Управление доступом к ресурсам распределенных информационных систем на основе отношений доверия Иткес Александр Александрович

Содержание к диссертации

Введение 5

1 Модели и механизмы логического разграничения доступа в распределенных
информационных системах 11

1. Ролевые модели логического разграничения доступа 13

2. Многоуровневые модели логического разграничения доступа 15

3. Модель принудительной типизации 18

4. Традиционные механизмы разграничения доступа в операционной системе Linux 20

5. Модуль безопасности SELinux 22

6. Модуль безопасности GRSecurity 23

7. Модуль безопасности RSBAC 25

8. Разграничение доступа к объектам на сетевой среде с помощью IPTables .... 26

9. Программная система Netlabel 27

10. Протокол Netlink 29

11. Протокол Generic Netlink 31

12. Выводы 33

2 Представление одних моделей логического разграничения доступа в терми
нах других 35

13. Представление базовых моделей логического разграничения доступа 36

14. Анализ дискреционных моделей логического разграничения доступа 39

15. Анализ моделей разграничения доступа, реализуемых дополнительными модулях безопасности операционной системы Linux 43

16. Выводы 46

3 Отношения доверия и объединение моделей логического разграничения до
ступа 47

17. Основные понятия 48

18. Объединение ролевых моделей логического разграничения доступа 49

19. Объединение простейших ролевых моделей 50

20. Объединение иерархических ролевых моделей 51

3.3 Объединение моделей принудительной типизации 52

3.4 Объединение многоуровневых моделей логического разграничения доступа с
помощью отношений доверия 54

21. Объединение традиционных многоуровневых моделей логического разграничения доступа 54

22. Обобщенная многоуровневая модель логического разграничения доступа 57

5. Объединение дискреционных моделей логического разграничения доступа ... 63 3.5.1 Объединение моделей гибкой типизации 63

6. Контекстные отношения доверия 65

7. Двухуровневые отношения доверия 67

8. Выводы 69

4 Программный комплекс Nettrust 70

4.1 Основные технические решения 71

1. Хранение настроек доверия 71

2. Концепция передачи данных 71

3. Дополнительные факторы, влияющие на отношения доверия между компонентами распределенной информационной системы 73

4. Механизм определения доверия для UDP-приложений 74

5. Управление настройками механизмов доверия 74

6. Работа с таблицами доверия в ядре операционной системы 75

7. Дополнительные задачи реализации двухуровневых отношений доверия 77

8. Вопросы, связанные с использованием пакетных сокетов 78

4.2 Средства управления комплексом 80

9. Управление Nettrust с помощью Netlink 80

10. Управление Nettrust с помощью Generic Netlink 87

11. Права доступа для управления настройками доверия 90

4.3 Прикладные средства управления настройками доверия 91

12. Программа TrustCtl 91

13. Язык описания отношений доверия TrustML 93

14. Использование библиотеки LibNettrust 96

4.4 Дополнительные элементы комплекса 102

15. Конвертер меток безопасности 102

16. Функции утилиты MkTrust 109

4.5 Методика тестирования и результаты 112

17. Тестирование базовых функций Nettrust 113

18. Тестирование с использованием различных локальных систем контроля доступа субъектов к объектам 114

19. Тестирование функции сброса привилегий 115

4.6 Выводы 117

Заключение 119

А Заголовочный файл, описывающий функции работы с Generic Netlink 123

В Заголовочный файл, описывающий функции работы с библиотекой
LibNettrust 127

С Программа для вывода на экран таблицы соответствия типов с помощью
библиотеки LibNettrust 138

D Пример файла конфигурации отношений доверия на языке TrustML 140

Е Пример, демонстрирующий работу программы Mktrust 142

F Пример файла настройки Nettrust, используемый при тестировании базо
вых функций 144

G Пример файла настройки Nettrust, используемый при тестировании совме
стимости с GRSecurity 146

Н Пример файла настройки Nettrust, используемый при тестировании частич
ного доверия 148

