Содержание к диссертации
Введение
Глава 1. Проблема разработки специализированной защищенной операционной системы 13
1.1. Основные понятия и определения 13
1.2. Обзор отечественных руководящих документов 17
1.3. Анализ методов разработки специализированных защищенных операционных систем 20
1.3.1. Классификация методов разработки 20
1.3.2. Обоснование метода разработки специализированной защищенной операционной системы 30
1 .4. Постановка задачи разработки специализированной защищенной операционной системы 34
Глава 2. Обоснование архитектуры специализированной защищенной операционной системы 41
2.1. Обоснование архитектуры 41
2.2. Разработка модели безопасности 47
2.2.1. Исследование мандатной модели Белла-ЛаПадулы 47
2.2.2. Формальное описание модели безопасности 55
2.3. Исследование системы-прототипа 62
2.3.1. Выбор системы-прототипа 62
2.3.2. Особенности архитектуры ОС Linux 63
2.4. Выводы 68
Глава 3. Разработка ядра специализированной защищенной операционной системы 70
3.1. Методы модификации системы-прототипа 70
3.1.1. Задачи по модификации системы-прототипа 70
3.1.2. Метод внедрения принципа мандатного управления доступом 71
3.2. Защищаемые ресурсы 73
3.2.1. Субъекты 73
3.2.2. Объекты 74
3.3. Реализация модели безопасности 76
3.3.1. Классификационные метки 76
3.3.2. Функция перехода 80
3.3.3. Мандатное управление доступом 81
3.4. Дискреционное управление доступом 82
3.5. Регистрация событий 84
3.6. Программная реализация ядра 85
3.7. Выводы 86
Глава 4. Структура специализированной защищенной операционной системы 88
4.1. Системные компоненты 88
4.1.1. Программа установки операционной системы 88
4.1.2. Загрузчик операционной системы 90
4.1.3. Системные файлы 90
4.1.4. Системные сервисы 93
4.1.5. Прикладной программный интерфейс 95
4.1.6. Командный интерфейс 97
4.2. Метод модификации и совершенствования специализированной защищенной операционной системы 98
4.3. Выводы 100
Глава 5. Внедрение и использование специализированной защищенной операционной системы 102
5.1. Отечественная защищенная ОС МСВС 3.0 102
5.2. Комплекс печати и учета конфиденциальных документов 104
5.3. Выводы 109
Заключение 110
Список литературы 113
Список сокращений 119
Приложение.
- Анализ методов разработки специализированных защищенных операционных систем
- Исследование мандатной модели Белла-ЛаПадулы
- Метод внедрения принципа мандатного управления доступом
- Метод модификации и совершенствования специализированной защищенной операционной системы
Введение к работе
Актуальность темы. В настоящее время идет объединение отдельных автоматизированных систем управления (АСУ) войсками и оружием в рамках единой АСУ Вооруженных Сил (ВС) Российской федерации (РФ) [46,47]. Основой построения АСУ ВС РФ являются отечественные базовые защищенные информационные технологии (далее по тексту - базовые технологии), которые представляют собой унифицированную линейку программных продуктов, обеспечивающих базовую функциональность для произвольной АСУ. Базовые технологии не привязаны к конкретной предметной области, разрабатываются один раз, и многократно используются при построении различных АСУ. Примером базовых технологий являются операционные системы (ОС), системы управления базами данных, офисные средства (рис. В. 1).
Применение базовых технологий обеспечивает решение следующих задач при построении АСУ ВС РФ (рис. В.2):
повышение эффективности процессов обработки данных в АСУ ВС РФ за счет программной и информационной совместимости между отдельными АСУ различного уровня и назначения, построенными на основе базовых технологий;
обеспечение защищенности АСУ за счет применения защищенных программных продуктов;
сокращение сроков создания и снижение затрат на разработку новых АСУ за счет многократного использования базовых технологий.
Базовые технологии обладают следующими взаимосвязанными свойствами (рис. В.З):
Технологическая независимость.
