Логико-языковые средства описания моделей логического разграничения доступа тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат физико-математических наук Андреев, Олег Олегович

Актуальность работы. Б связи с активным использованием информационно-вычислительных комплексов для решения практически значимых задач все больший интерес в последнее время проявляется к средствам описания политик их информационной безопасности и, в частности, к моделям и механизмам логического разграничения доступа к ресурсам таких комплексов. Доступ к подобным ресурсам, к которым относятся информационные активы, средства вычислительной техники и коммуникаций, далее для краткости изложения будем именовать просто «доступом». Средства логического разграничения доступа (далее для краткости в тексте используется сочетание «разграничения доступа»), основанные на этих механизмах, занимают одно из центральных мест среди других компонентов, реализующих политику безопасности защищаемого объекта. К их числу относятся также средства идентификации/аутентификации пользователей и процессов, действующих от их имени, экранирования, шифрования и иные компоненты [4]. Механизмы разграничения доступа могут быть встроены как в операционные системы (ОС) и системные сервисы, так и в сервисы прикладного уровня [7].

Положения законов и подзаконных актов, нормативно-регламентирующих документов, стандартов и рекомендаций в области обеспечения безопасности информационных технологий [1,8-10,17] определяют ряд требований к механизмам защиты в автоматизированных системах, в том числе — к программным механизмам логического разграничения доступа. К числу требований, предъявляемых к таким механизмам, используемым в автоматизированных системах с повышенными требованиями защищенности, относится требование существования формальных моделей, на основе которых они функционируют.

Формальное описание модели логического разграничения доступа сложно организованной компьютерной системы является крайне трудоемкой задачей в связи с гетерогенностью средств описания составляющих ее моделей в отдельных компонентах программной системы. В программных системах, работающих под управлением современных ОС, таких как Linux и Windows, используются программные реализации механизмов разграничения доступа, основанных на моделях, разработанных еще в 1970х годах, таких как дискреционная [47] или многоуровневая [22,24]. Дискреционная модель представляет собой достаточно вариативную в плане реализуемых на ее основе правил, простую для описания модель логического разграничения доступа. Вместе с тем политики безопасности на основе такой модели получаются громоздкими в их формальном и «машинном» представлении, сложно верифицируемыми и, как следствие, неудобными для управления. Мандатная модель разграничения доступа на основе упорядоченных меток безопасности является, наоборот, слишком «жесткой» с точки зрения условий и правил, которые она реализует. Она удобна в плане верификации, проста с позиции ее формального представления, управления и настройки, однако пригодна для реального применения при реализации политик безопасности относительно узкого класса информационных систем.

Перечисленные модели, а также ряд других [11, 29] определяют лишь базовые отношения, на основе которых формируются программные механизмы логического разграничения доступа к данным и ресурсам подлежащих защите практически значимых компьютерных систем. Реализация политик безопасности, использующих современные и более сложные модели разграничения доступа, такие как ролевая, сопряжена с большими трудностями внедрения дополнительных механизмов в ядра операционных систем и их практического использования в составе программных комплексов. Механизмы разграничения доступа, встроенные в различные компоненты, зачастую обладают собственным языком описания набора правил, в соответствии с которыми доступ разрешается или запрещается. Это обстоятельство затрудняет анализ со стороны пользователя или администратора, отвечающего за информационную безопасность системы, соответствия механизмов разграничения доступа, которые реализуются в отдельных компонентах сложной системы, политике безопасности системы в целом. Отмеченные выше и ряд других недостатков эксплуатирующихся в настоящее время систем стимулируют рабо6 ты по созданию новых логико-языковых средств описания моделей разграничения доступа, таких как extended Access Control Markup Language [54], Enterprise Privacy Authorisation Language [53]. Данные средства предоставляют администратору системы возможность самому определить модель разграничения доступа, в большей степени соответствующую потребностям защищаемого информационно-вычислительного комплекса, или выбрать необходимую по требованиям информационной безопасности модель среди предлагаемых другими разработчиками. Такие логико-языковые средства обладают широким кругом выразительных средств для описания условий, при которых разрешается или запрещается доступ. Отмеченное обстоятельство является важным преимуществом этих языков перед другими способами задания моделей логического разграничения доступа. Однако, и это следует отметить, перманентно выполняемые в течении всего времени функционирования информационной системы проверки на разрешение или запрещение доступа при использовании сложных моделей логического разграничения доступа, основанных на такого рода языковых средствах, становятся существенно более затратными в смысле потребляемых при их использовании вычислительных ресурсов, чем при применении более простых моделей. Последнее обстоятельство приводит к существенному замедлению работы информационной системы. Таким образом, одной из задач, важных для успешного внедрения и использования подобных средств в реальных информационно-вычислительных комплексах, является разработка, внедрение и оптимизация механизмов разграничения доступа, основанных на выразительных логико-языковых средствах.