I Схема тестового полигона 151

Введение к работе

Актуальность темы

В течение последних десяти лет сфера применения сложных, территориально распределенных информационных систем неуклонно расширяется. Вместе с этой тенденцией возрастает и величина потенциального ущерба, который может быть причинен обществу в результате некорректной работы подобных систем. Сбои в их работе могут возникать случайно, не по злому умыслу, а также в результате намеренных действий как лиц, внешних по отношению к системе, так и администраторов, ответственных за те или иные аспекты ее сопровождения. Диапазон потенциальных нарушителей с точки зрения их целей и возможностей достаточно широк. Он простирается от подростков, желающих показать свои знания в области информационных технологий, до террористических и военно-политических организаций, имеющих целью на длительное время вывести из строя жизненно важные для страны информационные системы [25], причинив государству как можно больший ущерб. Такой ущерб может иметь не только экономические, но и социальные, политические последствия. Отказы или сбои в работе современных информационных систем могут привести к экологическим или техногенным катастрофам, к человеческим жертвам и, учитывая тенденции развития общества и темпы развития телекоммуникаций, в будущем риски подобных событий будут повышаться.

При анализе методов защиты сложных информационных систем часто упоминается «правило слабого звена». Оно заключается в том, что система защищена настолько надежно, насколько можно гарантировать защиту самой слабой её компоненты. Во многом указанное утверждение справедливо. Однако, не следует пренебрегать защитой системы в целом в том случае, если часть её оказывается под контролем злоумышленников. Существует несколько причин для возникновения подобной ситуации. Первая из них состоит в том, что как бы хорошо ни были защищены компоненты распределенной информационной системы от внешней угрозы, злоумышленник может получить контроль над одной из них в каком-то смысле «случайно». Вторая причина заключается в том, что, зачастую, подлежащие защите системы сталкиваются с нападениями не только внешних по отношению к организации, обеспечивающей ее безопасность, но и внутренних нарушителей. Не следует также упускать из вида «комбинированные» угрозы, исходящие как извне, так и изнутри такой организации. Третья причина, по которой необходимо разрабатывать меры безопасности в том числе и в условиях, когда некоторые из компонент системы контролируются злоумышленником, состоит том, что многие крупные распределенные информационные системы создаются путём объединения более мелких, составляющих ее компонент. До объединения эти подсистемы могут иметь различные уровни защищенности. Некоторые из них, по крайней мере на начальном этапе их совместной работы, могут быть защищены недостаточно надежно.

С учетом изложенного, практический интерес представляет разработка способов адекватного описания методов эффективного анализа политик безопасности сложно организованных, территориально распределенных информационных систем, моделей разграничения доступа к их ресурсам и соответственно реализующих их программных механизмов. Такие подходы и способы, с одной стороны, должны минимизировать взаимозависимость компонент подлежащей защите системы и уменьшать возможный ущерб от несанкционированного доступа к некоторым из них. С другой стороны, они призваны сделать компоненты достаточно сильно связанными для того, чтобы система в целом могла успешно выполнять свои основные функции. Дополнительные сложности при этом возникают при обеспечении безопасности систем, отдельные компоненты которых имеют различные, изначально не согласованные друг с другом политики информационной безопасности. Однако, пользователи этих систем по объективным причинам вынуждены участвовать в интенсивном обмене информацией посредством незащищенных каналов сетей связи общего пользования.

Одним из важнейших в комплексе средств обеспечения безопасности информационных систем, в том числе распределенных, является логическое разграничения доступа к их информационным и вычислительным ресурсам. Суть такого разграничения заключается в поддержке заранее принятых правил, по которым принимается решение о том, разрешено ли субъектам информационной системы то или иное действие над ее объектами. При использовании распределенных на сетевой среде сложных информационных систем повышенное внимание должно быть уделено механизмам логического разграничения доступа субъектов к удаленным объектам, принадлежащим другим компонентам подконтрольной распределенной информационной системы. Осуществление доступа субъекта к удаленному на сетевой среде объекту, как правило, возможно только с использованием другого субъекта, расположенного в той же компоненте распределенной информационной системы, что и объект доступа. В качестве такого «другого субъекта» может выступать, например, HTTP- или SSH-сервер. По этой причине задача управления логическим разграничением доступа к ресурсам распределенных информационных систем неразрывно связана с задачей управления доверием между субъектами этих систем, то есть управления возможностями субъектов осуществлять доступ к объектам посредством других субъектов.

