Содержание к диссертации
Введение
ГЛАВА 1. Основные концепции информационной безопасности 18
1. Язык, объекты, субъекты 18
2. Политика безопасности 24
3. Определение политики безопасности 27
4. Дискреционная политика 32
5. Политика MLS 34
6. Выводы к главе 1 41
ГЛАВА 2. Максимальные возможности нарушителя безопасности 42
1. Слабости многоуровневой политики защиты от НСД 42
2. Расширение интеллектуальных возможностей агента нарушителя 59
3. «Невидимость» сетей закладок 67
4. Выводы к главе 2 74
ГЛАВА 3. Математические модели скрытых каналов 75
1. Скрытые каналы на основе определения информационного потока 75
2. Политики безопасности и их нарушение с помощью скрытых каналов 80
3. Примеры скрытых каналов 84
4. Модели анализа скрытых каналов 88
5. Выводы к главе 3 93
ГЛАВА 4. Доказательный подход в защите информации. Пример гарантированно защищенной системыобработки информации 94
1. Доказательный подход 94
2. Пример математического подхода к обоснованию защищенности (гарантии) системы обработки информации 97
3. Пример гарантированно защищенной системы, построенной на основе математической модели 106
4. Выводы к главе 4 110
ГЛАВА 5. Метод контроля каналов для реализации многоуровневой политики безопасности в АС, построенной на ненадежной с точки зрения безопасности платформе. Концепция контроля каналов 111
1. Основные предпосылки концепции контроля каналов
2. Метод контроля каналов для реализации многоуровневой политики безопасности в ас, построенной на ненадежной с точки зрения безопасности платформе 114
3. Управление безопасностью с помощью контроля каналов 118
4. Безопасный интерфейс с глобальной сетью из ненадежных в смысле безопасности элементов 120
5. Интеллектуальный шум как защита информационной технологии в присутствии враждебного агента 127
6. Безопасные интерфейсы в концепции контроля каналов 130
7. Выводы к главе 5 135
ГЛАВА 6. Скрытые каналы, построенные на модуляции потоков пакетов 136
1. Языки в скрытых каналах, связанных с адресами в пакетах 136
2. Активизация агентов в защищенном сегменте локальной сети 143
3. Скрытый канал, основанный на языке, не требующем обучения 159
4. Оценка времени обучения агента для организации скрытого канала 171
5. Выводы к главе 6 181
ГЛАВА 7. Защита от скрытых каналов, построенных на модуляции потоков пакетов 182
1. Возможности выявления скрытого канала контролерами 182
2. Преодоление защиты от скрытого канала 186
3. Выводы к главе 7 190
Заключение 191
Литература 196
- Определение политики безопасности
- Расширение интеллектуальных возможностей агента нарушителя
- Политики безопасности и их нарушение с помощью скрытых каналов
- Пример математического подхода к обоснованию защищенности (гарантии) системы обработки информации
Введение к работе
В диссертации рассматриваются распределенные автоматизированные системы (АС), требующие высокого качества защиты обрабатываемой в них информации. Далее под АС понимаются именно такие системы.
Автоматизированные системы такого типа используются в государственных структурах для обработки секретной и другой ценной информации, а также в крупных корпорациях, где нарушение информационной безопасности ведет к большим ущербам. Построение защиты информации в таких системах всегда является актуальной задачей. В криптографии с 50-х годов, а при построении защиты информации в компьютерных системах - с 70-х годов, стали использоваться методы математического моделирования. В терминах этих моделей анализировались угрозы безопасности в АС. Таким образом, для построения защиты информации в АС необходимо уметь строить математические модели подсистем АС, связанных с угрозами информации. Качество защиты информации в АС также оценивается формальными математическими методами в рамках математических моделей АС. Впервые требования оценки защищенности формальными математическими методами для АС введено в TCSEC («Оранжевая книга») [48] в 1983 году. Требования Руководящих документов Гостехкомиссии по защите от несанкционированного доступа (НСД) для средств вычислительной техники (СВТ) и автоматизированных систем (АС) [32 -36] в значительной степени взяты из [46, 48]. В настоящее время информационные технологии, требующие высокого качества защиты, согласно ГОСТ Р ИСО 15408 [1 - 3] и [45] также должны защищаться с использованием математических моделей и формальных доказательств. С точки зрения математики математические модели, используемые для построения защиты информации в АС, редко приводят к новым математическим открытиям. Такие модели, прежде всего, являются техническим инструментом анализа защиты информации в АС.
В отечественной и зарубежной литературе построению защиты информации в АС уделяется большое внимание. Однако в отечественных условиях АС часто приходится строить на основе импортных оборудования и программного обеспечения. В рассматриваемых АС мы вправе ожидать недружественное отношение производителя к защите ценной информации, обрабатываемой в АС. Иными словами высокое качество защиты информации в АС должно достигаться в условиях ненадежности с точки зрения безопасности программно-аппаратной платформы АС. В силу сложности задачи построения такой защиты в литературе имеется мало работ, посвященных построению защиты АС в указанных условиях.
