Содержание к диссертации
Введение
1. Подходы к решению задачи построения гибридных операционных систем 16
1.1 Обоснование выбора технологии гибридных операционных систем для обеспечения безопасности информационных систем 17
1-2 Подходы к решению задачи построения гибридных ОС 20
1.2 Л Эмуляция аппаратной платформы , 20
L2.2 Создание в составе базовой ОС виртуальной машины для запуска встраиваемой ОС 23
1.2.3 Эмуляция прикладного программного интерфейса 28
1.2.4 Преобразование встраиваемой ОС в приложение базовой ОС .30
1.3 Способы создания среды для работы приложений встраиваемой ОСЗЗ
1.4 Выбор подхода к решению задачи построения гибридной ОС для обеспечения безопасности информационной системы 34
1.5 Выводы 38
2. Архитектура ЗГОС 40
2.1 Требования к архитектуре ЗГОС 40
2.2 Архитектура ЗГОС 41
2.3 Доступ к ресурсам ЗГОС ; 43
2.4 Требование контроля базовой ЗОС всех взаимодействий как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС 45
2.5 Требование контроля доступа со стороны базовой ЗОС обращений встраиваемой ОС к ресурсам базовой ЗОС 45
2.5 Л Сетевые средства зашиты ЗГОС 46
2.5.2 Обеспечение контроля доступа к терминалу базовой ЗОС из встраиваемой ОС 47
2.5.3 Обеспечение контроля доступа к файловым системам базовой ЗОС из встраиваемой ОС 48
2.6 Преимущества ЗГОС по сравнению с распространенной ОС и защищенЕіой ОС 49
2.7 Выводы 50
3. Модель безопасности ЗГОС 51
3.1 Общая модель безопасности ЗГОС 51
3.2 Зависимость безопасности ЗГОС от безопасности базовой ЗОС 53
3.4 Выводы , , 51
4. Защищенная гибридная ОС "Линукс-феникс" 5S
4.1 Выбор встраиваемой ОС и базовой ЗОС для построения ЗГОС 58
4.2 Архитектура ЗГОС "Линукс-Феникс" 60
4.3 Требование контроля базовой ЗОС всех взаимодействий как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС 62
4.4 Требование контроля доступа со стороны базовой ЗОС обращений встраиваемой ОС к ресурсам базовой ЗОС 64
4.5 Алгоритм работы средств зашиты ЗОС "Феникс" при попытке обращения задачи ОС "Линукс" к ресурсу ЗОС "Феникс" 64
4.6 Пример работы средств защиты ЗОС "Феникс" 67
4.7 ГТолиморфность контроля доступа к ресурсам ЗОС "Феникс'1 68
4.8 Средства разработки приложений для ЗГОС "Линукс-Феникс*4 69
4.8Л Среда разработки приложений для ЗГОС "Линукс-Феникс" 69
4.8.2 Программные интерфейсы ЗГОС "Линукс-Феникс" 69
4.8.3 Разработка приложений для ЗГОС "Л и пуке-Фен икс" 70
4.9 Работа со встраиваемой ОС "Линукс" в ЗГОС "Линукс-Феникс" .72
4.10 Выводы 76
5. Применение згос "линукс-феникс" 77
5.1 Области применения ЗГОС "Линукс-Феникс" 77
5.2 Создание на базе ЗГОС "Линукс-Феникс" макета защищенной системы документооборота 79
5.2.1 Угрозы конфиденциальности информации в информационной системе, имеющей доступ клокальной сети и к Интернет 81
5.2.2 Обеспечение конф йдеш шальное информации при помощи ЗГОС "Линукс-Феникс" 82
5-3 Модель нарушителя в ЗГОС 84
5.4 Оценка эффективности применения ЗГОС 85
5.5 Выводы , 87
Заключение 89
Список литературы
- Эмуляция аппаратной платформы
- Требование контроля базовой ЗОС всех взаимодействий как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС
- Зависимость безопасности ЗГОС от безопасности базовой ЗОС
- Требование контроля доступа со стороны базовой ЗОС обращений встраиваемой ОС к ресурсам базовой ЗОС
Введение к работе
В настоящее время уделяется большое внимание вопросам построения защищенных информационных систем, что связано с растущей необходимостью применения современных информационных технологий в тех областях, для которых основным требованием к автоматизированным системам обработки информации является обеспечение безопасности. Широко распространенные операционные системы (ОС) типа Linux или Windows не могут удовлетворить этому критерию. В то же время эти ОС обладают огромным количеством приложений для обработки информации и имеют привычный для пользователя интерфейс.