Информационная защищенность.
Технологическая независимость определяет возможность создания, сопровождения, эксплуатации и модернизации программного продукта в течение требуемого периода времени.
ДСУІ
а з *
АСУїі
""І
Рис. В. . Роль базових технологій ара построении АСУ ВС РФ.
Рис. Б.7:. Залами, решаемы*? Садовыми текнолог'МкМИ.
СврінфїШцкв' щтай сенами с рукойсдааїимн документами
Жнж&ншй цикл $&-;«&№;»#$;&№ ГЙСТйй
Ііґост ps «лезі р*41**0***1"'* І І К<^Я**!Л1-
Реї с, В..5. Свойства базових tsxhoj-огий.
Жизненный цикл программного продукта регламентируется ГОСТом. Создание программного продукта проходит в рамках опытно-конструкторской работы (ОКР) в соответствий с ГОСТ РВ 15.203. Одним из положений, по которым законченную ОКР считают реализованной, является принятие «на вооружение (снабжение) с включением в установленном порядке в каталог предметов снабжения ВС РФ» нового изделия.
Информационная защищенность. Информационная защищенность обеспечивается средствами защиты информации (СЗИ), В соответствии с существующей законодательной базой СЗИ подлежат обязательной сертификации, которая проводится в рамках систем сертификации СЗИ [45]. Системы сертификации создаются Государственной технической комиссией при Президенте РФ, Федеральным агентством правительственной связи и информации при Президенте РФ, Федеральной службой безопасности РФ, Министерством обороны РФ, Службой внешней разведки РФ.
Для применения базовых технологий в АСУ ВС РФ необходима их сертификация в системе сертификации Министерства обороны РФ, а для. применения в гражданских министерствах и ведомствах — в системе сертификации Государственной технической комиссии при Президенте РФ. Сертификация в обеих системах проходит в соответствии с Руководящими документами Государственной технической комиссии при Президенте РФ [48-53] (далее по тексту — руководящие документы).
Для успешной сертификации программного продукта требуется наличие его исходных текстов, комплектов рабочей конструкторской документации (РКД) и эксплуатационной документации (ЭД), а также предприятий, на которых организовано его серийное производство и сопровождение. Применение программного продукта для построения АСУ ВС РФ требует его сертификации по требованиям руководящих документов для классов защищенности не ниже четвертого.
Зарубежные программные продукты не обладают указанными свойствами.
Рис В.4. Свойетна епшйашншроваінюн 'ШП,нїд>;?шіой операционной системы
В ДИССер'ПїЦИЇ: ИОСЛс'ДУіїТСЯ ЇЮЇІрОС СОЗДїШИЙ КЛЮЧІ: ІїОЙ КОМЇіОНЄЯТУ &ПО&ЫХ ТеХПОЛОГИЙ - ОГЮр&ІЇИОіШОЙ С.ЯСТЄ\Ш, КОТОраЯ. ЯКГіЙЄ'ї'СЙ обязательной и
и-їаарнантізои частью АСУ любого уровня в назначения.
В .качестве операнион-юй системы АСУ БО РФ доджи;- йыотупать сііецш'і/ішіиро^аи^ая ::ащище;;?-кт операционная сисгпелга (СЗОО), оолада-ощая следуюнцшЕЗ взаимосвязанными свойствами (рис. В А);
Операционная система должна быть мобильной, т.е. фушснйовирозать на анзшратйых платформах, утверждениях к применению в АСУ ВО РФ.
Операционная система .должна оьіть еш;штлишро*5а&ш<ш, т ,е. ооеспечива^ выполнение специфические функции' АСУ ВО РФ по управлению войсками,
Операционная система должка Ныть їйодшзшшшї, т.е. обладать среде: аамя -ї&їцкїьз информации, отвечающими требованиям АСУ ВО РФ.
Наиболее часто защищенные ОС разрабатываются не «с нуля», а на основе ОС класса UNIX, так как ОС UNIX в целом удовлетворяет многим общим функциональным требованиям, предъявляемым к современным защищенным ОС [37].