Целями диссертационной работы являются решение задачи разработки методов построения защиты информации в АС в условиях использования ненадежных с точки зрения безопасности программно-аппаратных платформ и решение задачи поиска новых скрытых каналов при построении АС.
Предметом исследования в диссертационной работе являются способы и методы построения защиты информации в АС.
Научная проблема, которая решается в диссертации может быть сформулирована как разработка подходов к построению систем гарантированной защиты в условиях использования ненадежных с точки зрения безопасности импортной программно-аппаратной платформы и приложений. При этом автор допускает, что отдельные элементы или все системы импортного производства могут вести себя враждебно по отношению к защитникам информации.
Направление исследований:
1. Развитие теоретических положений по проектированию АС с использованием ненадежных с точки зрения безопасности компонент.
2. Поиск и анализ новых скрытых каналов в АС.
В диссертации четко выделяются два направления исследований. В диссертационной работе удалось построить математические модели ряда новых угроз информационной безопасности в АС, которые позволяют по-новому взглянуть на возможности потенциального противника нарушать безопасность информационной системы. Например, можно показать, что в компьютерных системах могут находиться программно-аппаратные агенты, «невидимые» для большинства традиционных методов защиты. «Невидимость» определяется [50, 51, 60, 64] формальными методами, и в ряде случаев автор доказал абсолютную «невидимость» действий нарушителя безопасности. Данные результаты имеют непосредственное отношение к практике построения защищенных систем. В силу того, что возможно использование «невидимых» вредоносных подсистем АС, при построении системы защиты нужно точно указывать, учитывает ли построенная система защиты возможности не выявляемых для нее программно-аппаратных агентов, или данная система защиты строится в предположении, что таких средств противник не имеет (или не использует). В этих условиях практически невозможно доказать отсутствие программно-аппаратных агентов нарушителя безопасности и, тем самым, обосновать защиту от несанкционированного доступа этих агентов к ценной обрабатываемой информации. В этих условиях требуются новые принципы обоснования защищенности ценной информации. В диссертации разработан доказательный подход к построению систем защиты. В частности, показано, как использовать при построении защиты в АС формальные математические методы, начиная с построения политики безопасности, поверки ее корректности, формального обоснования системы поддержки политики безопасности, и, наконец, практической реализации формальной модели безопасности. Второе направление исследований связано с тем, что «невидимые» программно-аппаратные агенты могут осуществлять ущерб, используя скрытые каналы для передачи ценной информации нарушителю безопасности или получая извне системы инструкции по предметной ориентации, либо нарушению целостности ценной информации в АС. Для поиска скрытых каналов строятся специальные математические модели АС.
В диссертации используются теоретические методы для построения защиты информации в распределенных автоматизированных системах. Основу этих методов составляет математическое моделирование подсистем АС, связанных с угрозами информации. Указанные методы используются в обоих направлениях исследования способов и методов построения защиты информации в АС.
Сформулируем основные методы исследования, используемые в диссертации.
1. Практика защиты АС требует построения математических моделей и применения математических методов анализа защиты информации. Поэтому в диссертации большое место уделено формальному доказательству защищенности компьютерных систем. Формальное доказательство защищенности АС содержит формализацию проблемы защиты информации; формализацию свойства защищенности; доказательство того, что свойство защищенности сохраняется при различных видах деятельности компьютерной системы; формальную модель механизма поддержки свойства защищенности и доказательство того, что при правильной работе механизма защиты выполняется свойство защищенности.
Если сравнивать возможности закладки производителем программно-аппаратных агентов в создаваемые ими компьютерные системы с нашими возможностями анализа скрытых каналов, то мы приходим к следующему выводу. Мы умеем выявлять многие потенциально возможные скрытые каналы и эффективно бороться с неустранимыми каналами. Однако мы не умеем проводить анализ программно-аппаратных средств настолько, чтобы полностью исключить существование программно-аппаратных агентов в компьютерной среде (например, в процессоре). На основании этого пришлось изменить парадигму построения систем защиты информации в АС, как предупреждение несанкционированного доступа к информации, особенно при реализации многоуровневой политики безопасности, определяющей взаимодействие объектов и субъектов с различными грифами секретности.
В этих условиях удается доказать безопасность информации в АС, построенной в условиях ограниченной информации о процессорах и программном обеспечении, и в то же время обеспечивающей основные принципы многоуровневой политики, позволяющей нейтрализовать действия программно-аппаратных агентов нарушителя безопасности. Развитие этой модели для других политик безопасности составляет основу концепции контроля каналов, которая допускает неполную информацию о процессорах и программном обеспечении, а также наличие и функционирование в процессорах и программном обеспечении программно-аппаратных агентов нарушителя безопасности.
Математические модели и методы анализа «невидимых» субъектов и объектов компьютерных систем начали применяться американскими учеными при разработке модели невлияния. [50, 51, 60, 64]. Однако как показано в работе [23] процессы в таких моделях не являются абсолютно «невидимыми». Вместе с тем в работах [8, 9] показаны примеры абсолютной «невидимости» систем управления агентами или их взаимодействием. Эти методы автор использовал для обоснования «невидимости» сетей из указанных программно-аппаратных агентов.