Наиболее полные исследования проблем обеспечения безопасности информации, использования незащищенных компонентов для безопасной обработки информации, подходов к построению защищенных информационных систем и моделей безопасности выполнены в работах В.А. Герасименко, СП. Расторгуева, Л.М. Ухлинова, Л.И. Толстого, С,Н. Смирнова, А.А. Грушо, А.Ю. Щербакова, Зегжды П.Д., а также зарубежных К. Лсндвсра, Д. МакЛина, Р. Сандху, П. Самарати, М. Бишопа, К. Брайса, П. Ньюмена, Т. Джегера и многих других.
На основе этих результатов для удовлетворения высоких требований к безопасности создаются специальные защищенные ОС (ЗОС), нацеленные в основном на обеспечение безопасности и сохранение целостности защищаемых информационных ресурсов.
Примером такой ЗОС является МСВС — защищенная многопользовательская многозадачная ОС с разделением времени, разработанная на основе ОС Линукс, Операционная система обеспечивает многоуровневую систему приоритетов с вытесняющей многозадачностью, виртуальную организацию памяти и полную сетевую поддержку.
Особенность МСВС — встроенные средства защиты от несанкционированного доступа, включающие в себя мандатное управление доступом, списки контроля доступа, ролевую модель и развитые средства аудита (протоколирования событий). Недостаток данной ЗОС состоит в низкой совместимости с существующими распространенными средствами обработки информации.
Другим примером подобной ЗОС является ЗОС "Феникс". Операционная система "Феникс" изначально разрабатывалась как специальная отечественная защищенная ОС класса UNIX, которая должіїа служить основой для создания защищенных систем обработки информации, отвечающих отечественным требованиями и стандартам информационной безопасности. Поскольку обеспечение безопасности являлось основной целью проекта "ЗОС "Феникс"", то именно пригодность архитектуры ОС для реализации в ее составе средств защиты служила определяющим фактором, которому были подчинены все остальные аспекты функционирования ОС. ЗОС "Феникс" содержит в своем составе оригинальные средства контроля и управления доступом, идентификации и аутентификации, контроля целостности и аудита, Функциопальные возможности ЗОС "Феникс" позволяют использовать ее в среде современных локальных сетей и Интернет совместно с распространенными средствами обработки информации, а наличие интерфейса прикладного программирования, совместимого со стандартом POSIX, обеспечивает возможность портирования па платформу "Феникс" приложений ОС UNIX, Системная архитектура ЗОС "Феникс", опирающаяся на концепцию микроядра, технологию клиент-сервер и объектно-ориентированный подход, обеспечивает тотальный контроль всех взаимодействий в системе. Универсальность механизмов контроля и управления доступом ЗОС "Феникс" позволяет гарантировать соблюдение правил политики безопасности при выполнении любых операций доступа,
независимо от способа его осуществления и природы защищаемых информационных ресурсов [7], Минусом ЗОС "Феникс" является недостаточное количество средств обработки информации, совместимых с общепризнанными стандартами и протоколами.
Такие ОС используются в узкоспециализированных областях и не имеют достаточно широкого набора пользовательских приложений, при помощи которьтх можно было бы работать с защищаемыми информационными ресурсами. Задача создания ЗОС, совместимой с распространенными приложениями, может быть решена при помощи портирования распространенных приложений в среду ЗОС. Однако этот путь требует значительных временных финансовых и интеллектуальных затрат.
Данная работа посвящена использованию другого подхода к обеспечению совместимости ЗОС с распространенными приложениями « выполнению в среде ЗОС приложений распространенной ОС без их модификации с использованием технологии гибридных ОС.
Суть технологии гибридных ОС в том, что на компьютере, работающем под управлением одной ОС (т.н. "базовой"), создается одна или несколько отдельных копий другой ОС (т.н. "встраиваемой"). Базовая ОС имеет эксклюзивный доступ к аппаратуре и контролирует все ресурсы вычислительной системы. Встраиваемые ОС не имеют непосредственного доступа к аппаратуре и взаимодействуют лишь с базовой ОС,
Гибридную ОС, в которой базовая ОС является защищенной, а встраиваемая ОС совместима с широким набором приложений, будем называть защищенной гибридной ОС (ЗГОС). Такое решение позволяет включать в состав защищенной информационной системы незащищенные компоненты - распространенную ОС и ее приложения, которые изначально не были рассчитаны на безопасную обработку
конфиденциальной информации и работу со средствами защиты (Рис, В,|).
/*ж\ й. /. Защищенная. І ибриднан ОС
По сравнению с традиционными технологиями построения защищенных информационных систем, основанными либо на рзпработее специальных ЗОС, либо на интеграции средств защиты в распространенные ОС, применение технологии ЗГОС имеет следующие прешущеегйа:
L Полным контроль доступа распространенных приложений к информационным ресурсам со стороны доверенных средств шщиты m состава базовой ЗОС.
2, Невозможность обхода или отключения :»іщи'ш с помощью распространенных приложений, поскольку ошг находятся под контролем базовой ЗОС и не имею г доступа гс аппаратуре.
