автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Обеспечение безопасности данных на рабочей станции информационно-вычислительной сети

Санкт-Петербургский государственный технический университет

На правах рукописи

РГБ ОД

- 4 пни гг$

Кузьмич Всеволод Михайлович

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ НА РАБОЧЕЙ СТАНЦИИ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

Специальность: 05.13.19, "Методы и системы защиты

информации, информационная безопасность"

Автореферат диссертации на соискание ученой степени кандидата технических иаук

Санкт-Петербург 2000

г

Работа выполнена в Санкт-Петербургском государственном техническом университете.

Научный руководитель - доктор технических наук,

профессор Зепкда П.Д.

Официальные оппоненты: доктор технических наук,

профессор Корниенко A.A.

кандидат технических наук, профессор Шехунова H.A.

Ведущая организация - Государственный Университет Телекоммуникаций имени проф. М.А. Бонч-Бруевича.

Защита диссертации состоится " " у 2000 г.

в 14 часов на заседании диссертационного совета К 063.38.32 Санкт-Петербургского государственного технического университета (по адресу 195251, С.-Петербург, Политехническая ул., 29)

С диссертацией можно ознакомится в библиотеке Санкт-Петербургского государственного технического университета

Автореферат разослан их^Д^ 2000 г.

Ученый секретарь л./ //,

диссертационного совета ((^¡у^//^ Платонов В.В.

Ш -Ш.Лс //£. о

Общая характеристика работы.

Актуальность. Высокие темпы научно-технического прогресса, глобальная автоматизация и информатизация человеческой деятельности, повсеместное использование электронно-вычислительных машин, автоматизированных систем и информационно-вычислительных сетей сопровождается пересмотром комплекса требований, предъявляемых к таким системам. Наряду с усилением традиционных требований к их надежности и устойчивости функционирования, все более существенную и важную роль приобретают требования, связанные с обеспечением информационной безопасности автоматизированных систем и информационно-вычислительных сетей. Анализ примеров и последствия нарушений безопасности в различных автоматизированных системах позволяет сделать вывод о том, что на фоне стремительного развития информационных технологий наблюдается кризис обеспечения безопасности информации. В то же время, методологическая и теоретическая база теории безопасности информации как нового научного направления в настоящее время только формируется в работах таких ученых как Д. Расторгуев, А. Грушо, Л. Ухлинов, Д. Деннинг, К. Лендвер, К. Ньюман.

Особое внимание в своих работах ученые уделяют вопросам разработки формальных моделей безопасности, защищенных операционных систем, а также проблемам обеспечения безопасности распределенных вычислительных систем и информационно-вычислительных сетей. Основные усилия исследователей, работающих в области безопасности сетевых технологий, направлены на разработку методов и средств защиты циркулирующей в сети информации и сетевой инфраструктуры, обеспечивающей информационный обмен. При таком подходе объектами защиты являются информационно-вычислительная сеть и распределенная вычислительная система как понятия высокой степени общности. В то же время столь важный вопрос, как защита оконечных рабочих станций - наиболее уязвимых составных элементов вычислительных систем -не находит должного внимания. Поэтому разработка подходов к построению систем обеспечения безопасности рабочих станций вычислительных систем и практическое создание такой системы является актуальной проблемой, имеющей большое теоретическое и практическое значение.

Целью диссертационной работы является повышение безопасности информационно-вычислительных систем путем построения системы защиты вычислительной среды рабочих станций и обеспечения безопасного взаимодействия рабочих станций по открытым информационно-вычислительным сетям.

Для достижения поставленной цели в работе решались следующие задачи:

1. Анализ существующих стандартов в области информационной безопасности и подходов к построению систем защиты данных.

2. Анализ, обобщение и систематизация успешных атак на вычислительные системы, выявление условий их осуществления и разработка таксономии причин нарушений безопасности.

3. Разработка объектно-концептуальной модели вычислительной среды рабочей станции и формальной модели обеспечения безопасности рабочей станции.

4. Исследование существующих подходов к построению систем защиты и определение типа и способа реализации системы обеспечения безопасности вычислительной среды рабочей станции.

5. Разработка структурно-функциональной схемы системы защиты рабочей станции вычислительной системы.

Методы исследования. Для решения поставленных задач использовались системный анализ, теория алгоритмов, методы математического моделирования и математической логики.

Научная новизна диссертационной работы состоит в следующем:

1. Разработана таксономия причин нарушений информационной безопасности.

2. Предложена объектно-концептуальная модель вычислительной среды рабочей станции как единой системы хранения, обработки и передачи данных в информационно-вычислительной сети.

3. Разработана формальная модель обеспечения безопасности вычислительной среды рабочей станции, основанная на принципах исчерпывающего контроля и обеспечения легитимности операций.

4. Предложен подход к построению систем защиты рабочих станций, основанный на внедрении в ядро операционной системы комплекса средств обеспечения безопасности.

5. Разработана структурно-функциональная схема системы защиты рабочей станции.

6. Разработан прототип системы защиты рабочей станции.

Практическая значимость работы определятся возможностью использования полученных результатов для создания средств защиты рабочих станций в составе информационно-вычислительных систем. К таким результатам относятся:

1. Объектно-концептуальная модель вычислительной среды рабочей станции как единой системы хранения, обработки и передачи данных в информационно-вычислительной сети.

2. Формальная модель обеспечения безопасности вычислительной среды рабочей станции.

3. Структурно-функциональная схема системы защиты рабочей станции.

4. Прототип субоперационной системы защиты рабочей станции.

5. Технология построения субоперационных систем защиты (Акт об использовании от ЗАО "Лаборатория противодействия промышленному шпионажу").

6. Технология применения средств сетевой безопасности в системах защиты рабочих станций (Акт об использовании от Санкт-Петербургского представительства ЛГ Софт Лаб).

Апробация работы. Основные теоретические и практические результаты работы обсуждались па военно-научном семинаре "Безопасность и качество программного обеспечения" (1993г.), республиканской научно-технической конференции "Теория и практика обеспечения безопасности информационных технологий" (1994г.), военно-научной конференции "Проблемы сертификации ПО, закупаемого и разрабатываемого в интересах МО РФ" (1994г.), второй научно-технической конференции "Проблемные вопросы сбора, обработки и передачи информации в сложных радиотехнических системах" (1995г.), на ежегодных конференциях "Региональная информатика" (1995-98гг.) и "Методы и технические средства обеспечения безопасности информации" (1995-2000г.),

Основные теоретические и практические результаты диссертационной работы используются в учебно-методических материалах по профилирующей дисциплине специальности 22.07.00 (07.55.00) «Комплексное обеспечение безопасности автоматизированных систем», а также вошли в ряд отчетов но научно-исследовательским работам: НИР N 08394-П на тему "Поисковые исследования и разработка основ информационного нападения, методов и средств преодоления защиты информационно-вычислительных комплексов", СПб ГТУ, 1995г., НИР N 320/5/44 "Исследование и разработка новых методов и средств защиты цифровой картографической информации от несанкционированного доступа, модификации и уничтожения". ВИККА им. Можайского, 1996-1997гг.