В ходе жизненного цикла информационных систем происходят постоянные изменения, обновления, объединения и разделения, связанные с соответствующими процессами, происходящими в организациях, которые контролируют соблюдение требований безопасности ресурсов таких систем. Подобные модификации связаны с изменением структуры организаций, внутренних регламентов, стандартов и нормативно-правовых документов, регламентирующих их деятельность. Такие изменения должны отражаться в политиках информационной безопасности организаций и, в частности, в моделях логического разграничения доступа. Процесс создания и изменения моделей разграничения доступа и, в частности, их интеграции или разделения на несколько моделей является крайне трудоемким и подверженным ошибкам.

Отмеченные выше обстоятельства определяют актуальность задачи автоматизированного анализа корректности моделей и механизмов логического разграничения доступа, которая, в свою очередь, во многом зависит от свойств языка их описания. Настоящая работа направлена на разработку нового, более удобного для использования на практике языка описания моделей логического разграничения доступа к ресурсам информационно-вычислительных (автоматизированных) систем и решение представленных выше задач применительно к такому языку.

Объектом исследования являются механизмы логического разграничения доступа в компьютерных системах, к защищенности которых предъявляются повышенные требования.

Предметом исследования являются формальные модели логического разграничения доступа в компьютерных системах, подходы к описанию и анализу таких моделей.

Цель диссертационной работы состоит в исследовании методов описания моделей логического разграничения доступа, в разработке и практической реализации на этой основе программных средств разграничения доступа пользователей к ресурсам компьютерных систем. Для достижения этой цели сформулированы и решаются следующие задачи:

• создание формальной модели языка описания моделей логического разграничения доступа;

• разработка на ее основе языка описания моделей логического разграничения доступа, эффективного с позиций предъявляемых к нему требований;

• разработка алгоритмов анализа (проверки) свойств моделей, представленных на основе разработанного языка;

• реализация программных средств разграничения доступа, основанных на разработанном языке и повышение их производительности;

• проведение тестовых испытаний программных средств разграничения доступа. i

Цель работы и перечисленные задачи соответствуют положениям паспорта специальности 05.13.19 — методы и системы защиты информации, информационная безопасность.

На защиту выносятся следующие основные результаты.

• Формальное описание класса моделей логического разграничения доступа, которое включает в себя достаточное широкое с практической точки зрения множество моделей.

• Логико-языковые средства (язык), позволяющие эффективно с позиции предъявляемых к ним требований описывать рассматриваемый класс моделей.

• Алгоритм, позволяющий производить сравнения моделей, описанных с помощью разработанного языка, на предмет того, является ли одна из них «включенной» в другую.

• Программные средств разграничения доступа, построенные на основе разработанного языка и предназначенные для их внедрения в ядро ОС Linux и в программы, написанные на языках С и Python.