В литературе опубликовано большое количество статей, посвященных скрытым каналам [40]. Однако отказ от традиционных взглядов на методы анализа скрытых каналов и их описания позволили открыть новые классы скрытых каналов, позволяющие выявить новые серьезные уязвимости АС. Метод исследования основан на моделировании важной составной части распределенных АС -виртуальных частных сетей (VPN), использующих Интернет.
Исследование математических моделей уязвимостей связано с характеристиками скрытых каналов. Поэтому одним из направлений исследований, решаемым в диссертации, является применение теоретико-вероятностных методов и методов случайных графов для анализа характеристик скрытых каналов в рамках доступных для изучения математических моделей и возможности выявления скрытых каналов простейшими контролерами.
В частности, с помощью математических моделей открыт новый класс угроз, связанный с преодолением защиты некоторыми скрытыми каналами. Открытый автором класс угроз имеет важное значение при проектировании АС и является важным техническим приложением результатов, полученных в диссертации.
Разработанный автором метод реализации многоуровневой политики с использованием однонаправленных каналов [20] был использован для обоснования защищенности устройства «Вектор», сертифицированного Гостехкомисиией как межсетевой экран второго класса [37].
Диссертационные исследования поддерживались грантами РФФИ № 97-01-00162, № 99-01-01052, № 01-01-00895.
Результаты автора использовались в НИР «Программа МГУ - 2003» -«Исследование математических моделей и алгоритмов защиты информации».
Результаты диссертации использовались в учебном процессе на факультете защиты информации РГГУ и ВМиК МГУ.
Диссертация состоит из введения, семи глав, заключения и списка литературы.
Остановимся на содержании диссертации.
Во введении определяется объект исследования, обосновывается актуальность выбранной темы, определяется научная проблема, решаемая в диссертации, и формулируются направления исследований, указываются методы исследования, описываются результаты диссертации по главам, их теоретическая значимость и прикладная ценность, а также формулируются положения, выносимые на защиту.
Основой большинства существующих систем защиты является контроль и управление доступом субъектов компьютерной системы к объектам. Для логического обоснования разработанных в диссертации методов защиты необходимо их сравнение с существующими методами защиты. В связи с этим в первой главе приведены основные существующие концепции защиты, основанные на ограничении доступа, и описана идеология защиты с помощью управления доступом.
Во второй главе рассматриваются максимальные возможности нарушителя безопасности. В этой главе обосновывается необходимость отказа от традиционной концепции защиты как контроля доступа. Если производитель дружески относится к службе защиты информации, то принцип контроля доступа как эквивалент безопасности системы является логически безупречным. В противном случае информационная безопасность системы не является обоснованной, так как возможно существование скрытых программно-аппаратных агентов не заметных для средств защиты, но имеющих несанкционированный доступ к ценной информации. В материалах главы приводятся различные определения «невидимости». Кроме того, в главе показано, каким образом недоступные для наблюдения программно-аппаратные агенты могут быть сделаны интеллектуальными, способными решать сложные задачи. Отметим, что «невидимость» может быть доказана формальными математическими методами. Одной из особенностей «невидимых» для защиты «закладок» является построение сетей (распределенных «закладок»), связь между которыми осуществляется по скрытым каналам.
В связи с важностью свойств скрытых каналов для нарушения традиционных систем безопасности в третьей главе приводится обзор математических моделей скрытых каналов. Здесь сравниваются различные подходы к определению скрытых каналов. Показано, что наиболее общим описанием скрытого канала, является наличие статистической зависимости между объектом-передатчиком и объектом-приемником. При этом традиционная многоуровневая политика, которая хорошо защищает от скрытых каналов по памяти (класс В2 по TCSEC [48]) не может считаться защитой от скрытых каналов по времени. Приводятся модели и методы анализа скрытых каналов по времени. Поскольку традиционными скрытыми каналами занималось большое количество ученых, то до последнего времени считалось, что влияние скрытых каналов можно сделать незначительным с помощью специальных средств защиты (например, IPsec). Именно нечеткость формулировок и отсутствие математических моделей в большинстве публикаций на эту тему позволили автору открыть новый класс скрытых каналов, способных преодолевать системы защиты.
Основной слабостью современной практики защиты информации в АС является недостаточное обоснование защищенности компьютерных систем. В главе четыре автор определил доказательный подход к защите информации, показал, как обоснование защищенности должно основываться на математических моделях АС. Поэтому можно считать эквивалентными понятие гарантированной защиты и защиты, основанной на доказательном подходе. Приведен пример гарантированно защищенной системы, в которой строится цепочка математических моделей приводящих к гарантированно защищенной системе. Первым шагом в этой цепочке является формализация угроз автоматизированной системе. В дальнейшем построенная на анализе риска политика безопасности анализируется на предмет корректности, то есть показывается, что если система находится в защищенном состоянии, и выполняются естественные допущения относительно ее функционирования, то система останется безопасной в ходе дальнейшего функционирования. Формальные математические понятия, использованные при анализе модели системы, интерпретированы в терминах реальных систем в том смысле, что математическое обоснование защищенности в рамках математической модели гарантирует безопасность реальной физической автоматизированной системе.