Публикации. По теме диссертации опубликовано 24 работы, в том числе главы 3-х книг, 6 отчетов по НИР, 15 научных статей и докладов.

Основные положения, выносимые на защиту:

1. Таксономия причин нарушений безопасности компьютерных систем.

2. Формальная модель обеспечения безопасности вычислительной среды рабочей станции.

3. Метод создания систем защиты, основанный на программной модификации ядра операционной системы.

4. Структурно-функциональная схема системы обеспечения безопасности вычислительной среды рабочей станции.

Объем и структура работы. Диссертационная работа состоит из введения, четырех глав, заключения, одного приложения и списка литературы из 87 наименований.

б

Содержание работы.

В первой главе рассматриваются общие понятия информационной безопасности и классификация угроз безопасности. Рассматриваются действующие стандарты в области безопасности информации. Определяется круг частных задач, которые должны быть решены для достижения цели работы. Проводится анализ успешных атак на вычислительные системы и на основании его результатов разрабатывается таксономия причин нарушений информационной безопасности вычислительных систем.

Для обеспечения безопасности рабочей станции необходимо решить задачу обеспечения безопасности ее вычислительной среды. Под вычислительной средой рабочей станции понимается совокупность всех программных и аппаратных средств, задействованных в процессах хранения, обработки и передачи информации (данных). Под безопасностью вычислительной среды понимается такое ее состояние, при котором невозможно случайное или преднамеренное получение, изменение или уничтожение данных. Безопасность информации достигается созданием и применением системы обеспечения безопасности информации - совокупности средств и механизмов, предназначенных для решения связанного комплекса задач по защите информации и противодействия всем видам угроз - нарушения конфиденциальности данных, нарушения целостности данных и нарушения работоспособности вычислительной системы. Функционирование системы обеспечения безопасности информации должно проходить в строгом соответствии с принятой политикой безопасности, а в ее основе должна лежать формальная модель безопасности.

Для разработки системы обеспечения безопасности вычислительной среды рабочей станции информационно-вычислительной сети необходимо:

1. Провести изучение, обобщение и классификацию успешных атак на вычислительные системы и выявить характерные изъяны систем защиты, создавших предпосылки для осуществления таких атак.

2. Выполнить анализ системной и программной архитектуры типовой рабочей станции вычислительной сети и разработать объектно-концептуальную модель вычислительной среды рабочей станции.

3. Провести анализ существующих моделей безопасности и разработать формальную модель обеспечения безопасности рабочей станции вычислительной сети.

4. Изучить существующие подходы к построению систем защиты и определить тип и место системы обеспечения безопасности в вычислительной среде рабочей станции.

5. Изучить архитектуру средств сетевого взаимодействия, существующие протоколы защиты данных в информационно-вычислительных сетях и

- разработать методы их применения в составе системы защиты вычислительной среды для обеспечения безопасного взаимодействия рабочих станций но открытым информационно-вычислительным сетям.

6. Разработать структурную схему системы защиты, соответствующую требованиям стандартов информационной безопасности и включающей

средства защиты вычислительной среды рабочей станции и средства обеспечения безопасности сетевого взаимодействия рабочих станции.

Одним из перспективных направлений исследований в области технологий создания систем обеспечения безопасности информации является изучение, обобщение и классификация успешных атак на вычислительные системы, и, далее, выявления изъянов в системах защиты, создавших предпосылки для осуществления таких атак. Эффективность такого подхода обуславливается тем, что при проектировании и реализации защищенных систем основные усилия будут концентрироваться на устранении этих причин и учете в механизмах защиты недостатков, выявленных в других системах.

С точки зрения технологии создания защищенных систем наибольшее значение имеют классификация уязвимых мест систем защиты (1) по способу внесения и источнику появления, (2) по этапу возникновения в рамках жизненного цикла вычислительной системы, и (3) по местоположению в вычислительной системе. Наконец, для решения практических задач наибольший интерес представляет таксономия изъянов систем защиты по причинам их возникновения. На основе анализа результатов многочисленных исследований защищенных систем и случаев нарушений безопасности, можно выделить следующие причины существования изъянов систем защиты:

1. Выбор модели безопасности, несоответствующей назначению или архитектуре вычислительной системы.

2. Конструктивная неполнота системы обеспечения безопасности информации, отсутствие основных механизмов защиты (идентификации и аутентификации, контроля доступа, обеспечения целостности, аудита, средств сетевого взаимодействия, средств криптографической защиты данных, средств обнаружения атак и т.д.) или их неадекватность решаемым задачам.

3. Неадекватная реализация системы обеспечения безопасности информации (например, неправильное внедрение модели безопасности).

4. Наличие в системе обеспечения безопасности недокументированных возможностей, средств отладки и тестирования, невыявленных программных ошибок.

5. Ошибки администрирования системы обеспечения безопасности и вычислительной системы в целом.

Предложенная таксономия позволяет определить полное множество независимых первопричин нарушений безопасности, которые должны быть устранены при проектировании и создании систем защиты.

Во второй главе проводится анализ системной и программной архитектуры типовой рабочей станции вычислительной сети. Представлены разработанная автором объектно-концептуальная модель вычислительной среды рабочей станции как единой системы хранения, обработки и передачи данных и как элемента информационно-вычислительной сети и формальная модель обеспечения безопасности, относящаяся к классу моделей трансформации состояний.

Для определения принципов построения и функционирования системы обеспечения безопасности рабочей станции необходимо построение объектно-концептуальной модели ее вычислительной среды. При разработке такой модели должны учитываться существующие формальные модели обеспечения безопасности. Основываясь на анализе принципов описания процессов защиты данных и используемого при этом математического аппарата, можно выделить следующие четыре основных класса формальных моделей безопасности:

- модели трансформации состояний;

- модели заимствования и передачи полномочий;

- семантические модели;

- модели информационных потоков.

Модели трансформации состояний являются наиболее общим классом формальных моделей обеспечения безопасности и позволяют наиболее полно описать процессы защиты информации и их взаимосвязь с целевыми процессами, протекающими в вычислительной системе. Это позволяет использовать данный класс моделей в качестве основы для разработки объектно-концептуальной модели вычислительной среды рабочей станции.

С точки зрения объектно-ориентированного анализа вычислительная среда рабочей станции есть совокупность перечислимых множеств сущностей -субъектов (пользователей и процессов) и объектов (ресурсов, данных, программ), составляющих классы объектно-концептуальной модели, и функциональных отношений между ними - включения, порождения, использования, удаленного взаимодействия и обмена данными. Функциональные отношения между классами объектно-концептуальной модели реализуются посредством множества операций (активирование, деактивирование, доступ, прием, передача, хранение), выполняемых активными сущностями-субъектами над пассивными сущностями-объектами. Каждая сущность характеризуется состоянием, множеством атрибутов, определяющих классификационные признаки сущности (в том числе - метки безопасности, такие как уровень полномочий субъектов и класс безопасности объектов), множеством отношений и множеством операций. Характеристики сущности могут быть как статическими, так и динамическими (меняться в процессе функционирования системы). Критерием безопасности состояния сущности является соответствие ее атрибутов требованиям политики безопасности, принятой в вычислительной системе.