• Методы повышения эффективности программных механизмов логического разграничения доступа, позволяющие существенно ускорить принятие решения о предоставлении доступа к информационным активам, вычислительным и коммуникационным ресурсам защищаемых систем, а также результаты тестовых испытаний предложенных методов.

Методы исследования. Для формализации ряда используемых в настоящей работе понятий и проведения строгих доказательств используются следующие методы:

• методы математической логики, включая исчисление предикатов;

• методы дискретной математики, в том числе, теории графов, теории булевых функций;

• методы программной инженерии.

Научная новизна результатов диссертации состоит: 0

• в разработке новых подходов к описанию формальных моделей логического разграничения доступа на основе логико-языковых средств;

• в создании способов сравнения описанных таким образом моделей;

• в исследовании вопросов программной реализации механизмов разграничения доступа на основе разработанных логико-языковых средств.

Практическая значимость диссертационной работы заключается в разработанном автором языке описания моделей логического разграничения доступа, методах анализа моделей, описанных с помощью этого языка, а также в реализованных программных механизмах разграничения доступа, основанных на разработанном языке и предназначенных для внедрения в ядро Linux и прикладные программы.

Апробация работы. Результаты работы докладывались на научных конференциях «Математика и безопасность информационных технологий» (2005-2006 гг.), «Актуальные проблемы вычислительной математики» (2006 г.), на семинаре «Проблемы современных информационно-вычислительных систем» под руководством д. ф.-м. н., проф. В. А. Васенина (механико-математический факультет МГУ имени М. В. Ломоносова, 2005, 2009 гг.).

Внедрение результатов работы. Результаты работы нашли свое применение в процессе выполнения проектов: «Методы и средства противодействия компьютерному терроризму: механизмы, сценарии, инструментальные средства и административно-правовые решения» (НИР 2005-БТ-22.2/001 в рамках ФЦП «Исследования и разработки по приоритетным направлениям науки и техники»). Получено свидетельство об официальной регистрации программы для ЭВМ «Набор специализированных дистрибутивов ОС Linux с повышенными требованиями к защищенности» (свидетельство № 2006613706).

Публикации. По результатам работы опубликовано 7 научных статей, из них — одна статья в журнале из перечня ведущих рецензируемых изданий, рекомендованных ВАК [2].

Материалы работы вошли в главу 3 опубликованной в 2008 году коллективной монографии «Критически важные объекты и кибертерроризм. Часть 2. Ю

Аспекты программной реализации средств противодействия» (О. О. Андреев и др. под ред. В. А. Басенина) [15].

Личный вклад автора заключается в проведенном им анализе существующих логико-языковых средств описания моделей логического разграничения доступа, в разработке нового языка описания таких моделей, алгоритма анализа моделей, представленных на разработанном языке, а также в создании программных средств, реализующих разграничение доступа на основе нового языка.

Структура работы.

Первая глава диссертации посвящена результатам выполненных автором исследований, направленных на систематизацию и обобщение сведений об используемых в настоящее время на практике моделях логического разграничения доступа (ЛРД) и способах их описания. Рассмотрены преимущества и недостатки каждой из представленных моделей ЛРД и средств их описания. Выделяются ключевые задачи, решение которых представлено в работе.

Во второй главе рассматривается разработанный автором язык описания моделей логического разграничения доступа. Представлены базовые понятия, синтаксис и формальное математическое описание достаточно представительного класса моделей логического разграничения доступа, а также примеры использования разработанного диссертантом языка для их описания.

В третьей главе приводится исследование современных подходов к анализу моделей ЛРД, обосновывается необходимость разработки новых подходов и алгоритмов, которые могут быть применены в задаче изучения моделей ЛРД, описанных с помощью представленного в главе 2 языка.

Четвертая глава посвящена вопросам программной реализации механизмов разграничения доступа на основе разработанного языка. Рассматриваются основные принципы построения архитектуры средств разграничения доступа и их место в программных комплексах защиты информационной безопасности. Приводятся технические аспекты внедрения механизмов ЛРД в ядро Linux и в другие программные системы. Исследуются вопросы повышения производительности разработанных механизмов. и

Пятая глава содержит описание методик проверки разработанных механизмов, а также результаты проведенных тестовых испытаний.