До недавнего времени в ВС РФ не существовало СЗОС, обладающей указанными свойствами, что делало невозможным построение АСУ ВС РФ. Необходимость разработки единой операционной платформы, обладающей указанными свойствами, и ее внедрения в АСУ ВС РФ определяет актуальность диссертации.
Целью диссертационной работы является обоснование архитектуры и создание СЗОС класса UNIX, предназначенной для построения АСУ ВС РФ.
Для достижения поставленной цели необходимо решить следующие задачи:
Создание и исследование технологий проектирования, анализа, оценки качества, стандартизации и сертификации СЗОС, обоснование метода разработки СЗОС на основе системы-прототипа.
Теоретическое исследование процессов проектирования и анализа операционных систем, обоснование архитектуры СЗОС.
Обоснование специальных механизмов управления вычислительными процессами в СЗОС.
Разработка и исследование программных средств защиты информации СЗОС.
Разработка и исследование программного комплекса печати и учета конфиденциальных документов.
Цель и задачи диссертации показаны на рис. В.5.
Методы исследования. В диссертации используются методы дискретной математики и экспертных оценок.
класса UNIX, терйднй^нйчеммйй для оострйемий АСУ 8С РФ
«fett
(Mtafc
] За$яча І
СозйЗіШЄ и иссяедоеакме технологий проекти $к-і*ашя, uHSSflSia, оценки
качеств», стмдартя&идо* и лертифйяйчим СЗОС, лйосконанме мйтодз
разрзбсжн СЗОС из ocf*s>&fi йметейЬгирот&гина
j Задача 2
Теоретическое ксслецоваияе ороцеесов лроечгировямий м «нвйяя*а операционных систем, обоснование зркмтахтуры СЗОС
Обоснование скеум&н^ *.<х *$адсаикз»*ов упіззея^иш зьічуіспмтєяьішми процессами в СЗОС
і Задача
1 *
ллмммшт
Разработай я иеспедозвни» ярусраммныя средств даадмты нифермяции СЗОС
Задача
і 5
Ризвабоїхз к исследование программного комплекс» ««наш к ч?чкгй «гшф^йещдальнь.к дохумешов
Рис. В.5. '{'{ъп, к :ї:їліг*ї-ї дксеертшдш.
Впервые оцерашзонн;^ система рассматривался как самостоягел.^Еїое
и'ід^тйє .йоєяной техніки.
Обоснована и разработала s-ювая аркнт^тура СЗОС, обесиечї-їкак>ізз;ак
упра&ление вычисдителышш-; процессами * соответствии і; чребовашіямп
АСУ ВС РФ.
Предлож^ніі классификация методо» разработки спецій алкзїфо&ішнух
їаіЦЇ-(ЇШ::?НМ:< ОПСрацИОШїВЇХ систем
Впервые обосно-ш; \ї разработан метод ео:;даяш: CSOO ж- основе сіїст^мьі-і-рототаїт с 'Лімепіениел'і базовых мехаї-ц-пмС'В за-шгги информации сисчемы-
ЩХіТіУЇ'ЛШ.
Впервые обоснован а разработан метод модификации и соверніемствовацня: СЗОС, обеоиечиїїающкй ее дальнейшее ратвнше на '^тапе ^сіттїуаг-ш.ши.
Обоснована и разработана формальная модель политики безопасности СЗОС, обеспечивающая управление вычислительными процессами на основе принципа мандатного управления доступом.
Впервые обоснован и разработан метод внедрения принципа мандатного управления доступом в операционные системы класса UNIX.
Обоснованы состав и структура программного комплекса печати и учета конфиденциальных документов на базе СЗОС, отвечающего требованиям АСУ ВС РФ.
Практическая значимость работы.
Разработанная СЗОС позволяет строить взаимодействующие АСУ различного назначения и разных уровней управления войсками на базе единой операционной платформы.
