Дискреционная модель безопасности управления доступом и информационными потоками в компьютерных системах с функционально или параметрически ассоциированными сущностями тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат технических наук Колегов, Денис Николаевич

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В настоящее время одной из актуальных задач теории компьютерной безопасности является разработка математических моделей безопасности управления доступом и информационными потоками в современных компьютерных системах (КС). Данная задача возникает как при теоретическом анализе безопасности КС с применением их формальных моделей, так и при тестировании механизмов защиты КС с использованием процедур, методов и средств автоматизации и компьютерного моделирования. На необходимость формализации процедур оценки безопасности, разработки общих методологий и моделей угроз безопасности КС указывается в «Концепции оценки соответствия автоматизированных систем требованиям безопасности информации» [65]. Более того, в соответствии с «Критериями оценки безопасности информационных технологий» [18, 19, 20, 49] для КС с высоким уровнем доверия обязательным является разработка формальной модели их политики- безопасности управления доступом и информационными потоками.

Как правило, для теоретического анализа и обоснования безопасности КС используется подход, основанный на применении классических моделей [6, 51] Take-Grant, Белла-ЛаПадулы, систем военных сообщений, ролевого управления доступом, а также субъектно-ориентированной модели изолированной программной среды (ИПС) [66] и семейства ДП-моделей [50]. С их использованием анализируется безопасность управления доступом и информационными потоками в КС с дискреционным, мандатным или ролевым управлением доступом. Последние две модели адекватно описывают безопасность КС с функционально ассоциированными с субъектами сущностями. При этом ни в одной из известных автору моделей не рассматриваются параметрически ассоциированные с субъектами сущности и не учитывается возможность нарушения безопасности КС при реализации запрещенных информационных потоков по памяти от таких сущностей, что не позволяет моделировать политики управления доступом и информационными потоками в реальных КС.

Другой подход, используемый для анализа безопасности управления доступом и информационными, потоками в КС, ориентирован на построение потенциально возможных путей нарушения их безопасности с применением средств компьютерного моделирования систем обнаружения и предотвращения атак, систем автоматизированного выявления возможности проникновения, управления^ уязвимостями и анализа защищенности [4, 13, 15, 26, 33]. Как правило, данный подход основан на моделях формального описания и верификации политик безопасности или моделях анализа графов атак [25]. В этих моделях используются оригинальные определения элементов и механизмов защиты КС, а реализуемый математический аппарат часто недостаточен для анализа условий нарушения безопасности КС и формального обоснования методов и механизмов их защиты. В то же время известны модели [6, 40]; сочетающие теоретический подход к обоснованию безопасности КС с практическим моделированием условий ее нарушения.

Таким образом, можно сказать, что существующие теоретические модели безопасности, как правило, не позволяют в полной мере учесть существенные особенности функционирования существующих КС, реализующих механизмы управления доступом и информационными потоками (включая механизмы криптографической и стеганографической защиты, а также механизмы защиты файловых систем и web-приложений), в том числе заключающиеся в наличии у субъектов КС параметрически ассоциированных сущностей, а имеющийся математический аппарат, используемый при компьютерном моделировании безопасности современных КС, недостаточен для-ее теоретического анализа.

Цель работы. Обеспечение безопасности дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными с субъектами сущностями.

Объект исследования — КС, реализующие дискреционное управление доступом и информационными потоками.

Предмет исследования - математические модели безопасности дискреционного управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными с субъектами сущностями.

В соответствии с поставленной целью в диссертационной работе решаются следующие задачи:

- создание математической модели безопасности дискреционного управления доступом и информационными потоками в современных КС с функционально или параметрически ассоциированными с субъектами сущностями;

- разработка методов теоретического анализа и обеспечения безопасности КС с дискреционным управлением доступом с функционально или параметрически ассоциированными с субъектами сущностями;

- исследование возможности применения разработанного математического аппарата для обоснования и для тестирования безопасности КС с дискреционным управлением доступом.

Методы исследования. В диссертации используются основные элементы теории компьютерной безопасности, методы формального моделирования систем управления доступом и информационными потоками, методы дискретной математики и математической логики (графы, булевы функции, предикаты) и общей алгебры (множества, отношения).