На основе критики существующих принципов построения систем защиты в главе пятой автор разрабатывает доказательный подход к реализации многоуровневой политики безопасности в АС, построенной из ненадежных с точки зрения безопасности элементов. Данный подход является альтернативой описанному в главе 1 традиционному подходу к защите на основе контроля доступов. Защита основана на введенном автором понятии одноуровневой системы. Одноуровневые системы в автоматизированной системе могут быть связаны между собой контролируемыми каналами, что составляет основу предложенного подхода. При этом одноуровневая система предполагает одинаковые права доступов всех субъектов к объектам и, тем самым, делает задачу несанкционированного доступа закладки к информационным ресурсам бессмысленной. Контроль взаимодействия одноуровневых систем, расположенных в узлах решетки, с помощью однонаправленных каналов в точности соответствует наиболее общему определению многоуровневой политики. Однако в предложенном методе контроля каналов помимо наличия канала передачи разрешенных данных предусмотрено доказательство отсутствия скрытых каналов, нарушающих правила взаимодействия одноуровневых систем. Концепция обеспечения безопасности АС с помощью контроля каналов рассматривалась в качестве основы системы безопасности в ряде проектов. Однако созданные на тот период устройства защиты от скрытых каналов (сертифицированное Гостехкомиссией устройство «Вектор» [37]) обладали маленькой пропускной способностью, что не позволило раскрыть преимущества предложенного автором подхода. Автором разработаны подходы управления безопасностью с помощью контроля каналов. Показано, что концепция управления каналами позволяет реализовать достаточно широкий класс безопасных систем, включая системы с динамически меняющимися требованиями по безопасности к одноуровневым системам. Вопросы защиты интерфейсов одноуровневых систем нашли новое решение в форме «интеллектуального» шума. Автором разработана формальная модель безопасных интерфейсов, охватывающая определенную часть практически важных задач.
Глава 6 посвящена исследованию скрытых каналов, построенных на модуляции потоков пакетов. Эти скрытые каналы были открыты автором и обладают существенным свойством преодолевать системы защиты, расположенные на границах различных сред. Показано, как без вскрытия криптографических ключей происходит двухсторонний обмен между программно-аппаратными агентами нарушителя безопасности, расположенными в защищенном сегменте локальной сети и глобальной сети, которая используется как транспорт для связи защищенных сегментов через глобальную сеть. При этом для защиты транспорта используется стандарт IPsec, в который входят шифрование исходных пакетов, инкапсуляция шифрованных пакетов в новые пакеты с новыми адресами и полностью перекрытыми скрытыми каналами, которые могли бы использовать параметры пакетов. Автор показал, что таких каналов может быть построено много, и они обладают различной пропускной способностью и защищенностью. Доказано, что с помощью таких каналов может проводиться активизация агентов в защищенных компьютерных системах. Для двух методов активизации агентов оценено время активизации в простейшей вероятностной модели. В том случае, если для построения скрытого канала используются языки, требующие обучения, построена оценка времени обучения агента для организации скрытого канала. Автором найдены скрытые каналы, не требующие обучения программно-аппаратных агентов нарушителя безопасности, обладающие большой помехозащищенностью, но обладающие небольшой пропускной способностью.
В главе 7 автор исследует некоторые способы противодействия открытым в главе 6 скрытым каналам. Показано, что в некоторых случаях активный аудит позволяет выявить этапы активизации или обучения программно-аппаратного агента нарушителя безопасности при построении скрытого канала. Вместе с тем естественным образом введенные помехи не являются существенной трудностью для организации скрытых каналов рассматриваемого типа. В § 2 главы 7 показано, каким образом можно преодолеть защиту от скрытого канала.
На защиту выносятся следующие основные положения.
Доказательный подход в построении систем защиты информации в АС.
Применение доказательного подхода к реализации многоуровневой политики безопасности в АС с помощью метода контроля каналов. Концепция контроля каналов как основа информационной безопасности распределенных информационных систем, построенных на ненадежных с точки зрения безопасности элементах.
Открытие скрытых каналов, преодолевающих защиту и основанных на модуляции последовательностей адресов пакетов.
Решение задачи инициации агента в защищенном сегменте локальной сети из глобальной сети.
Оценка времени обучения агента для организации скрытого канала.
Оценка возможности выявления скрытых каналов с помощью активного аудита.
Основные результаты исследований по диссертации докладывались и представлялись на региональных конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 1996, 1997, 1998, 1999, 2000, 2001); на международных конференциях «Информационные технологии в науке, образовании, телекоммуникации, бизнесе» (Ялта-Гурзуф, 2001, 2002, 2003); международной Петрозаводской конференции «Вероятностные методы в дискретной математике» (Петрозаводск, 2000); научно-технической конференции органов по аттестации, аккредитованных в Системе сертификации Государственной технической комиссии, и организаций-лицензиатов по Приволжскому Федеральному округу (Пенза, 2002); заседании Академии информационных управленческих технологий (Москва, 2003); международном семинаре «Информатика и общество» I&S 04 (Словакия, 2004); конференции «Математика и безопасность информационных технологий (МаБИТ-03)» (МГУ, 2003).