Разработанная СЗОС позволяет обеспечить защищенность процессов обработки данных в АСУ ВС РФ и сократить сроки создания отдельных АСУ за счет применения унифицированной операционной платформы.
Разработанная СЗОС может также применяться при автоматизации гражданских министерств и ведомств, чья деятельность формализована и регламентирована нормативными и распорядительными документами.
Разработанный программный комплекс, предназначенный для печати и учета конфиденциальных документов АСУ ВС РФ, позволяет повысить эффективность работы с конфиденциальными документами за счет сокращения времени на их подготовку и оформление на 40-50%, а также обеспечить необходимый уровень защищенности при выводе документов на печать.
Реализация результатов.
Результаты диссертации внедрены в отечественной защищенной ОС МСВС 3.0, которая приказом Министра обороны РФ принята на снабжение ВС РФ и утверждена, как базовый элемент построения АСУ ВС РФ [61].
ОС МСВС 3.0 функционирует на аппаратных платформах Intel, 1В579 (отечественный аналог Sparc) и Комдив (отечественный аналог MIPS), которые являются основными в ВС РФ.
Средства защиты информации ОС МСВС 3.0 обеспечили ее успешную сертификацию в системе сертификации Министерства обороны РФ [62] и в системе сертификации Государственной технической комиссии при Президенте РФ [63].
Впервые разработана операционная система, которая принята на снабжение ВС РФ не как программное обеспечение некоторого изделия военной техники, а как самостоятельный образец вооружения. Это свидетельствует о качественном повышении значимости информационных технологий для ВС РФ.
Впервые разработана операционная система, на основе которой могут строиться АСУ высших классов защищенности.
Впервые на базе ОС МСВС 3.0 создан программный комплекс печати и учета конфиденциальных документов, позволяющий автоматизировать работу с конфиденциальными документами и обеспечить необходимый уровень защищенности в соответствии с требованиями АСУ ВС РФ.
На защиту выносятся:
Результаты обоснования и разработки архитектуры СЗОС, отвечающей требованиям АСУ ВС РФ.
Результаты обоснования и исследования методов разработки СЗОС, классификация методов разработки специализированных защищенных операционных систем, метод разработки СЗОС на основе системы-прототипа с замещением базовых средств защиты информации.
Результаты обоснования, исследования и разработки формальной модели политики безопасности СЗОС, метод внедрения принципа мандатного управления доступом в операционные системы класса UNIX.
Программная реализация ядра СЗОС.
Программная реализация основных компонентов СЗОС, отвечающих за реализацию свойств СЗОС.
Результаты обоснования и разработки состава и структуры программного комплекса печати и учета конфиденциальных документов АСУ ВС РФ.
Реализация программного комплекса печати и учета конфиденциальных документов.
Апробация работы. Основные результаты работы докладывались и обсуждались на следующих научных конференциях: VII Всероссийская научно-практическая конференция «Проблемы информационной безопасности в системе высшей школы» (Москва, 2000 г.), Научная сессия МИФИ-2001, IX Российская научно-техническая конференция «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2001 г.), Научная сессия МИФИ-2002, 6 Международная научно-практическая конференция «Комплексная защита информации» (Суздаль, 2002 г.), Научная сессия МИФИ-2003, XII Международная конференция «Информатизация и информационная безопасность правоохранительных органов» (Москва, 2003 г.), Научная сессия МИФИ-2004, XII Общероссийская научно-техническая конференция «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2004 г.), а также на научных семинарах, проводимых во Всероссийском НИИ автоматизации управления в непромышленной сфере (ВНИИНС) и на кафедре «Компьютерные системы и технологии» МИФИ.
Результаты диссертации внедрены в учебный процесс кафедры «Компьютерные системы и технологии» МИФИ [6-8].
Публикации. По теме диссертации опубликовано:
пять печатных работ [1-5];
11 тезисов в сборниках научных трудов конференций [10-20];
2 учебно-методических пособия [8, 9].
