Содержание к диссертации
Введение
Глава 1. Теоретические основы обеспечения безопасности информации 8
1.1. Основные понятия безопасности компьютерных систем 8
1.2. Стандарты безопасности компьютерных систем 20
1.3. Требования к системе обеспечения безопасности рабочей станции 22
1.4. Анализ причин нарушения безопасности компьютерных систем 24
Выводы к Главе 1 37
Глава 2. Модель обеспечения безопасности вычислительной среды рабочей станции 38
2.1. Политики безопасности и модели безопасности 38
2.2. Обзор формальных моделей безопасности 44
2.3. Объектно-концептуальная модель вычислительной среды 63
2.4. Формальная модель безопасности вычислительной среды 66
Выводы к Главе 2 69
Глава 3. Построение системы защиты рабочей станции 70
3.1. Анализ существующих подходов к защите данных 70
3.2. Построение системы защиты рабочей станции 79
3.3. Архитектура субоперационной системы защиты рабочей станции 83
3.4. Функционирование субоперационной системы защиты 84
Выводы к Главе 3 87
Глава 4. Обеспечения безопасного взаимодействия рабочих станций по информационно-вычислительным сетям 88
4.1. Протоколы сетевой безопасности 88
4.2. Описание протокола IPsec 89
4.3. Функционирование протокола IPsec 98
4.4. Применение IPsec в составе системы защиты рабочей станции 109
4.5. Замечания по реализации протокола IPsec .113
Выводы к Главе 4 115
Заключение 116
Приложение 119
Список литературы 132
- Анализ причин нарушения безопасности компьютерных систем
- Объектно-концептуальная модель вычислительной среды
- Архитектура субоперационной системы защиты рабочей станции
- Применение IPsec в составе системы защиты рабочей станции
Введение к работе
Современный мир характеризуется высокими темпами научно-
технического прогресса, глобальной автоматизацией и информатизацией
человеческой деятельности, повсеместным использованием электронно-
вычислительных машин, разнообразных организационно-технических и
человеко-машинных систем, применяемых для всестороннего обеспечения
существования человеческой цивилизации. Важнейшим классом таких
систем являются автоматизированные системы различного назначения, в
которых сбор, хранение и обработка данных осуществляется средствами
автоматизации и вычислительной техники. Современные
автоматизированные системы объединяют в единый контур большое число разнородных территориально распределенных объектов и включают в себя специализированные и универсальные вычислительные машины и системы, устройства передачи данных, терминалы и другие абонентские устройства. В зависимости от целевого предназначения компоненты автоматизированных систем объединяют в информационно-вычислительные сети (ИВС) различного масштаба.
Создание автоматизированных систем и информационно-вычислительных сетей привело к формированию в рамках мировой цивилизации единого международного информационного пространства. С другой стороны, повсеместное внедрение в практику человеческой деятельности автоматизированных систем сопровождается целым комплексом негативных последствий, таких как компьютерные преступления, экономические и политические диверсии с применением средств ИВС, электронные диверсии, и т.п. Анализ примеров и последствия нарушений безопасности в различных автоматизированных системах, в том числе и критического назначения, позволяет сделать вывод о том, что на фоне стремительного развития информационных технологий наблюдается кризис обеспечения безопасности информации, и об особой
роли информационной безопасности в жизни человеческого общества. В связи с этим на настоящем этапе развития науки происходит формирование нового научного направления - теории обеспечения безопасности информации.
Основными объектами прикладного применения теории обеспечения
безопасности информации являются автоматизированные
информационные системы (АИС), под которыми, в зависимости от их целевого назначения, принято понимать отдельные электронно-вычислительные машины, комплексы технических средств обработки информации и информационно-вычислительные сети. Современные автоматизированные информационные системы характеризуются высокой вычислительной мощностью, универсальностью и использованием типовых наборов компонентов, способных работать как автономно, так и в составе распределенной вычислительной системы любого масштаба.
Рис. 1. Структура распределенной вычислительной системы.
Наиболее распространенным в настоящее время типом АИС являются универсальные распределенные вычислительные системы (далее ВС), представляющие собой группу компьютеров - рабочих станций и выделенных серверов - соединенных информационно-вычислительной сетью. Структура типовой распределенной вычислительной системы приведена на Рис. 1.