Научная новизна. Разработана математическая модель, развивающая семейство дискреционных ДП-моделей и, в отличие от них, позволяющая анализировать безопасность управления доступом и информационными потоками в КС с функционально или параметрически ассоциированными' с субъектами сущностями. В модели рассматривается новый вид сущностей -параметрически ассоциированных с субъектами КС, устанавливаются и обосновываются необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту, строится алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока и разрабатываются методы их предотвращения.

Достоверность полученных результатов. Все полученные в диссертации теоретические результаты имеют строгое математическое обоснование в форме теорем. Корректность построения предложенной, теоретической модели подтверждена погружением в неё некоторых известных моделей безопасности, применяемых на практике. Кроме того, разработанная модель была использована для анализа безопасности современных реальных КС.

Теоретическая значимость. В диссертации разработаны математические модели, методы и алгоритмы для теоретического анализа безопасности дискреционного управления доступом и информационными потоками в современных КС. Они могут быть использованы и уже используются в дальнейших исследованиях по теории компьютерной безопасности.

Практическая значимость. Предложенные модели, методы и алгоритмы можно использовать на практике для формального анализа уязвимостей и моделирования дискреционных политик управления доступом и информационными потоками в КС с высоким уровнем доверия к их безопасности, а также для разработки методов управления, администрирования и настройки параметров КС, позволяющих обеспечить защиту от нарушения их безопасности.

Основные результаты, выносимые на защиту. Дискреционная ДП-модель компьютерных систем с функционально или параметрически ассоциированными с субъектами сущностями, в рамках которой-предложены и теоретически обоснованы:

- необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту;

- метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту;

- алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока;

- метод предотвращения утечки права доступа или реализации запрещенного информационного потока без знания и изменения реализации субъектов.

Внедрение результатов исследований. Результаты диссертации внедрены:

1) в ФГНУ «ГНТЦ «Наука»» при проведении исследований по теме «Навет Ф»: «Комплексное исследование подсистемы безопасности операционных систем типа Microsoft Windows Vista»;

2) в Томском отделении № 8616 Сбербанка России* ОАО при разработке и при обосновании безопасности технологической схемы файлового обмена между корпоративной локальной вычислительной сетью (ЛВС) банка и сегментом сети Интернет на базе шлюза прикладного уровня;

3) в курсы лекций' «Теоретические основы компьютерной безопасности», «Анализ безопасности компьютерных систем», «Защита-в компьютерных сетях» для студентов кафедры защиты информации и криптографии Томского государственного университета, обучающихся по специальности 090102 «Компьютерная безопасность».

Личный вклад автора. Все результаты, представленные в диссертационной работе, получены автором лично.

Апробация работы. Результаты диссертации докладывались и получили одобрение на^ Сибирской научной школе-семинаре с международным участием «Компьютерная безопасность и криптография» - SibeCrypt (п. Шушенское, 2006 г., г. Горно-Алтайск, 2007 г. и г. Красноярск, 2008 г.), на семинарах управления безопасности и защиты информации Сибирского банка Сбербанка России ОАО, на семинаре кафедры комплексной информационной безопасности электронно-вычислительных систем Томского университета систем управления и радиоэлектроники и на совместных научных семинарах кафедр защиты информации и криптографии, программирования, информационных технологий в исследовании дискретных структур Томского государственного университета.

Публикации. Основные результаты диссертации опубликованы в статьях [67 - 73], в, том числе 1 публикация [71] в журнале из перечня, рекомендованного ВАК для' опубликования результатов кандидатских диссертаций.

Структура и объём диссертации. Диссертация состоит из введения, четырех глав, заключения, библиографии, включающей 73 наименования, и приложения; изложена на 127 страницах, содержит 7 иллюстраций-и 4 таблицы.

Результаты работы могут быть использованы на практике в КС с дискреционным управлением доступом с функционально или параметрически ассоциированными с субъектами сущностями для формального анализа уязвимостей, для формального моделирования политик управления доступом и информационными потоками и для разработки методов управления, администрирования и настройки параметров КС, позволяющих обеспечить защиту от нарушения ее безопасности.

Заключение

В данной диссертационной работе рассмотрены вопросы создания и применения математических моделей дискреционного управления доступом и информационными потоками для разработки и для анализа безопасности КС с функционально или параметрически ассоциированными с субъектами сущностями. Получены следующие основные результаты.