В заключении перечисляются основные результаты диссертационной работы.

5.4. Выводы

В данном разделе были приведены результаты тестирования программных механизмов, основанных на разработанном авторе языке. Исходя из изложенных выше экспериментальных данных можно сделать вывод, что предложенные методы повышения производительности механизмов разграничения доступа, основанных на разработанном языке, позволяют достаточно эффективно использовать такие механизмы в современных программных системах. Замедление, вносимое в работу информационной системы подобными механизмами, не является существенным для большинства систем. Таким образом, использование разработанного языка в реальных информационных системах является оправданным с практической точки зрения. щ

Заключение

В рамках диссертационной работы получены следующие результаты.

• Формально описан класс моделей логического разграничения доступа, который включает в себя достаточное широкий с практической точки зрения набор таких моделей, используемых в системах с повышенными требованиями к защищенности их ресурсов.

• Разработано и представлено логико-языковое средство (язык), позволяющее описывать модели, содержащиеся в рассматриваемом классе моделей логического разграничения доступа.

• Предложен алгоритм, позволяющий определить факт включения одной модели логического разграничения доступа, описанной с помощью представленного языка, в другую. Доказана корректность этого алгоритма.

• Реализованы программные механизмы логического разграничения доступа, построенные на основе разработанного языка и предназначенные для их внедрения в ядро ОС Linux и в программы, написанные на языках С и Python.

• Рассмотрены и критически проанализированы несколько методов повышения эффективности обработки запросов на доступ в предлагаемых программных механизмах. На их основе разработаны способы практической реализации механизмов логического разграничения доступа, корректность которых доказательно обоснована.

• Проведены тестовые испытания разработанных механизмов логического разграничения доступа на предмет: проверки выполнения функциональных требований; оценки эффективности методов повышения производиoV тельности обработки запросов на предмет разрешения доступа; оценки степени замедления работы программных средств, в которых используются разработанные механизмы.

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Руководящий документ ФСТЭК от 30 марта 1992 года / ФСТЭК. - 1992.

2. Андреев О. О. Интеграция моделей логического разграничения доступа, описанных на специализированном языке. // Информационные технологии. — М.: Новые технологии. — 2009. — № 12. — С. 29-33.

3. Андреев О. О. О методах оптимизации механизмов разграничения доступа, основанных на логико-языковых средствах. // Проблемы информатики. — Новосибирск: НГТУ. 2009. - № 2. - С. 18-27.

4. Васенин В. А. Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет. Материалы конференции МаБИТ-03. Москва, 2004. — С. 81-99.

5. Васенин В. А., Афонин С. А., Козицын А. С. Автоматизированная система тематического анализа информации. // Информационные технологии. — М.: Новые технологии. — 2009. — № 4. — С. 15-22.

6. Галатенко В. А. Основы информационной безопасности. Интернет-университет информационных технологий — ИНТУИТ.ру, 2008. — 205 с.он

7. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. — М.: ИПК Издательство стандартов, 2002.

8. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. — М.: ИПК Издательство стандартов, 2002.

9. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. — М.: ИПК Издательство стандартов, 2002.

10. Девянин П. И. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. — М.: Радио и связь, 2006. — 176 с.

11. Кларк Э.М. Мл., Грамберг О., Пелед Д. Верификация моделей программ: Model checking. Москва: МЦНМО, 2002. — 416 с.

12. Кормен Т.Х., Лейзерсон Ч.И., Ривест P.JL, Штайн К. Алгоритмы: построение и анализ. 2-е изд. Москва: «Вильяме», 2006. — 1296 с.