Объектом исследований в рамках данной работы выступает рабочая станция - в иностранной научно-технической литературе используется термин «workstation» - как типовой элемент и одна из важнейших составных частей современных распределенных вычислительные систем. Рабочая станция является оконечным элементом информационно-вычислительной сети, выступает в качестве посредника между вычислительной системой и человеком, и, как следствие, является ее наиболее уязвимым звеном, наиболее вероятным источником ошибок и потенциальным каналом утечки информации.
С точки зрения прикладной теории обеспечения безопасности информации значимость рабочей станции распределенной вычислительной системы и оконечного элемента информационно-вычислительной сети как объекта изучения очевидна и неоспорима. Разработка новых, отвечающих современным требованиям, единых принципов, методов и технологий обеспечения безопасности информации на персональных компьютерах, применяющихся в качестве рабочих станций распределенных вычислительных систем и информационно-вычислительных сетей, создание единой концепции их защиты и синтеза системы обеспечения безопасности, отвечающей положениям такой концепции, является актуальной задачей, имеющей высокую теоретическую и прикладную значимость.
Целью диссертационной работы является повышение безопасности автоматизированных систем и информационно-вычислительных сетей путем построения системы защиты вычислительной среды рабочих станций и обеспечения безопасного взаимодействия рабочих станций по открытым информационно-вычислительным сетям.
Структура работы
Диссертационная работа состоит из введения, четырех глав, заключения, одного приложения и списка литературы из 87 наименований.
Создание системы обеспечения безопасности информации рабочей станции информационно-вычислительной сети в определенном смысле есть задача синтеза. Прежде, чем приступить к ее решению, необходимо получить четкий и однозначный ответ на вопросы - что есть защищенная система вообще, и что есть защищенная рабочая станция в частности. Для этого нужно решить соответствующие задачи анализа.
Во-первых, необходимо изучить основы теории обеспечения безопасности информации и рассмотреть возможные угрозы безопасности информации. Важно также собрать, проанализировать и систематизировать данные об известных случаях нарушения безопасности информации и выявить характерные уязвимые места систем защиты. Наконец, поскольку создание систем защиты должно опираться на существующую нормативную базу, нужно рассмотреть стандарты информационной безопасности, принятые в нашей стране и в мире. Освещению данных вопросов посвящена Глава 1.
Во-вторых, нужно изучить теоретическую базу создания систем защиты, а именно существующие формальные модели обеспечения безопасности информации. Далее, необходимо всесторонне проанализировать особенности и свойства, присущие типовой рабочей станции информационно-вычислительной сети как предмету исследования, разработать объектно-концептуальную модель вычислительной среды рабочей станции и адаптировать к ней одну из формальных моделей обеспечения безопасности. Решению данных вопросов посвящена Глава 2.
Главы 3 и 4 посвящены решению задачи создания системы защиты рабочей станции информационно-вычислительной сети. В третьей главе рассматриваются различные подходы к построению систем обеспечения
безопасности информации и определяется тип и место системы защиты в структуре вычислительной среды рабочей станции. Проводится анализ архитектур типовых операционных систем, применяемых на рабочих станциях. Предлагается разработанный автором подход к построению систем защиты, заключающийся во внедрении в ядро операционной системы рабочей станции средств обеспечения безопасности вычислительной среды. Представлена разработанная автором структурно-функциональная схема субоперационной системы защиты вычислительной среды рабочей станции, соответствующей требованиям стандартов информационной безопасности. Объясняется назначение компонентов субоперационной системы защиты и принципов их функционирования.
В четвертой главе рассматриваются вопросы обеспечения безопасности взаимодействия защищенных рабочих станций по открытым информационно-вычислительным сетям. Представлены разработанные автором методы применения существующих протоколов сетевой безопасности в составе субоперационной системы защиты вычислительной среды рабочей станции.
В качестве примера практического создания системы защиты рабочей станции на основе предложенного автором подхода, в Приложении приведены фрагменты исходных текстов прототипа субоперационной системы защиты «Ребус» для операционных систем Windows 95/98, реализованной в соответствии с разработанной структурно-функциональной схемой.