1. Разработана дискреционная ФПАС ДП-модель КС, в рамках которой обоснованы необходимые и достаточные условия возможности получения недоверенным субъектом права доступа владения к доверенному субъекту.

2. Предложен метод предотвращения возможности получения права доступа владения недоверенным субъектом к доверенному субъекту в рамках ФПАС ДП-модели КС.

3. Построен алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенного информационного потока в ФПАС ДП-модели КС.

4. Разработан и теоретически обоснован метод предотвращения утечки права доступа или реализации запрещенного информационного потока в рамках ФПАС ДП-модели КС без знания и изменения реализации субъектов.

5. Показана возможность применения ФПАС ДП-модели для анализа безопасности управления доступом и информационными потоками в современных сетевых КС с уязвимостями.

1. Amenaza. A Quick Tour of Attack Tree Based Risk Analysis Электронный ресурс.. - Режим доступа : http://www.amenaza.com

2. Amman, P. Using Model Checking to Analyze Network Vulnerabilities / P. Amman, R. Ritchey // Proc. of the 2000 IEEE Symposium on Security and Privacy. 2000. - P. 156 - 165.

3. Ammann, P. Scalable Graph-Based Network Vulnerability Analysis / P. Am-mann, D. Wijesekera, S. Kaushik // Proc. of the 9th ACM Conference on Computer and Communications Security / New York: ACM Press. 2002. -P. 217-224.

4. Artz, M. NETspa, A Network Security Planning Architecture: M.S. Thesis / M. Artz; Cambridge / Massachusetts Institute of Technology. 2002.

5. Bell, D. E. Secure Computer Systems: Unified Exposition and Multics Interpretation / D. E. Bell, L. J. LaPadula // Bedford, Mass.: MITRE Corp. -1976. MTR-2997. - Rev. 1.

6. Bishop, M. Computer Security: Art and Science / M. Bishop. ISBN 020144099-7, 2002. -1084 p.

7. Bishop, M. Extending the Take-Grant Protection System / M. Bishop, J. Frank; University of California at Davis / Department of Computer Science. -1984.

8. Camtepe, B. A Formal Method for Attack Modeling and Detection: TR-06-01 / S. Camtepe, B. Yener; Rensselaer Polytechnic Institute / Computer Science Department. 2006.

9. Core Impact Электронный ресурс. Режим доступа : http://coresecurity.com.

10. Cullum, J. Perfomance Analysis of Automated Attack Graph Generation Software: Master's Thesis / J. Cullum; Naval Postgraduate School. Monterey, California, 2006.

11. Dacier, M. A Petri Net Representation.of the Take-Grant Model / M. Dacier I I 6th IEEE Computer Security Foundations Workshop CSFW'93 / Franconia, New Hampshire, USA, 1993.

12. Dacier, M. Privilege graph: an extension to the Typed Access Matrix model / M. Dacier, Y. Deswarte // Computer Security ESORICS 94, Third European Symposium on Research in Computer Security / Brighton, UK, 1994.

13. Danforth, M. Models for Threat Assessment in Networks: PhD dissertation / M. Danforth; Davis / University of California, 2006.

14. Futoransky, A. Building'Computer Networks Attacks Электронный,ресурс. / A. Futoransky Режим* доступа : http://www.coresecurity.com/files/ attachments/FutoranskyNotarfrancescoRicharteSarrauteNetworksAttacks 2003.pdf

15. Gorodetski, V. Attacks Against Computer Network: Formal Grammar-based Framework and Simulation Tool / V. Gorodetski, I. Kotenko // Lecture Notes in Computer Science. Vol. 2516.

16. Harrison, M. Protection in> Operating Systems / M: Harrison, W. Ruzzo, J. Ullman // Communication of ACM, 19(8). 1976. - P. 461 - 471.

17. Herzog, P. Open-source Security Testing Methodology Manual Электронный ресурс. / P. Herzog Режим доступа: http://osstmm.org.

18. Information technology Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. - ISO/IEC 15408-1, 1999.

19. Information technology Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements. - ISO/IEC 15408-2, 1999.

20. Information, technology Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements. - ISO/IEC 15408-3, 1999.

21. Information systems security assessment framework Электронный ресурс. Режим доступа: http://oissg.org.

22. Jones, A. A-Linear Time Algorithm for Deciding Security / A. Jones, R. Lip-ton, L. Snyder // Proc. 17th Annual Symposium on the Foundations of Computer Science. 1976. - P. 33 - 41.