Основные результаты диссертации отражены в 23 публикациях, в трудах международных конференций, журналах РАН, в монографии, написанной в соавторстве. В работах, написанных в соавторстве, автору принадлежат результаты, включенные в диссертацию.
Автор благодарит Грушо А.А. и Тимонину О.В. за техническую помощь при оформлении работ и критический анализ полученных автором результатов.
Определение политики безопасности
Будем следовать общепринятому определению политики безопасности, приведенному в [48]. Определение 3.1. Политика безопасности это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Полное описание политики безопасности достаточно объемно даже в простых случаях, поэтому далее будем пользоваться сокращенными описаниями.
Смысл политики безопасности очень прост - это набор правил управления доступом. Заметим отличие политики безопасности от употребляемого понятия несанкционированный доступ (НСД) [32 - 36]. Первое отличие состоит в том, что политика определяет как разрешенные, так и неразрешенные доступы. Второе отличие - политика безопасности по своему определению конструктивна, она может быть основой определения некоторого автомата или аппарата для своей реализации.
Пример 3.1. Сформулируем простую политику безопасности в некотором учреждении. Цель, стоящая перед защитой, - обеспечение секретности информации. Политика безопасности состоит в следующем, каждый пользователь пользуется своими и только своими данными, не обмениваясь с другими пользователями. Легко построить систему, поддерживающую эту политику. Каждый пользователь имеет свой персональный компьютер в персональной охраняемой комнате, куда не допускаются кроме него посторонние лица. Легко видеть, что сформулированная выше политика реализуется в этой системе. Будем называть эту политику тривиальной разграничительной (дискреционной) политикой.
Политика безопасности определяется неоднозначно и, естественно, всегда связана с практической реализацией системы и механизмов защиты. Например, политика безопасности в примере 3.1 может полностью измениться, если в организации нет достаточного числа компьютеров и помещений для поддержки этой политики.
Выбор политики безопасности определяется фазовым пространством, допустимыми природой вычислительных процессов траекториями в нем и заданием неблагоприятного множества 5R. Корректность политики безопасности в данных конкретных условиях должна быть, вообще говоря, доказана.
Построение политики безопасности обычно соответствует следующим шагам: 1 шаг. В информацию вносится структура ценностей [4] и проводится анализ риска. 2 шаг. Определяются правила для любого процесса пользования данным видом доступа к элементам информации, имеющим данную оценку ценностей. Однако реализация этих шагов является сложной задачей. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики. Таким образом, даже хорошая система защиты может быть "прозрачной" для злоумышленника при плохой политике безопасности. Рассмотрим следующие примеры. Пример 3.2. Пусть банковские счета хранятся в зашифрованном виде в файлах ЭВМ. Для шифрования, естественно, используется блочная система шифра [16], которая для надежности реализована вне компьютера и оперируется с помощью доверенного лица. Прочитав в книгах о хороших механизмах защиты, служба безопасности банка убеждена, что если шифр стойкий, то указанным способом информация хорошо защищена. Действительно, прочитать ее при хорошем шифре невозможно, но служащий банка, знающий стандарты заполнения счетов и имеющий доступ к компьютеру, может заменить часть шифртекста в своем счете на шифртекст в счете богатого клиента. Если форматы совпали, то счет такого служащего с большой вероятностью возрастет. В этом примере игра идет на том, что в данной задаче опасность для целостности информации значительно выше опасности для нарушения секретности, а выбранная политика безопасности хорошо защищает от нарушений секретности, но не ориентирована на опасность для целостности. Пример 3.3. Для государственных структур традиционно принято определять гриф результирующего документа как верхнюю грань грифов и категорий составляющих этот документ частей. Политику безопасности для электронных документов может привести к возникновению канала утечки информации. В самом деле, рассмотрим многоуровневую реляционную базу данных [4] с решеткой ценностей {несекретно (Н), секретно (С)}. Пусть R - отношение, Ах ,..., Ат - атрибуты, причем Ах первичный ключ. По запросу строится "обзор" R\ который состоит из элементов различной классификации. ПБ может включать одно из двух правил формализованного грифа отношения Я : 1. (Привычный для госструктур). і? имеет гриф, равный наибольшему значению из грифов элементов, которые принимают входящие в него атрибуты. 2. Л имеет гриф, равный наименьшему значению из грифов элементов, которые принимают входящие в него атрибуты. Покажем, что в случае 1 возможна утечка информации с грифом С пользователю, которому разрешен доступ только к информации с грифом Н. Для этого достаточно построить пример базы данных, где такая утечка очевидна. Пусть реляционная база данных реализует геоинформационную систему. Например, она содержит географическую карту некоторого района пустыни. Базовое отношение реляционной модели имеет три атрибута: - Ах - ключевой атрибут, содержащий координаты и размеры прямоугольного сектора в некоторой сетке координат; - А2 - изображение (карта) местности в секторе с координатами, задаваемыми атрибутом Ах ; - Аг - координаты колодцев с водой в рассматриваемом секторе. Для простоты будем считать, что на SQL запрос в базу данных мы получаем на экране изображение карты сектора, определяемого значением атрибута Ах . Пусть значения атрибутов А} и А2 имеют гриф Н, а значения атрибута Аъ - С.