13. Критически важные объекты и кибертерроризм. Часть 1. Системный подход к организации противодействия. / О. О. Андреев и др. Под ред. В. А. Ва-сенина. — М.: МЦНМО, 2008. 398 с.

14. Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия. / О. О. Андреев и др. Под ред. В. А. Васенина. — М.: МЦНМО, 2008. 607 с.

15. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ ФСТЭК от 30 марта 1992 года / ФСТЭК. 1992.

16. Шапченко К. А. Современные методы проверки свойств безопасности в моделях логического разграничения доступа. // Проблемы информатики. — No3, 2009. — 124 Новосибирск: НГТУ, 2009. — С. 22-32.

17. Baader F. Hie Description Logic Handbook. New York: Cambridge University Press, 2003. — 574 p.

18. Bell D., LaPadula L. Secure Computer Systems: Mathematical Foundations, Technical Report. Mitre Corporation, 1973.

19. Bertino E., Catania В., Ferrari E., Perlasca P. A logical framework for reasoning about access control models. // ACM Trans. Inf. Syst. Secur., vol. 6, 2003. — pp. 71-127.

20. Biba, K. J. Integrity Considerations for Secure Computer Systems, Technical Report. Mitre Corporation, 1977.

21. Bryans J. Reasoning about XACML Policies using CSP. // Proceedings of SWS 2005 conference, 2005.

22. Damianou N., Dulay N., Lupu E., Sloman M. The Ponder Policy Specification Language. // Lecture Notes In Computer Science. — Springer-Verlag, 2001. — pp. 18-38.

23. Dougherty D. J., Fisler K., Krishnamurthi S. Specifying and reasoning about dynamic access-control policies. // Lecture Notes in Computer Science. — Springer-Verlag, 2006. — pp. 632-646.

24. El-Atawy, A. Survey on the Use of Formal Languages/Models for the Specification, Verification, and Enforcement of Network Access-lists. School of Computer Science, Telecommunication, and Information Systems, De-Paul University, Chicago, Illinois, 2006.

25. Ferrariolo D., Kuhn R. Role-Based Access Control, // Proceedings of 15th National Computer Security Conference, 1992.

26. Fischer-Hubner S., Ott A. The Rule Set Based Access Control (RSBAC) Framework for Linux. Karlstad University Studies, 2001.

27. Fisler K., Krishnamurthi S., Meyerovich L.A., и Tschantz M.C. Verification and change-impact analysis of access-control policies. // Proceedings of the 27th international conference on Software engineering, 2005.

28. Guelev D., Ryan M.D. и Zhang N. Evaluating access control policies through model checking. Proceedings of Eighth Information Security Conference (ISC05), 2005.

29. Hughes, G., Bultan T. Automated verification of access control policies. // Technical Report 2004-22. — University of California, Santa Barbara, 2004.

30. Hendler J., Kolovski V. XACML Policy Analysis Using Description Logics. Proceedings of the 15th International World Wide Web Conference, 2007.

31. Hu C.V.I, Kuhn R.D., Xie T. Property Verification for Access Control Models via Model Checking. Institute of Standards and Technology, North Carolina State University, 2008.я

32. Kolovski V., Hendler J. и Parsia B. Formalizing XACML Using Defeasible Description Logics. Proceedings of WWW2007, 2007.

33. Koch M., Mancini L.V., Parisi-Presicce F. Decidability of safety in graph-based models for access control. // In European Symposium on Research in Computer Security, pp. 299-243, 2002.

34. Kudo M. and Satoshi H. XML Document Security based on Provisional Authorization, 2000.

35. Morisset C., Santana de Oliveira A. Automated Detection of Information Leakage in Access Control. Universite Paris, Vandoeuvre les Nancy, 2007.

36. Ott A. Rule Set Based Access Control as proposed in the 'Generalized Framework for Access Control' approach in Linux. Universitat Hamburg, 1997.

37. Plaisted D.A. and Greenbaum S. A structure-preserving clause form translation. Journal of Symbolic Computation, volume 2, 1986.