Представленные соображения свидетельствуют о том, что тема диссертации основное содержание которой посвящено разработке математических методов и реализации на их основе программных средств управления доступом к ресурсам сложных, распределенных на сетевой среде информационных систем на основе отношений доверия между субъектами этих систем, является актуальной.

Цели и задачи работы

Основной целью настоящей работы является исследование и разработка математических методов и реализующих их программных механизмов с открытым исходным кодом под управ- лением операционной системы Linux для логического разграничения доступа к ресурсам распределенных на сетевой среде информационных систем на основе отношений доверия. Для достижения поставленной цели в работе сформулированы и решаются следующие задачи.

Исследование и сравнительный анализ свойств некоторых используемых на практике моделей логического разграничения доступа субъектов к объектам распределенных информационных систем (в дальнейшем, для краткости - моделей ЛРД) и реализующих их программных средств с открытым исходным кодом на основе механизмов операционной системы Linux.

Построение математических методов объединения на основе отношений доверия различных моделей логического разграничения доступа к ресурсам сложных распределенных информационных систем.

Разработка и тестовые испытания программных средств управления логическим разграничением доступа субъектов к объектам сложных распределенных на сетевой среде информационных систем путем использования отношений доверия.

Методы исследования

Для решения поставленных в данной работе задач используются: математическое моделирование механизмов логического разграничения доступа; методы дискретной математики и математической логики; методы программной инженерии.

Основные резульаты

В работе получены следующие основные результаты.

Проведен доказательно строгий сравнительный анализ возможностей представления одних широко используемых на практике моделей логического разграничения доступа к ресурсам информационных систем, использующих UNIX-подобные операционные системы, через другие.

Разработаны математические методы объединения широко используемых на практике моделей логического разграничения доступа к ресурсам распределенных на сетевой среде сложно организованных информационных систем с использованием отношений доверия.

Разработан и прошел тестовые испытания прототип программного комплекса с откры тым исходным кодом для управления логическим разграничением доступа к ресурсам распределенных на сетевой среде сложно организованных информационных систем, ра ботающих под управлением операционной системы Linux, использующий отношения до верия. Возможности данного программного комплекса, получившего название Nettrust, включают передачу по сети информации о пользователе, инициировавшем сетевое со единение и принятие решения о создании сетевого соединения на основании данной информации.

Научная новизна работы

Научная новизна настоящей работы заключается в создании доказательно обоснованных математических методов интеграции различных моделей логического разграничения доступа в сложных распределенных информационных системах. Разработаны математические методы объединения ролевых моделей ЛРД, моделей принудительной типизации, многоуровневых моделей и некоторого класса дискреционных моделей ЛРД. Разработана обобщенная многоуровневая модель ЛРД, являющаяся аналогом многоуровневой модели ЛРД для использования в распределенных на сетевой среде сложных информационных системах.

Практическая значимость

Результаты работы создают методологическую основу для разработки программных средств обеспечения безопасности распределенных информационных систем, компоненты которых с открытым исходным кодом функционируют на базе ОС Linux. По результатам работы автором спроектирован и реализован прототип программного комплекса Nettrust, предназначенного для управления доступом субъектов к объектам в распределенных на сетевой среде сложных информационных системах.

Личный вклад автора

Личный вклад автора данной работы заключается в выполнении следующих задач: сформулированы и доказаны необходимые и достаточные условия возможности интеграции некоторых математических моделей ЛРД с помощью отношений доверия; спроектирован и реализован пакет программных средств для управления доступом субъектов к объектам сложных распределенных информационных систем на основе отношений доверия, проведены его тестовые испытания.