Расширение интеллектуальных возможностей агента нарушителя
В силу ограниченной памяти процессора интеллектуальные возможности «закладки» в нем ограничены. Если предположить, что противник имеет разведывательные цели, но не знает прикладного программного обеспечения, то заложенная при производстве «закладка» в процессоре не способна будет проанализировать содержащуюся в компьютере информацию и выделить нужную. Следовательно, для решения таких задач необходимо проблемно-ориентированное программное обеспечение. Например, вирус для атаки на систему "Speak Freely", предназначенную для защиты телефонных разговоров в компьютерной сети, имеет объем 56 Кбайт. Данный вирус решает задачи поиска необходимого пакета прикладных программ в памяти компьютера, выделения в нем необходимого фрагмента данных, модификации двух байт в выделенном разделе и передачи команды на самоуничтожение своих копий в других местах компьютера. Следовательно, для решения конкретных задач по нанесению ущерба компьютерной системе должно быть инициализировано большое по объему программное обеспечение.
Рассмотрим варианты его проникновения в компьютерную среду с использованием уже инициированной универсальной «закладки» в процессоре. Из сети (например, Интернет) в компьютер поступает поток пакетов, среди них есть пакеты, содержащие фрагменты необходимого для нанесения ущерба программного обеспечения. Каковы бы ни были системы защиты и фильтрации пакетов, пакеты попадают в поле процессора до обработки этими системами и «закладка» может их идентифицировать. Затем «закладка» размещает полученную информацию в области поля памяти компьютера, недоступной для любой программы защиты, использующей для своей работы тот же процессор. После накопления полученного программного обеспечения «закладка» передает ему управление с высшим приоритетом, не допуская его выявления со стороны программ защиты и контроля среды. После получения контроля за средой враждебное программное обеспечение может организовать атаку на другие компьютеры. Для этого достаточно существования связи между захваченным и атакуемым компьютерами. Можно представить себе сценарий такой атаки: инициация «закладки» в процессоре через сеть, передача проблемно-ориентированного программного обеспечения посредством пакетов, не контролируемых системой защиты. Если атакующий компьютер изучил память компьютера-жертвы (при наличии двухстороннего канала это возможно), то атакующий просто может указать жертве из какого программного обеспечения или данных взять нужные для враждебного программного обеспечения компоненты. Таким образом, атака из сети может происходить последовательно, опираясь на связи между уже захваченными компьютерами и новыми жертвами. Отметим, что все существующие программные средства защиты для выполнения своих функций должны получить на себя управление и выполнять свои коды команд на процессоре под контролем и по правилам процессора этого компьютера. Значит, для того, чтобы действия «закладки» в процессоре и враждебного программного обеспечения были невидимы для защиты, достаточно: не допускать обращения в занятые враждебным программным обеспечением области (это можно сделать, например, заменяя такие обращения к другим уже просмотренным разделам памяти или просто отвечая на запрос, что в данной области находятся одни нули); не допускать регистрации времени работы процессора с враждебным программным обеспечением; определять высший приоритет для работы враждебного программного обеспечения.
Выполнение этих условий вполне может обеспечить низко интеллектуальная «закладка» в процессоре. В силу того, что все действия противника невидимы для контроля, то маскировка враждебных действий не нужна.
Возможен способ использования стандартного программного обеспечения для восстановления в компьютерной среде интеллектуального робота-агента, используя неинтеллектуальную «закладку» в процессоре. Пусть коды программного обеспечения (исходники) не содержат никаких «закладок». Пусть интерпретатор кодов (программа, переводящая исходные коды в двоичные последовательности) имеет одну команду (процедуру), которую можно перевести в двоичный код двумя способами. Если «закладка» в процессоре может различать эти два способа представления одной процедуры, то можно передать процессору скрытно один бит, закодировав каждый способ представления процедуры соответственно 1 и 0. Тогда процесс встраивания «закладки» в программное обеспечение будет выглядеть следующим образом. Исходные коды подаются на интерпретатор. Одновременно на вход интерпретатора подается двоичная последовательность, которая является двоичной записью интеллектуальной программы-«закладки». Интерпретатор кодирует исходные коды так, чтобы при каждой встрече команды, имеющей два варианта кодирования, выбрать ту кодировку, которая соответствует очередному знаку 1 или 0 в последовательности бит из записи «закладки». При таком встраивании закладки в программное обеспечение никакое дизассемблирование ее не выявит. Косвенным подтверждением этого или другого подобного способа встраивания «закладок» в программное обеспечение является то, что фирмы-изготовители программного обеспечения категорически отказываются передавать исходные тексты своих программ (ведь можно заново их закодировать в двоичный код, используя "чистый" интерпретатор и, тем самым, защититься от «закладок» в программном обеспечении).