38. Rozenberg G., editor. Handbook of Graph Grammar and Computing by Graph Transformation. Vol. 1: Foundations. — World Scientific, 1997.

39. Sandhu R., Coyne E., Feinstein H. and Youman C. Role-Based Access Control Models. IEEE Computer, Volume 29, Number 2, 1996.

40. Schumacher M., Fernandez-Buglioni E., Hybertson D., Buschmann F., and Sommerlad P. Security Patterns: Integrating Security and Systems Engineering. Wiley Software Patterns Series. — John Wiley & Sons, 2006. — 600 p.

41. Yavatkar R. A Framework for Policy-based Admission Control. IETF RFC 2753, 2000. Электронная версия печатной публикации, http://www.ietf.org/rfc/ rfc2753.txt

42. High level firewall language. Электронная версия печатной публикации, http: //www.hlfl.org/

43. A Guide to Understanding Discretionary Access Control in Trusted Systems, NCSC-TG-003. National Computer Security Center, 1987.ot

44. Bison GNU parser generator, 2009. Электронная версия печатного документа. http://www.gnu.org/software/bison/

45. Built-in Functions. The Python Standard Library. Электронная версия печатного документа, http://d0cs.pyth0n.0rg/library/functi0ns.html#intern

46. Class String. Java Platform SE 6 documentation. Электронная версия печатного документа. http://java.sun.c0m/javase/6/d0cs/api/java/lang/String.html# intern()

47. Core and hierarchical role based access control (RBAC) profile of XACML v2.0 Specification. OASIS Open, 2005. Электронная версия печатной публикации. http://docs.oasis-open.Org/xacml/2.0/accesscontrol-xacml-2. 0-rbac-profile1-spec-os.pdf

48. Department of Defense Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1985.

49. Fedora Authorization with XACML Policy Enforcement. Fedora Project, 2008. Электронная версия печатной публикации. http://www.fedora-commons. org/download/2.1b/userdocs/server/security/AuthorizationXACML.htm

50. Flex: The Fast Lexical Analyzer, 2009. Электронная версия печатного документа. http://flex.sourceforge.net/

51. FreeBSD Handbook. Mandatory Access Control. Электронная версия печатной публикации, http://www.freebsd.org/doc/en/books/handbook/mac.html

52. Low Level Virtual Machine, 2009. Электронная версия печатной публикации. http://www.llvm.org

53. Rule Set Based Access Control. Электронная версия печатной публикации. http://www.rsbac.org/

54. Security-Enhanced Linux. Электронная версия печатной публикации, http: //www.nsa.gov/research/selinux/index.shtml

55. Solaris Trusted Extensions. Электронная версия печатной публикации, http: //www.sun.com/software/solaris/ds/trustedextensions.jsp

56. А Примеры моделей разграничения доступа, описанных в терминах языка XACML

57. А.1. Пример цели набора политик1. Target> <Subjects>

58. AnySubject/> </Subjects> <Resources> <Resource> <ResourceMatch Matchld="urn:oasis:names:tc:1.0:function:string-equal"> <AttributeValue

59. A. 2. Пример правила, записанного на языке XACML

60. Rule Effect="Deny"> <Target> <Subjects>

61. AnySubject/> </Subjects> <Resources>

62. AnyResource/> </Resources> <Actions> <Action> <ActionMatch Matchld="urn:oasis:names:tc:xacml:1.0:functionstring-equal"> <AttributeValue

63. Functionld="urn:oasis:names:tc:xacml:1.0:function:not"> <Apply

64. Functionld="urn:oasis:names:tc:xacml:1.0:function :string-at-least-one-member-of"> <SubjectAttributeDesignator Attributeld="urn:fedora:names:fedora:2.1:subject:loginld" MustBePresent="false"

65. DataType="http://www.w3.org/2001/XMLSchema#string7> <Apply