Анализ методов разработки специализированных защищенных операционных систем
Каждый уровень контроля отсутствия НДВ характеризуется определенной минимальной совокупностью требований. Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите информации с грифом «ОВ». Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «СС». Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «С». Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.
Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего. В результате рассмотрения руководящих документов можно сделать следующие выводы: 1. Механизмы защиты СЗОС должны обеспечивать выполнение требований для четвертого класса защищенности и выше, т.е. поддерживать мандатное управление доступом, 2. СЗОС должна быть ориентирована на построение АС высших классов защищенности, т.е. ее исходный код должен обеспечивать выполнение требований для первого уровня контроля отсутствия НДВ. В следующем разделе будет рассмотрена разработка метода создания защищенных ОС. 1,3.
Анализ методов разработки специализированных защищенных операционных систем 1.3.1. Классификация методов разработки Анализ материалов сайта www.radium.ncsc.mil, на котором представлены результаты сертификации зарубежных программных продуктов в соответствии с требованиями «Оранжевой книги», позволяют выделить два основных метода создания защищенных ОС: метод создания «с нуля» и метод создания на основе системы-прототипа [37,38]. Метод создания «с нуля» заключается в создании совершенно новой ОС. Данная ОС является элементом некоторой ЗСОД, которая разрабатывается как единое целое, начиная от аппаратной части и заканчивая приложениями пользователя. Вследствие своей трудоемкости, данный подход применяется производителями, обладающими значительными производственными мощностями или поставляющими собственное аппаратное обеспечение. В качестве примера защищенных ОС, построенных по данному принципу, можно привести: AOS/VS, System V/MLS, Trusted OS/32, Trusted Mach, VAX/VMS. Метод создания на основе системы-прототипа заключается в выборе некоторой существующей ОС и создании на ее основе новой ОС с улучшенными функциональными характеристиками и доработанными механизмами защиты. Такой подход к созданию защищенных ОС оправдан, прежде всего, с экономической точки зрения, т.к. позволяет сохранить совместимость с системой-прототипом, усилить доверие за счет ее известности.
В качестве примера можно привести: Trusted XENIX [63] и Trusted IRIX/B [64]. Несмотря на то, что последний метод характеризуется значительно меньшими затратами, внести защиту в незащищенную ОС довольно трудно. Это подтверждается многочисленными провалами попыток доработки ОС, не удовлетворяющих требованиям защиты, таких как Windows 3.11/95 и Novell Netware 3.x [37]. Предлагается классификация методов разработки СЗОС, показанная на рис. 1-3. На ее основе будет выбран наиболее приемлемый метод разработки СЗОС при реализации заданных требований в рамках заданных условий. Рассмотрим метод разработки СЗОС на основе системы-прототипа. Данный метод представляет собой обобщение нескольких частных методов (рис. 1-4). Будем средства защиты информации системы-прототипа называть базовой СЗИ, а разрабатываемой СЗОС - новой СЗИ. Особенностью метода разработки СЗОС на основе системы-прототипа является необходимость на начальных стадиях разработки решения двух важных задач: 1. Выбор конкретного метода. В результате анализа требований к СЗОС и заданных условий, необходимо выбрать наиболее подходящий метод доработки системы-прототипа. 2. Выбор системы-прототипа. В результате анализа требований к СЗОС необходимо выбрать наиболее подходящую систему-прототип для создания СЗОС. Правильное решение данных задач снижает трудоемкость разработки, так как позволяет реализовать требования по функциональности и защите информации максимально используя возможности системы-прототипа. При разработке СЗОС «с нуля» на этапе эскизного проекта необходимо разработать модель безопасности СЗОС, а затем проводить разработку архитектуры СЗОС с учетом этой модели. В случае разработки СЗОС на основе системы-прототипа необходимо разработать модель безопасности СЗОС и выполнить ее отображение на уже существующую архитектуру системы-прототипа. Очевидно, что отображение нужно выполнять так, чтобы модель была реализована при минимальной модификации системы-прототипа. Это не только снизит трудоемкость разработки, но и позволит максимально предупредить ошибки, вызванные внедрением модели безопасности СЗОС в систему-прототип.
