснование алгоритмов управления доступом и механизмами обеспечения безопасности КС;

• уточнение политик безопасности при проектировании механизмов защиты распределенных сетей.

Основной задачей диссертации является совершенствование методов управления доступом в компьютерных системах для решения задач в области математического моделирования, системного анализа, оптимизации, управления и обработки информации, а также разработки проблемно-ориентированных систем управления.

Методология исследования базируется на системно-концептуальном подходе к обеспечению безопасности и уточняет его, исходя из методологии достаточных условий. В работе использованы материалы справочного характера, описывающие работу конкретных компонент КС, отдельные механизмы обеспечения безопасности и протоколы взаимодействия КС. Диссертация опирается также на результаты В. А. Герасименко, А. А. Грушо, Е. Е. Тимониной, С. П. Расторгуева, А. Ю Щербакова и др.

Положения, выносимые на защиту:

1. Решение задачи управления доступом в распределенных компьютерных системах и апробация полученных результатов для распределенных корпоративных сетей регионального уровня, включающие:

• уточнение модели субъектно-объектного взаимодействия в ИТС;

• доказательство достаточных условий выполнения произвольной ПБ в КС при управлении системой безопасности ИТС;

• конструктивную коррекцию ПБ при проектировании системы безопасности для сетевых сред;

• модели и алгоритмы управления доступом в распределенных КС, обеспечивающие работоспособность сложных программных комплексов и гарантирующие выполнение заданной при проектировании ПБ.

2. Теоретические и экспериментальные результаты создания подсистем безопасности ИТС, включающие:

• классификации механизмов безопасности в рамках сформулированных алгоритмов управления, в том числе механизмов обеспечения безопасности сетевого взаимодействия;

• рекомендации и требования к применению средств, реализующих корректное управление;

• описание программно-технических решений, реализующих предложенные алгоритмы.

Научная новизна

Предлагаемый в работе общий подход состоит в моделировании систем управления доступом КС с точки зрения достаточных условий. Тем самым можно говорить о развитии методологии достаточных условий при проектировании и реализации решений по управлению безопасностью КС. В диссертации получены следующие новые научные результаты:

• уточнены субъектно-ориентированная модель безопасности компьютерной системы и некоторые основные термины, введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся свойств механизмов обеспечения безопасности КС в процессе их проектирования;

• сформулированы и доказаны утверждения, описывающие условия выполнения произвольной политики безопасности; разработана методология достаточных условий выполнения произвольной политики безопасности при проектировании КС;

• представлена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные условия корректности управления, предложены методы и алгоритмы проектирования систем управления доступом, обеспечивающие, с одной стороны, корректность управления, а с другой, - работоспособность.сложных программных комплексов;

• уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности, связанных с полным проецированием прав пользователя на доступные ему субъекты; предложена конструктивная коррекция ПБ в сетевых средах при проектировании механизмов безопасности, проведен анализ двух классов защиты от несанкционированного доступа в сетевой среде: межсетевых экранов (МЭ) и локальной защиты; определены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды, могущие служить основой для автоматизированного проектирования средств защиты в распределенной системе.

Достоверность полученных результатов определяется обоснованностью применяемых методов исследования, доказательством сформулированных утверждений и подтверждением универсальности теоретических результатов работы при их использовании в практических приложениях.

Практическая ценность работы состоит в широком спектре ее практических приложений, что свидетельствует об определенной универсальности полученных результатов, применимых для КС различной архитектуры и назначения. В частности, сформулированные теоретические положения работы использованы в совокупности программно-технических решений Научно-производственного предприятия «Фактор-ТС» (технология «Дионис», Универсальная транспортная подсистема (УТП) ЦБ РФ и др.), предназначенных для построения корпоративных систем общего и специального назначения. Результаты работы апробированы при разработке распределенных высокопроизводительных систем обработки информации для решения больших вычислительных задач в таких предметных областях, как гидроаэромеханика, газодинамика,

расчет траекторий ракетно-космической техники, моделирование динамики функционирования и прогнозирования поведения сложных мультипараметрических систем (задачи метеорологии, сейсмологии и т. п.), ядерная физика, квантовая химия, молекулярная биология.

Работа выполнена при поддержке Российского фонда фундаментальных исследований (автор - исполнитель по проектам 01-07-90366-в, 02-07-90047-в, 02-07-90230-в, 03-07-90092-в, 03-07-90264-в; руководитель по проектам 00-07-92000-и, 01-07-90315-в, 02-07-92002-и, 04-07-90221-в, 07-07-00183-а).

Апробация работы. Результаты диссертации по мере их получения докладывались и обсуждались в Центре научных телекоммуникаций и информационных технологий РАН на семинарах Отдела телекоммуникаций (руководитель - чл.-корр. РАН А. Б. Жижченко), на международной научно-методической конференции «Телематика-2000», на 2-й Всероссийской конференции «Информационная безопасность России в условиях глобального информационного общества» (2001 г.), на VIII конференции представителей региональных научно-образовательных сетей «RELARN-2001», на научно-техническом совете НПП «Фактор-ТС» (ноябрь 2006 г.).

В 2003 году международная организация «Computerworld Honors Program» удостоила звания Лауреата Программы «A Search for New Heroes» Российскую академию наук за достижения в реализации проекта высокоскоростного доступа к суперкомпыо-терным ресурсам для научно-образовательных организаций России, а руководитель проекта член-корреспондент РАН А. Б. Жижченко и координатор проекта М. Р. Биктимиров награждены медалями.

Публикации. Основные результаты исследования опубликованы в двух монографиях (в соавторстве), двух статьях в журнале из списка, рекомендованного ВАК РФ, и в трех статьях из сборников материалов международных и всероссийских конференций. Список публикаций приведен в конце автореферата.

Содержание, структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы; содержит 4 таблицы и 14 рисунков. Общий объем диссертации 137 страниц. Библиографический список состоит из 114 наименований работ отечественных и зарубежных авторов.

Автор считает своим приятным долгом выразить глубокую благодарность своим научным руководителям доктору технических наук Р. Т. Сиразетдинову и доктору физ.-маг. наук, профессору А. М. Елизарову за внимательное отношение, ценные и своевременные консультации и рекомендации, а также советнику заместителя председателя ЦБ РФ доктору технических наук А. Ю. Щербакову и Генеральному директору НПП «Фактор-ТС», кандидату технических наук В. В. Яковлеву за дружескую поддержку и идеи по практическому применению результатов проведенной работы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении кратко описана история исследования проблемы защиты информации в компьютерных системах, обоснована актуальность темы диссертации, сформулированы цели и задачи работы, указаны методологические и методические основы проведенного исследования и отражена научная новизна.

Проблематика защиты информации в компьютерных системах с момента формулирования основных проблем в середине 1970-х годов до современного состояния прошла длительный и во многом противоречивый путь. Первоначально сформулированные проблемы сводились, как правило, к задаче поддержания конфиденциальности в двух аспектах - вопросы криптографической защиты информации в средах передачи и хранения данных и программно-технические вопросы разграничения доступа к данным и ресурсам вычислительных систем. Позднее с появлением тенденции к распределенной обработке информации на лидирующее место вышли проблемы аутентификации взаимодействующих элементов компьютерных систем, а также способы управления криптографическими механизмами в распределенных системах.

В начале 1980-х годов возник ряд моделей защиты, основанных на декомпозиции КС на субъекты и объекты - модели Белла-ЛаПадула, модель Хартсона и т. д.2 В них ставятся и исследуются вопросы взаимодействия элементов КС с заданными свойствами.

С середины 1980-х годов наметилась тенденция к появлению комплексных решений в области реализации механизмов защиты компьютерных систем.

В 1991 году В.А.Герасименко предложена модель системно-концептуального подхода к безопасности КС, которая описывает методологию анализа и синтеза системы безопасности1.

В 1996 году в работе А. А. Грушо и Е. Е. Тимониной3 высказан и обоснован тезис о гарантированной защищенности КС как гарантированному выполнению априорно заданной политики безопасности (ПБ). Настоящая диссертация опирается на основные положения этой работы.

В главе 1 «Реализация и гарантирование политик обеспечения информационной безопасности в компьютерной системе» введены основные понятия, сформулированы и доказаны утверждения и описаны методы, которые являются базовыми для последующего изложения. Тем самым заложена теоретическая и методологическая база работы.

В § 1.1 сформулировано понятие политики безопасности как интегральной характеристики, качественно (или качественно-количественно) описывающей свойства защищаемой системы в терминах, ее характеризующих.

Компьютерная безопасность решает четыре класса взаимосвязанных задач4:

• формулирование и изучение политик безопасности;

• реализация политик безопасности;

• гарантирование заданной политики безопасности;

• управление доступом.

2 Герасименко В. А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. - M : Энергоатомиздат, 1994. - Кн. 1 - 400 е., Кн. 2 - 176 с.

3 Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. - М.: Изд-во «Яхтсмен», 1996. - 192 с.

■"Davics Donald W., Price Wyn L. Security for Computer Networks (Защита компьютерных сетей). -John Wiley & Sons, 2-е издание, 1989

Определяющей является задача формулирования такой системы гарантий ПБ, которую можно применить к существующим реализациям КС (для конкретных операционных сред, прикладных программных комплексов и т. д.). Основная проблема состоит в формулировании модели взаимодействия элементов КС с требованием более строгого описания воздействия на объекты и с учетом механизма порождения субъектов5. Данная модель должна легко проецироваться на архитектуру современных КС и служить основой для формулирования гарантий ПБ.

Субъектно-ориентированная модель безопасности КС - это модель КС, находящаяся в рамках однозначной декомпозиции КС на субъекты и объекты, рассматривающая ведущую роль субъектов КС как в нарушении безопасности, так и в ее обеспечении, базирующаяся на понятии порождения субъекта и корректности субъектов относительно друг друга.

В рамках субъектно-ориентированной модели рассмотрены условия гарантий выполнения произвольных политик безопасности.

В § 1.2 дано описание модели защищенной КС6 и сформулировано понятие монитора безопасности. Монитор безопасности объектов (МБО) фактически является механизмом реализации политики безопасности в КС.

Основные введенные понятия - субъектно-ориентированная модель КС и изолированная программная среда (ИПС). Первое из них подчеркивает главенствующую роль субъектов КС как по поддержанию защищенности, так и по нарушению безопасности; второе понятие описывает метод проектирования КС с заданным свойствами (в терминологии защиты - выполнение априорно заданной политики безопасности). Введен также формальный аппарат для описания свойств КС, включающий описание свойств субъектов и их взаимодействия (понятия операции порождения субъектов и их взаимной корректности).

Вывод о возможности конструктивного описания свойств КС в части защищенности на языке межсубъектного взаимодействия и вывод о том, что реализация подходов к проектированию КС с гарантированным выполнением политики безопасности практически возможна, подкреплены доказательствами соответствующих утверждений (§§ 1.3 - 1.4). Получены два следующих достаточных условия гарантированного выполнения политики безопасности в КС.

Условие 1. Монитор безопасности объектов (МБО) разрешает порождение потоков из множества Ь, если все существующие в системе субъекты абсолютно корректны относительно него и друг друга; где I. - подмножество потоков, характеризующих легальный доступ, а И—несанкционированный доступ соответственно

Условие 2. Если в абсолютно изолированной КС существует МБО и порождаемые субъекты абсолютно корректны относительно МБО. а также монитор безо-

5 Щербаков А. Ю. Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системах на основе создания изолированной программной среды// Автореферат дис.... д-ра техн. н.-М., 1997

6 Герасименко В. А. Основы теории управления качеством информации. - М.: 1989. Деп. в ВИНИТИ. -№5392-В89

пасности субъектов (МБС) абсолютно корректен относительно МБО, то в такой КС реализуется только доступ, описанный в правилах разграничения доступа.