3. Множество доступных приложении базовой ЗОС расширяется за счет приложений встраиваемой ОС, что позволяет использовать ЗГОС практически везде, где применяется встраиваемая ОС»
4. Накладные расходы на выполнение распространенных приложений в среде ЗГОС не велики — фактически единственным дополнительно исполняемым кодом, по сравнению с обычной встраиваемой ОС, является код средств защиты базовой ЗОС.
Следовательно, научные исследования проблемы безопасного использования распространенных приложений для обработки конфиденциальной информации и расширения множества приложений ЗОС можно признать АКТУАЛЬНЫМИ.
Данный вывод обусловил необходимость постановки и решения НАУЧНОЙ ЗАДАЧИ создания защищенной информационной системы, состоящей из защищенных и незащищенных компонентов с использованием технологии гибридных операционных систем.
Пусть Р = {Р1 ... Р"} - множество операционных систем, каждая из которых обеспечивает безопасность обрабатываемой информации S - { S1 ... S"} и набор средств обработки информации N = { N1 ... N"}, Таким образом защищенная информационная система, построенная на базе ЗГОС есть кортеж U' = { Pm, Sm, Р3, N1}. Возьмем операционную систему
Г I"
Р. При увеличении безопасности обрабатываемой информации S снижается набор средств обработки информации NT и наоборот, увеличить набор средств обработки информации Nf можно только за счет снижения безопасности обрабаїьіваемой информации Sf (Рис. В.2).
\У={ Pm, $т, Р\ Nf}
N' N
Рис. В. 2 Построение защищенной информационной системы на основе
нескольких ОС
Необходимо решить задачу построения защищенной информационной системы UL с оптимальными значениями безопасности обрабатываемой информации Sm и набора средств обработки информации
Nf.
ЦЕЛЬЮ диссертации является обеспечение безопасного применения приложений распространенных ОС для обработки конфиденциальной информации па основе использования технологии гибридных операционных систем. Для достижения этой цели и работе решались следующие основные задачи:
1. Анализ подходов к решению задачи построения гибридных ОС и выбор
подхода для создания ЗГОС;
2. Разработка на базе выбранного подхода архитектуры ЗГОС,
позволяющей безопасно использовать приложения встраиваемой ОС
для обработки информации, находящейся под защитой базовой ЗОС;
Разработка общей модели безопасности ЗГОС, устанавливающей связь между безопасностью ЗГОС и безопасностью базовой ЗОС;
Реализация ЗГОС на базе предложенной архитектуры и общей модели безопасности ЗГОС;
5. Создание на базе разработан ной ЗГОС макета защищенной
информационной системы, позволяющего продемонстрировать
преимущества данного подхода к построению защищенных
информационных систем;
6. Исследование эффективности предлагаемого подхода к построению
защищенных информационных систем при помощи построения модели
нарушителя.
ОБЪЕКТОМ ИССЛЕДОВАНИИ данной работы являются защищенные операционные системы, построенные с использованием незащищенных компонентов, а ПРЕДМЕТОМ - методы защиты, обеспечения безопасности и обработки информации в защищенных информационных системах.
ОСНОВНЫЕ НАУЧНЫЕ РЕЗУЛЬТАТЫ И ИХ НОВИЗНА.
1. Проведен анализ подходов к построению гибридных операционных
систем, позволяющий выбрать архитектуру построения ЗГОС.
2. Сформулированы требования к: архитектуре ЗГОС, позволяющие
базовой ЗОС обеспечить контроль доступа к ресурсам со стороны
встраиваемой ОС. Предложена архитектура ЗГОС, удовлетворяющая
сформулированным требованиям и позволяющая использовать
приложения встраиваемой ОС для работы с ресурсами, находящимися
под защитой базовой ЗОС.
3. Предложена общая модель безопасности ЗГОС, описывающая
взаимодействие средств контроля доступа базовой и встраиваемой ОС,
которая показывает, что при соблюдении сформулированных
требований к архитектуре безопасность ЗГОС определяется
безопасностью базовой ЗОС,
На базе предложенной архитектуры и общей модели безопасности ЗГОС на основе защищенной ОС "Феникс'1 и распространенной ОС "Линукс" разработана ЗГОС "Линукс-Фепикс".
На базе разработанной ЗГОС создан макет защищенной системы документооборота, позволяющий обеспечить безопасное применение приложений для обработки конфиденциальной информации на основе использования технологии гибридных операционных систем.
6. Построена модель нарушителя, позволяющая продемонстрировать
эффективность и практическую значимость предлагаемого решения
для построения защищенных информационных систем с использованием незащищенных компонентов.
ПОЛОЖЕНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ:
Анализ подходов к решению задачи построения гибридных ОС, позволяющий выбрать архитектуру ЗГОС.
Архитектура ЗГОС и требования к архитектуре ЗГОС, позволяющие использовать приложения встраиваемой ОС для обработки информации, находящейся под защитой базовой ЗОС.