Политики безопасности и их нарушение с помощью скрытых каналов
Если каждый из потоков разрешен, то свойства решетки позволяют утверждать, что разрешен сквозной поток О - О . Действительно, если информационный поток на каждом шаге разрешен, то с(0/+1) c(Ot), тогда по свойству транзитивности решетки с{Ох) с{0 ), то есть сквозной поток разрешен.
В системе с многоуровневой политикой безопасности, в которой информационные потоки сведены к доступам, возможны потоки более общего типа из рассмотренных в 1 главы 3 потоков, которые могут нарушать политику безопасности MLS. Например, любой информационный поток между несравнимыми узлами решетки или сверху вниз, который существует, но не выражается через доступы read и write, будет нарушать политику безопасности MLS даже при корректной реализации мандатного контроля доступов. В простейшем случае, к которому мы будем апеллировать дальше, если система разделена, по крайней мере, на два уровня High и Low и в системе принята многоуровневая политика безопасности [4], разрешающая информационные потоки снизу вверх (от Low к High) и запрещающая потоки сверху вниз, то нарушитель может использовать скрытый канал для передачи информации от программно-аппаратного агента в среде High к программно-аппаратному агенту в среде Low. При этом скрытый канал должен защищать нарушителя от системы защиты, поддерживающей многоуровневую политику, основанную на определении потоков через доступы read и write. То есть скрытый канал должен быть невидим монитору обращений, системе аудита, аналитику, исследующему защищенность системы и т.д.
Потоки в MLS разрешены только между сравнимыми узлами снизу вверх. Данная политика защищает конфиденциальность информации.
Помимо указанных политик следует назвать класс политик защиты связи, в которых информационный поток, передаваемый от отправителя к получателю, не должен быть перехвачен или искажен при различных допущениях относительно возможностей противника по искажению информационных потоков, или по перехвату части передаваемой информации или, наоборот, по попыткам вклиниться в передаваемый информационный поток. Сюда следует отнести ряд стеганографических схем, в которых основная задача создать информационный поток, «невидимый» для наблюдателя, с определенным набором возможностей.
Еще одним примером [14] является ситуация, когда производитель продает пользователю компьютерную систему для обработки данных, при этом производитель встроил программно-аппаратного агента для анализа данных, которые обрабатываются покупателем. Данная система может быть сделана таким образом, что программно-аппаратный агент соответствует уровню High, а легальный вычислительный процесс проходит на уровне Low. Для передачи агентом информации во вне системы необходимо построить скрытый канал между верхним и нижним уровнями с выходом во внешнюю среду (например, в Интернет). Аналогично агент должен получать инструкции с нижнего уровня скрытно, поскольку входные сообщения для легального вычислительного процесса и агента приходят по одному каналу.
Суммируем кратко выводы. Для поддержки политики безопасности используются механизмы защиты, препятствующие нарушению политики безопасности. Одним из способов нарушения политики безопасности является создание скрытых информационных потоков, не выявляемых системами защиты. В случае многоуровневой политики скрытые каналы передают информацию с верхних уровней конфиденциальности на нижний уровень так, чтобы механизмы защиты не могли препятствовать нарушению политики защиты конфиденциальности. В политике Biba скрытый канал с нижнего уровня на верхний может передать команду Троянскому коню на уничтожение или модификацию информационных ресурсов, целостность которых защищает данная политика.
В связи с этим возникла проблема анализа скрытых каналов всюду, где возникают ограничения на информационные потоки. Любой такой анализ предполагает решение четырех взаимосвязанных задач: 1) выявление скрытых каналов; 2) оценка пропускной способности скрытых каналов и оценка опасности, которую несет их скрытое функционирование; 3) выделение сигнала или получение какой-нибудь информации, передаваемой по скрытым каналам; 4) противодействие реализации скрытого канала вплоть до его уничтожения. Традиционно [54] скрытые каналы характеризуются как каналы по памяти или каналы по времени. В работе [57] определяются скрытые каналы по памяти как такие каналы, в которых информация передается через доступ отправителя на запись и получателя на чтение к одним и тем же ресурсам или объектам. Скрытый канал по времени характеризуется доступом отправителя и получателя к одному и тому же процессу или изменяемому во времени атрибуту.
Как и прежде будем полагать, что система разделена, по крайней мере, на два уровня High и Low и в системе принята многоуровневая политика безопасности [4], разрешающая информационные потоки снизу вверх (от Low к High) и запрещающая потоки сверху вниз. Нарушитель может использовать скрытый канал для передачи информации от программно-аппаратного агента в среде High к программно-аппаратному агенту в среде Low. При этом скрытый канал должен защищать нарушителя от системы защиты, поддерживающей многоуровневую политику.
Простейшим скрытым каналом по памяти является возможность показа на уровне Low названий директорий и файлов, созданных на уровне High. В данном случае информация может передаваться в именах файлов, которые выбираются в соответствии с заранее условленным кодом, в атрибутах файлов, в которых информация может кодироваться, размерами файлов, датами изменения файлов и т.д. И, наконец, существование файла с данным названием несет бит информации с верхнего уровня на нижний.