Доказана

Базовая теорема ИПС. Если в момент времени ?0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки от любого субъекта к любому объекту, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени I > 10 КС также остается изолированной (абсолютно изолированной).

Рассмотренная концепция изолированной программной среды является расширением зарубежных подходов к реализации ядра безопасности.

На рис. 1.1 подчеркнута роль монитора безопасности субъектов при порождении субъектов из объектов. Взаимодействие субъектов и объектов при порождении потоков уточнено введением объектов, ассоциированных с субъектом.

Рис. 1.1. Ядро безопасности с учетом контроля порождения субъектов Описанный в §1.4 метод проектирования гарантировано защищенной КС - метод генерации ИПС - может быть практически реализован в реальных КС.

Смысл вводимых понятий и формулируемых далее утверждений состоит в задании предопределенной последовательности активизации субъектов КС.

Условие одинакового состояния КС. Состояние КС в моменты времени Л и /, (7, м /2 исчисляются для двух отрезков активности КС от нулевых моментов /0| и 102 ее активизагрш, например, включения питания аппаратной части) одинаково, если:

• тождественны субъекты и

• неизменны все объекты из множества Ог\

• неизменна последовательность Z;;

где 21 - последовательность таких пар (/,_/')? длины 1 (< = 0,1,2,...,/-1 - моменты времени), что СгеШе , О,) —> ^ [/ +1],- Б7 - множество всех субъектов, включенных в Я^ Ог - множество всех объектов, включенных в 2Ь\ /? - максимальный уровень представления объекта (фаза стационарного состояния).

С момента времени / наступает стационарная фаза функционирования КС. В этих условиях, а также при попарной корректности субъектов и действии МБС с контролем неизменности объектов-источников на уровне К с момента времени т> к имеет место

Достаточное условие ИПС при ступенчатой загрузке. При условии неизменности 2Ь и неизменности объектов из Ог в КС с момента времени установления неизменности Zi и Ог действует изолированная программная среда.

Обобщенно достаточные условия можно сформулировать следующим утверждением.

Требования к субъектному наполнению изолированной программной среды.

Для того чтобы ИПС поддерживалась в течение всего времени активности КС, достаточно, чтобы в составе программного обеспечения, могущего быть инициированным в ИПС, не было функций порождения субъектов и прекращения их работы, кроме заранее предопределенных при реализации МБС, и не существовало возможностей влияния на среду выполнения любого процесса, а также инициирования потоков к объектам логического уровня менее Л (под средой выполнения понимается множество ассоциированных объектов).

Для практики также весьма важен вывод о том, что для генерации ИПС необходимо спроектировать и реализовать контроль запуска задач (порождения процессов) и контроль целостности объектов-источников, совмещенный с чтением реальных данных.

Внедренный в систему субъект может влиять на процесс чтения-записи данных и предъявлять системе контроля некоторые другие данные вместо реально существующих. Однако верно следующее

Достаточное условие чтения реальных данных. Если субъект, обслуживающий процесс чтения данных (т. е указанный субъект инициируется запрашивающим данные субъектом и участвует в потоке), содержал только функции тождественного отображения данных на ассоциированные объекты-данные любого субъекта, инициирующего поток чтения, и целостность объекта-источника для этого субъекта зафиксирована, то при его последующей неизменности чтение с использованием порожденного субъекта будет чтением реальных данных.

Изложенный материал закладывает основы применения методологии достаточных условий к проблеме проектирования защищенной КС.

Необходимо также отметить, что введенная аксиоматика и доказанные на ее основе утверждения имеют значение и для решения более общей проблемы - проектирования КС с произвольными априорно заданными свойствами.

Далее результаты главы 1 использованы при формулировке и доказательстве тех или иных положений.

Гпава 2 «Модель управления доступом в распределенной компьютерной системе» посвящена исследованию вопросов управления защитой в КС. Предлагается рассматривать систему управления доступом в едином «пространстве» с общей задачей поддержания гарантий ПБ, с одной стороны (включая единую терминологию и понятия), и, с другой стороны, формулировать процедуру управления так, чтобы не нарушать указанных гарантий.

Математическая модель ПБ рассматривает систему защиты в некотором стационарном состоянии, когда действуют защитные механизмы, а описание разрешенных или неразрешенных действий не меняется. На практике КС проходит путь от отсутствия защиты к полному оснащению защитными механизмами; при этом система управляется, т. е. разрешенные и неразрешенные действия в ней динамически изменяются. Отсюда понятно, что для поддержания гарантий ПБ необходимо рассматривать также управление доступом в КС. При этом процедуры управления должны быть в заданном смысле конструктивны, выполнимы и оптимальны с той или иной точки зрения (например, с точки зрения трудоемкости работы администратора либо с точки зрения объема объектов хранения, описывающих защиту). В рамках декомпозиции КС на субъекты и объекты управление также описывается потоками информации. При этом необходимо комплексно ставить задачу проектировочных и эксплуатационных гарантий, а также гарантий управления. В свою очередь гарантии управления требуют введения некоторых определений (например, понятия «корректного или гарантированного управления»), которые рассмотрены в § 2.1.

В § 2.1 введено понятие управляемой КС: КС называется управляемой, если в ней существует субъект (обозначим его Ба - субъект администрирования), для ассоциированных объектов которого существует поток к объекту управления. Компьютерная система называется корректно управляемой, если поток к объекту управления существует только для субъектауправчения.

Доказано следующее достаточное условие корректного управления в ИПС. Если в КС поддерживается ИПС с контролем неизменности объектов-источников и существует МБО, который разрешает доступ на запись к ОУ только управляющему субъекту, то с момента активизации МБО управление в КС корректно.

Смысл данного утверждения состоит в том, что условия, описывающие гарантии произвольной поли гики безопасности, и условия корректного управления как достаточные условия совпадают. Дополнительные требования для корректного управления корректируют политику безопасности КС (в части необходимости доступа на запись к ОУ только субъекта управления).

Важно описать также и условия нарушения корректности управления, которые связаны в ИПС с порождением некоторого произвольного субъекта, который имеет

доступ к ОУ (поток типа «запись»). Поэтому получены следующие условия нарушения корректности управления: при существовании ИПС с контролем неизменности объектов-источников и наличии корректного управления нарушение ИПС (как возможность инициирования произвольного субъекта) возможно только при включении в ОУ МБС объекта-источника, порождающего указанный субъект.

Если ИПС создает эксплуатационные гарантии политики безопасности, то при рассмотрении вопросов управления целесообразно говорить о гарантиях управления, которые описываются как достаточные условия приведенным выше утверждением.

КС с генерацией ИПС и контролем неизменности объектов-источников называется корректно управляемой в строгом смысле, если невозможно размыкание ИПС (появление любого субъекта, не входящего в состав ИПС).

В подтверждение тезиса о том, что достаточные условия ИПС и корректного управления в строгом смысле совпадают, сформулированы

Следствия:

• В ИПС, содержащей субъект управления без возможности изменения объекта управления МБС, выполнены условия корректного управления в строгом смысле

• При корректном управлении дополнение корректного субъекта не наруишет ИПС.

Итак, получены основные условия поддержания ИПС в процессе управления.

Проблема управления доступом (далее - управление) является весьма важной для выполнения ПБ в течение всего времени существования защищенной КС. В рамках введенных выше понятий управление подразумевает изменение объекта (объекта управления, ОУ), хранящего информацию о множестве Ь в соответствии с текущим состоянием объектов, субъектов и пользователей. Например, возможно либо изменение перечня объектов, доступных какому-либо субъекту, либо изменение во множестве объектов-источников, доступных для порождения субъектов (для ИПС). Иначе говоря, управление доступом в некоторый момент времени описывает политику безопасности применительно к текущему состоянию КС.

Поскольку целью диссертационной работы является разработка единых методов проектирования механизмов выполнения произвольной ПБ, то целесообразно и процесс управления рассматривать в рамках существования субъекта реализации ПБ (МБО) и субъекта гарантирования ПБ (МБС). Очевидно, что управление должно быть организовано таким образом, чтобы ПБ при изменениях в ОУ не нарушалась (т. е. в ОУ не включались бы потоки из множества Лг).

В §§ 2.2-2.4 рассмотрены варианты технологий управления доступом для различных архитектур корпоративной системы.

Рис. 2.1. Локализация субъекта и объектов управления в распределенной КС

Технически удобно реализовать работу субъекта управления в рамках другого локального сегмента (ЛС) КС (рабочего места администратора); субъект управления будет создавать ОУ где-либо во внешнем сегменте, доступном субъектам локальной КС.

Необходимым условием для выполнения МБО заданной политики безопасности в рамках ЛС КС при наличии локальных объектов и выделении во множестве потоков непустого подмножества легальных потоков к локальным объектам является наличие в удаленном ОУ элементов, описывающих потоки между субъектами и локальными объектами.

Несмотря на то, что данное утверждение является достаточно очевидным, оно, тем не менее, описывает важную техническую проблему, возникающую при управлении МБО и МБС. Она заключается в необходимости доступа к объектам ЛС КС при формировании удаленного ОУ со стороны удаленного управляющего субъекта.

Способ постоянного доступа к объектам ЛС КС требует активности некоторого локального субъекта, управляемого удаленным субъектом администрирования. Основной проблемой в данном случае является возможность управления локальным субъектом со стороны злоумышленника. Уменьшить или заблокировать возможности удаленного злоумышленника (в частности, полностью исключить возможности изменения объектов ЛС КС (доступ на запись)) возможно, если субъект постоянного доступа имеет доступ только на чтение к объектам ЛС КС.

Для обеспечения корректного управления необходимо отсутствие злоумышленных субъектов во всей КС. Достаточным условием для этого является существование ИПС на каждом ЛС КС и наличие МБО, запрещающего доступ к объектам ЛС КС любого субъекта, кроме управляющего.

Рабочее место администратора

Рабочее мести <кч локального ОУ

Транспортная среда Л вС

Для практики важен предлагаемый в §2.3 модифицированный метод «мягкого администрирования», позволяющий организовать управление МБС для сложных программных комплексов. Суть алгоритма мягкого администрирования заключается в следующем.

До установки защитных модулей в КС (имеются в виду МБО и МБС) в программную среду устанавливается субъект, который обладает следующими свойствами: отслеживает все факты порождения субъектов с фиксацией (как минимум) объектов-источников и протоколирует (записывает) их в некоторый объект (исходный список мягкого администрирования). Через некоторый промежуток времени содержимое объекта изучается администратором, который проделывает ряд действий:

• проводит сортировку имен объектов-источников с целью удаления повторяющихся;

• проверяет по указанным именам объектов фактическое их наличие в КС;

• редуцирует имена несуществующих объектов;

• исключает из списка объекты-источники, порождающие субъекты со свойством заведомой некорректности (инструментальные, отладочные средства и т. д.).

После выполнения этих действий администратор получает список объектов-источников, который он может использовать для формирования ОУ МБС. Условием применения модифицированного метода мягкого администрирования является наличие эталонного перечня объектов-источников для некоторого программного пакета.

Ценность метода состоит в том, что администратор безопасности выполняет только операцию редуцирования (сокращения) списков и сравнение функций целостности объектов с эталонными. Возможность применения мягкого администрирования целесообразно предусмотреть еще на этапе проектирования. Применение этого метода позволяет говорить о процессе автоматизации составления правил разграничения доступа (ПРД), что является новым результатом.

Итак, в главе 2 изучены вопросы управления защитой, а именно, формирование и изменение объектов управления для субъектов реализации политики безопасности (МБО) и субъектов гарантий политики безопасности (МБС). Управление описывает методы формирования ОУ, доставки ОУ на локальные сегменты КС, а также методы оперативного изменения ОУ при изменении прав пользователей.