Анализ причин нарушения безопасности компьютерных систем
Знание истории атак на вычислительные системы и понимание причин, по которым они имели место и были успешно осуществлены, является одним из необходимых условий разработки защищенных систем. Перспективным направлением исследований в этой области является анализ успешно проведенных атак на системы защиты с целью их обобщения, классификации и выявления причин и закономерностей их появления и существования.
Эффективность такого подхода обуславливается тем, что при разработке и создании защищенных систем основные усилия будут концентрироваться на устранении этих причин и учете в механизмах защиты выявленных недостатков. Очевидно, что основой данного подхода является глубокое исследование частных случаев нарушения безопасности и слабых сторон систем защиты, сделавших возможным их осуществление. Для этого необходимо провести анализ и обобщение существующих данных о нарушении безопасности ВС и создать их классификацию. Эта задача являлась целью ряда зарубежных исследований [26, 28, 29, 30, 32, 33, 34, 35].
Любая атака на вычислительную систему (подразумеваются успешные атаки, в результате которых происходит нарушение информационной безопасности) опирается на определенные особенности построения и функционирования последней, иными словами - использует имеющиеся недостатки средств обеспечения безопасности. Для обозначения таких недостатков в зарубежной литературе применяется емкий термин "security flaw", означающий упущение в средствах защиты, создавшее предпосылки нарушения информационной безопасности. Для обозначения недостатков системы защиты и ВС в целом, потенциально ведущих к нарушению безопасности, введем понятие изъяна системы защиты (ИСЗ). Под ИСЗ понимается как совокупность причин, условий и обстоятельств, наличие которых может привести к нарушению нормального функционирования ВС и нарушению безопасности информации, так и особенности программной и аппаратной архитектуры ВС, создающие предпосылки для нарушения безопасности.
Прежде чем приступить к анализу и обобщению данных о нарушении безопасности и разработке таксономии ИСЗ, целесообразно обратиться к истории исследований нарушений безопасности компьютерных систем.
Наиболее серьезные усилия по выявлению ИСЗ в системах защиты с помощью экспериментов по их преодолению нашли свое отражение в разработанной в начале 70-х т.н. методологии гипотетического выявления ИСЗ (Flaw Hypothesis Methodology) [33]. Данная методология предусматривает проведение исследований в три этапа. Первый этап состоит в общем комплексном изучении системы, причем особое внимание уделяется принципам функционирования механизмов защиты. На втором этапе происходит выдвижение предположений (гипотез) о потенциально уязвимых узлах, которые затем тщательно проверяются на основании анализа документации по системе, реальных особенностей и деталей ее функционирования, и с помощью проведения специальных тестов, призванных подтвердить или опровергнуть присутствие предполагаемой бреши в системе защиты. На третьем, заключительном этапе полученные результаты обобщаются и формируются списки (перечни) выявленных ИСЗ и успешных атак. Хотя в [33] присутствует перечень ИСЗ исследованных систем и разработанных и успешно осуществленных атак, систематизация полученных данных выполнена не была.
В середине 70-х годов подобные исследования проводились по проектам RISOS (Research in Secured Operating System) [27] и PA (Protection Analysis) [29]. В обоих проектах были предприняты попытки формального описания и систематизации информации об ИСЗ. Суммируя результаты данных исследований, можно выявить следующие классы ИСЗ: 1. Недостаточно надежная идентификация, аутентификация и авторизация субъектов и объектов, приводящая к возможности использования нескольких имен для обозначения одной и той же сущности (субъекта или объекта) и неявному нарушению политики безопасности; 2. Ошибки контроля значений критичных параметров и границ объектов; 3. Асинхронный контроль и отложенное использование параметров и другие ошибки в последовательности действий, влекущие за собой прерывание атомарных операций; 4. Ошибки управления защитой памяти, хранение данных в незащищенных областях и неполное уничтожение объектов или их окружения после использования; 5. Ошибки в логике функционирования механизмов защиты и неадекватная реакция на нарушения безопасности.
Однако предложенные в данных работах методики поиска ошибок безопасности в операционных системах устарели и достаточно ограничены в применении. Это можно объяснить предпринятой попыткой обеспечить универсальность методик, что отрицательно сказалось на возможности их развития и адаптации для новых ОС. С другой стороны, усилия исследователей слишком рано были перенаправлены от изучения ИСЗ в сторону разработки универсальной технологии создания защищенных операционных систем, свободных от подобных ошибок.