Общая модель безопасности ЗГОС, показывающая, что безопасность ЗГОС определяется безопасностью базовой ЗОС.
4. ЗГОС, разработанная на основе защищенной ОС "Феникс" и
распространенной ОС "Линукс" на базе предложенной архитектуры и
общей модели безопасности ЗГОС "Лииукс-Феникс".
Макет защищенной системы документооборота, построенный на базе разработанной ЗГОС, предоставляющий пользователю изолированные среды для обработки информации разного уровня конфиденциальности.
Модель нарушителя, позволяющая продемонстрировать эффективность и практическую значимость предложенного решения для построения защищенных информационных систем с использованием незащищенных компонентов.
СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ. Диссертационная работа состоит из введения, пяти глав, заключения, приложения и списка литературы. Работа изложена на І 02 листах машинописного текста (включая 29 рисунков, 6 таблиц и список литературы из 81 наименования).
ПЕРВАЯ ГЛАВА содержит анализ подходов к решению задачи построения гибридных ОС. Классифицированы существующие в настоящее время гибридные ОС. Проведен анализ возможности использования существующих подходов для построения ЗГОС. Предложен подход к решению задачи построения гибридных ОС для создания архитектуры ЗГОС.
ВО ВТОРОЙ ГЛАВЕ сформулированы требования к архитектуре ЗГОС, позволяющие обеспечить контроль доступа к ресурсам базовой ЗОС. Предложена архитектура ЗГОС, состоящая из защищенной ОС и распространенной ОС.
В ТРЕТЬЕЙ ГЛАВЕ создана общая модель безопасности ЗГОС, описывающая взаимодействие средстп контроля доступа базовой и встраиваемой ОС, которая показывает, что при соблюдении сформулированных требований к архитектуре ЗГОС безопасность ЗГОС определяется безопасностью базовой защищенной ОС,
В ЧЕТВЕРТОЙ ГЛАВЕ для реализации предложенного подхода к построению защищенных информационных систем разработана ЗГОС "Л инукс-Феникс" на базе предложенной архитектуры и общей модели безопасности ЗГОС.
В ПЯТОЙ ГЛАВЕ создан макет защищенной системы документооборота на базе ЗГОС "Линукс-Феннкс", позволяющий обеспечить безопасное применение приложений для обработки конфиденциальной информации. Дана оценка эффективности применения ЗГОС, построена модель нарушителя для ЗГОС.
ПРАКТИЧЕСКАЯ ЦЕННОСТЬ РАБОТЫ.
В основу диссертационной работы положены результаты, полученные автором в научно-исследовательских работах и практических разработках защищенных информационных систем, проводимых на кафедре информационной безопасности компьютерных систем СПбГПУ в период с 2001 по 2005 год:
Предложен подход к построению защищенных информационных систем с использованием технологии гибридных ОС, позволяющий расширить область применения защищенных информационных систем обработки конфиденциальной информации.
Разработана ЗГОС "Липукс-Феникс" на основе защищенной ОС "Феникс" и распространенной ОС "Линукс" на базе предложенного подхода.
3. Создан макет защищенной системы документооборота на базе
разработанной ЗГОС, обеспечивающий безопасное применение
приложений для обработки конфиденциальной информации,
ВНЕДРЕНИЕ РЕЗУЛЬТАТОВ,
Результаті»! проведенных исследований нашли практическое применение в разработках, в которых автор принимал личное участие в качестве ответственного исполнителя.
Созданная ЗГОС "Линукс-Феникс41 использовалась в ЗЛО "Инфосистемы Джетм для обеспечения защиты распределенных локальных сетей, обрабатывающих конфиденциальную информацию (акт об использовании результатов от 10 октября 2005 г.).
Созданный в процессе работы над диссертацией макет защищенной системы документооборота на базе ЗГОС "Линукс-Феникс" использовался в ЗАО "Санкт-Петербургский Региональный Центр Защиты Информации" (акт об использовании результатов от ! 7 октября 2005 г.).
АПРОБАЦИЯ И ПУБЛИКАЦИЯ РЕЗУЛЬТАТОВ РАБОТЫ. Научные
результаты, полученные п диссертационной работе до клад м вались на межведомственных и между народных научно-технических конференциях, опубликованы в 9 статьях»
В дальнейшем результаты диссертации целесообразно исполі^зовать в специализированных организациях Министерства Обороны Российской Федерации, ФСБ, ФС'ГЭК, системе Банка России и промышленности при организации систем защиты и хранения конфиденциальной информации.
Эмуляция аппаратной платформы
В данном подходе осуществляется эмуляция заданной аппаратной платформы. Эмулятор АЛ представляет собой полнофункциональную модель эмулируемой архитектуры, включая регистры процессора, порты и устройства ввода/вывода, набор инструкций, схемы адресации памяти и т.д. Эмулятор АП читает код встраиваемой ОС и "пьшолняет" его на своей, "виртуальной" аппаратной платформе.