Исследование мандатной модели Белла-ЛаПадулы
В [39] предлагается классификация моделей безопасности, базирующаяся на типе угроз, от которых защищает ЗСОД, разработанная на основе данной модели (рис. 2-3), Анализ классификации моделей безопасности позволяет сделать следующие выводы: 1. Из анализа требований п. 1,4 следует, что основным принципом управления доступом является мандатный принцип. Поэтому модель безопасности СЗОС должна базироваться на модели мандатного управления доступом. 2. Существует две основных мандатных модели; модель Белла-ЛаПадулы [54,55] и модель Биба [56]. Принципиальное отличие этих моделей заключается в их назначении: модель Белла-ЛаПадулы защищает от угрозы НСД к информации, а модель Биба - от угрозы нарушения целостности информации, 3. В руководящих документах в качестве основной задачи средств защиты определена защита от НСД к информации. Поэтому наиболее подходящей базовой моделью для разработки модели безопасности СЗОС является модель Белла-ЛаПадулы.
Модель мандатного управления доступом основана на правилах работы с документами, принятых в государственных учреждениях многих стран. Основным положением политики Белла-ЛаПадулы, взятым ими из реальной жизни, является назначение всем участникам процесса обработки защищаемой информации, и документам, в которых она содержится, специальной метки, например, «не конфиденциально», «конфиденциально» и т.д., получившей название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования, например, уровень «конфиденциально» считается более высоким чем уровень «не конфиденциально», или доминирует над ним. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух простых правил: 1. Уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности. 2. Уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых). Второе правило предотвращает утечку информации (случайную или преднамеренную) со стороны высокоуровневых участников процесса обработки информации к низкоуровневым. Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом - с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой-либо дискреционной моделью, которая используется для контроля взаимодействия между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель [38].
Модель Белла-ЛаПадулы впервые описана в техническом отчете фирмы MITRE [54,55]- Система представляется в виде множеств субъектов, объектов и двух видов доступа: чтение и запись. В модели рассматриваются только эти два вида доступа, и, хотя она может быть расширена введением дополнительных прав (например, правом на добавление информации, выполнение программ и т.д.), все они будут отображаться в базовые (чтение и запись). Использование столь жесткого подхода, не позволяющего осуществлять гибкое управление доступом, объясняется тем, что в данной модели контролируются не операции, осуществляемые субъектом над объектом, а потоки информации, которые могут быть только двух видов: либо от субъекта к объекту (запись), либо от объекта к субъекту (чтение).
Белл и ЛаПадула доказали теорему, формально доказывающую безопасность системы при соблюдении определенных условий, получившую название основной теоремы безопасности. Теорема утверждает, что система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния. Формально эта теорема определяет все необходимые и достаточные условия, которые должны быть выполнены для того, чтобы система, начав свою работу в безопасном состоянии, никогда не достигла небезопасного состояния.
Метод внедрения принципа мандатного управления доступом
Для реализации модели безопасности СЗОС в диссертации разработан метод внедрения принципа мандатного управления доступом в ОС класса UNIX (рис. 3-1).