Задачи данного раздела состоят в анализе успешных атак и систематизации ИСЗ с целью выявления наиболее распространенных типов уязвимостей в системах обеспечения безопасности, сопоставлении полученных результатов с современными достижениями технологии разработки защищенных систем и совершенствовании последних.
Объектно-концептуальная модель вычислительной среды
Для определения принципов построения и функционирования системы защиты рабочей станции и разработки формальной модели обеспечения безопасности необходимо построение объектно-концептуальной модели вычислительной среды рабочей станции.
С точки зрения объектно-ориентированного анализа вычислительная среда рабочей станции есть совокупность перечислимых множеств сущностей -субъектов (пользователей и процессов) и объектов (ресурсов, данных, программ), составляющих классы объектно-концептуальной модели, и функциональных отношений между ними - включения, порождения, использования, удаленного взаимодействия и обмена данными. Функциональные отношения между классами объектно-концептуальной модели реализуются посредством множества операций (активирование, деактивирование, доступ, прием, передача, хранение), выполняемых активными сущностями-субъектами над пассивными сущностями-объектами. Каждая сущность характеризуется состоянием, множеством атрибутов, определяющих классификационные признаки сущности (в том числе - метки безопасности, такие как уровень полномочий субъектов и класс безопасности объектов), множеством отношений и множеством операций. Характеристики сущности могут быть как статическими, так и динамическими (меняться в процессе функционирования системы). Критерием безопасности состояния сущности является соответствие ее атрибутов требованиям политики безопасности, принятой в вычислительной системе.
Политика безопасности конкретной рабочей станции зависит от большого ряда факторов (ее положения в структуре информационно-вычислительной сети, целевого предназначения, круга решаемых на ней задач, режима использования и т.д.). Поэтому детализация требований политики безопасности и введение формальных критериев безопасности является сугубо прикладной задачей, выходящей за рамки задачи
построения объектно-концептуальной модели вычислительной среды рабочей станции.
В упрощенном виде объектно-концептуальная модель вычислительной среды рабочей станции как элемента распределенной информационно-вычислительной системы представлена на Рис.4.2.
Введем обозначение вычислительной средыZ. Обозначим через Е= {e-,\i - \.JVe} множество всех сущностей вычислительной среды Z. Множество Е состоит из следующих подмножеств: ES = {esi і = l.JYs}- множество субъектов - процессов (активных сущностей, выполняемых от имени пользователей); ЕО = {eoi і = l.JV0}- множество объектов (пассивных сущностей, в рамках данной модели - ресурсов ER, данных ED и программ ЕР).
Состояния сущностей и их атрибуты являются переменными и зависят от действий субъектов и выполняемых над сущностями операций. Поэтому целесообразно говорить о текущих состояниях и атрибутах сущности. Множество текущих состояний сущностей обозначим через С(Е) = {s(e$ / = \..Ne), множество текущих атрибутов - через М(Е) = {а(е$ \i=\ ..Ne}.
Введем понятие множества операций вычислительной среды Z, обозначаемое через F. В данное множество входят все операции, которые могут выполняться в вычислительной среде Z. При построении объектно-концептуальной модели целесообразно рассматривать обобщенные операции, которые могут определять какое-либо законченное действие (транзакцию), при этом обобщенные операции включают в себя некоторые элементарные операции, не поддающиеся дальнейшей декомпозиции. В общем случае все операции в вычислительной среде рабочей станции могут быть сведены к следующим пяти обобщенным операциям
Архитектура субоперационной системы защиты рабочей станции
Интеграция комплекса средств защиты с ядром операционной системы и создания субоперационной системы защиты гарантированно обеспечивает выполнение требования исчерпывающего контроля операций. Выполнение же требования обеспечения легитимности операций зависит от функциональной полноты системы защиты, качества ее реализации и адекватности принятой в системе политики безопасности. Это означает, что разработка системы защиты рабочей станции должна вестись в строгом соответствии со стандартами безопасности, определяющими требования к составу и функциональности средств обеспечения безопасности, входящих в состав системы защиты. При разработке системы защиты также должна быть принята во внимание таксономия изъянов систем защиты, и должно быть обеспечено устранение причин, обуславливающих их существование.