Встраиваемая ОС работает под управлением этого эмулятора в полной уверенности, что ома взаимодействует с реальной аппаратной платформой. Архитектура гибридной ОС, построенной с применением подхода "эмуляция аппаратной платформы" изображена на Рис, 1 2.
Достоинства данного подхода заключаются в том, что встраиваемая ОС не зависит от агшаратнои платформы, т которой функционирует базовая ОС. У такой гибридной ОС нет привязки к какой-либо конкретной встраиваемой ОС - может использоваться любая ОС функционирующая на эмулируемой архитектуре, а к фужционшшюсти базовой ОС т гфедъявлиегся никаких специфических требований» тж. эмулятор педиком работает в пользовательском режиме работы процессора. Однако при всех достоинствах данный подход обладает и существенными недостатками. Эти недостатки »- медленная работа (т.к. эмулируется выполнение каждой инструкции) и трудоемкость реализации (т.к. при попытке с точностью повторить шецифмкшшю эмулируемой АП їючпикнег множество мелких деталей, которые необходимо учесть). К тому же не всегда удается эмулировать работу инструкций процессора во всех деталях отсюда ЇКХШОЖЇЇМ мелкие несоответствия с аппаратным оригиналом.
Bochs
Bochs является эмулятором архитектуры ІЛ-32 (поддерживаются процессоры 80386, 80486, Pentium, Pentium Pro, AMD64, в том числе инструкции ММХ, SSE, SSE2 и 3DNow). Т.к. Bochs эмулирует выполнение каждой инструкции 1А-32, он проигрывает другим гибридным ОС по скорости работы, поэтому на ЛП ІЛ-32 для запуска приложений под другие ОС использовать его нерационально. Но он незаменим в случаях, когда Вы хотите использовать IA-32 ОС под другой аппаратной платформой или модифицируете код ОС - интеграция с отладчиком GDB и тот факт, что bochs поставляется с исходными кодами - делает его незаменимым при отладке ядер ОС [31 ]. Boch может работать под управлением ОС Windows, ОС "Линукс" и Mac OS. В качестве встраиваемой ОС могут использоваться ОС Windows, "Линукс", DOS и другие.
Simics
Проект Simics [36] - это кросс платформенный эмулятор АП, разработанный компанией Virtutech. Simics эмулирует такие платформы, как Alpha, ARM, 1А-64, MIPS, PowerPC, SPARC V9, x86 и AMD64. Эмулятор Simics запускается как программа под управлением базовой операционной системы и создает набор виртуальных машин, в каждой из которых может быть запущена своя встраиваемая операционная система. В качестве базовой операционной системы могут выступать ОС Windows, ОС Solaris или ОС "Линукс".
В данлом подходе создается виртуальная машина, предоставляющая среду для запуска встраиваемой ОС. Задача виртуальной машины -хранить состояние виртуальной АП для встраиваемой ОС и эмулировать привилегированные инструкции встраиваемой 0\ которые пе могут быть выполнены приложениями базовой ОС (т,н\ иршюжекия бо ш й ОС выполняются в пользовательском режиме работы процессора). Непривилегированные инструкции выполняются на реальной ЛІТ Архитектура гибридной ОС, построенной с применением полхода "создание в составе бгшошй ОС виртуальной машины для запуска встраиваемой ОС" изображена на Рис. 1,3,
Требование контроля базовой ЗОС всех взаимодействий как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС
В гибридной ОС необходимы средства, которые обеспечат інлюз доступа к ресурсам защищенной ОС. С их помощью приложения встраиваемой ОС будут обращаться к ресурсам, находящимся под защитой базовой ЗОС, причем все обращения к защищенным ресурсам будут контролироваться базовой ЗОС и подчиняться реализованной в ней политике безопасности. Таким образом, множество приложений защищенной ОС расширяется за счет уже существующих и разрабатываемых приложений встраиваемой ОС, при помощи которых можно будет осуществлять безопасную обработку информации, находящихся под зашитой базовой ЗОС
Необходимо построить такую ЗГОС, в которой встраиваемая ОС будет полиостью замкнута внутри защищенной ОС и не будет иметь прямого доступа к ннешкшу миру в обход базовой ЗОС. Все обращении к ресурсам базовой ЗОС должны осуществляться только через средства защиты бв/шш й ЗОС Схема информационных покжов в ЗГОС приведена на Рис. 2.4.
Для обеспечения безопасности информации необходимо осуществлять контроль над йеіевьши кчащлодейетвиямй. На Рис. 25 изображена схема сетевых средств защиты ЗГОС.