Политика безопасности конкретной рабочей станции зависит от большого ряда факторов (ее положения в структуре информационно-вычислительной сети, целевого предназначения, круга решаемых на ней задач, режима использования и т.д.). Поэтому детализация требований политики безопасности и введение формальных критериев безопасности является сугубо прикладной задачей, выходящей за рамки задачи построения объектно-концептуальной модели вычислительной среды рабочей станции.

В упрощенном виде объектно-концептуальная модель вычислительной среды рабочей станции как элемента распределенной информационно-вычислительной системы представлена на Рис.1.

Обозначения:----Отношения включения ...................Отношения порождения

______^ Отношения использования Отношения взаимодействия

^- и обмена данными

Рис 1. Объектно-концептуальная модель вычислительной среды рабочей станции.

Введем обозначение вычислительной среды 2. Обозначим через Е = {е/1 / = множество всех сущностей вычислительной среды 2. Множество Е

состоит из следующих подмножеств:

Е1}= \eiti| /= 1..ЛГ„}- множество субъектов - пользователей;

= {«,• | / = Ь.Л^}- множество субъектов - процессов (активных сущностей, выполняемых от имени пользователей);

ЕО = {со, | I = К.Л'а}- множество объектов (пассивных сущностей, в рамках данной модели - ресурсов ЕЯ, данных ЕЮ и программ ЕР).

Состояния сущностей и их атрибуты являются переменными и зависят от действий субъектов и выполняемых над сущностями операций. Поэтому целесообразно говорить о текущих состояниях и атрибутах сущности. Множество текущих состояний сущностей обозначим через С(Е) = {."¡(е^) | / = 1 ..Лу, множество текущих атрибутов - через М(Е) = {а(е) | / = ¡..Д^}.

Введем понятие множества операций вычислительной среды Z, обозначаемое через Л В данное множество входят все операции, которые могут выполняться в вычислительной среде Z. При построении объектно-концептуальной модели целесообразно рассматривать обобщенные операции, которые могут определять какое-либо законченное действие (транзакцию), при этом обобщенные операции включают в себя некоторые элементарные операции, не поддающиеся дальнейшей декомпозиции. В общем случае все операции в вычислительной среде рабочей станции могут быть сведены к следующим пяти обобщенным операциям:

р = {Гс,/»1,/а,/е, /V}, где

/с (е$ | ео) - операции изменения состояния сущности (активирования или деактивирования ресурса, создания или удаления объекта, выполнения или завершения процесса);

/от (ен | ео) - операция изменения атрибутов сущности (уровня полномочий, класса безопасности и т.д.);

/а (ео) - операция доступа к объекту (чтения данных из объекта, записи данных в объект, модификации содержимого объекта);

/в (ео) - операция обмена данными (приема или передачи объекта); /я (ео) - операция хранения объекта.

Обозначим через 5 пространство состояний вычислительной среды, определяемое как объединение множеств сущностей, их состояний, атрибутов и операций над ними:

Тогда объектно-концептуальная модель вычислительной среды 2 может

быть представлена как модель трансформации состояний в виде

[ ,_,))

где - текущее состояние вычислительной среды Z,

■$и - ее предыдущее состояние,

Е\.{ - множество сущностей вычислительной среды в состоянии

Г (/'¡.[(Ем)) функция перехода системы из состояния £¡.1 в состояние в результате применения множества операций к множеству сущностей

Последовательность состояний 5о, £2, ... , есть трасса состояний вычислительной среды в пространстве состояний 5.

Предложенная объектно-концептуальная модель отношений между сущностями вычислительной среды позволяет осуществить формальную постановку задачи обеспечения безопасности вычислительной среды.

Безопасность вычислительной среды рабочей станции достигается в том случае, если трасса ее состояний в пространстве состояний Я является безопасной, то есть при условии, что каждое состояние является безопасным. Состояние вычислительной среды является безопасным, если состояние каждой сущности вычислительной среды и ее атрибуты соответствуют требованиям политики безопасности, принятым для данной рабочей станции.

Для обеспечения безопасности трассы состояний вычислительной среды необходимым является выполнение следующих двух условий (условия безопасности согласно модели трансформации состояний):

1. Начальное состояние вычислительной среды ^является безопасным.

2. Каждый переход Т (1\0 вычислительной среды из состояния в состояние 5] в результате применения множества операций 1\.\ является безопасным.

и

Ключевым аспектом обеспечения безопасности вычислительной среды является обеспечение безопасности операций, выполняемых активными сущностями. Введем понятия легитимных и нелегитимных операций. Под нелегитимными операциями понимаются действия активных сущностей, приводящие к нарушению безопасности вычислительной среды. Данное понятие является расширением понятия несанкционированный доступ. Под легитимными операциями будем понимать все остальные действия активных сущностей, то есть действия, не приводящие к нарушению безопасности вычислительной среды. Множество легитимных операций обозначим через /•X с множество нелегитимных операций - через ЕМ с Е. Очевидно, что Е = /X иЛУ, яп№= 0.

Выполнение второго условия безопасности достигается в том случае, когда все операции множества Е-^ являются легитимными для данного состояния вычислительной среды

Введем обозначение системы обеспечения безопасности (системы защиты) Р вычислительной среды 2. Обозначим через ЕР, ЕР с Е множество сущностей системы обеспечения безопасности Р. Сформулируем основные требования, предъявляемые к системе обеспечения безопасности Р:

1. Система защиты Р должна обеспечивать контроль всех действий субъектов и всех операций над объектами, выполняемых в вычислительной среде 2 (требование исчерпывающего контроля операций).

2. Применение системы защиты Р к множеству операций Е,.\ должно обеспечивать исключение из него операций, нелегитимных для данного состояния вычислительной среды 2 (требование обеспечения легитимности операции).

Тогда задача обеспечения безопасности вычислительной среды может быть сформулирована следующим образом:

Для вычислительной среды 2 с множеством операций Е построить систему обеспечения безопасности Р, удовлетворяющую требованиям исчерпывающего контроля и обеспечения легитимности операций.

Если система обеспечения безопасности Р удовлетворяет указанным требованиям, то ее применение к множеству операций приводит к исключению из него операций, нелегитимных для данного состояния вычислительной среды 5ц. Результатом применения системы обеспечения безопасности является множество легитимных операций /Хм-

При условии выполнении в вычислительной среде 2 только легитимных операций, переход Т(ЕЬ\.}) из состояния 5ц в состояние является безопасным. Следовательно, результирующее состояние вычислительной среды является безопасным (при условии безопасности предыдущего состояния

'/-1'

Щ-.1 №,-.)) ) ^

Таким образом, для обеспечения безопасности вычислительной среды рабочей станции информационно-вычислительной сети необходимо построить систему защиты, обеспечивающую контроль всех действий субъектов и операций над объектами, и исключающей выполнение нелегитимных операций в вычислительной среде. Далее в работе рассмотрены практические аспекты создания такой системы защиты.