23. Jajodia, S. Topological Analysis of Network Attack Vulnerability / S. Jajodia, S. Noel, B. O'Berry // Managing Cyber Threats: Issues, Approaches and Challenges, 2003.

24. Lanawehrm, E. A Security Model for Military Message Systems / E. Lanawehrm, L. Heitmeyer, J. McLean // ACM Trans / On Computer Systems. -Vol. 9, № 3. P. 198-222.

25. Lippmann, R. P. An Annotated Review of Past Papers on Attack Graphs Technical Report ESC-TR-2005-054 / R. P. Lippmann, K. W. Ingols; Lexington / MIT Lincoln Laboratory, 2005.

26. Lippmann, R.P. Evaluating and Strengthening Enterprise Network Security Using Attack Graphs: Technical Report ESC-TR-2005-064 / R.P. Lippmann, K.W. Ingols; Lexington / MIT Lincoln Laboratory, 2005.

27. McDermott, J. P. Attack Net Penetration Testing / J. P. McDermott // Proc. of the 2000 Workshop on New Security Paradigms / New York: ACM Press, 2001.-P. 15-21.

28. McLean, J. The Specification and Modeling of Computer Security / J. McLean, D. John // Computer. 1990. - Vol. 23. - No. 1.

29. McNab, C. Network Security Assessment, second edition / C. McNab. -ISBN-10:0-596-51030-6, 2007.-478 p.

30. Technical Guide to Information Security Testing and Assessment. Recommendations of the National Institute of Standards and Technology / M. Souppaya et al. 2008.

31. Ou, X. MulVAL: A Logic-based Network Security Analyzer / X. Ou, S. Go-vindavajhal, A. Appel // In 14th USENIX Security Symposium / Baltimore, MD, USA.-2005.

32. Ou, X. A Scalable Approach to Attack Graph Generation / X. Ou, W. Boyer, M. McQueen // Proc. of the 13th ACM conference on Computer and communications security. 2006.

33. Phillips, C. A Graph-Based System for Network-Vulnerability Analysis / C. Phillips, L. Swiler L // Proc. of the New Security Paradigms Workshop / Charlottesville. 1998.

34. Ramakrishnan, C. Model-Based Analysis of Configuration Vulnerabilities / C. Ramakrishnan, R. Sekar // Journal of Computer Security. V.10. - №.1 - 2. -2002.-P. 189-209.

35. Sandhu, R. The Typed Access Matrix Model / R. Sandhu // Proc. 1992 IEEE Symposium on Research in security and Privacy. 1992. - P. 122-136.

36. Sandhu, R. Rationale for the RBAC96 Family of Access Control Models / R. Sandhu // Proc. of the 1st ACM Workshop on Role-Based Access Control. -1997.

37. Sandhu, R. Role-Based Access Control / R. Sandhu // Advanced in Computers / Academic Press. 1998. - Vol. 46.

38. Schneier, B. Attack Trees / B. Schneier // Dr. Dobbs Journal. 1999.

39. Network Vulnerability Analysis Thorough Vulnerability Take-Grant Model /th

40. H. R. Shahriary et al. // Proc. of 7 International Conference on Information and Communications Security. 2005.

41. Sheyner, O. Scenario Graphs and Attack Graphs: Ph.D. dissertation / O. Sheyner; Carnegie Mellon University. Pittsburgh, 2004.

42. The Killer Web App. / C.A. Shiller et al. ISBN-10: 1-59749-135-7. -2007.-459 p.

43. Computer-Attack Graph Generation Tool / L. P. Swiler et al. // Proc. of the Second DARPA Information Survivability Conference & Exposition (DISCEX II) / Los Alamitos, California, IEEE Computer Society. 2001. -V. II.-P. 307-321.

44. Templeton, S. A Requires/Provides Model for Computer Attacks / S. Templeton, K. Levitt // Proc. of the 2000 Workshop on New Security Paradigms / New York: ACM Press. 2001.

45. Брагг, P. Система безопасности Windows 2000 / P. Брагг; пер. с англ. -М.: Издательский дом «Вильяме». 2001. - 592 е.: ил.