Основным теоретическим выводом этой главы является вывод о том, что условия гарантий ПБ и условия корректного управления как достаточные условия совпадают при доверии администратору (т. е. в том случае, когда администратор не допускает преднамеренных действий по нарушению ПБ). Этот вывод представляется весьма важным для проектирования защищенных систем в целом. Действительно, если придерживаться методологии достаточных условий при реализации заданной ПБ в КС, применяя для этого генерацию ИПС, то корректное управление будет автоматически обеспечиваться (при соответствующей политике безопасности реализации субъекта управления, замкнутого в ИПС).

Основной практический вывод главы состоит в возможности описания моделей и методов формирования объектов управления, учитывающих, с одной стороны, распре-

деленность системы и ставящих целью централизованное управление с рабочего места администратора, и, с другой стороны, удовлетворяющих условиям корректности управления, а в ряде случаев и корректности управления в строгом смысле (без размыкания ИПС).

Изложенный материал представляется весьма важным как для проектирования программно-технических решений по управлению доступом, так и с методологической точки зрения для организации работы администратора с соблюдением реализованной в КС политики безопасности.

В главе 3 «Разработка моделей сетевых сред. Создание механизмов безопасности в распределенной компьютерной системе» рассмотрены весьма важные вопросы, касающиеся зависимости свойств защищенности от распределенности КС.

Выше уже упоминалась проблема распределенности КС с точки зрения влияния на безопасность. В ряде случаев политики безопасности, гарантировано выполняемые для локального подмножества элементов КС, несостоятельны при интеграции локальной КС в распределенную сеть. Подходы к межсетевой защите (межсетевое экранирование), применяемые в настоящее время, характеризуются, с одной стороны, теоретической необоснованностью (т. е. идут от практически возможной реализации, а не от осмысления цели защиты), с другой, - недостаточной надежностью7. Формализация задачи межсетевой защиты, анализ существующих методов и формулирование комплексных решений содержатся в третьей главе.

В § 3.1 построена модель распределенной системы с точки зрения защиты от несанкционированного доступа (НСД) и изучены ее основные свойства. Определим использованные ранее понятия локального и внешнего сегментов КС.

Локальный сегмент КС (ЛС КС) - подмножество субъектов и объектов КС, выделяемое по одному из следующих критериев

- критерию группирования в одно множество всех субъектов с возможностью непосредственного управления субъектами (если такая возможность присутствует с субъекте),

- критерию локализации некоторого подмножества объектов и субъектов в рамках некоторой технической компоненты КС;

- критерию присвоения объектам и субъектам ЛС КС некоторой информации, однозначно характеризующей субъект или объект (которая, как правило, называется адресом или сетевым адресом ЛС КС)

Внешний сегмент КС - дополнение множества субъектов и объектов локального сегмента до всего множества объектов КС.

Доступ удаленного субъекта к локальному объекту подразумевает организацию сложного потока от удаленного субъекта к ассоциированным объектам локального субъекта, т. е. фактически управление локальным субъектом со стороны удаленного субъекта. Целью удаленного злоумышленника (пользователя, управляющего удален-

1 Гайкович В., Першин А. Безопасность электронных банковских систем. - М.: Изд-во «Единая Европа», 1993. - 365 с.

ным субъектом) является организация потоков от локальных объектов, не принадлежащих множеству Ь.

Рис. 3.1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС

Сформулируем обобщенную модель* на языке потоков.

Обозначим потоки от ассоциированного объекта Ох субъекта X к ассоциированному объекту Ок субъекта и, наоборот, через Я(геат(Х,Ох)-+ Ок и 5&еат(Х,Ок) —> Ох. Предположим также, что свойства субъекта 51,. таковы, что возможно существование потоков вида 8(геат -> Ок и Япеат (Д, Ок) —> 0:. По свойству транзитивности потоков имеет место доступ субъекта X к объекту О. через субъект .

В §3.2 рассмотрены механизмы реализации политики безопасности в локальном сегменте компьютерной системы.

Политикой безопасности с полным проецированием прав пользователя или методом доступа с полным проецированием прав пользователя Рл на объекты КС называется такой порядок составления правил разграничения доступа( ПРД), при котором любой из субъектов, принадлежащий , обладает одним и тем же правом доступа Т к любому объекту множества ЦТ).

Из доказанного утверждения, описывающее потоки в ЛС КС в присутствии телекоммуникационного субъекта , следует важный факт: система защиты от НСД любого ЛС КС, в котором гарантированно выполнена политика безопасности с полным проецирование прав доступа пользователей (к системам с такой политикой безопасности относится подавляющее большинство программно-аппаратных систем защиты ло-

8 Щербаков А. Ю. Тенденции применения средств защиты информации в сфере информационного обеспечения банковской деятельности // Информационная безопасность: Сб. материалов конф. -М., 1994. - С. 25-26

кальных ресурсов, а также практически все штатные средства защиты в ОС) является потенциально ненадежной (т. е. допускающей возможность злоумышленных действий) при подключении к внешним сетям (т. е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция методов составления ПРД в системах, где возможно воздействие внешнего злоумышленника.

Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления правил разграничения доступа (ПРД), при котором права доступа пользователя Рп задаются отдельно для каждого доступного ему субъекта (или подмножества субъектов), принадлежащего множеству Sn

Доказано следующее утверждение (о доступе в системах с проецированием прав), описывающее условия защиты локальных объектов от внешнего злоумышленника: в условиях расщепления прав субъект X получит тот же доступ к объекту Ог что и субъект S,, при условии существования потоков Stream(X,Ох) Ok и Stream(X,Ok) —> Ох и отсутствии в ЛС КС других субъектов, для которых существуют потоки между их ассоциированными объектами и Ох.

Следствием данного утверждения является то, что в условиях расщепления прав субъект X не получит доступ к объекту 0: в том случае, если субъект Sl не имеет доступа к Ot и не существует другого субъекта Sr в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта

«ох

Доказанные утверждения позволили сформировать методику проектирования защиты JIC КС при условии попарной корректности всех субъектов (включая телекоммуникационный) с гарантированным выполнением политики безопасности. Эта методика описывается следующей последовательностью шагов.

1. Формулируется политика безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов - чисто локальные и телекоммуникационные - и установить раздельные права для этих групп).

2. Для каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов).

3. Реализуется МБО, выполняющий указанную политику безопасности.

4. Субъекты JIC КС замыкаются в ИПС с контролем целостности объектов-источников.

Далее в §3.3 рассмотрен один из основных подходов к защите - метод межсетевого экранирования (основной зарубежный подход)9, который дополнен рядом решений, базирующихся на свойствах построенной модели.

'Carson M Sendmail without the superuser (Почтовые отправления без суперпользователя) // Fourtth Usenix UNIX Security Symposium: По материалам симп, Santa Clara, CA, октябрь 1993. -С. 139-144

Суть экранирования состоит в прохождении потоков между Ок и Ох через дополнительный объект (возможно, более низкого уровня представления), ассоциированный с субъектом-анализатором потока.

Субъект Sj называется корректно экранирующим (или корректно фильтрующим) на выход относительно субъекта St, если для любого объекта Ol при Stream (S^O^-^Oj по последовательности ОД1],..., Of[k\ можно однозначно восстановить Ог

Субъект Sf называется корректно экранирующим (или корректно фильтрующим) на вход относительно субъекта St, если для любого объекта 0} при Stream(Sl,0/)-» Ot по последовательности Of\X],..., Of[k\ можно однозначно восстановить Ог

Субъект Sj называется корректным фильтром, если он является корректно

фильтрующим на вход и на выход. Доказана

Основная теорема о корректном экранировании. Экранирующий субъект Sf,

участвующий в потоке подобъектов уровня г, будет корректным на вход и на выход тогда и только тогда, когда для любого S, и для любого Oj по последовательности

О* однозначно определяется объект Ot

Приведенная теорема, хотя и является критерием, но, тем не менее, недостаточно конструктивна. Кроме того, субъект-фильтр не производит разделение потоков на множества L и N. Необходимо отметить два принципиально важных момента:

• субъект-фильтр должен иметь информацию о самих объектах Ot для осуществления сравнений;

• субъект-фильтр должен иметь информацию о разрешенных или запрещенных потоках между объектами Ок и Ох.

Приведем определение фильтра, учитывающего разделение потоков на множества L н N.

Гарантированно-изолирующим фильтром называется корректный фильтр, который разрешает прохождение потока Stream(X,Ох) -» О и Stream(X,Oj)~^Ox

только для потоков, принадлежащих множеству L.

Существующие методики проектирования и реализации экранирующих субъектов и управления ими 10 рассматривают процесс фильтрации применительно к особенностям функции Decomp. Рассматривают полученную после декомпозиции последова-

10Treese W., Wolman А. X throug the firewall, and other application relays (Прохождение через межсетевой барьер и другие фильтры приложений) // USENIX Conference: По материалам конф., Cincinnati, ОН, июнь 1993. - С. 87-99

тельность с точки зрения информационных подобъектов (Ajm), которые интегрально

описывают подмножество объектов, относящихся к выделенному адресу, либо рассматривают указанную последовательность относительно некоторого субъекта, который производит декомпозицию на подобъекты.

С точки зрения особенностей работы субъекта, производящего декомпозицию объекта, зарубежные работы вводят понятие сервиса, описывая его как субъект, в котором локализованы конкретные алгоритмы декомпозиции (т. е. порождающие некие последовательности подобъектов, свойственные только данному субъекту).

Требование гарантированной фильтрации в части доступа Sf к любому объекту

JIC КС технически достаточно сложно реализовать в силу возможной гетерогенности операционных сред ЛС КС, скоростных параметров и т. д. Однако можно предложить альтернативный метод проектирования гарантированно-изолирующего субъекта-фильтра.

Предположим, что в субъекте-фильтре однозначно выделяются информационные подобъекты и реализация Stream(SnOjm) Of является тождественным отображением (технически это означает безошибочную передачу в тракте фильтр - ЭВМ).

Для всех объектов ЛС КС вычислим хеш-функции Н{0 ,Kg) = h и гарантируем их доступность для субъекта-фильтра, хеш-функция, возможно, зависит от индивидуальной информации пользователя К,. Процедура фильтрации на выход (относительно существующих объектов) формулируется следующим образом:

• по последовательности подобъектов £>j1jp, ..,D]kr восстанавливается объект DJ;

• вычисляется H(DJ,KI) = /г*;

• вычисленное значение /з* сравнивается с hJt;

• в случае совпадения проверяются права доступа к объекту

• в случае доступности объекта для передачи во внешний сегмент КС разрешается передача подобъектов, соответствующих декомпозиции объекта во внешнюю сеть;

• в случае несовпадения передача запрещается.

Указанный метод может быть дополнен фильтрацией сервисов для обеспечения достоверного восстановления объекта по последовательности подобъектов.

Основными теоретическими результатами данной главы являются.

• построение модели распределенной системы на базе уточнения субъектно-ориентированной модели КС;

• доказательство несостоятельности класса политик безопасности с полным проецированием прав пользователя на все доступные ему субъекты;

• формулирование понятий корректной фильтрации и ее условий, доказательство функционального тождества ИПС и фильтра приложений (фильтра прикладного уровня-ФПУ);

• формулирование методов расщепления прав пользователя и методов проектирования механизмов комплексной защиты на базе экрана и локальной защиты.

Основным практическим результатом главы являются анализ свойств межсетевого взаимодействия с указанием его конкретных свойств и его коррелирование с теоретическими выводами.

Проведенные исследования могут служить основой как для анализа готового технического решения, так и для проектирования механизмов программно-технической защиты от НСД при межсетевом взаимодействии.

Глава 4 «Практические аспекты организации управления доступом в корпоративной системе регионального уровня» содержит описание апробации и практического использования полученных результатов при разработке технологий построения корпоративных систем общего и специального назначения.