Суть метода заключается в том, что в описании модели безопасности выделяются логические блоки, каждый из которых содержит логически-законченное описание некоторой части модели. Очевидно, что блоки связаны между собой. Затем выполняется последовательное отображение математических понятий данного блока в понятия ОС UNIX,
В результате применения данного метода получены следующие блоки и их отображения: Ь Определение защищаемых ресурсов ядра СЗОС. В данном блоке выполняется отображение множества субъектов S и объектов О на сущности ОС UNTX. 2. Отображение видов доступа модели безопасности СЗОС на типы доступа ОС UNIX. 3. Разработка принципов работа с классификационными метками, В данном блоке выполняется отображение решетки классификационных уровней Л в требования к механизму классификационных меток. Для этого должны быть разработаны формат, типы и правила сравнения классификационных меток. 4_ Разработка функций классификационных уровней. В данном блоке выполняется отображение функции классификационных уровней субъектов Fs и функции классификационных уровней объектов F0 в требования к механизмам присвоения классификационных меток субъектам и объектам, определенных в первом блоке. 5. Разработка механизма выделенных субъектов, В данном блоке выполняется отображение функции управления классификационными уровнями С и функции перехода Т в требования к механизму работы суперпользователя. В результате применения рассмотренного метода и реализации полученных требований в СЗОС реализован механизм мандатного управления доступом. Рассмотрим применение метода более подробно, Задача определения защищаемых ресурсов заключается в выборе наиболее приемлемого отображения субъектов и объектов модели безопасности на сущности системы-прототипа, а также реализации этого отображения. В СЗОС выделяется два типа сущностей: субъекты и объекты. С каждой сущностью связываются атрибуты безопасности характеризующие данную сущность в аспекте защиты информации. Атрибуты безопасности включают: - мандатные атрибуты; - привилегии; - дискреционные атрибуты; - атрибуты регистрации событий. Единственным типом субъектов является процесс, описываемый дескриптором процесса» Процесс представляет собой последовательность команд, выполняющуюся в изолированном виртуальном адресном пространстве. Атрибуты безопасности субъекта: - мандатные атрибуты - классификационная метка субъекта; - привилегии; - дискреционные атрибуты процесса; - атрибуты регистрации событий, произошедших с субъектом и имеющих отношение к безопасное. В общем случае, атрибуты безопасности наследуются из создающего процесса. Исключение составляет случай запуска программ с установленными битами SUID или SGID. В этом случае, эффективные UID или GID субъекта устанавливаются равными соответствующим идентификаторам влддельца файла.
Существуют следующие типы объектов: 1. Объекты файловой системы: - обычные файлы; - директории; - специальные файлы устройств (символьные и блочные); - неименованные каналы (pipe); - именованные каналы (FIFO); - символические ссылки; - файлы сокетов (UNIX domain); - файлы процессов 2. Процессы: - текущий процесс; - другой процесс. 3. Объекты межпроцессного взаимодействия (System V IPC): - очереди сообщений; - семафоры; - разделяемые сегменты памяти. 4. Сетевые сокеты (BSD IPO Каждый объект файловой системы описывается индексным дескриптором, в котором хранятся его атрибуты безопасности, за исключением списка прав доступа, который храниться в специально выделенном блоке файловой системы. Дополнительно, с каждым объектом файловой системы связано имя в пространстве имен файловой системы, содержащей данный объект. Атрибуты безопасности объектов файловой системы: - мандатные атрибуты - классификационная метка объекта; - дискреционные атрибуты: дискреционные атрибуты файла ОС Linux н список прав доступа; - атрибуты регистрации событий, произошедших с объектом и имеющих отношение к безопасности Атрибуты обычных файлов» директорий, специальных файлов устройств, именованных каналов, символических ссылок и файлов сокетов хранятся в их дисковых индексных дескрипторах в содержащей их файловой системе. При создании файла, классификационная метка, идентификатор владельца файла UID и идентификатор группы-владельца файла GID наследуются из создающего процесса. Права доступа к файлу устанавливаются на основе запрашиваемых прав и маски создания файлов создающего процесса. Атрибуты неименованных каналов хранятся в их индексных дескрипторах в памяти ядра. Атрибуты файлов процессов хранятся в их индексных дескрипторах в памяти ядра. Классификационная метка, идентификатор владельца файла UID и идентификатор группы-владельца файла GID берутся из процесса, который описывает данный файл. Права доступа к файлу устанавливаются только для доступа владельца файла. Процессы также могут выступать в роли объектов: - при доступе процесса к собственным данным; - при доступе к процессу со стороны другого процесса. Процесс всегда имеет доступ к собственным данным. Однако могут быть изменены только те атрибуты текущего процесса, которые могут быть изменены в ОС Linux, Процесс рассматривается, как объект, когда ему посылается сигнал или он трассируется другим процессом.