В третьей главе рассматриваются различные подходы к построению систем обеспечения безопасности информации и определяется тип и место системы защиты в структуре вычислительной среды рабочей станции. Проводится анализ архитектур типовых операционных систем, применяемых на рабочих станциях. Представлен разработанный автором подход к построению систем защиты, заключающийся во внедрении в ядро операционной системы рабочей станции средств обеспечения безопасности вычислительной среды. Рассматриваются вопросы обеспечения безопасности взаимодействия защищенных рабочих станций по открытым информационно-вычислительным сетям. Представлены разработанные автором методы применения существующих протоколов сетевой безопасности в составе субоперационной системы защиты вычислительной среды рабочей станции.

Среди множества технологий обеспечения безопасности информации можно выделить четыре принципиально разных подхода к построению систем защиты с точки зрения места системы защиты в составе вычислительной среды и состава защищаемых компонентов вычислительной системы:

1. Защита отдельной прикладной программы или программного комплекса. Система защиты реализуется на прикладном уровне, является встроенной в объект защиты и образует с ним единый элемент вычислительной среды.

2. Защита критичного программного обеспечения специализированной системой защиты, решающей ограниченный круг задач защиты. При применении данного подхода система защиты реализуется на прикладном или системном уровне и выступает в качестве отдельного элемента вычислительной среды. Объектами защиты в этом случае является заданное множество элементов вычислительной среды.

3. Применение защищенной операционной системы (ОС), обеспечивающей комплексную информационную безопасность рабочей станции. Объектом защиты в данном случае выступает вычислительная среда в целом.

4. Применение специальных аппаратных средств, обеспечивающих решение некоторых (как правило, наиболее критичных) задач защиты. Этот подход применяется в узкоспециализированных вычислительных системах (например, межсетевых экранах).

Анализ данных подходов с точки зрения объектно-концептуальной модели вычислительной среды рабочей станции и сформулированных во второй главе требований исчерпывающего контроля и обеспечения легитимности операций позволяет заключить, что наиболее эффективным способом комплексного обеспечения безопасности вычислительной среды • рабочей

станции будет применение специальной защищенной операционной системы. Достаточно эффективным (при условии локализации требования исчерпывающего контроля в рамках защищаемого множества элементов вычислительной среды) будет также применение специализированной системы защиты. Другие способы являются неприемлемыми в силу узкоспециального назначения и невыполнения требований исчерпывающего контроля и обеспечения легитимности операций в масштабе вычислительной среды в целом. Данные выводы находят подтверждение в результатах, полученных в ходе практических исследований защищенных систем.

Поскольку применение защищенной ОС не всегда возможно, а применение специализированной системы защиты связано с априорным сужением множества защищаемых элементов вычислительной среды, представляется целесообразным разработать новый подход к созданию систем обеспечения безопасности вычислительной среды рабочей станции, удовлетворяющих требованиям исчерпывающего контроля и обеспечения легитимности операций.

Важное значение для разработки подходов к построению и реализации систем обеспечения безопасности рабочих станций имеют архитектура и принципы функционирования применяемых на них операционных систем. В работе приведены классификация и основные характеристики типовых операционных систем, применяемых на рабочих станциях вычислительных систем (Таблица 1).

Таблица 1. Характеристики типовых операционных систем рабочих станций.

ОС, плат» форма Тип, характеристика Уровень абстракции ресурсов (НА1-) Модель управления доступом Способ модификации ядра ОС

DOS (х86) Однопользовательская, однозадачная монолитная ОС (де-факто монитор прикладных задач) Низкий (порты, прерывания, файлы) Отсутствуют Замещение загрузчика системы (MBR) и модификация системных файлов (io.sys, msdos.sys)

Windows 95/98 (х86) Однопользовательская, псевдомногозадачная ОС переходная от монолитной к макроядерной Средний (порты, прерывания, файлы» потоки, сообщения) Отсутствуют Замещение загрузчика системы (MBR,) модификация системных файлов (io.sys, msdos.sys) и файлов ядра (kml386.exe, user.exe, gdi.exe)

Windows NT/2000 (х86) Многопользовательская, многозадачная микроядерная ОС Высокий (файлы, потоки, процессы, сообщения) Дискретная (DAC) в виде списков контроля доступа ACL + частично базирующаяся на ролях. Реализуется монитором безопасности (SAM) Замещение загрузчика системы (MBR и OS Loader) и модификация кода микроядра в процессе его загрузки в память

Linux (х86) Многопользовательская, многозадачная макроядерная ОС (с элементами микроядра) Высокий (файлы, потоки, процессы, сокеты, сообщения) Нормативная (MAC): влзделец-группа-остальные пользователи. Реализуется в ядре. Модификация исходных текстов ядра (файлы из каталога \kernel) и его перекомпиляция

Sun Solaris (SPARC) Замещение загрузчика системы и модификация кода ядра в процессе его загрузки в память

В ходе выполнения диссертационной работы проведены исследования внутренней структуры и функционального устройства ряда типовых операционных систем, применяемых на рабочих станциях вычислительных систем. Проведены эксперименты по реконструкции алгоритмов обработки системных вызовов путем дисассемблирования исполняемых кодов и трассирования их выполнения. Установлено, что для типовых ОС, применяемых на рабочих станциях вычислительных систем, существует возможность программного управления функционированием операционной системы и модификации ее ядра (или аналогичных компонентов ОС, обеспечивающих управление ресурсами рабочей станции в случае монолитных операционных систем), с сохранением программной архитектуры и функциональности ОС. Способы модификации ядра ОС указаны в Таблице 1.

На основании полученных результатов автором предложен новый подход к построению систем защиты, заключающийся в интеграции комплекса средств защиты с ядром операционной системы. На практике это означает разработку и внедрение в ОС системы защиты, обеспечивающей безопасность вычислительной среды на уровне управления ресурсами рабочей станции. Исходя из сущности системы защиты, интегрированной с ядром ОС, и ее положения в вычислительной среде рабочей станции, такая система может быть классифицирована как субоперационная система защиты. Структура защищенной вычислительной среды рабочей станции с внедренной в ядро ОС субонерационной системой защиты показана на Рис.2.

Рис 2. Структура защищенной вычислительной среды рабочей станции.

В качестве дальнейшего развития идеи внедрения в вычислительную среду рабочей станции субоперационной системы защиты были рассмотрены возможности включения в нее средств обеспечения безопасности сетевого взаимодействия рабочих станций. В ходе решения задачи обеспечения безопасного взаимодействия рабочих станций по открытым информационно-вычислительным сетям были исследованы современные протоколы сетевой безопасности и инфраструктура вспомогательных средств, обеспечивающих установление защищенных информационных каналов между рабочими станциями и применение данных протоколов.

Наиболее эффективными протоколами сетевой безопасности, ставшими общепринятыми стандартами, являются протоколы SSL и его развитие TLS, обеспечивающие безопасность на транспортном уровне, и протокол IPsec, обеспечивающий безопасность на сетевом уровне.