Внутренняя виртуальная сеть объединяет стегеи сетевых протоколов копий среды встраиваемой ОС и стек сетевых протоколов приложений базовой ЗОС в общую ниртуальную сеть, котрая может быть сітчана с внешней сетью посредством сетевых адаптеров базовой ЗСХ\ Пси сетевые взаимодействия в ЗГОС контролируются средствами шщшты базовой ЗОС
Терминал, позволяющий даюйражагь конфил нішальную информацию и принимать от пользователя комавды пи обработку -шкш информации находиться под кошелем базовой ЗОС. Встраиваемая ОС ж имеет прямого доступа к терминалу базовой ЗОС. Едипстяепный путь ivm встраиваемой ОС ЙЫвести информацию вд экран или получил команду с КОНШЛЙ пользователя - обратиться к проіраммному интерфейсу оа.юво$ ЗОС. При каждом таком обращении Сладкая ЗОС, проведя соответствующие процедуры ак/ориздцни, принимает решение о том; разрешись ИЛИ анр гить доступ к терминалу для данного процесса.
В качестве одного ю шлючая доступа к ресурсам ікл, выаупает драйвер файловой спермы модифицированного ядра встраиваемой ОС, который обращается к ресурсам бачовой ЗОЄ. Ла этапе обращения происходит контроль доступа системой зашиты базовой ЮС. Такой тлш дослуїш ІКУЗНОЛЯЄТ приложениям, работшоїшім в рамках встраиваемой ОС получать доступ к каталогам, файлам и файлам устройств, находящимся под зашитой базовой ЗОС (Рмс. 2.6).
Защищенная гибридная ОС — результат слияния двух ОС — защищенной ОС и распространенной ОС. ЗГОС имеет преимущества по сравнению с этими двумя ОС, рассматриваемыми отдельно.
Если сравнивать ЗГОС с защищенной ОС, то она не уступает защищенной ОС по безопасности, при этом имея важное преимущество -наличие широкого набора приложений для безопасной обработки информации.
Если сравнивать ЗГОС с распространенной ОС, то она не уступает распространенной ОС по разнообразию пользовательских приложений (т.к. полностью с ней совместима), по при этом имеет специальную архитектуру и реализует гибкую модель управления доступом к информационным ресурсам, чего нету распространенной ОС.
С точки зрения пользователя, работая в ЗГОС, он работает все в той же распространенной ОС, только в данном случае пользователь может быть уверен в том, что безопасность информационной системы находится на более высоком уровне, чем в случае с распространенной ОС.
В результате пользователь получает защищенную информационную систему, более жизнеспособную как с точки зрения обеспечения защиты информации, так и с точки зрения предоставления пользователю широкого набора приложений для безопасной обработки информации.
Зависимость безопасности ЗГОС от безопасности базовой ЗОС
Установим связь между безопасностью ЗГОС и безопасностью базовой ЗОС. Для этого сформулируем и докажем теорему о безопасности ЗГОС, предварительно введя требования к архитектуре ЗОС.
Архитектура ЗОС А должна удовлетворять следующим требованиям:
- Все взаимодействия в системе должны осуществляться под контролем средств защиты ОС (обозначим это требование как требование контроля взаимодействий С1(А)). Требование выполняется тогда и только тогда, когда не существует такого взаимодействия it /ЇІЄІ) которое не допускается архитектурой ОС (i/elS), где /-множество взаимодействий в ОС, IS— множество взаимодействий, допускаемых архитектурой ОС.
- Все обращения к ресурсам должны контролироваться средствами защиты ОС (обозначим это требование как требование контроля доступа СА(А)), Требование выполняется тогда и только тогда, когда для всех операций opvsOpy производимых субъектами s\eS над ресурсами г єК, соответствующих взаимодействиям /,-е/, функция SFfab t% opj истинна, где: - ST7— функция контроля доступа, возвращающая значение "истина" тогда, когда данная операция разрешена моделью безопасности ОС и "ложь", когда она запрещена; - S— множество субъектов ОС; - R - множество ресурсов ОС; - Ор- множество операций ОС;
Теорема: Безопасность ЗГОС (L ) определяется безопасностью базовой ЗОС (L ) тогда и только тогда, когда архитектура базовой ЗОС (А )
Рассмотрим все возможные варианты безопасности базовой и встраиваемой ОС (Табл. 3.1) и определим связь между безопасностью базовой ЗОС и безопасностью ЗГОС с учетом того, что ЗГОС удовлетворяет требованиям к архитектуре ЗГОС, сформулированным в параграфе 2Л: - Все взаимодействия как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС должны осуществляться иод контролем базовой ЗОС. - Средства зашиты базовой ЗОС должны осуществлять контроль доступа встраиваемой ОС к ресурсам базовой ЗОС, Рассмотрим варианты №1 и №2:
В этих вариантах базовая ЗОС - безопасна, т.е. она удовлетворяет требованиям к архитектуре ОС: - в базовой ОС не существует такого взаимодействия it (ііЄЇ) которое не допускается архитектурой базовой ЗОС (UelS); - для всех операций оруєОр производимых субъектами s SH над ресурсами г є/ї , функция контроля доступа SF(,S[, r opj истинна;
Т.к. ЗГОС, построенная на основе такой базовой ЗОС удовлетворяет требованиям к архитектуре ЗГОС, то: - в ЗГОС не существует такого взаимодействия ц , е1), которое не допускается архитектурой базовой ЗОС (ijgfS), потому что все взаимодействия как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС осуществляются под контролем базовой ЗОС; - для всех операций opveOp4 производимых субъектами sisS над ресурсами r sRsu, функция контроля доступа SF(,ss, r opv) истинна, потому что средства защиты базовой ЗОС осуществляют контроль доступа встраиваемой ОС к ресурсам базовой ЗОС;
Следовательно, архитектура ЗГОС удовлетворяет требованию контроля взаимодействий и требованию контроля доступа к архитектуре ОС, т.е. для вариантов №1 и №2 ЗГОС безопасна. Рассмотрим варианты №3 и Яя4:
В этих вариантах базовая ЗОС - небезопасна, т.е. она не удовлетворяет либо требованию контроля взаимодействий, либо требованию контроля доступа. Если базовая ЗОС не удовлетворяет требованию контроля взаішодействий. то: - в базовой ОС могут происходить такие взаимодействия if {ЇІЄІ)Ч которые не предусмотрены архитектурой базовой ЗОС (it-0lS); В то же время требование контроля доступа для базовой ОС выполнено: - для всех операций ор єОр производимых субъектами SIES над ресурсами г й", функция контроля доступа SF(sb rh opj истинна Т.к. ЗГОС, построенная на основе такой базовой ЗОС удовлетворяет требованиям к архитектуре ЗГОС, то: - Не смотря на то, что все взаимодействия как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС осуществляются под контролем базовой ЗОС, в ЗГОС могут происходить такие взаимодействия ц єі), которые ке предусмотрены архитектурой базовой ЗОС Oi0lS) , потому что базовая ОС не выполняет требование контроля взаимодействий; - для всех операций opveOp производимых субъектами sieSw над ресурсами rksRSH, функция контроля доступа SF(sj. r opv) истинна, потому что средства защиты базовой ЗОС осуществляют контроль доступа встраиваемой ОС к ресурсам базовой ЗОС;
Следовательно, архитектура ЗГОС не удовлетворяет требованию контроля взаимодействий.
Если бсаовая НОС не удовлетворяет требованию контроля доступа, то: - Существуют операции opveOpt производимые субъектами stE$fr над ресурсами rk eRH, для которых функция контроля доступа SFfa rh op J ложна.
В то же время требование контроля взаимодействий для базовой ОС выполнено: - в базовой ОС не существует такого взаимодействия /,- є/), которое не допускается архитектурой базовой ЗОС (UelS);
Т.к. ЗГОС, построенная на основе такой базовой ЗОС удовлетворяет требованиям к архитектуре ЗГОС, то:
- в ЗГОС не существует такого взаимодействия и(ие1) которое не допускается архитектурой базовой ЗОС (ijfS), потому что все взаимодействия как между встраиваемыми ОС, так и между встраиваемой ОС и базовой ЗОС осуществляются под контролем базовой ЗОС;
- Не смотря на то, что средства защиты базовой ЗОС осуществляют контролі» доступа встраиваемой ОС к ресурсам базовой ЗОС, существуют операции оруЄОр производимые субъектами я/аї над ресурсами neRSI[ для которых функция контроля доступа SF($i, г ору) ложна, потому что базовая ОС не выполняет требование контроля доступа.
Требование контроля доступа со стороны базовой ЗОС обращений встраиваемой ОС к ресурсам базовой ЗОС
Ma Рис. 4,7 изображены основные типы приложений ЗГОС "Линуке-Феникс" и интерфейсы системы, с которыми они взаимодействуют. При разработке приложений для ЗГОС "Линукс-Феникс" необходимо учитывать тип разрабатываемого приложения. Тип приложения определяет программные интерфейсы, которые данное приложение реализует или использует, а также способ его инсталляции и запуска.
Вес перечисленные типы приложений работают в рамках процесса встраиваемой ОС "Линукс" с правами доступа пользователя, под которым функционирует копия встраиваемой ОС "Линукс" Пользовательское приложение ОС "Линукс" является простейшим типом приложений ЗГОС "Линукс-Феникс". Такое приложение работает как задача ОС "Линукс" под управлением ЗГОС "Линукс-Феникс" и реализуются с использованием интерфейса POSIX или других интерфейсов, доступных в ОС "Линукс", Подробнее об интерфейсах программирования ОС "Линукс" смотрите в соответствующей литературе по ОС "Линукс" [50,51].