46. База уязвимостей SecurityFocus Электронный ресурс. Режим доступа: http://www.securityfocus.com/bid.

47. База уязвимостей NVD Электронный ресурс. Режим доступа: http://nvd.nist.gov.

48. Буренин, П.В. Подходы к построению ДП-модели файловых систем / П.В. Буренин // Прикладная дискретная математика. 2009. - №1(3). - С. 93-113.

49. Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий : в 3 ч. Электронный ресурс. Режим доступа: http://www.fstec.ru/razd/ispo.htm.

50. Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П. Н. Девянин. М.: Радио и связь, 2006. - 176 с.

51. Девянин, П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. Заведений / П. Н. Девянин. М.: Издательский центр "Академия", 2005. - 144 с.

52. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин и др.. М.: Радио и связь, 2000. - 192 с.

53. Зегжда, Д. П. Основы безопасности информационных систем / Д.П. Зег-жда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

54. Касперский, К. Техника сетевых атак. Том 1: Приемы противодействия / К. Касперский. М.: СОЛОН-пресс, 2001. - 400 с.

55. Каталог уязвимостей CVE Электронный ресурс. Режим доступа : http://cve.mitre.org.

56. Кнут, Д. Искусство программирования для ЭВМ / Д. Кнут. М: Мир, 1976.-т. 1.-736 с.

57. Искусство взлома и защиты систем / Козиол, Дж. и др.. СПб.: Питер, 2006.-416 е.: ил.

58. Котенко, И.В. Интеллектуальная система анализа защищенности компьютерных сетей / И.В. Котенко, М.В. Степашкин, В.С* Богданов Электронный ресурс. Режим доступа : http://www.positif.org/docs/ SPIIRAS-NCAr06-Stepashkin.pdf.

59. Лепихин, В.Б. Сравнительный анализ сканеров безопасности. Функциональные возможности сканеров безопасности / В.Б. Лепихин, С.В. Гордейчик Электронный ресурс. Режим доступа : http://securitylab.ru/ analytics/downloads/secscanpt2.pdf.

60. Лепихин В.Б. Сравнительный анализ сканеров безопасности. Тест на проникновение Электронный ресурс. Режим доступа : http://www.itsecurity.ru/edu/actions/2008-pentest.zip.

61. Проскурин, В.Г. Защита в операционных системах: Учеб. пособие для вузов / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. М.: Радио и связь, 2000. - 168 с.

62. Робачевский, А. Операционная система UNIX / А. Робачевский. СПб.: БХВ-Петербург, 2000. - 528 с.

63. Сбербанк России- ОАО. Требования по обеспечению информационной безопасности в автоматизированных системах Сбербанка России. — М.: 2008.

64. ФСТЭК России. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации Электронный ресурс. -Режим доступа: http://www.fstec.ru/licen/015.pdf.

65. Щербаков, А. Ю. Введение в теорию и практику компьютерной безопасности / А. Ю. Щербаков М.: издатель Молгачева С.В. - 2001. - 352 с.

66. Колегов, Д. Н. Общая схема вероятностной поточной шифрсистемы / Д. Н. Колегов // Вестник Том. ун-та. Приложение. 2006. - № 17. — С.112115.

67. Колегов, Д. Н. Проблемы синтеза и анализа графов атак / Д. Н. Колегов // Вестник Том. ун-та. Приложение. 2007. - № 23. - С. 180 - 188.

68. Колегов, Д. Н. Применение ДП-моделей для анализа защищенности сетей / Д. Н. Колегов // Прикладная дискретная математика. 2008. - №1. -С. 71 -88.

69. Колегов, Д. Н. Расширение функциональности системы безопасности ядра Linux на основе подмены системных вызовов / М. А. Качанов, Д. Н. Колегов // Прикладная дискретная математика. 2008. - №2. - С. 76 -80.

70. Колегов, Д. Н. Анализ безопасности информационных потоков по памяти в компьютерных системах с функционально и параметрически ассоциированными сущностями / Д. Н. Колегов // Прикладная дискретная математика. 2009. - №1(3). - С. 117 - 126.

71. Колегов, Д. Н. Об использовании формальных моделей для анализа уязвимостей / Д. Н. Колегов // Прикладная дискретная математика. -2009. -№1(3). -С. 113-117.