Протоколы безопасности транспортного уровня имеют несложную архитектуру. Они относительно просты в реализации и применении, но обеспечивают защиту трафика только отдельных прикладных программ, поддерживающих спецификации SSL или TLS. Архитектура же протокола IPsec очень сложна - он является объединением пяти протоколов, три из которых (IKE, ISAKMP и OAKLEY) используются для обеспечения установления защищенного информационного канала между взаимодействующими абонентами, а два других (АН и ESP) для защиты передаваемых данных. В то же время, протокол IPsec не требует введения никакой дополнительной функциональности в прикладные программы, обеспечивает защиту всего трафика рабочей станции, имеет собственную политику безопасности и обладает широкими возможностями по настройке в зависимости от специфики вычислительной системы.

Для использования протокола IPsec в составе субоперационной системы защиты необходима реализация модулей перехвата сетевого трафика и их внедрения в стек сетевых протоколов типовых операционных систем рабочих станций между сетевым (IP) и канальным (NIC) уровнем. Эта проблема требует особого рассмотрения, поскольку для большинства операционных систем стек сетевых протоколов не включается в ядро, а реализуется отдельно, причем способ его реализации является различным для разных ОС. В операционных системах семейства Windows данная задача может быть решена посредством реализации дополнительного сетевого модуля спецификации NDIS, в ОС Sun Solaris - путем создания дополнительного потока между потоками сетевого и канального уровня. Решение для ОС Linux состоит в правке исходного кода ядра и последующей его перекомпиляции.

Таким образом, в качестве средства обеспечения безопасного сетевого взаимодействия рабочих станций в составе субоперационной системы защиты может быть использован протокол IPsec. В стек сетевых протоколов операционных систем должны быть включены модули перехвата сетевого трафика, передающие его на обработку протоколу IPsec.

В четвертой главе представлена разработанная автором структурно-функциональная схема субоперационной системы защиты вычислительной среды рабочей станции.

Упрощенная структурно-функциональная схема субоперационной системы защиты вычислительной среды рабочей станции, разработанная в соответствии с действующими стандартами информационной безопасности, представлена на Рис. 3.

Администрирование, управление и настройка субоперационной системы защиты осуществляется посредством подсистемы управления безопасностью, доступной администратору вычислительной системы. Функционирование системы защиты определяется политикой безопасности, принятой для вычислительной системы и данной рабочей станции. Политика безопасности также определяет способы и режимы защиты данных при взаимодействии рабочих станций по открытым информационно-вычислительным сетям. Подсистема управления безопасностью использует также базу цифровых сертификатов, необходимую для аутентификации пользователей рабочей станции и удаленных абонентов, и базу сигнатур атак (шаблонов операций, представленных последовательностью действий пользователей или последовательностью сетевых пакетов, характерных для осуществления известных атак), необходимую для обнаружения последних. Назначение остальных модулей системы защиты очевидно.

Рис 3. Схема субоперационной системы защиты.

Предложенный в работе подход к построению систем защиты посредством интеграции комплекса средств защиты с ядром операционной системы и создания субоперационной системы защиты соответствует положениям введенной во второй главе объектно-концептуальной модели вычислительной среды и отвечает требованиям разработанной формальной модели обеспечения безопасности рабочей станции. Поскольку все операции в операционной системе выполняются над физическими или информационно-логическими ресурсами, размещение комплекса средств защиты на уровне ядра ОС гарантированно обеспечивает выполнение требования исчерпывающего контроля операций. Выполнение требования обеспечения легитимности операций зависит от функциональной полноты системы защиты, качества ее реализации и адекватности принятой в системе политики безопасности. Это означает, что разработка системы защиты рабочей станции должна вестись в строгом соответствии со стандартами безопасности, определяющими требования к составу и функциональности средств обеспечения безопасности, входящих в состав системы защиты. При разработке системы защиты также должна быть принята во внимание таксономия изъянов систем зашиты, и должно быть обеспечено устранение причин, обуславливающих их существование.

В отличие от других подходов к созданию средств защиты информации, решающих частные задачи обеспечения безопасности данных, предложенный в работе подход к обеспечению безопасности информации посредством построения субоперационной системы защиты позволяет построить единую защищенную вычислительную среду рабочей станции, поддерживаемую на уровне ядра операционной системы, и обеспечить как безопасную обработку данных на самой рабочей станции, так и безопасное взаимодействие с другими защищенными рабочими станциями в рамках информационно-вычислительной системы любого масштаба.

Приложение 1 содержит фрагменты исходного кода прототипа субоперационной системы защиты для ОС Windows 95/98.

В работе получены следующие основные результаты:

1. Разработана таксономия причин нарушений информационной безопасности.

2. Построена объектно-концептуальная модель вычислительной среды рабочей станции.

3. Разработана формальная модель обеспечения безопасности вычислительной среды рабочей станции.

4. Предложен подход к построению систем защиты рабочих станций, заключающийся во внедрении в ядро ОС субоперационной системы защиты, обеспечивающей безопасность локальной вычислительной среды и средств сетевого взаимодействия рабочей станции.

5. Разработана структурная схема системы защиты рабочей станции.

6. Разработан прототип системы обеспечения безопасности информации на рабочей станции вычислительной сети.

Основные результаты диссертационной работы изложены в 22 печатных трудах. Ниже приведены основные из них:

1. Кузьмич В.М. Анализ практической стойкости систем защиты информации на персональных ЭВМ. И Военно-научный семинар "Безопасность и качество программного обеспечения". Тезисы докладов. 24 ЦНИИ ВМФ. Петродворец, 1993г. С. 23-28.

2. Кузьмич В.М., Присяжнюк С.П. Проблемы сертификации систем защиты информации от несанкционированного доступа. // Республиканская научно-техническая конференция "Теория и практика обеспечения безопасности информационных технологий". Тезисы докладов. СПб ГТУ, 1994г. С.14-15.

3. Кузьмич В.М., Присяжнюк С.П., Пегряев А.Б. Верификация функциональной адекватности систем защиты информации. // Военно-научная конференция "Проблемы сертификации ПО, закупаемого и разрабатываемого в интересах МО РФ". Тезисы докладов. 24 ЦНИИ ВМФ. Петродворец, 1994г. С. 18-20.

4. Кузьмич В.М. Возможности злоумышленников по "взлому" систем защиты на персональных компьютерах. // Защита информации. СПб., 1995. №1. С. 27-39.

5. Кузьмич В.М., Присяжнюк С.П. "Варианты построения систем обеспечения безопасности информационных технологий на персональных ЭВМ". // Вторая межведомственная научно-техническая конференция "Проблемные вопросы сбора, обработки и передачи информации в сложных радиотехнических системах". Тезисы докладов. ПВУРЭ ПВО. Пушкин, 1995г., С.7-8.

6. Кузьмич В.М., Присяжнюк С.П. "Выбор математической модели обеспечения безопасности информации на рабочей станции информационно-вычислительной сети" // Четвертая Санкт-Петербургская международная конференция "Региональная информатика-95". Тезисы докладов. СПб, 1995г. С.336.