Метод модификации и совершенствования специализированной защищенной операционной системы
В диссертации разработан и реализован механизм регистрации событий, отвечающий требованиям п. 1А Алгоритм работы данного механизма заключается в следующем. При системном вызове, имеющем отношение к безопасности, анализируются атрибуты аудита процесса и файла, которые участвуют в системном вызове. ЕСЛИ у процесса или файла установлены атрибуты, соответствующие данному системному вызову, механизм регистрации событий выполняет соответствующую запись в журнал регистрации событий, В диссертации реализованы механизмы, определяющие ключевые свойства СЗОС, и обеспечивающие решение задач, представленных в п.3.1. На основе файловой системы ext2 разработана специализированная файловая система с поддержкой механизмов мандатного управления доступом, списков прав доступа, регистрации событий для файлов и гарантированного удаления файла» Виртуальная файловая система доработана для поддержки специализированной файловой системы. Поддержка файловых систем других ОС удалена. Ниже приводятся характеристики ядра СЗОС. В таблице 3-1 приведены количественные характеристики исходного кода ядра СЗОС, Таблица 3-1. Характеристики исходного кода ядра СЗОС. В главе рассмотрена разработка и реализация ядра СЗОС на основе архитектуры ядра СЗОС, предложенной и обоснованной в 2 главе, с помощью метода построения СЗОС на основе системы-прототипа, предложенного и обоснованного в 1 главе. Определены задачи, которые необходимо решить для создания СЗОС на основе ОС Linux. Основной задачей стала реализация модели безопасности СЗОС, выразившаяся в ряде архитектурных решений, направленных на внедрение в ОС Linux механизма мандатного управления доступом, и обоснованных во 2 главе. Разработаны и исследованы алгоритмы для управления параллельными процессами.
Выполнена разработка и реализация механизма мандатного управления доступом СЗОС: 1. Определены защищаемые ресурсы СЗОС- Выполнено отображение субъектов, объектов и типов доступа модели безопасности СЗОС на сущности и типы доступа ОС Linux. Разработаны атрибуты безопасности защищаемых ресурсов. 2, Разработаны принципы работы с классификационными метками; формат классификационной метки, механизмы сравнения и хранения классификационных меток. 3- Разработана функция перехода СЗОС. Разработаны механизмы назначения субъектам и объектам их мандатных атрибутов и обеспечения их неизменности. Разработан механизм изменения мандатных атрибутов субъектов и объектов уполномоченными субъектами. 4. Осуществлена программная реализация механизма мандатного управления доступом. Разработан и реализован механизм дискреционного управления доступом СЗОС на основе списков прав доступа. Разработан и реализован механизм регистрации событий СЗОС, позволяющий регистрировать события, имеющие отношение к безопасности для процессов и файлов. Таким образом, разработаны и реализованы принципы управления вычислительными процессами, разработаны программные средства защиты программных систем, создано ядро специализированной защищенной операционной системы. В третьей главе разработано ядро СЗОС.
В данной главе будут рассмотрены остальные компоненты, определяющие ключевые свойства СЗОС, а также технология модификации СЗОС, обеспечивающая ее дальнейшее развитие. Структура СЗОС представлена на рис. 4.1. Рассмотрим системные компоненты СЗОС, которые определяют ее ключевые особенности по отношению к ОС Linux, К таким компонентам относятся: 1- Программа установки операционной системы, 2 Загрузчик операционной системы. 3. Системные файлы. 4. Системные сервисы, 5. Прикладной программный интерфейс. 6. Командный интерфейс пользователя. Программа установки и загрузчик операционной системы не участвуют в работе самой СЗОС. Однако эти программы являются необходимыми для запуска СЗОС и в них проявляются специализированные свойства СЗОС.