Описание некоторых сфер применения результатов исследования приведено в § 4.1. Сформулированные в предыдущих главах теоретические положения работы оказались полезны и востребованны в совокупности программно-технических решений Научно-производственного предприятия «Фактор-ТС» (г. Москва) при разработке и усовершенствовании технологии «Дионис», а также при создании специализированных корпоративных универсальных транспортных подсистем. В их числе - УТП ЦБ РФ и других финансовых и государственных институтов, распределенные системы высокопроизводительных вычислений для фундаментальных и прикладных научных исследований в аэрогидродинамике, баллистике, ядерной физике, квантовой химии, молекулярной биологии и др.

В §§ 4.2 - 4.5 рассмотрены принципы и особенности организации управления доступом в распределенных корпоративных системах общего и специального назначения на примерах технологических решений Научно-производственного предприятия «Фактор-ТС» (технология «Дионис») и Корпорации IBM (MQSeries). Все технологии, используемые НПП «Фактор» при создании корпоративных сетей передачи данных, предоставляют возможность обмена конфиденциальной информацией, перекрывая каналы возможной утечки информации и контролируя целостность данных и права доступа абонентов. При этом в зависимости от технологической схемы Заказчика применяются:

• сетевые экраны, обеспечивающие контроль доступа и обмена данными на стыке LAN <-> WAN (технология «Дионис»);

• криптомаршрутизаторы для шифрации трафика на уровне пакетов данных при передаче данных LAN о LAN через открытые каналы связи (технология «Дионис»);

• Proxy-серверы (серверы-посредники) для подключения к сервисам по протоколам Telnet, FTP, SMTP, HTTP и др.;

• модули шифрации транзакций при использовании технологий передачи сообщений (технология MQSeries);

• защищенные почтампты, обеспечивающие аутентификацию пользователей, а также шифрацию данных, передаваемых по открытым каналам связи (технология «Дионис»);

• почтовые агенты и транспортные модули, предоставляющие средства электронной подписи и шифрования данных на рабочих местах абонентов сети (технология «Дионис»),

Перечисленные выше средства защиты информации совместимы по ключевым системам и могут использоваться совместно в любых сочетаниях. Использование комбинированных решений, например, на основе независимого шифрования как на прикладном, так и на транспортном уровнях, позволяет существенно увеличить крипто-стойкость отдельных элементов и корпоративной сети в целом.

В § 4.3 особое внимание уделено проблеме адаптации используемых технологий промежуточного слоя, ориентированных на передачу информации в виде сообщений, или МОМ-тсхнологий (Message Oriented Middleware). Отмечено, что в специализированных корпоративных сетях, основанных на МОМ-технологиях передачи сообщений, передача конфиденциальной информации по любым открытым линиям связи реализуется с использованием крипто-интерфейсов, обеспечивающих подключение сертифицированных технических средств.

Основной практический вывод главы 4 состоит в том, что наивысший уровень защиты информации в корпоративной сети обеспечивается при комплексном использовании всех средств защиты данных, соответствующих используемой технологии получения информации. Материал главы представляется полезным для практической реализации решений по управлению доступом к информации при построении публичных и специализированных региональных корпоративных систем.

В заключении сформулированы общие принципы управления доступом в защищенных КС в рамках методологии достаточных условий, приведено описание взаимосвязанных процедур управления и общая структура процесса проектирования системы управления доступом в распределенной КС.

Далее кратко подведены итоги выполненной работы.

Основным результатом диссертационной работы является решение задачи управления доступом в распределенных компьютерных системах на основе исследования, обобщения и развития методов и моделей проектирования систем безопасности для широкого класса гетерогенных компьютерных систем и сетей с территориально распределенной обработкой информации, имеющих субъектно-объектную иерархическую декомпозицию:

• Уточнена модель субъектно-объектного взаимодействия в ИТС;

• Проведено доказательство достаточных условий выполнения произвольной ПБ в КС при управлении системой безопасности ИТС;

• Предложена конструктивная коррекция ПБ при проектировании системы безопасности для сетевых сред;

• Предложены модели и алгоритмы управления доступом в распределенных КС, обеспечивающие работоспособность сложных программных комплексов и гарантирующие выполнение заданной при проектировании ПБ.

1 ~ !

ПГ -

Рис. Взаимосвязь методов проектирования защищенной КС Получены следующие теоретические и экспериментальные результаты, применимые при создании подсистем безопасности ИТС:

• Произведена классификация механизмов безопасности в рамках сформулированных алгоритмов управления, включающих механизмы обеспечения безопасности сетевого взаимодействия;

• Даны рекомендации и сформулированы требования к применению средств, реализующих корректное управление;

• Приведено описание программно-технических решений, реализующих предложенные алгоритмы.

Правомерность такого подхода к решению поставленной задачи подтверждена практической апробацией полученных результатов в технологиях построения распределенных корпоративных сетей.

В процессе выполнения диссертационной работы получены новые научные результаты, представляющие самостоятельную теоретическую и практическую ценность для разработки методов управления доступом при проектировании систем управления безопасностью в широком классе КС. Уточнены субъектно-ориентированная модель безопасности КС и основные термины, введены новые понятия; представлена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные условия корректности управления, предложены методы и алгоритмы управления доступом; уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности; предложена конструктивная коррекция ПБ в сетевых средах при проектировании механизмов безопасности; проведен анализ двух классов защиты от несанкционированного доступа в сетевой среде ИТС; определены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды.

Таким образом, полученные результаты являются решением важной теоретико-прикладной задачи совершенствования методов управления доступом в компьютерных системах, имеющей существенное значение для развития методологии решения задач

в области математического моделирования, системного анализа, оптимизации, управления и обработки информации, разработки проблемно-ориентированных систем управления с целью повышения эффективности, надежности и качества исследуемых объектов.

СПИСОК ОПУБЛИКОВАННЫХ РАБОТ

Монографии:

1. Биктимиров М Р. Избранные главы компьютерной безопасности / М. Р. Биктимиров, А. Ю. Щербаков. - Казань: Изд-во Казан, матем. об-ва, 2004. -372 с.

2. Биктимиров М. Р. Инженерные основы защиты интеллектуальной собственности / М. Р. Биктимиров, А. В. Домашев, Е. А. Дуйков, С. В. Сотский, А. Ю. Щербаков - Казань: Изд-во Казан, матем. об-ва, Изд-во Казан, ун-та, 2008. - 174 с.

Статьи в журналах из списка, рекомендованного ВАК РФ:

3. Биктимиров М. Р. К вопросу о разработке требований к защите от несанкционированного доступа конфиденциальной информации / М. Р. Биктимиров, В. В. Засыпкина, А. Ю. Щербаков // Безопасность информационных технологий. - М.: МИФИ, 2001. - № 1. - С. 62-69.

4. Биктимиров М. Р. Система требований к обеспечению информационной безопасности типовой Единой информационно-телекоммуникационной системы (ЕИТС) регионального уровня / М. Р. Биктимиров, Г. И. Лаврешин, А. Ю. Щербаков. // Безопасность информационных технологий. - М : МИФИ, 2003. - № 2. - С. 22-28.

Материалы конференций:

5. Биктимиров М. Р. Создание инфраструктуры информационного и компьютерного обеспечения науки и образования в Республике Татарстан // Телематика-2000: Материалы межд. науч-метод. конф. г. Санкт-Петербург, 2000 г. - С-Пб., 2001. -http://¡t.knc.ru/publications/tm2000.shtml.

6. Биктимиров М. Р. Концепция построения опытной зоны государственной защищенной информационной системы / М. Р. Биктимиров, А. Б. Жижченко // Информационная безопасность России в условиях глобального информационного общества: Материалы 2-й Всерос. конф., г.Москва, 2001г. - М., 2001. http://www.infoforum.ru/news/7pH 1&п=56.

7. Биктимиров М. Р. Компьютерная сеть научно-образовательного сообщества Республики Татарстан / М. Р. Биктимиров Э. Е. Шабашвили, А. М. Елизаров, Д. О.Соловьев И «RELARN-2001»: Материалы VIII конф. представителей региональных научно-образовательных сетей. Санкт-Петербург, 2001 г. - С-Пб., 2001. -http://www.relarn.ru/conf/conf2001/ report_31 .html.

Отпечатано с готового оригинал-макета в типографии Издательства Казанского государственного университета Тираж 100 экз. Заказ 64/9

420008, ул. Профессора Нужина, 1/37 тел/ 231-53-59, 292-65-60

Введение.

Глава 1. Реализация и гарантирование политик обеспечения информационной безопасности в компьютерной системе.

1.1. Понятие политики безопасности.

1.2. Разработка модели защищенной компьютерной системы. Понятие доступа и монитора безопасности.

1.3. Обеспечение гарантий выполнения политики безопасности.

1.4. Метод генерации изолированной программной среды при проектировании механизмов гарантированного поддержания политики безопасности.

Одним из приоритетных направлений развития науки в России в настоящий момент является внедрение информационных технологий во все сферы исследований и жизнедеятельности человека. Эти технологии призваны коренным образом изменить темпы развития в третьем тысячелетии и подходы к решению фундаментальных и прикладных проблем, стоящих перед учеными. Очевидно, что в перспективе производство и использование информации будет занимать центральное место в организации всей общественной жизни. Можно говорить о назревающей тенденции к формированию общества, характерной чертой которого станет доступность знаний, не ограниченная пространством и временем, социальными и иными барьерами.

Нет необходимости подробно говорить о том, какое значение имеет внедрение современных информационных технологий для области научных исследований и образовательного процесса. Сейчас, когда информация является основой всех общественных, государственных, научных, образовательных и других процессов, огромную важность приобретает оперативный доступ к нужной информации, причем информационные потоки в настоящее время настолько обширны, что это действительно становится проблемой номер один современного общества.

В нашей стране развитие компьютерных телекоммуникаций началось по меркам развития современного мира намного позже, чем в развитых странах, что вкупе с постоянными финансовыми проблемами и весьма непростым материальным положением нашей науки, безусловно, не способствует прогрессу в этой области. В результате все больше осложняется конкурентоспособность российской науки и образования в современном мире. Мы все еще обладаем прекрасной наработанной научной и образовательной базой, в течение длительного времени дававшей нам преимущество перед зарубежными наукой и образованием, но необходимо постоянное и непрерывное развитие этой базы. А это, в свою очередь, невозможно без развития компьютерных телекоммуникаций, которые позволяют объединить разрозненные информационные и вычислительные ресурсы в единую систему и обеспечивают доступ к ней.

В свою очередь, эффективность использования компьютерных информационных технологий определяется надежностью и быстродействием системы передачи данных, а основное их преимущество — оперативность сбора, обработки и последующего доступа к информации - может быть получено только при непрерывной работе по увеличению пропускной способности каналов связи и оптимизации маршрутов информационных потоков.

Именно поэтому в соответствии с поручением Президента РФ по итогам состоявшегося в ноябре 2007 года заседания Совета при Президенте РФ по науке, технологиям и образованию о принятии мер по обеспечению деятельности национальной научно-исследовательской информационно-вычислительной сети, предоставляющей научным и образовательным центрам доступ к распределенным вычислительным средам высокой производительности, в России предпринимаются экстренные меры по обеспечению модернизации действующих каналов передачи данных в опорной инфраструктуре национальной научно-образовательной телекоммуникационной сети до уровня, соответствующего мировому, т. е. с емкостью от 1 до 10 Гбит/сек и выше; и обеспечению развития опорной инфраструктуры научно-образовательной телекоммуникационной сети внутри России путем создания системы новых опорных региональных узлов с целью увеличения географического охвата сети, обеспечения высокоскоростной связности отечественных супервычислительных центров, распределенных информационных ресурсов и их эффективного взаимодействия с международными вычислительными и информационными ресурсами.