7. Зегжда Д.П, Кузьмич В.М, Фомин A.A. "Реализация дискретной и мандатной модели разграничения доступа". // Республиканская научно-техническая конференция "Методы и технические средства обеспечения безопасности информации". Тезисы докладов. СПб ГТУ, 1996г. С. 77-80.

8. Зегжда Д.П., Кузьмич В.М. Таксономия нарушений информационной безопасности и причины, обуславливающие их существование. // В книге под ред. Зегжды П.Д. "Теория и практика обеспечения компьютерной безопасности". М: Яхтсмен, 1996. С. 146-177.

9. Кузьмич В.М. Исследование причин нарушения безопасности вычислительных систем. // В книге Зегжда Д.П., Ивашко A.M. "Как построить защищенную информационную систему". СПб: Мир и семья, 1997. Глава 3, С. 126-163.

10. Кузьмич В.М. Сетевые протоколы безопасности: IP Security. // Проблемы информационной безопасности. Компьютерные системы. - 2000.-№2. - с. 72-88.

Введение.

Глава 1. Теоретические основы обеспечения безопасности информации

1.1. Основные понятия безопасности компьютерных систем

1.2. Стандарты безопасности компьютерных систем.

1.3. Требования к системе обеспечения безопасности рабочей станции.

1.4. Анализ причин нарушения безопасности компьютерных систем.

Выводы к Главе 1.

Глава 2. Модель обеспечения безопасности вычислительной среды рабочей станции.

2.1. Политики безопасности и модели безопасности.

2.2. Обзор формальных моделей безопасности

2.3. Объектно-концептуальная модель вычислительной среды.

2.4. Формальная модель безопасности вычислительной среды.

Выводы к Главе 2.

Глава 3. Построение системы защиты рабочей станции.

3.1. Анализ существующих подходов к защите данных.

3.2. Построение системы защиты рабочей станции.

3.3. Архитектура субоперационной системы защиты рабочей станции.

3.4. Функционирование субоперационной системы защиты.

Выводы к Главе 3.

Глава 4. Обеспечения безопасного взаимодействия рабочих станций по информационно-вычислительным сетям.

4.1. Протоколы сетевой безопасности.

4.2. Описание протокола IPsec.

4.3. Функционирование протокола IPsec.

4.4. Применение IPsec в составе системы защиты рабочей станции.

4.5. Замечания по реализации протокола IPsec .113 Выводы к Главе 4.

Современный мир характеризуется высокими темпами научно-технического прогресса, глобальной автоматизацией и информатизацией человеческой деятельности, повсеместным использованием электронно-вычислительных машин, разнообразных организационно-технических и человеко-машинных систем, применяемых для всестороннего обеспечения существования человеческой цивилизации. Важнейшим классом таких систем являются автоматизированные системы различного назначения, в которых сбор, хранение и обработка данных осуществляется средствами автоматизации и вычислительной техники. Современные автоматизированные системы объединяют в единый контур большое число разнородных территориально распределенных объектов и включают в себя специализированные и универсальные вычислительные машины и системы, устройства передачи данных, терминалы и другие абонентские устройства. В зависимости от целевого предназначения компоненты автоматизированных систем объединяют в информационно-вычислительные сети (ИБС) различного масштаба.

Создание автоматизированных систем и информационно-вычислительных сетей привело к формированию в рамках мировой цивилизации единого международного информационного пространства. С другой стороны, повсеместное внедрение в практику человеческой деятельности автоматизированных систем сопровождается целым комплексом негативных последствий, таких как компьютерные преступления, экономические и политические диверсии с применением средств ИВС, электронные диверсии, и т.п. Анализ примеров и последствия нарушений безопасности в различных автоматизированных системах, в том числе и критического назначения, позволяет сделать вывод о том, что на фоне стремительного развития информационных технологий наблюдается кризис обеспечения безопасности информации, и об особой роли информационной безопасности в жизни человеческого общества. В связи с этим на настоящем этапе развития науки происходит формирование нового научного направления - теории обеспечения безопасности информации.

Основными объектами прикладного применения теории обеспечения безопасности информации являются автоматизированные информационные системы (АИС), под которыми, в зависимости от их целевого назначения, принято понимать отдельные электронно-вычислительные машины, комплексы технических средств обработки информации и информационно-вычислительные сети. Современные автоматизированные информационные системы характеризуются высокой вычислительной мощностью, универсальностью и использованием типовых наборов компонентов, способных работать как автономно, так и в составе распределенной вычислительной системы любого масштаба.

Наиболее распространенным в настоящее время типом АИС являются универсальные распределенные вычислительные системы (далее ВС), представляющие собой группу компьютеров - рабочих станций и выделенных серверов - соединенных информационно-вычислительной сетью. Структура типовой распределенной вычислительной системы приведена на Рис. 1.

Производственная площадка Л

Рис. 1. Структура распределенной вычислительной системы.

Объектом исследований в рамках данной работы выступает рабочая станция - в иностранной научно-технической литературе используется термин «workstation» - как типовой элемент и одна из важнейших составных частей современных распределенных вычислительные систем. Рабочая станция является оконечным элементом информационно-вычислительной сети, выступает в качестве посредника между вычислительной системой и человеком, и, как следствие, является ее наиболее уязвимым звеном, наиболее вероятным источником ошибок и потенциальным каналом утечки информации.

С точки зрения прикладной теории обеспечения безопасности информации значимость рабочей станции распределенной вычислительной системы и оконечного элемента информационно-вычислительной сети как объекта изучения очевидна и неоспорима. Разработка новых, отвечающих современным требованиям, единых принципов, методов и технологий обеспечения безопасности информации на персональных компьютерах, применяющихся в качестве рабочих станций распределенных вычислительных систем и информационно-вычислительных сетей, создание единой концепции их защиты и синтеза системы обеспечения

Л о и безопасности, отвечающей положениям такой концепции, является актуальной задачей, имеющей высокую теоретическую и прикладную значимость.

Целью диссертационной работы является повышение безопасности автоматизированных систем и информационно-вычислительных сетей путем построения системы защиты вычислительной среды рабочих станций и обеспечения безопасного взаимодействия рабочих станций по открытым информационно-вычислительным сетям.

Структура работы

Диссертационная работа состоит из введения, четырех глав, заключения, одного приложения и списка литературы из 87 наименований.

Заключение

Предложенный в работе подход к построению систем защиты посредством интеграции комплекса средств защиты с ядром операционной системы и создания субоперационной системы защиты соответствует положениям введенной во второй главе объектно-концептуальной модели вычислительной среды и отвечает требованиям разработанной формальной модели обеспечения безопасности рабочей станции. Поскольку все операции в операционной системе выполняются над физическими или информационно-логическими ресурсами, размещение комплекса средств защиты на уровне ядра ОС гарантированно обеспечивает выполнение требования исчерпывающего контроля операций. Выполнение требования обеспечения легитимности операций зависит от функциональной полноты системы защиты, качества ее реализации и адекватности принятой в системе политики безопасности. Это означает, что разработка системы защиты рабочей станции должна вестись в строгом соответствии со стандартами безопасности, определяющими требования к составу и функциональности средств обеспечения безопасности, входящих в состав системы защиты. При разработке системы защиты также должна быть принята во внимание таксономия изъянов систем защиты, и должно быть обеспечено устранение причин, обуславливающих их существование.

