Введение к работе
з .
1. Актуальность исследования. В настоящее время при проектировании и эксплуатации компьютерных систем (КС) различного назначения проблемы обеспечения информационной безопасности стали играть ключевую роль. Это касается не только систем специального применения (например, военных), но и систем общего назначения, связанных с поддержкой критичных информационных технологий (медицина, транспорт, связь, энергетика, финансы и др.).
По данным министерства юстиции США каждые 4 секунды в мире происходит компьютерное преступление (из них свыше 40% носят умышленный характер, свыше 70% связаны с несанкционированным доступом к данным). По данным ЦБ РФ можно сделать выводы и о масштабе атак на КС, обслуживающие кредитно-финансовую сферу - масштаб потерь из-за незащищенности данных в региональных сетях оценен в 20 млрд. рублей в год (из них свыше 30% потери в системах безналичного оборота с пластиковыми карточками). За рубежом масштаб такого рода потерь (в частности, для Европы) на порядок выше.
Несомненно, в силу приведенных причин защите информации при проектировании КС уделяется самое серьезное внимание. Однако уровень готовности к теоретическим и практическим решениям проблем безопасности налек от желаемого. В методологии проектирования систем безопасности основной проблемой является отсутствие единого обоснованного подхода к разработке и эксплуатации защищенных компьютерных систем. В настоящее время превалирующей методологией проектирования является сформировавшаяся в 70 годы в США методология необходимых условий, ориентированная на качественное описание защитных механизмов (как правило, на их наличие или отсутствие). Кроме того, жизненный цикл систем безопасности (проектирование, разработка, эксплуатация, управление) ориентирован на итеративное движение, связанное с ірработкой обнаруженных слабостей в защите. Достаточное поверхностное знимание уделяется проектированию процедур управления безопасностью, "ложившийся подход к проектированию систем безопасности наследует, таким збразом, традиционную технологию проектирования и не влияет на итерационный (арактер процессов проектирования. Методология необходимых условий делает трактически невозможным применение средств автоматизации проектирования.
Весьма важной проблемой является также серьезное отставание методов и моделей проектирования средств защиты от практически доступных широкому кругу пользователей достижений современных сетевых информационных технологий.
Таким образом, тема диссертационной работы является актуальной и непосредственно соотносится с глобальной проблемой управления техническим циклом жизни программно-технических изделий (в данном случае относящихся к обеспечению безопасности).
Цель работы. Решение проблемы комплексного проектирования средств защиты распределенных компьютерных систем от несанкционированного доступа и разработка совокупности методов обеспечения гарантий выполнения произвольной политики безопасности (ПБ) при проектировании, эксплуатации и управлении защищаемой КС.
Задачами исследований являются:
1. уточнение моделей взаимодействия элементов КС с учетом механизма
порождения и взаимовлияния субъектов (программ, процессов),
2. формулирование и обоснование условий выполнения произвольной
политики безопасности при проектировании системы защиты,
-
изучение дополнительных свойств моделей, позволяющих адаптировать их к конкретной архитектуре КС и учесть их при проектировании,
-
рассмотрение модели и методов проектирования защиты применительно к реальному жизненному циклу КС,
-
уточнение политик безопасности при проектировании механизмов защиты распределенных систем (сетей),
-
формулирование и обоснование методов и моделей проектирования систем управления механизмами безопасности КС.
Общая методология исследования. Методология исследований базируется на системно-концептуальном подходе к безопасности и уточняет его исходя из предлагаемой в работе методологии достаточных условий.
Научная новизна работы заключается в следующих основных результатах: 1. предложена субъектно-ориентированная модель безопасности компьютерной системы, определяющая основную роль субъекта (активной компоненты' КС) как в процессе нарушения безопасности, так и в поддержании
заданной политики безопасности; уточнены основные термины и введены новые понятия (ассоциированные объекты, функция порождения субъекта и др.), позволяющие более корректно формулировать и доказывать утверждения, касающиеся свойств механизмов обеспечения безопасности КС в процессе их проектирования,
2. сформулированы и доказаны утверждения, описывающие условия
выполнения произвольной политики безопасности; сформулирована методология
достаточных условий выполнения произвольной политики безопасности при
проектировании КС,
3. предложен конструктивный метод, описывающий условия гарантированного
выполнения произвольной политики безопасности, задаваемой при
проектировании КС - метод генерации изолированной программной среды,
4. описаны варианты реализации данного метода с учетом конкретной
архитектуры КС,
5. метод генерации изолированной программной среды конкретизирован для
распределенных гетерогенных КС в методе доверенной загрузки ОС; предложены
критерии классификации модулей доверенной загрузки ОС, позволяющие
оптимизировать параметры проектируемой системы безопасности,
-
изучена проблема сопряжения механизмов генерации изолированной программной среды со штатными средствами защиты операционных систем, сформулированы и доказаны условия корректного взаимодействия модулей сопряжения и описаны структуры данных, необходимые для сопряжения,
-
предложен метод универсального сопряжения механизмов генерации изолированной программной среды с различными реализациями логической защиты (контроль целостности и т.д.) в процессе проектирования механизмов безопасности КС; сформулированы и доказаны достаточные условия корректности сопряжения,
8. уточнена модель взаимодействия локальных и удаленных сегментов КС,
показана несостоятельность целого класса политик безопасности, связанных с
полным проецированием прав пользователя на доступные ему субъекты;
предложена конструктивная коррекция ПБ в сетевых средах при проектировании
механизмов безопасности,
9. проведен анализ двух классов защиты от несанкционированного доступа в
сетевой среде: межсетевых экранов (МЭ) и локальной защиты; предложены критерии классификации механизмов межсетевой защиты с учетом коррекций ПБ и механизмов генерации изолированной программной среды, могущие служить основой для автоматизированного проектирования средств защиты в распределенной системе,
10. предложена модель управления механизмами реализации ПБ в
распределенной КС; сформулировано понятие корректного управления и
обоснованы достаточные условия корректности управления, предложены методы
проектирования систем управления безопасностью, обеспечивающие с одной
стороны корректность управления, а с другой - работоспособность сложных
программных комплексов.
Практическая ценность. Все изложенные в работе результаты доведены до практической реализации для различных операционных сред. Результаты оценочного и классификационного плана использованы при разработке ряда нормативных документов. Результаты, изложенные в работе, реализованы также в ряде программно-аппаратных систем защиты от несанкционированного доступа (M-Lock, Азимут, OCA-DOS и др.).
Достоверность результатов. Достоверность всех формальных результатов обоснована корректной постановкой задач, выводами и доказательствами. Достоверность общих положений подтверждается ссылками на публикации и результаты моделирования.
Апробация работы. Основные результаты работы докладывались и обсуждались на специализированных конференциях и семинарах: Технология электронных коммуникаций (ТЭК) - ТЭК-93, ТЭК-94, Региональная информатика (РИ): РИ-94, РИ-95, семинары Ассоциации российских банков, семинары кафедр и УНЦ МГИЭМ и др. вузов. Результаты обсуждались также в сетевых конференциях по безопасности Relcom, FIDO и Internet. Отдельные параграфы работы размещены для постоянного использования по адресу: .
Публикации. Список основных публикаций приведен в конце работы.
Структура и объем диссертации. Диссертация состоит из введения, шести глав, заключения и приложений.