Актуальность исследования. В настоящее время при проектировании и эксплуатации компьютерных систем (КС) различного назначения проблемы обеспечения информационной безопасности стали играть ключевую роль. Это касается не только систем специального применения (например, военных), но и систем общего назначения, связанных с поддержкой критичных информационных технологий (транспорт, связь, энергетика, наука, медицина, финансы и др.).

По данным министерства юстиции США каждые 4 секунды в мире происходит компьютерное преступление (из них свыше 40% носят умышленный характер, свыше

70% связаны с несанкционированным доступом к данным). По докладу ЦБ РФ (www.cbr.ru) можно сделать выводы и о масштабе атак на КС, обслуживающие кредитно-финансовую сферу, - масштаб потерь из-за незащищенности данных в региональных сетях кредитных организаций (КО), взаимодействующих с ЦБ, оценен в 20 млрд. рублей в год (из них свыше 30% - это потери в системах безналичного оборота с пластиковыми карточками). За рубежом масштаб такого рода потерь (в частности, для Европы) примерно на порядок выше.

В последнее время происходит бурное развитие региональной информационной инфраструктуры. Неотъемлемой частью этого процесса является создание интегрированных КС - информационно-телекоммуникационных систем (ИТС), являющихся объединением сетей передачи данных, локальных сетей организаций и ведомств, а также информационных ресурсов личного и корпоративного характера. В свою очередь ИТС интегрируются в единую ИТС (ЕИТС) регионального уровня. Важнейшей ¡задачей является обеспечение безопасности информации в ЕИТС. Практика показала, что первостепенными являются две задачи - обеспечение управления доступом в региональных ИТС и ЕИТС и учет влияния распределенности ресурсов и инфраструктуры ЕИТС.

Управление доступом должно учитывать, с одной стороны, как наличие штатных средств реализации механизмов обеспечения безопасности (механизмы, встроенные в операционные среды и прикладные системы), так и наличие различных уровней управления - персональный, корпоративный, региональный и федеральный.

Проблема распределенности заключается в том, что интеграция различных коммуникационных и информационных ресурсов порождает проблемы как с управляемостью системы (включая компоненту информационной безопасности), так и с корректным формулированием и реализацией различных политик безопасности.

Несомненно, в силу приведенных причин защите информации при создании ИТС уделяется самое серьезное внимание. Однако уровень готовности к теоретическим и практическим решениям проблем безопасности далек от желаемого. В методологии проектирования систем безопасности основной проблемой является отсутствие единого обоснованного подхода к разработке и эксплуатации защищенных компьютерных систем. В настоящее время превалирующей методологией является сформировавшаяся в 1970-е годы в США методология необходимых условий, ориентированная на качественное описание защитных механизмов, как правило, на их наличие или отсутствие. Кроме того, жизненный цикл систем безопасности (проектирование, разработка, эксплуатация, управление) ориентирован на итеративное движение, связанное с доработкой обнаруженных слабостей в защите. Достаточное поверхностное внимание уделяется проектированию и реализации процедур управления доступом. Сложившийся подход к проектированию систем безопасности наследует, таким образом, традиционную технологию проектирования и не влияет на итерационный характер процессов проектирования. Весьма важной проблемой является также серьезное отставание методов и моделей проектирования средств защиты информации и управления доступом к ней от практически доступных широкому кругу пользователей достижений современных сетевых информационных технологий.

При разработке сложных систем обеспечения информационной безопасности основную роль играет так называемая модель управления доступом. В англоязычной литературе для обозначения сходного понятия используются: термины «security-^ model» (модель безопасности) и «security policy model» (модель политики безопасности). Эта модель определяет правила управления доступом к информации, потоки информации, разрешенные в системе таким образом, чтобы система всегда была безопасной:* Целью построения модели управления доступом является выражение сути требований по безопасности к данной системе. Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как модель является формальной, возможно осуществить доказательство различных свойств безопасности всей системы [10].

Таким образом, тема диссертационной работы является актуальной и непосредственно связана с глобальной проблемой управления техническим циклом жизни программно-технических изделий (в данном случае относящихся к обеспечению безопасности).

Процесс массовой интеграции компьютерных систем в системы управления и информационного обеспечения производственной и научной сферы, включение в эти системы персональных ЭВМ и общедоступных корпоративных и даже глобальных сетей достаточно остро ставят вопрос обеспечения априорно заданных при разработке системы свойств как самой системы, так и информации, циркулирующей в ней. К таким свойствам обычно относят свойства достоверности, доступности, целостности и конфиденциальности информации и ресурсов (сервисов), понимаемых как процессы преобразования (перемещения) информации в рассматриваемой системе. Единство информации и процессов ее обработки обычно называют информационной технологией. Итак, информационная технология должна удовлетворять свойствам достоверности, доступности, целостности и конфиденциальности. Свойство достоверности понимается как сохранение информацией своих семантических свойств в любой момент времени от момента ввода в систему. Свойство доступности понимается как возможность пользования некоторым ресурсом и информацией в произвольный момент времени. Свойство целостности (связанное со свойством достоверности) подразумевает неизменность свойств информации и ресурсов в любой момент времени от момента их порождения или ввода в систему. Свойство конфиденциальности понимается как недоступность информации или сервисов для пользователей, которым априорно не задана возможность использования указанных сервисов или информации (данных). Иногда выделяют также свойство актуальности информации, связанное со свойством доступности [13, 12, 16].

Анализируя эти свойства, нельзя не заметить, что, будучи рассмотренные как цели, достигаемые в ходе проектирования, реализации и эксплуатации ИТС, они предусматривают наличие в системе некоторых защитных механизмов, поскольку выполнение любого из указанных выше свойств подразумевает противодействие факторам, нарушающим эти свойства. Окружение или внутренние факторы работы системы подразумевают в этом случае наличие воздействий по нарушению свойств достоверности, доступности, конфиденциальности - неких злоумышленных влияний или воздействий.

Эволюция от замкнутых систем к открытым предусматривает и существование различных интересов по отношению к информации и сервисам системы, следовательно, потенциальное умышленное изменение свойств системы надо признать возможным.

Для поддержания априорно заданного набора свойств информационной системы практически всегда необходимо ставить вопрос о защите информации в контексте обеспечения тех или иных свойств. Вполне очевидно, что различные свойства по-разному актуальны в конкретной системе. Однако если рассмотреть современную типовую конфигурацию информационной системы с подключением к глобальной сети, то окажется, что все указанные свойства (целостность, конфиденциальность, доступность) будут актуальны. Так, необходимо обеспечить конфиденциальность и целостность некоторого объема индивидуальной информации от воздействий извне, достоверность получаемой из сети информации, конфиденциальность обмена информацией между абонентами и т. д. Таким образом, защитные механизмы должны являться неотъемлемой частью любой информационной системы. Данный вывод также. обуслав- / ливает актуальность рассматриваемой темы.

Проблематика защиты информации в компьютерных системах с момента формулирования основных проблем в работах [57, 64, 65, 66] в середине 1970-х годов до современного состояния прошла длительный и во многом противоречивый путь. Первоначально сформулированные проблемы сводились, как правило, к задаче поддержания конфиденциальности в двух аспектах - вопросы криптографической защиты информации в средах передачи и хранения данных и программно-технические вопросы разграничения доступа к данным и ресурсам вычислительных систем. Важно заметить, что в начале 1980-х годов компьютерные системы были слабо распределенными, и указанные вопросы удавалось достаточно успешно решать. Обращаясь к работам того времени, можно отметить, что они оперируют рядом терминов, которые авторы считают интуитивно понятными (противник, ресурс, данные и т. д.). Надо отметить, что такое положение сохранилось и до сегодняшнего дня. Зачастую из-за различного понимания смыслового наполнения того или иного термина возникает определенная некорректность в изучаемом вопросе. Стоит, в частности, отметить существующие разночтения в понятиях субъект и пользователь [24, 25, 26, 27].

Позднее с появлением тенденции к распределенной обработке информации классический подход к организации разделения ресурсов и классические криптографические протоколы начинают постепенно исчерпывать себя [13, 14] и эволюционировать [14]. На лидирующее место выходят проблемы аутентификации взаимодействующих элементов компьютерных систем, а также способы управления криптографическими механизмами в распределенных системах. При этом в различных работах начинает складываться мнение о том, что функции реализации криптографической защиты являются равноправным ресурсом для компьютерной системы и должны быть рассмотрены вместе с другими сервисами. Данный тезис послужил отправной точкой для разделения проблематики собственно средств защиты (включая криптографические средства, средства контроля доступа и др.) и средства обеспечения их корректной работы. Автор предполагает в работе придерживаться именно такого подхода, обращая внимание именно на вопросы корректной реализации тех или иных защитных механизмов (произвольного характера).

Проблематика защиты информации в середине 1980-х гг. все более явно разделяется на несколько направлений: формулирование и изучение свойств теоретических моделей безопасности компьютерных систем, рассмотрение моделей безопасного взаимодействия, рассматривающих различные аспекты криптографической защиты, теория создания качественных программных продуктов. Предметная изоляция, в целом характерная для западных исследователей, в данном случае также проявляется, комплексный подход к созданию средств безопасности носит в основном декларативный характер.

На сегодняшний день такое положение продолжает сохраняться, а лавинообразное появление новых программных продуктов порождает определенный кризис в решении практических вопросов при проектировании, реализации и эксплуатации систем защиты. Так, появление новых технологических решений в КС (в первую очередь связанных с распределенностью), например, механизм удаленного вызова процедур или технология типа клиент - сервер, в теоретических работах на сегодняшний день недостаточно осмыслена [13, 14, 76, 90, 91].

В начале 1980-х годов возникает ряд моделей защиты, основанных на декомпозиции КС на субъекты и объекты - модели Белла-ЛаПадула, модель Хартсона и т. д. [16, 67, 99, 107]. В данных моделях ставятся и исследуются вопросы взаимодействия элементов КС с заданными свойствами. Целью анализа и последующей реализации модели является именно достижение таких свойств системы, как конфиденциальность и доступность. Например, описывается дискреционный механизм безопасности, разделяющий доступ поименованных субъектов к поименованным объектам или полномочное управление доступом, моделирующее систему категорий и грифов доступа. Как правило, та или иная модель безопасности исходит из априорной технологии работы с объектами (так, полномочное управление моделирует структуру секретного делопроизводства), которая может быть формализована и обоснована. Практическая'реализация данных моделей в конкретных компьютерных системах поставила вопрос о гарантиях выполнения их свойств (фактически это выполнение условий тех или иных утверждений, обосновывающих свойства формализованной модели). В связи с этим в зарубежной литературе формулируется понятие доверенной (достоверной) вычислительной базы (ДВБ) [11, 17, 21, 23, 35, 48, 58], гарантирующей свойства системы."Необходимо заметить, что практические вопросы реализации ДВБ в иностранной литературе рассмотрены слабо. Практическое применение защищенных систем показало, что реализация ДВБ испытывает значительные трудности в конкретной системе. Часто аппаратные решения не позволяют реализовать базисные средства ДВБ, либо наполняющие систему прикладные программные модули могут существенно изменять свойства системы, включая и ДВБ. Достаточно упомянуть о сетевом черве Морриса, который распространялся в итх-системах и фактически опроверг сложившийся к тому времени тезис о высокой защищенности данной ОС [56, 77, 94, 96, 97, 98, 104]. С другой стороны, описание реальных процессов в программных средах не стыкуется с требованиями иерархичности [94, 95].

Необходимо также упомянуть о том, что существующая методология управления защищенной системой представляет собой, по сути, итеративный процесс устранения найденных слабостей, некорректностей и неисправностей, причем зачастую ряд злоумышленных действий не блокируется принципиально, выводя противодействие данным угрозам в область организационно-технических мер, что означает отказ от рассмотрения как конкретных угроз, так и целых их классов [28, 51, 78, 102, 105, 106, 112].