Упрощенная структурно-функциональная схема субоперационной системы защиты вычислительной среды рабочей станции, разработанная в соответствии с действующими стандартами информационной безопасности и требованиями к системам защиты рабочих станций, перечисленным в параграфе 1.3 Главы 1, представлена на Рис. 3.7. В состав субоперационной системы защиты входят следующие составные части [5, 15]: подсистема идентификации и аутентификации; монитор регистрации в системе; монитор операций; подсистема управления доступом; подсистема обеспечения целостности; подсистема аудита; монитор сетевого трафика; подсистема обеспечения безопасного сетевого взаимодействия; подсистема криптографической защиты; подсистема управления безопасностью.
Подсистема идентификации и аутентификации обеспечивает присвоение уникальных идентификаторов всем сущностям вычислительной среды. В процессе функционирования рабочей станции данные идентификаторы применяются для распознавания сущностей и их аутентификации (проверки соответствия сущности и ее идентификатора). Аутентификация выполняется для предотвращения попыток выполнения субъектами нелегитимных действий под прикрытием чужих идентификаторов.
Монитор регистрации в системе выполняет несколько функций. Во-первых, он предоставляет пользователям интерфейс для входа в систему. При корректном входе в систему (то есть после успешного завершения процедуры аутентификации), в зависимости от введенных идентификатора и пароля пользователю ставится в соответствие определенная роль из состава ролей, определенных в политике безопасности. Таким образом происходит разделение пользователей, имеющих разный статус и уровень полномочий, а также выделение из состава пользователей лиц, имеющих полномочия администратора. Во-вторых, монитор регистрации в системе отслеживает действия пользователей по выполнению системных команд и запуску прикладных программ, и передает соответствующую информацию подсистеме идентификации и аутентификации для установления однозначного соответствия между субъектами-пользователями и субъектами-процессами.
Монитор операций, в соответствии с требованием исчерпывающего контроля операций, обеспечивает контроль и мониторинг всех операций, выполняемых в вычислительной среде рабочей станции субъектами-процессами. Информация об операциях, выполняемых субъектами, включая все параметры команд и ссылки на объекты, передаются в подсистему управления доступом. Подсистема управления доступом проверяет соответствие уровня полномочий субъекта, роли ассоциированного с ним пользователя и класса безопасности объекта и принимает решение о разрешении или запрещении выполнения данной операции.
Подсистема аудита обеспечивает регистрацию и учет всех событий в системе, начиная от запуска операционной системы, регистрации пользователя, выполнения команд, запуска процессов, действий процессов, их обращений к объектам, решений о предоставлении или запрете доступа, принятых подсистемой управления доступом, а также действий пользователя в сети и его взаимодействия с удаленными респондентами.
Монитор сетевого трафика обеспечивает мониторинг и перехват сетевого трафика рабочей станции, и, при необходимости и в от принятой политики безопасности, задействование подсистемы обеспечения безопасного сетевого взаимодействия для установления защищенного соединения и защиты данных при обмене информацией с удаленными респондентами по открытым информационно-вычислительным сетям.
Подсистема криптографической защиты предоставляет необходимый набор функций для шифрования и расшифровки данных, генерации цифровой подписи локальных пользователей рабочей станции, обработки цифровых сертификатов и проверки подписи удаленных респондентов. Также подсистема криптографической защиты используется для шифрования файлов конфигурации системы защиты рабочей станции и проверки целостности ее исполняемых модулей.
Подсистема обеспечения целостности в режиме реального времени выполняет контроль целостности всех компонентов системы защиты и заданного множества элементов вычислительной среды, обеспечивая тем самым устойчивость функционирования рабочей станции. В случае обнаружения сбоев подсистема обеспечения целостности выдает соответствующее предупреждение и выполняет откат к предыдущему стабильному состоянию.
Применение IPsec в составе системы защиты рабочей станции
Расположение протокола IPsec на сетевом уровне архитектуры ТСРЯР определяет жесткую привязку его программной реализации к внутренней архитектуре базовой операционной системы (для объективности необходимо заметить, что с другой стороны это дает возможность реализации IPsec в специализированных аппаратных модулях (firmware), что в ряде случаев предпочтительней). Для использования протокола IPsec в составе субоперационной системы защиты необходима реализация модулей перехвата сетевого трафика и их внедрения в стек сетевых протоколов типовых операционных систем рабочих станций между сетевым (IP) и канальным (NIC) уровнем. Эта проблема требует особого рассмотрения [14], поскольку для большинства операционных систем стек сетевых протоколов не включается в ядро, а реализуется отдельно, причем способ его реализации является различным для разных ОС.