Пример математического подхода к обоснованию защищенности (гарантии) системы обработки информации
Построим пример гарантированно защищенной системы обработки информации. Сначала определим модель X системы, которая оперирует с ценной информацией. Считаем, что время дискретно и принимает значения из множества N = {1, 2,... }, информация в системе Z, включая описание самой системы, представима в форме слов некоторого гипотетического языка Я над некоторым конечным алфавитом А. Напомним, что объект в - это конечное множество слов из Я, состояние объекта - выделенное слово из множества, определяющего этот объект. С понятием объекта связано агрегирование информации в и о Z. Например, объектом является принтер, который можно рассматривать как автомат с конечным множеством состояний, а эти состояния - суть слова языка Я. Другой пример объекта - файл. Множество слов, которые могут быть записаны в файле, является конечным и определяет объект, а состояния объекта - это текущая запись в файле, которая тоже является словом в языке Я.
Принято считать, что вся информация оів данный момент может быть представлена в виде состояний конечного множества объектов. Поэтому будем считать, что состояние системы X - это набор состояний ее объектов. Объекты могут создаваться и уничтожаться, поэтому можно говорить о множестве объектов системы X в момент t, которое мы будем обозначать Ot, Ot .
Для каждого t є N выделим в Ot подмножество St субъектов. Любой субъект S є St есть описание некоторого преобразования информации в системе Х- Для реализации этого преобразования в Z необходимо выделить определенные ресурсы (домен) и организовать определенное взаимодействие ресурсов, приводящее к преобразованию информации, которое назовем процессом. Тогда каждый субъект может находиться в двух состояниях: в форме описания, в котором субъект называется не активизированным, и в форме (домен, процесс), в которой субъект называется активизированным.
Активизировать субъект может только другой активизированный субъект. Для каждого t є N на множестве St можно определить орграф Г{, где SjH S2 из St соединены дугой Sj— S2 тогда и только тогда, когда в случае активизации Sl возможна активизация S2. Если субъект S такой, что для каждого Г{ в вершину S не входит дуг, то такой субъект будем называть пользователем. Для простоты положим, что в системе Z всего два пользователя U{ и U2. Пользователи считаются активизированными по определению и могут активизировать другие субъекты. Если в любой момент t в графе Гt в вершину S не входят дуги и не выходят дуги, то такие субъекты исключаем из рассмотрения. Обозначим SY—?— S2, 1 2є &t процедуру активизации процессом Sx субъекта S2. Предположение 2.1. Если субъект S активизирован в момент t, то существует единственный активизированный субъект S" в St, который активизировал S. В момент t = 0 активизированы только пользователи. Лемма 2.1. Если в данный момент t активизирован субъект S, то существует единственный пользователь U, от имени которого активизирован субъект S, то есть существует цепочка Доказательство. Согласно предположению 2.1 существует единственный субъект Sк, активизирующий S. Если Sk = Ux, или Sk = U2, то лемма доказана. Если Sk Ф Ut, і = 1, 2, то существует единственный субъект Sk_Y, активизировавший Sk. В силу конечности времени работы системы Z и того факта, что в начальный момент активизированы могут быть только пользователи, получаем в начале цепочки одного из них. На этом, согласно определению пользователей, цепочка обрывается. Лемма доказана. Предположение 2.1 требует единственности идентификации субъектов. Далее будем предполагать, что каждый объект в системе имеет уникальное имя. Кроме активизации в системе X существуют и другие виды доступа активизированных субъектов к объектам. Будем обозначать множество всех видов доступов через R и считать \R\ ОО. ЕСЛИ р cz R, то будем обозначать множество доступов р активизированного субъекта S к объекту О через S——»0. Если в некоторый промежуток времени [t, t+k] реализована последовательность доступов то будем считать, что произошел доступ S— — 0 от имени субъекта S к объекту О. Нас не интересует, какую задачу решает система X, мы лишь моделируем функционирование системы последовательностью доступов. Функционирование системы X описывается последовательностью доступов множеств субъектов к множествам объектов в каждый момент времени t є N. Обобщим введенный орграф Г{ добавив дуги S -» О, обозначающие возможность любого доступа субъекта S к объекту О в момент t, в случае активизации S. Обозначим Dt (S) = {О \S -» 0 в момент t), где S 0 означает возможность осуществления цепочки доступов (возможность доступа к О от имени S). Тогда для любого t є NB системе определены Dt(U1)nDt(U2) . Будем считать, что D = 0((их)nDt(U2) фиксировано для всех t, Ot = Dt(Ul)uDt(U2), в начальный момент t = 0: О0 = {U}, U2 }uD. Определение 2.1. Множество объектов D называется общими ресурсами системы. В частности, средствами из D пользователь может создавать объекты и уничтожать объекты, не принадлежащие D. Создание и уничтожение каких-либо объектов является доступом в R к некоторым объектам из D (и к уничтожаемым объектам).