С середины 1980-х годов несовершенство западной методологии было замечено российским специалистами и отражено в ряде работ [14, 15]. С этого времени намечается тенденция к появлению комплексных решений в области реализации механизмов защиты компьютерных систем (по крайней мере, в теории).

В 1991 году В.А.Герасименко предложена модель систсмно-концептуального подхода к безопасности КС, которая описывает методологию анализа и синтеза системы безопасности [12], исходя из комплексного взаимодействия ее компонент, рассматриваемых как система. Результатом изучения является также совокупность системно-связанных рекомендаций по решению проблемы.

В 1996 году в работе А. А. Грушо и Е. Е. Тимониной [16] высказан и обоснован тезис о том, что гарантированную защищенность КС следует понимать как гарантированное выполнение априорно заданной политики безопасности (ПБ). В указанной работе также приведены примеры гарантированных политик. Настоящая диссертация опирается на основные положения этой работы. В то же время актуальной остается задача сформулировать такую систему гарантий ПБ, которую можно было бы применить к существующим реализациям КС (для конкретных операционных сред, прикладных программных комплексов и т. д.). Сложность задачи заключается также и в недостаточной строгости терминов. Так, в упомянутой работе [17] субъекты и объекты в ряде случаев различаются, а в ряде - отождествляются. С точки зрения теории ПБ это вполне допустимо, но вместе с тем проецирование моделей на реальные КС требует четкого разделения субъектов и объектов с сохранением при этом сложившихся моделей их взаимодействия (например, постоянно упоминаемые потоки от субъектов к объектам или наоборот). С другой стороны, в моделях КС, как правило, редуцируется процесс порождения субъектов, которому в реальных КС соответствует порождение процессов и запуск программ. Очевидно, что данное допущение в определенной степени снижает достоверность модели, поскольку порождение субъектов существенно влияет на свойства КС.

Итак, задача состоит в формулировании модели взаимодействия элементов КС с требованием более строгого описания воздействия на объекты и с учетом механизма порождения субъектов. Данная модель должна легко проецироваться на архитектуру современных КС и служить основой для формулирования гарантий ПБ. Такая модель (субъектно-ориентированная) была сформулирована А. Ю. Щербаковым [37] и дополнена мультипликативной парадигмой защиты В. А. Конявским [23].

С точки зрения методологии это есть конкретизация системно-концептуального подхода и понятия гарантий ПБ на фон-неймановской архитектуре КС. В рамках субъ-ектно-ориентированной модели в первой главе диссертации рассматриваются условия гарантий выполнения произвольных политик безопасности.

Выше уже отмечалось, что системы безопасности в КС, как правило, встраиваются в уже готовые программно-технические решения. Можно говорить о синтетической задаче - реализации политики безопасности и гарантированном выполнении ее в конкретной системе.

Математическая модель ПБ рассматривает систему защиты в некотором стационарном состоянии, когда действуют защитные механизмы, а описание разрешенных или неразрешенных действий не меняется. На практике КС проходит путь от отсутствия защиты к полному оснащению защитными механизмами; при этом система управляется, т. е. разрешенные и неразрешенные действия в ней динамически изменяются.

Такая эволюция защищаемой системы вполне логична, поскольку, как отмечалось выше, защита создается не как самодостаточная система, но для решения некоторых задач (для поддержания заданной информационной технологии). Отсюда понятно, что для поддержания гарантий ПБ необходимо рассматривать также управление доступом в КС. При этом процедуры управления должны быть в заданном смысле конструктивны, выполнимы и оптимальны с той или иной точки зрения (например, с точки зрения трудоемкости работы администратора, либо с точки зрения объема объектов хранения, описывающих защиту). В рамках декомпозиции КС на субъекты и объекты управление также описывается потоками информации. При этом необходимо комплексно ставить задачу проектировочных и эксплуатационных гарантий, а также гарантий управления. В свою очередь гарантии управления требуют введения некоторых определений (например, понятия корректного или гарантированного управления). Нужно отметить, что проблема управления доступом занимает незначительное место как в отечественных, так и в зарубежных работах. Управление обычно либо декларируется, либо сводится к планированию [11, 36, 52, 55, 61, 89, 92, 103]. Описание систем управления доступом для конкретных операционных сред или прикладных систем [18, 22, 54, 60, 80, 86] оставляет открытым вопрос о том, насколько различные ошибки в управлении нарушают свойства защищенности и не позволяют обоснованно говорить о каком-либо системном доказательном подходе к организации управления.

В диссертации предлагается рассматривать систему управления доступом в едином пространстве с общей задачей поддержания гарантий ПБ, с одной стороны (включая единую терминологию и понятия), и, с другой стороны, формулировать процедуру управления так, чтобы не нарушать указанных гарантий. Данный подход рассмотрен во второй главе работы.

Выше упоминалась проблема распределенности КС с точки зрения влияния на безопасность. В ряде случаев политики безопасности, гарантировано выполняемые для локального подмножества элементов КС, несостоятельны при интеграции локальной КС в распределенную сеть. Применяемые в настоящее время подходы к межсетевой защите (межсетевое экранирование) характеризуются, с одной стороны, теоретической необоснованностью (т. е. идут от практически возможной реализации, а не от осмысления цели защиты), с другой - недостаточной надежностью. Формализация задачи межсетевой защиты, анализ существующих методов и формулирование комплексных решений приведены в третьей главе диссертации.

Широкий спектр различных практических приложений результатов работы свидетельствует об определенной универсальности полученных результатов, применимых для КС различной архитектуры и назначения. В частности, сформулированные теоретические положения работы оказались применимы и реализуемы в совокупности программно-технических решений Научно-производственного предприятия Фактор-ТС (технология Дионис, Универсальная транспортная система (УТП) ЦБ РФ и др.). Результаты работы апробированы при разработке распределенных высокопроизводительных систем обработки информации для решения больших вычислительных задач в таких предметных областях, как гидроаэромеханика, газодинамика, расчет траекторий ракетно-космической техники, моделирование динамики функционирования и прогнозирования поведения сложных мультипараметрических систем (задачи метеорологии, сейсмологии и т.п.), ядерная физика, квантовая химия, молекулярная биология. Практические аспекты обеспечения и управления информационной безопасностью в корпоративной системе рассмотрены в четвертой главе работы.

Упоминавшиеся выше методики оценки защищенности КС представляют собой в какой-то мере необходимые условия. Выполнение заданного набора качественных показателей, с одной стороны, не позволяет оценить количественно каждый показатель, а с другой, как было указано выше, препятствует системному подходу.

В ряде дисциплин (например, в теории вероятностей) применяются методы верхних оценок тех или иных численных параметров, в данном случае разумно трансформировать верхние оценки в категории достаточных условий выполнения тех или иных свойств. Необходимо отметить, что достаточные условия синтетически конструктивны, т. е. при проектировании позволяют реализовать заданные свойства, но менее конструктивны для анализа.

Предлагаемый в данной работе общий подход состоит в формулировании алгоритмов создания различных решений безопасности КС с точки зрения достаточных условий. Тем самым можно говорить о развитии методологии достаточных условий при проектировании и реализации решений по управлению безопасностью КС.

Цель методологии достаточных условий - абстрагироваться от конкретных моделей безопасности, рассматривать произвольную ПБ и произвольные алгоритмы логической защиты (хеш-функции, шифрование). При этом необходимо решать следующие задачи:

- формулировать условия гарантий эксплуатации КС,

- описывать технологию управления,

- уточнять условия корректности для распределенных систем.

Исходными положениями для исследований являются:

• тезис о том, что гарантированная защита информации в КС понимается как гарантированное выполнение политики безопасности;

• рассмотрение КС в рамках классических декомпозиций на субъекты и объекты;

• системно-концептуальный подход в методологии анализа и синтеза;

• подход к проектированию на основе достаточных условий.

Цель работы - разработка моделей управления доступом в распределенных компьютерных системах и их апробация в распределенных корпоративных сетях регионального уровня.

Для раскрытия целей работы необходимо отметить, что алгоритмы управления и модели, лежащие в их основе, должны предоставлять возможность делать обоснованные выводы о свойствах как отдельных механизмов безопасности, так и системы в целом, спроектированные механизмы безопасности должны быть реализуемыми и надежными в эксплуатации (в смысле поддержания во весь период эксплуатации свойств, заложенных при проектировании), поддерживать заданные и обоснованные при проектировании процедуры управления. Эти качественно сформулированные группы свойств описывают комплексность проектирования и подчеркивают ориентацию на решение целого взаимосвязанного ряда проблем безопасности на различных этапах жизненного цикла компьютерной системы (в данном случае ИТС).

Для достижения поставленной цели необходимо провести:

• уточнение моделей взаимодействия элементов КС с учетом механизма порождения и взаимовлияния субъектов;

• системный анализ процедур создания, эксплуатации и управления системой безопасности ИТС применительно к реальному жизненному циклу КС;

• формулирование и обоснование алгоритмов управления доступом и механизмами обеспечения безопасности КС;

• уточнение политик безопасности при проектировании механизмов защиты распределенных сетей.

Основной задачей диссертации является совершенствование методов управления доступом в компьютерных системах для решения задач в области математического моделирования, системного анализа, оптимизации, управления и обработки информации, а также разработки проблемно-ориентированных систем управления.

Общая методология исследования базируется на системно-концептуальном подходе к безопасности и уточняет его, исходя из методологии достаточных условий.

Распределение материала по главам:

Заключение

Подведем итоги исследований и опишем общую структуру процесса проектирования системы защиты от НСД в КС, опираясь при этом на сформулированные утверждения, методы и подходы к классификации различных элементов системы безопасности.

Первоначально, исходя из общей архитектуры и назначения КС, определяются существенно важные элементы, связанные: с распределенностью КС; с составом аппаратной компоненты; с составом и свойствами программного наполнения (в первую очередь свойствами операционных сред КС). Далее формулируется политика безопасности, реализуемая в КС (состоящая, как было указано, в выборе критерия различения потоков легального доступа Ь и несанкционированного N5 необходимым условием выбора ПБ является определение объектов, подвергаемых защите). Затем ПБ подвергается коррекции, учитывающей распределенность КС и базирующейя на методах, описанных в главе 3.

Следующей стадией является соотнесение скорректированной с учетом распределенности ПБ с политикой, реализуемой средствами штатных ОС КС.

Основным выводом данного этапа проектирования является вывод о необходимости реализации дополнительного субъекта либо об использовании штатных средств ОС. В последнем случае необходимо спроектировать и реализовать (либо выбрать готовое) программно-техническое решение для организации доверенной загрузки ОС.

Поскольку конечной целью является генерация в составе всей КС или ее части изолированной программной среды (в рамках методологии достаточных условий), то необходимо сделать детерминированные или вероятностные выводы о субъектном наполнении КС (о свойствах корректности, либо абсолютной корректности субъектов, включая субъекты ОС и прикладное наполнение КС). В случае невыполнения свойств абсолютной корректности необходимо либо редуцировать множество субъектов, либо дополнить КС субъектами поддержания корректности).

Далее требуется сформулировать технологию управления в КС и реализовать субъекты управления со свойствами, описанными в главе 2. На этом же этапе определяется перечень внешних логических сервисов (как для поддержания эксплуатационных гарантий (функции КЦ для поддержания ИПС), так и пользовательские сервисы (связанные, например, с вызовами функций электронной цифровой подписи). При выполнении данного этапа проектирования необходимо убедиться в выполнении свойств корректности передачи и возврата результата, сформировать структуры данных и уточнить форматы вызовов различных сервисов .