Сервисы доступа к ресурсам ЗОС "Феникс" предоставляют пользователям ЗГОС "Линукс-Феникс" доступ к ресурсам ЗОС "Феникс". Такие сервисы выполнены в качестве драйверов ОС "Линукс", работающих иод управлением встраиваемой ОС "Линукс" и общающихся вместо аппаратуры с интерфейсами ЗОС "Феникс". Приложения, в свою очередь, работая под управлением встраиваемой ОС "Линукс" и общаясь с интерфейсом ОС "Линукс" могут получить доступ к таким ресурсам способом, стандартным для ОС "Линукс". Таким образом, уже существующие под ОС "Линукс" приложения, запущенные под ЗГОС "Линукс-Феникс", при наличии соответствующего сервиса доступа к ресурсам ЗОС "Феникс", могут работать с ресурсами ЗОС "Феникс" даже не подозревая об этом. Подробнее о создании драйверов для ОС "Линукс" смотрите в соответствующей литературе по ОС "Линукс" [26].
Сервисы доступа к ресурсам встраиваемой ОС "Линуке"" предоставляют пользователям ЗОС "Феникс" доступ к ресурсам встраиваемой ОС "Линукс". Такие сервисы выполнены: - в качестве драйверов ОС "Линукс", работающих под управлением встраиваемой ОС "Линукс" и отвечающих па запросы па предоставление ресурсов от сервисов или клиентов ЗОС "Феникс" посредством сообщений ЗОС "Феникс". Подробнее о создании драйверов для ОС "Линукс" смотрите в соответствующей литературе по ОС "Линукс" [26].
- В качестве приложений ОС "Линукс", которые отвечают на запросы на предоставление ресурсов посредством протокола TCP/IP. Подробнее о создании приложений для ОС "Линукс" смотрите в соответствующей литературе по ОС "Линукс" [51, 52, 53].
Со стороны пользователя ЗГОС "Линукс-Феникс" выглядит как стандартная ЗОС "Феникс", под управлением которой работает специальный сервер, обеспечивающий доступ к копиям среды встраиваемой ОС "Линукс". Иллюстрация взаимодействия компонент ЗГОС "Линукс-Фсникс" с точки зрения пользователя приведена на Рис. 4.8.
При старте системы пользователю становится достушт консоль ЗОС Феникс", є которой on должен аутентифицироватьея под учетной записью ЗОС "Феникс". Далее пользователь нолуч&ег доступ к кошшшому иніерпрепггору ЗОС "Феникс". Чтобы получить лоетуп к копии среды встраиваемой ОС иЛину сс% пользователю необходимо запустить приложение ЗОС "Феїшкс" "1of__cons.exe - терминал лт доступа к копии среды встраиваемой ОС Лииукс" - с параметром имя среды встраиваемой ОС "Литіукс \ которая будет стартовать. После запуска терминала пользователя попросят аутентифицироватьея при помощи учетной записи ЗОС "Феникс", под которой будет работать копия срелы встраиваемой ОС Дшїуксч\ Дня пользователя будет создан процесс - копия среды встраиваемой ОС "Линукс" и на ,-жрине пользователь увидит процесс старта и инициализации встраиваемой ОС, а после - приглашение для аутентификации "ЛинуксГ или командный интерпретатор Линукс", П командной абз.ючке Линукс пользователю доступны приложения ОС Линуке \ Кроме того, пользователю также доступна ресурсы КХІ "Феникс", доступ к которым осуществляйся стаЕшартнмм для ОС "Линукс" способом (через файловую систему/сеть) Когда приложение, запущенное под управлением встраиваемой ОС "Линукс", обращается к защищаемому при помощи ЗОС "Феникс" ресурсу, запрос на доступ к ресурсу отправляется в ЗОС "Феникс"» Причем запрос осуществляется под учетной записью пользователя, под которым работает встраиваемая ОС После чего происходит стандартная процедура авторизации ЗОС "Феникс", и, в случае успешного ответа, осуществляется доступ к ресурсу. Таким образом, обычные приложения ОС "Линукс", работая под управлением встраиваемой ОС "Линукс", могут осуществлять доступ к защищенным ресурсам обычным для себя способом и даже не подозревать о том, что эти ресурсы находятся под защитой системы безопасности ЗОС "Феникс". Лишь в случае, если пользователь не может осуществлять доступ к данным ресурсам - система безопасности ЗОС "Феникс" не позволит работу с ресурсом и вернет соответствующую ошибку. Кроме процесса авторизации, запросы к ресурсам от приложений встраиваемой ОС "Линукс" проходят и через другие подсистемы безопасности ЗОС "Феникс" - например, систему аудита и протоколирования событий и т.д. Иллюстрация работы пользователя со встраиваемой ОС "Линукс" приведена на Рис. 4.9.
Завершение работы с копией среды встраиваемой ОС "Линукс" осуществляется при помощи команды "Линукс" "reboot", после которой встраиваемая ОС "Линукс" корректно завершится и пользователю снова будет доступен командный интерпретатор ЗОС "Феникс".