В отличие от других подходов к созданию средств защиты информации, решающих частные задачи обеспечения безопасности данных, предложенный в работе подход к обеспечению безопасности информации посредством построения субоперационной системы защиты позволяет построить единую защищенную вычислительную среду рабочей станции, поддерживаемую на уровне ядра операционной системы, и обеспечить как безопасную обработку данных на самой рабочей станции, так и безопасное взаимодействие с другими защищенными рабочими станциями в рамках информационно-вычислительной системы любого масштаба.

В работе получены следующие основные результаты:

1. Разработана таксономия причин нарушений информационной безопасности.

2. Построена объектно-концептуальная модель вычислительной среды рабочей станции.

3. Разработана формальная модель обеспечения безопасности вычислительной среды рабочей станции.

4. Предложен подход к построению систем защиты рабочих станций, заключающийся во внедрении в ядро ОС субоперационной системы защиты, обеспечивающей безопасность локальной вычислительной среды и средств сетевого взаимодействия рабочей станции.

5. Разработана структурная схема системы защиты рабочей станции.

6. Разработан прототип системы обеспечения безопасности информации на рабочей станции вычислительной сети.

Достоверность и практическая ценность полученных результатов подтверждается возможностью их использования для создания средств защиты рабочих станций в составе информационно-вычислительных систем и их применением в реальных разработках, о чем имеются соответствующие документальные свидетельства:

- Технология построения субоперационных систем защиты (Акт об использовании от ЗАО "Лаборатория противодействия промышленному шпионажу").

- Технология применения средств сетевой безопасности в системах защиты рабочих станций (Акт об использовании от Санкт-Петербургского представительства ЛГ Софт Лаб).

Основные теоретические и практические результаты работы обсуждались на военно-научном семинаре "Безопасность и качество программного обеспечения" (1993г.), республиканской научно-технической конференции "Теория и практика обеспечения безопасности информационных технологий" (1994г.), военно-научной конференции "Проблемы сертификации ПО, закупаемого и разрабатываемого в интересах МО РФ" (1994г.), второй научно-технической конференции "Проблемные вопросы сбора, обработки и передачи информации в сложных радиотехнических системах" (1995г.), на ежегодных конференциях "Региональная информатика" (1995-98гг.) и "Методы и технические средства обеспечения безопасности информации" (1995-2000г.),

1. Кузьмич В.М. Анализ практической стойкости систем защиты информации на персональных ЭВМ. // Военно-научный семинар "Безопасность и качество программного обеспечения", 24 ЦНИИ ВМФ, 1993г., тезисы докладов, стр. 23-28.

2. Кузьмич В.М. Возможности злоумышленников по "взлому" систем защиты на персональных компьютерах. // "Защита информации". 1995.- Nol. - с. 2739.

3. Кузьмич В.М. Обзор и сравнительный анализ стандартов информационной безопасности. // В книге Зегжда Д.П., Ивашко A.M. "Как построить защищенную информационную систему". Глава 2, стр. 16-124. СПб: Мир и семья, 1997. - 318с.

4. Кузьмич В.М. Исследование причин нарушения безопасности ВС. // В книге Зегжда Д.П., Ивашко A.M. "Как построить защищенную информационную систему". Глава 3, стр. 125-163. СПб: Мир и семья, 1997. - 318с.

5. Кузьмич В.М. Сетевые протоколы безопасности: IP Security. // Проблемы информационной безопасности. Компьютерные системы. 2000.- №2. - с. 7288.

6. А.А.Большаков, А.Б. Петряев, В.В. Платонов, JI.M. Ухлинов. Основы обеспечения безопасности данных в компьютерных системах и сетях. Часть 1. Методы, средства и механизмы защиты данных. СПб.: ВИККА им. Можайского, 1995.

7. Д.П. Зегжда, A.M. Ивашко. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000г.

8. Теория и практика обеспечения информационной безопасности. Под ред. П.Д. Зегжда. М.: изд-во Агенства «Яхтсмен», 1996.

9. Д.П. Зегжда, A.M. Ивашко. Как построить защищенную информационную систему. СПб.: НПО «Мир и семья 95», 1997.

10. В.А. Герасименко. Защита информации в автоматизированных системах обработки данных. М.: "Энергоатомиздат", кн. 1 и 2, 1994 г.

11. А.П. Курило, JI.M. Ухлинов. Проектирование систем контроля доступа к ресурсам сетей ЭВМ. Москва, 1996 г.

12. С.П. Расторгуев. Исследование систем защиты информации. Информ. процессы и системы. N 12, 1993 г.

13. А.П. Баранов и др. Математические основы информационной безопасности. Орел: ВИПС, 1997.

14. А.А. Грушо, Е.Е. Тимонина. Теоретические основы защиты информации. М.: Яхтсмен, 1996 г.

15. Сетевые протоколы нового поколения. В. Галатенко. и др. Jet Info #7-8, 1998.

16. Carl Е. Landwehr, Alan R. Bull, John P. McDermott, and William S.Choi. Information Technology Division, Code 5542, Naval Research Laboratory, Washington, D.C. 20375-5337 // A Taxonomy of Computer Security Flaws, with Examples.

17. Abbott R.P., Chin J.S., Donnelley J.E., Konigsford W.L., Tokubo S and Webb D. A. 1976 Security analysis and enhancements of computer operation system. NBSIR 76-1041, National Bureau of Standards, ICST, April 1976

18. Bisbey II, R. And Hollingworth, D. 1978. Protection analysis project report. ISI/RR-78-13, DTIC AD A056816, USC/Information Sciences Institute (May 1978).

19. Brehmer C.L. and Carl J.R. Hollingworth, 1993 Incorporaing IEEE Standard 1044 into your anomaly tracking process. CrossTalk, J. Defense Software Engineering, 6 (Jan. 1993), 9-16.

20. Chillarege R., Bhandari I.S., Chaar J.K., Halliday M.J, Moebus D.S, Ray B.K, and Wong, M-Y. 1992. Orthogonal defect classification a concept for in-process measurements. IEEE Trans, on Software Engineering, 8, 11, (Nov. 1992), 943956.

21. Florae W.A. 1992. Software Quality Measurement: A Framewoork for Counting Problems and Defects. CMU/SEI-92-TR-22, Software Engineering Institute, Pittsburgh, PA, (Sept.).

22. Leveson N. and Turner C.S. 1992. An investigation of the Therac-25 accidents. UCI TR92-108, Inf. And Comp.Sci.Dept, of Cal.-Irvine, Irvine, CA.

23. Linde R.R. 1975. Operating System Penetration. AFIPS National Computer Conference, 361-368.

24. Sullivan M.R. and Chillarege R. 1992. A comparison of software defects in database management systems and operating systems. Proc. 22nd Int. Sump. On Fault-Tolerant Computer Systems (FTCS-22), Boston, MA IEEE CS Press.