Затем, как правило, необходим этап опытной эксплуатации КС (к этому моменту КС содержит ОС и прикладное наполнении со свойствами корректности включенных субъектов и "инфраструктуру" (данные) для управления защитой). Цель этапа опытной эксплуатации - убедиться в выполнении целевой функции КС (т. е. решает ли она те задачи, для которых была спроектирована).

Следующий этап — реализация МБО по результатам коррекций ПБ (см. выше), либо формулирование методик настройки штатных средств защиты. Этап опытной эксплуатации заканчивается проверкой работы МБО с уже созданными структурами его объектов управления.

Параллельно может выполняться начальная процедура мягкого администрирования МБС - определение необходимых для выполнения пользовательских задач множеств объектов-источников.

Одним из важных выводов по результату опытной эксплуатации является выяснении «запаса» по ресурсам для реализации МБО и МБС (поскольку работа защитных механизмов связана с уменьшением ресурса прикладного наполнения - например, контроль целостности объектов источников увеличивает время инициирования процессов). В КС, критичных к уменьшению ресурса, возможно изменение некоторых свойств (в частности, выбор иного алгоритма вычисления КС, либо внедрение аппаратной поддержки).

Наконец, прикладное наполнение КС вместе с МБО замыкается в ИПС (возможно, с использование массивов данных мягкого администрирования (глава 2). При этом либо полноценно реализуется МБС, либо создаются различные подсистемы на основе межсетевых экранов (глава 3) с учетом классификации (для взвешенного стоимостного подхода).

Результатом проектирования является КС (в виде детально описанного проекта), в которой достаточные условия гарантированного выполнения ПБ (т. е. условия гарантированной защищенности) выполнены с заданной (достаточно высокой) вероятностью (зависящей от процедур подтверждения корректности субъектного наполнения, алгоритмов КЦ, вероятностей ложного срабатывания процедур аутентификации и т. д.). С другой стороны, при учете классификаций средств доверенной загрузки и межсетевого взаимодействия будут реализованы средства гарантий с учетом тех затрат, которые запланированы при проектировании (выбран соответствующий класс межсетевой защиты).

Схематически описанный процесс представлен на рисунке 5.1.

Итак, показано место каждой главы диссертационной работы в процессе проектирования гарантированно защищенной КС и роль описанных методов на различных этапах проектирования.

Рис. 5.1. Взаимосвязь методов проектирования защищенной КС

Основным результатом диссертационной работы является решение задачи управления доступом в распределенных компьютерных системах на основе исследования, обобщения и развития методов и моделей проектирования систем безопасности для широкого класса гетерогенных компьютерных систем и сетей с территориально распределенной обработкой информации, имеющих субъекта о-объектную иерархическую декомпозицию:

• Уточнена модель субъектно-объектного взаимодействия в ИТС;

• Проведено доказательство достаточных условий выполнения произвольной ПБ в КС при управлении системой безопасности ИТС;

• Предложена конструктивная коррекция ПБ при проектировании системы безопасности для сетевых сред;

• Предложены модели и алгоритмы управления доступом в распределенных КС, обеспечивающие работоспособность сложных программных комплексов и гарантирующие выполнение заданной при проектировании ПБ.

-Получены следующие теоретические и экспериментальные результаты, применимые при создании подсистем безопасности ИТС:

• Произведена классификация механизмов безопасности в рамках сформулированных алгоритмов управления, включающих механизмы обеспечения безопасности сетевого взаимодействия;

• Даны рекомендации и сформулированы требования к применению средств, реализующих корректное управление;

• Приведено описание программно-технических решений, реализующих предложенные алгоритмы.

Практическая ценность работы состоит в широком спектре ее практических приложений, что свидетельствует об определенной универсальности полученных результатов, применимых для КС различной архитектуры и назначения. В частности, сформулированные теоретические положения работы использованы в совокупности программно-технических решений Научно-производственного предприятия «Факгор-ТС» (технология «Дионис», Универсальная транспортная подсистема (УТП) ЦБ РФ и др.), предназначенных для построения корпоративных систем общего и специального назначения. Результаты работы апробированы при разработке распределенных высокопроизводительных систем обработки информации для решения больших вычислительных задач в таких предметных областях, как гидроаэромеханика, газодинамика, расчет траекторий ракетно-космической техники, моделирование динамики функционирования и прогнозирования поведения сложных мультипараметрических систем (задачи метеорологии, сейсмологии и т. п.), ядерная физика, квантовая химия, молекулярная биология.

В процессе выполнения диссертационной работы получены новые научные результаты, представляющие самостоятельную теоретическую и практическую ценность для разработки методов управления доступом, используемых при проектировании систем управления безопасностью в широком классе КС. В диссертации уточнены субъекгно-ориентированная модель безопасности КС и основные термины, введены новые понятия; представлена модель управления механизмами реализации ПБ в распределенной КС; сформулировано понятие корректного управления и обоснованы достаточные условия корректности управления, предложены методы и алгоритмы управления доступом; уточнена модель взаимодействия локальных и удаленных сегментов КС, показана несостоятельность целого класса политик безопасности; предложена конструктивная коррекция ПБ в сетевых средах при проектировании механизмов безопасности; проведен анализ двух классов защиты от несанкционированного доступа в сетевой среде ИТС; определены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды.

Таким образом, полученные результаты являются решением важной теоретико-прикладной задачи совершенствования методов управления доступом в компьютерных системах, имеющей существенное значение для развития методологии решения задач в области математического моделирования, системного анализа, оптимизации, управления и обработки информации, разработки проблемно-ориентированных систем управления с целью повышения эффективности, надежности и качества исследуемых объектов.

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М.: Военное издательство, 1992.

2. Биктимиров M. Р., Шабашвили Э. Е., Елизаров А. М. О концепции проекта «Электронная библиотека Республики Татарстан»// Вестник РФФИ. 2001. - № 3. -С. 37-43. - http://it.knc.ru/publications/eHbrt-l.shtml.

3. Биктимиров М. Р., Засыпкина В. В., Щербаков А. Ю. К вопросу о разработке требований к защите от несанкционированного доступа конфиденциальной информации// Безопасность информационных технологий. М.: МИФИ, 2001. - №1. - С. 6269.

4. Биктимиров М. Р., Щербаков А. Ю. Избранные главы компьютерной безопасности. Казань: Изд-во Казанского математического общества, 2004. - 372 с.

5. И.Гайкович В., Першин А. Безопасность электронных банковских систем. — М.:Изд-во Единая Европа, 1993. 365 с.

6. Герасименко В. А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. М.: Энергоатомиздат, 1994. - Кн. 1 - 400 е., Кн. 2 - 176 с.

7. Герасименко В. А. Основы теории управления качеством информации. — М.: 1989. Деп. в ВИНИТИ. -№ 5392-В89.

8. Герасименко В. А., Размахнин М. К. Принципы и методы проектирования механизма защиты информации в системах электронной обработки данных //Зарубежная радиоэлектроника. 1981. -№ 5. - С. 81-95.

9. Горохов П., Поволоцкий А. Основные виды компьютерных преступлений и борьба с ними. //Информатика и вычислительная техника за рубежом. 1991. - № 2. -С. 45-60.

10. Головкин Б. А. Надежное программное обеспечение (обзор) //Зарубежная радиоэлектроника. 1978.-№ 12.-С. 3-61.

11. Грушо А. А., ТимонинаЕ. Е. Теоретические основы защиты информации. М.: Изд-во «Яхтсмен», 1996. - 192 с.

12. Давыдовский А. Использование средств автоматизации, заслуживающих доверие //Защита информации. 1992. -№ 1. - С. 113-116.

13. Диев С. Математические модели сохранения целостности информации в ЭВМ и телекоммуникационных сетях //Системы и средства телекоммуникаций. 1992. - № 5.-С. 18-33.

14. Защита данных в информационных вычислительных сетях /под ред. А. Ронжина. -М.:ИНКО Ками, 1991. 128 с.

15. Защита программного обеспечения Пер. с англ. / Д. Гроувер, Р. Сатер, Дж. Фипс и др. / Под редакцией Д. Гроувера. — М.: Мир, 1992. 285 е., ил.

16. Клоков Ю. К., Папушин В. К., Хамитов Р. Р. Методы повышения надежности программного обеспечения //Зарубежная радиоэлектроника. 1984. - № 6. - С. 3-22.

17. Конявский В. А.Управление защитой информации на базе СЗИ НСД Аккорд, -М.: Радио и связь, 1999 325 с.

18. Липаев В. В. Надежность программного обеспечения (обзор концепций). //Автоматика и телемеханика. 1986. -№ 10. - С. 5-31.

19. Расторгуев С. О программах-отмычках, взломанных файлах и несанкционированном копировании (Введение в Пособие по борьбе с хакерами) //Техника-Молодежи. 1992. -№ 12. - С. 24-25.

20. Расторгуев С. П. Программные методы защиты информации в компьютерах и сетях. -М.: Изд-во «Яхтсмен», 1993. 188 с.

21. Расторгуев С. П. Программные методы защиты информации. М.: Изд-во «Яхтсмен», 1996.-244 с.

22. Репин А. А. О событиях на Игналинской АЭС. -М.: ВЗИ, 1993. №2. - С. 57-58.

23. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. -М.: Военное издательство, 1992

24. Спесивцев А. В., Вегнер В. А., Крутяков А. Ю., Серегин В. В., Сидоров В. А. Защита информации в персональных ЭВМ. -М.: Радио и связь, 1992. 190 с.

25. Теория и практика обеспечения информационной безопасности. Под ред. П. Д. Зегжды. -М.: Изд-во «Яхтсмен», 1996. 302 с.

26. Халяпин Д. Б., Ярочкин В. И. Основы защиты промышленной и коммерческой информации. Термины и определения. -М.; ИПКИР, 1992. 38 с.

27. Щербаков А. Тенденции применения средств защиты информации в сфере информационного обеспечения банковской деятельности //Сб. материалов конф. Информационная безопасность, 1994. С. 25-26.

28. Щербаков А. Компьютерам снова угрожают//Частный сыск, охрана, безопасность. 1995. - Вып. 1. - С.72-79.

29. Щербаков А. К вопросу о гарантированной реализации политики безопасности в компьютерной системе //Безопасность информационных технологий. 1997. - № 1.

30. Щербаков А. Анализ методов организации безопасного межсетевого взаимодействия //Безопасность информационных технологий. — 1997. — № 1.

31. Щербаков А. Методы и модели проектирования средств обеспечения безопасности в распределенных компьютерных системах на основе создания изолированной программной среды//Автореферат дис. .докторатехн. н.-М., 1997.

32. Amoroso Е. Fundamentals of Computer Security Technology (Основы технологии компьютерной защиты). Prentice-Hall, Englewood Cliffs, NJ, 1994.

33. Anklasaria F., McCahill M., Lindner P., Johnson D., Torrey D., Alberti B. The Internet gopher protocol (Gopher-протокол Internet поисковый протокол распределения документов). -RFC 1436, March 1993.

34. Information retrieval service defenition and protocol specifications for library applications (Службы поиска информации и спецификации протокола для библиотечных приложений). -Z39.50-1988, ANSI, 1988.

35. AvolioF. М., Vixie P. Sendmail: Thoery and Practice (Почтовые отправления: теория и практика). Digital Press, Burlington, MA, 1994.

36. Bellovin S. М. Firewall-friendly FTP (Межсетевые экраны, совместимые с FTP). -RFC 1579, февраль 1994.

37. BormanD. (Ed.). Telnet authentication: Kerberos version 4 (Аутентификация Telnet: Kerberos версия 4). RFC 1411, январь 1993.

38. BormanD. (Ed.). Telnet authentication options (Опции аутентификация Telnet). -RFC 1416, февраль 1993.

39. Bryant B. Designing an authentication system: A dialogue in four scenes (Создание аутентических систем: диалог в четырех сценах), февраль 1988. Draft (Описание требований, для выполнения которых был создан Kerberos).