Поясним суть проблемы. Перехват IP-трафика для выполнения IPsec-обработки пакетов требует внедрения в стек TCP/IP дополнительного кода. В ряде операционных систем для решения подобного рода задач предусматриваются, хотя и кардинально отличающиеся между собой, но по крайней мере стандартизованные механизмы (Windows и Unix семейства System V); в других системах таких механизмы отсутствуют вообще (Unix семейства BSD, в том числе и Linux).
В системах Windows (как 9х, так и NT) поддерживается спецификация NDIS (Network Driver Interface Specification, версии NDIS3.1 и NDIS4 соответственно), позволяющее создать виртуальное IPsec-устройство и встроить его между устройством NIC и протоколом IP, соответствующим образом подкорректировав связывание протоколов и адаптеров (binding) [14].
Положение протокола IPsec в сетевой архитектуре операционных систем семейства Windows показано на Рис.4.13.
Для систем Unix System V (например, SunOS и UnixWare) достаточно создания дополнительного потока определенной структуры (stream) между стандартными потокам IP и потоком NIC (Network Interface Card) Рис. 4.14 [14].
В системах Unix семейства BSD (например, FreeBSD и Linux) при реализации IPsec возникают определенные проблемы. На первый взгляд, сложностей с перехватом IP-трафика нет - данная задача легко решается, например, применением механизма отклонения пакетов (diverting) с использованием сокетов прямого доступа (raw-socket), как показано на Рис. 4.15.
Но в данном случае работать с сокетом прямого доступа и выполнять обработку отклоненного трафика должен процесс прикладного уровня, а это приводит к троекратному увеличению трафика локального TCP/IP стека [14] и заметному снижению скорости обмена данными по сети.
Другое решение, пригодное, например, для Linux, состоит в правке исходного кода и последующей перекомпиляции ядра. В данном случае требуется незначительная модификация файлов, содержащих реализацию стека TCP/IP (файлы [kernel ]/net/core/dev. с, [kemel]/net/netsyms.c) - а именно добавление вызовов процедур IPsec, добавление в состав исходных текстов системы файлов, реализующих IPsec, и соответствующая правка make- и config-файлов. Модификация make- и config-файлов может быть осуществлена и автоматически, при установке на рабочую станцию системы IPsec [14].
При реализации протокола IPsec в сетевой архитектуре ТСРЯР появляется единый защищенный канал, через который проходит трафик всех без исключения сетевых приложений или сервисов. Задача обеспечения безопасности информационного взаимодействия становится разрешимой.
Введение в состав протокола IPsec туннельного и транспортного режимов позволяет создавать IPsec-системы, предназначенные для решения разного рода задач - как установления защищенных соединений между конечными адресатами (хост-хост), так и между узлами и шлюзами сетей. Наличие же возможностей комбинированного применения протоколов АН и ESP в разных режимах, а также определения стратегии функционирования IPsec-системы и гибкого управления ею с использованием SPD, предоставляет широкие возможности для создания как универсальных, так и специализированных решений по обеспечению безопасности данных в информационно-вычислительной сети. Таким образом, IPsec-система обеспечивает поддержку сквозных защищенных каналов между произвольными IP-хостами и/или группами хостов, между шлюзами отдельных подсетей, и целых виртуальных закрытых сетей (VPN).
В то же самое время, IPsec не лишен недостатков. Основной недостаток IPsec - исключительная сложность его инфраструктура и ее реализации. Второй серьезный недостаток связан с реализацией уже отдельных протоколов - IKE, ISAKMP и OAKLEY. Каждый из этих протоколов по своему объему и сложности значительно превосходит АН и ESP, вместе взятые, и требует реализации нескольких режимов обмена, работающих с большим количеством сообщений, состоящих из многих полей, каждое из которых есть сложная структура данных.
Похожие диссертации на Обеспечение безопасности данных на рабочей станции информационно-вычислительной сети