25. Weiss D.M. and Basili V.R. 1985. Evaluating software development by analysis of changes: some data from the Software Engineering Laboratory. IEEE Trans. Software Engineering SE-11, 2 (February), 157-168.

26. M.Harrison, W.Ruzzo, J.Uhlman "Protection in operating systems", Communications of the ACM, 1976.

27. M.Harrison, W.Ruzzo "Monotonic protection systems", Foundation of secure computation, 1978.

28. Ravi S. Sandhu "The Typed Access Matrix Model" Proceedings of IEEE Symposium on Security and Privacy, Oakland, California 1992, pages 122-136.

29. Leonard J. LaPadula and D. Elliott Bell "Secure Computer Systems: A Mathematical Model", MITRE Corporation Technical Report 2547, Volume II, 31 May 1973.

30. Ravi S. Sandhu, Edward J. Coyne, Hal L. Feinstein and Charles E. Youman "Role-Based Access Control Models", IEEE Computer, Volume 29, Number 2, February 1996, pages 38-47.

31. David Ferraiolo and Richard Kuhn. "Role-based access controls." In 15th NIST-NCSC National Computer Security Conference, pages 554-563, Baltimore, MD, October 13-16 1992.

32. D. Ferraiolo, J. Cugini, and D.R. Kuhn. "Role based access control: Features and motivations." In Annual Computer Security Applications Conference. IEEE Computer Society Press, 1995.

33. John McLean "Security models", Encyclopedia of software engineering, 1994.

34. E. Biham, A. Shamir. Differential Cryptanalysis of DES-like Cryptosystems. Advances in Cryptology CRYPTO '90. LNCS, v. 537, Springer-Verlag, 1991, pp. 2-21.

35. E. Biham, A. Shamir. Differential Cryptanalysis of FEAL and N-Hash. Advances in Cryptology EUROCRYPT '91. LNCS, v. 547, Springer-Verlag, 1991, pp. 1-16.

36. A. Biryukov. Cryptanalysis of RC5. DREI 97 Workshop on Cryptography and Network Security (Abstracts). July 28 Aug 15, 1997.

37. J. Daemen, R. Govaerts, J. Vandewalle. Weak Keys for IDEA. Advances in Cryptology CRYPTO '93. LNCS, v. 773, Springer-Verlag, 1994, pp. 224-231.

38. W. Diffie, P.C. van Oorschot, M.J. Wiener. Authentication and Authenticated Key Exchanges. Designs, Codes and Cryptography, v. 2, 1992, pp. 107-125.

39. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. -М.: 1992.

40. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. -М.: 1992.

41. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: 1992.

42. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа. Термины и определения. -М.: 1992.

43. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. М.: Госстандарт СССР, 1989.

44. ГОСТ 34.10-94. Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма. М.: Госстандарт России, 1994.

45. ГОСТ 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования. М.: Госстандарт России, 1994.

46. Trusted Computer System Evaluation Criteria. US Department of Defense 5200.28-STD, 1993.

47. Trusted Network Interpretation. National Computer Security Center. NCSC-TG-005 Version 1, July 1987.

48. Trusted Database Management System Interpretation. National Computer Security Center. NCSC-TG-021 Version 1, April 1991.

49. A guide to understanding discretionary access control in trusted systems. National Computer Security Center. NCSC-TG-003 Version 1, September 1987.

50. Password management guideline. US Department of Defense. CSC-STD-002-85, April 1985.

51. Guidance for applying the Department of Defense Trusted Computer System Evaluation Criteria in specific environment. US Department of Defense. CSC-STD-003-85, June 1985.

52. A Guide to Understanding Audit in Trusted Systems. National Computer Security Center. NCSC-TG-001, July 1987.

53. Guide to understanding configuration management in trusted systems. National Computer Security Center. NCSC-TG-006-88, March 1988.

54. The Interpreted Trusted Computer System Evaluation Criteria Requirements. National Computer Security Center. NCSC-TG-001-95, January 1995.

55. Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. Department of Trade and Industry, London, 1991.

56. Federal Criteria for Information Technology Security. National Institute of Standards and Technology & National Security Agency. Version 1.0, December 1992.

57. Canadian Trusted Computer Product Evaluation Criteria. Canadian System Security Centre Communication Security Establishment, Government of Canada. Version 3.0e. January 1993.

58. Common Evaluation Methodology for Information Technology Security. National Institute of Standards and Technology & National Security Agency (USA),

59. Metzger, P., W. Simpson. IP Authentication using Keyed MD5. RFC 1828, August 1995.

60. Krawczyk, H., Bellare, M., Canetti, R. HMAC: Keyed-Hashing for Message Authentication. RFC 2104, September, 1997.

61. Kent, S., R. Atkinson. Security Architecture for the Internet Protocol. RFC 2401, November 1998.

62. Kent, S., R. Atkinson. IP Authentication Header (AH). RFC 2402, November 1998.

63. Madson, C., R. Glenn. The Use of HMAC-MD5-96 within ESP and AH. RFC 2403, November 1998.

64. Madson, C., R. Glenn. The Use of HMAC-SHA-1 within ESP and AH. RFC 2404, November 1998.

65. Madson, C., N. Doraswamy. The ESP DES-CBC Cipher Algorithm With Explicit IV. RFC 2405, November 1998.

66. Kent, S., R. Atkinson. IP Encapsulating Security Payload (ESP). Internet Engineereing Task Force (IETF). RFC 2406, November 1998.

67. Piper, D. The Internet IP Security Domain of Interpretation for ISAKMP. Internet Engineereing Task Force (IETF). RFC 2407, November 1998.

68. Maughhan, D., Schertler, M. Schneider, M., J. Turner. Internet Security Association and Key Management Protocol (ISAKMP). Internet Engineereing Task Force (IETF). RFC 2408, November 1998.

69. Harkins, D., Carrel, D. The Internet Key Exchange (IKE). Internet Engineereing Task Force (IETF). RFC 2409, November 1998.

70. Orman, H. The OAKLEY Key Determination Protocol. Internet Engineereing Task Force (IETF). RFC 2412, November 1998.

71. R. Housley, W. Ford, W. Polk, D. Solo. Internet X. 509 Public Key Infrastructure Certificate and CRL Profile. Internet Engineereing Task Force (IETF). RFC 2459, January 1999.

72. R. Glenn. HMAC-MD5 IP Authentication with Replay Prevention. Internet Engineereing Task Force (IETF). RFC 2085. February 1997.

73. N. Doraswamy, R. Glenn. IP Security Document Roadmap. Internet Engineereing Task Force (IETF). RFC 2411. November 1998.

74. R. Adams. The ESP CBC-Mode Cipher Algorithms. Internet Engineereing Task Force (IETF). RFC 2451. November 1998.

75. P. Metzger, W. Simpson. The ESP DES-CBC Transform. Internet Engineereing Task Force (IETF). RFC 1829.August 1995.

76. РОССИ-'''• -<\'1 f ГОСУЛАР:; I