40. Callaghan и Lyon, 1989. Brent Callaghan и Tom Lyon. The automounter. По материалам конференции USENIX, стр. 43-51, San Diego, CA, зима 1989.

41. Chapman, 1992. D. Brent Chapman. Network (insecurity through IP packet filtering. (Сетевая защита через фильтрование IP-пакетов). По материалам Third Usenix UNIX

42. Security Symposium, стр. 63-76, Baltimore, MD, сентябрь 1992. (описание того, как сложно установить правила защиты для пакетных фильтров; доступно при помощи ftp из FTP.GREATECIRCLE.COM как pub/firewalls/pkt.filtering.ps.z).

43. Cohen, 1992. Frederick В. Cohen. Defense-in-Depth Against Computer Viruses. Computer&Security, № 11, 1992 pp. 563-579.

44. Costales, 1993. Bryan Costales, Eric Allman, Neil Rickerd. sendmail. (Почтовые сообщения). O'Reilly and Associates, Sebastopol,CA 1993.

45. Crocker, 1982. David Crocker. Standard for the format of ARPA Internet text messages. (Стандарт для формата текстовых сообщений ARPA в Internet). RFC 822, 13 августа 1982.

46. Curry, 1992. David A. Curry. UNIX System Security: A Guide for Users and System Administrators. (Система защиты UNIX: руководство для пользователей и администраторов системы). Addison-Wesley, Reading, MA, 1992.

47. Davies и Price, 1989. Donald W. Davies и Wyn L. Price. Security for Computer Networks. (Защита компьютерных сетей). John Wiley & Sons, 2-е издание, 1989.

48. Denning, 1982. Dorothy E. Denning. Cryptography and Data Security. (Криптография и защита данных). Addison-Wesley, Reading, MA, 1982.

49. Denning и Sacco, 1981. Dorothy E. Denning и Giovanni M. Sacco. Timestamps in key distribution protocols. (Временные метки в кодах распределительных протоколов). Communications of the ACM, 24 (8): 533 536, август 1981.

50. Farmer и Venema, 1993. Dan Farmer и Wietse Venema. Improving the security of your site by breaking into it. (Улучшение защиты путем ее взлома), (доступно с FTP.WIN.TUE.NL, file/pub/security /admin -gui de-to-cracking. 10 l.z).

51. Farrow, 1991. Rick Farrow. UNIX System Security: How to Protect Your Data and Prevent Intruders. (Система защиты UNIX: Как защитить ваши данные и не пропустить взломщиков). Addison-Wesley, Reading, MA, 1991.

52. Ganesan, 1994. Ravi Ganesan. BA firewalls: A modern design. (Межсетевые экраны: современное оформление). По материалам Internet Society Symposium on Network and Distributed System Security, San Diego, CA, 3 февраля 1994.

53. Gifford, 1982. David K. Gifford. Cryptographic sealing for information secrecy and authentication. (Криптографическая изоляция для информационной секретности и идентификации). Communications of the ACM, 25(4): 274-286, 1982.

54. Hafner и Markoff, 1991. Katie Hafner и John Markoff. Cyberpunk: Outlaws and Hackers on the ComputerFrontier. (Киберпанк: нарушители и хакеры на компьютерной границе). Simon & Schuster, New York, 1991.

55. Harrenstein, 1977. Ken Harrenstein. NAME/FINGER protocol. (Протокол NAME/FINGER). RFC 742, 30 декабря, 1977.

56. Hartson 76. Hartson H.K.,Hsiao D.K. Full Protection Specification in the Semantic Model for Data Bases Protection Languages. Proceeding of ASM Annual Conference, October 1976, Houston, Texas.

57. Harrison 76. Harrison M.A.,Ruzzo W.L. and Ullman J.D. Protection in Operating Systems. Communications of ASM, vol. 19, no. 8, 1976.

58. Hernandez, 1988. Ruel Torres Hernandez. ECPA and online computer privacy. (ЕСРА и компьютерная безопасность в рабочем режиме). Federal Communications Law Journal, 41(1):17-41, ноябрь 1988.

59. Housley,1993. Russel Housley. Security label framework for the Internet. (Защитная маркировка кадров для Internet). RFC 1457, май 1993.

60. Howard, 1993. John H. Howard. On overview of the Andrew File System. (Обзор файловой системы Andrew). По материалам конференции USENIX, стр. 23-26. Dallas, ТХ, зима 1988.

61. LeFebre, 1992. William LeFebre. Restricting network access to system daemons under SunOS. (Ограниченный сетевой доступ к системным субъектам для SunOS). По материалам UNIX Security III Symposium, стр. 93-103, Baltimore, MD, 14-17 сентября 1992.

62. Leong и Tham, 1991. Philip Leong и Cris Tham. UNIX password encryption considered insecure. Шифрование паролей в Unix с точки зрения его ненадежности. По материалам зимней конференции USENIX, Dallas, ТХ, зима 1991.

63. Libes,1991. Don Libes. Scripts for controlling interactive processes. (Документы для управления интерактивными процессами). Computing systems,4(2):99-126, весна 1991.

64. Linn, 1993а. John Linn. Generic security service application program interface. (Общий интерфейс приложений защиты). RFC 1508, сентябрь 1993.

65. Lloyd и Simpson, 1992. Brian Lloyd и William Simpson. PPP authentication protocols. (Протоколы аутентификации PPP). RFC 1334, октябрь 1992.

66. Lottor,1988. Mark Lottor. TCP port service multiplexer (TCPMUX). (Мультиплексор портов TCP- TCPMUX). RFC 1078, ноябрь 1988.

67. MacAvoy,1983. R.A. MacAvoy. Tea with the Black Dragon. (Чай с Черным Драконом). Bantam Books, New York, 1983.

68. Malkin, 1993. Garry Malkin. RIP version 2 carrying additional information. (RIP вторая версия - извлечение дополнительной информации). RFC 1388, январь 1993,

69. Markoff, 1989. John Markoff. Computer invasion: 'back door' ajar. (Компьютерное вторжение: открытый черный ход. В New York Times, номер CXXXVIII, стр. BIO, 7 ноября 1989.

70. Merkle, 1990а. Ralph С. Merkle. A fast software one-way hash function. (Односторонняя функция хэш с быстрой программной реализацией). Journal of Cryptology, 3(1):43-58, 1990.

71. Mills, 1992. David Mills. Network time protocol (version 3) specification, implementation and analysis. (Спецификация, введение в работу и анализ сетевого протокола времени (версия 3)). RFC 1305, март 1992.

72. Mitchell и Walker, 1988. Cris Mitchell и Michael Walker. Solution to the multidestination secure electronic mail problem. (Решение проблемы защиты электронной почты). Computer & Security,7(5): 483-488, 1988.

73. NIST, 1993. NIST. Secure hash standards (SHS), May 1993. Стандарт вычисления хэш (SHS)). май 1993. Federal Information Processing Standards Publication 180.

74. NIST, 1994a. NIST. Digital signature standard (DSS), May 1994. Стандарт цифровой подписи (DSS), май 1994. Federal Information Processing Standards Publication 186.

75. Presotto, 1985. David L. Presotto. Upas a simpler approach to network mail. Upas -простой доступ к сетевой почте. По материалам USENIX Conference, стр. 309-316, Portland, OR, лето 1985.

76. Rose, 1991. Lance Rose. Cyberspace and the legal matrix: Laws or confusion. (Ки-берпространство и законные формы: закон или беспорядок). Доступно с : FTP. EFF.ORG, file/pub/EFF/legal issues/cyberspace -legal - matrix, февраль 1991.

77. Rosenberry и др., 1992. Ward Rosenberry, David Kenney и Gerry Fisher. Understanding DCE. (Изучение DCE). O'Reilly and Associates, Sebastopol, CA, 1992.

78. Safford и др., 1993a. David Safford, David K. Hess и Douglas Lee Schales. The TAMU security package: An ongoing response to Internet intruders in an academic environment. Защитный комплекс TAMU: отпор нарушителям. По материалам Fourth

79. Usenix UNIX Security Symposium, стр. 91-118, Santa Clara, CA, октябрь 1993. (детальный обзор деятельности хакеров в университетской среде и мер борьбы с ними. Документ доступен для ftp как часть защитного комплекса TAMU).

80. SP3, 1988. SDNS secure data networking system security protocol 3 (SP3). (Защитный протокол 3 (SP3) сохранения данных в сетевых системах SDNS). Technical Reports Revision 1.3, SDNS Protocol and Signalling Working Group, SP3 Sub-Group, 12 июля 1988.

81. SP4, 1988. SDNS secure data networking system security protocol 4 (SP4). (Защитный протокол 4 (SP4) сохранения данных в сетевых системах SDNS). Technical Reports Revision 1.2, SDNS Protocol and Signalling Working Group, SP4 Sub-Group, 12 июля 1988.

82. St.Johns, 1985. Michael St. Johns. Authentication server. (Сервер аутентификации). RFC 931, январь 1985.

83. StJohns, 1993. Michael St. Johns. Identification protocol. (Идентификационный протокол). RFC 1413, февраль 1993.

84. Stahl, 1987. Mary Stahl. Domain administrators guide. (Справочник по управлению доменами). RFC 1032, ноябрь 1993.

85. Sterling, 1992. Bruce Sterling. The Hacker Crackdown: Law and Disorder on the Electronic Frontier. (Борьба с хакерами: закон и беспорядок на электронной границе). Bantam Books, New York, 1992.

86. Stevens, 1990. W. Richard Stevens. UNIX Network Programming. Разработка сетевых средств для UNIX. Prentice-Hall, Englewood Cliffs, NJ, 1990.

87. Stevens, 1990. W. Richard Stevens. ТСРЯР Illustrated, Volume 1. (Описание TCP/IP, часть 1). Addison-Wesley, Reading, MA, 1994.

88. Stoll, 1988. Cliff Stoll. Stalking the wily hacker. (Выслеживание хитрого хакера). Communications of the ACM, 31 (5): 484, май 1988.

89. Stoll, 1989. Cliff Stoll. The Cuckoo's Egg:Trackinga Spy Through the Maze of Computer Espionage. (Кукушкино яйцо: выслеживание шпиона в лабиринте компьютерного шпионажа). Doubleday, New York, 1989.

90. Sun Microsystems, 1987. Sun Microsystems. XDR: External data representation standard. (XDR: стандарт представления внешних данных). RFC 1014, июнь 1987.

91. Sun Microsystems, 1988. Sun Microsystems. RPC: Remote procedure call protocol specification: Version 2. RPC: (Спецификация протокола вызова удаленной процедуры: версия 2). RFC 1057, июнь 1988.

92. Sun Microsystems, 1989. Sun Microsystems. NFS: Network file system protocol specification. (NFS: спецификация протокола сетевой файловой системы). RFC 1094, март 1989.

93. Treese и Wolman, 1993. Win Treese и Alec Wolman. X throug the firewall, and other application relays. (Прохождение через межсетевой барьер и другие фильтры приложений). По материалам USENIX Conference, стр. 87-99, Cincinnati, ОН, июнь 1993.

94. Tsudik, 1992. Gene Tsudik. Message authentication witn one-way hash functions. (Аутентификация сообщений с односторонними хэш функциями). По материалам IEEE Infocom'92, Florence, Italy, май 1992.

95. Waitzman, 1990. David Waitzman. Standard for the transmission of IP datagrams on avain carriers. (Стандарт для передачи IP датаграмм). RFC 1149, 1 апреля 1990.

96. Electronic Field Productions, 2003. The Laureate Journal of The Computerworld Honors Program. A Search for New Heroes. (Сборник Лауреатов Программы «Поиск новых героев»), США, июнь 2003. (URL: http://www.cwheroes.org).