Апробация работы

Результаты работы докладывались: на научной конференции «Математика и безопасность информационных технологий» в 2005 году; На конференции «Ломоносовские чтения» в МГУ в 2006 и 2009 годах, на семинаре «Проблемы современных информационно-вычислительных систем» под руководством д.ф.-м.н., проф. В. А. Васенина (механико-математический факультет МГУ имени М. В. Ломоносова) в 2005 и 2010 годах.

Публикации

По результатам диссертационной работы вышли 4 научных публикации, из которых одна статья [3] - в журнале из перечня ведущих рецензируемых изданий, рекомендованных ВАК. Материалы работы вошли в главу 3 опубликованной в 2008 году коллективной монографии «Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия» под ред. В. А. Васенина. [25].

Структура работы

Диссертационная работа состоит из введения, четырех глав, заключения, списка литературы и девяти приложений.

Во введении описываются цели работы, обосновывается ее актуальность и практическая значимость, перечисляются основные результаты исследований.

Первая глава является вводной и содержит описание основных, рассматриваемых в работе математических моделей логического разграничения доступа, а также используемых на практике программных средств с открытым исходным кодом для управления доступом субъектов к объектам информационных систем под управлением операционной системы Linux. Первые разделы главы посвящены рассмотрению математических моделей ЛРД, называемых базовыми. В число таких моделей входят ролевая модель ЛРД, многоуровневая модель ЛРД и модель ЛРД принудительной типизации. Далее рассматриваются программные средства с открытым исходным кодом для управления доступом субъектов к объектам в информационных системах, функционирующих под управлением операционной системы (в дальнейшем - ОС) Linux. Анализируются механизмы управления модулями ядра ОС Linux, которые активно использовались автором при разработке программного комплекса Nettrust, подробно представленного в главе 4.

Во второй главе представлен более глубокий сравнительный анализ моделей логического разграничения доступа, описанных в первой главе. Результаты, полученные в этой главе, используются в последующих главах для доказательства условий, гарантирующих возможность объединения моделей ЛРД на основе отношений доверия.

В третьей главе вводится понятие отношения доверия и описывается разработанный автором метод построения моделей логического разграничения доступа к объектам распределенной информационной системы на основе моделей разграничения доступа субъектов к объектам отдельных ее компонент, использующий отношения доверия. В этой главе сформулированы и доказаны необходимые и достаточные условия, гарантирующие возможность интеграции различных моделей ЛРД, рассмотренных в первой главе.

В четвертой главе описывается разработка программных средств контроля логического разграничения доступа субъектов к объектам распределенной информационной системы с использованием отношений доверия. Разработанный автором комплекс программных средств, получивший название Nettrust, состоит из модуля ядра ОС Linux и набора прикладных программ для управления доверием между субъектами распределенной информационной системы.

Заключение содержит краткое изложение основных результатов диссертации.

Похожие диссертации на Управление доступом к ресурсам распределенных информационных систем на основе отношений доверия

Метод разграничения доступа к информационным ресурсам на основе графического пароля с использованием систем цифровых водяных знаковШокарев Алексей Владимирович

Метод управления доступом к ресурсам вычислительной системы с учетом процесса как самостоятельного субъекта доступа Павличенко Игорь Петрович

Методы и средства обеспечения корректности идентификации субъекта доступа к ресурсам вычислительной системыСторожевых Сергей Николаевич

Математическая модель противодействия несанкционированному доступу к информационно-телекоммуникационным системам разнотипными средствами защиты информации в условиях минимизации отвлечения вычислительного ресурсаКочедыков Сергей Сергеевич

Методы и средства обеспечения доверенного доступа к информационным ресурсам органов внутренних дел Российской ФедерацииЧекмарёв, Михаил Юрьевич

Метод разграничения коллективного доступа к информационным ресурсам на основе почти пороговых схем разделения секретаМедведев, Никита Владимирович

Модель и методы оценки критичности и защищенности информационных ресурсов системы дистанционного обучения Чуфаров Евгений Викторович

Метод и модель ресурсов поля угроз системы защиты информации сетевых автоматизированных системЖигулин Георгий Петрович

Метод обеспечения целостности информации в автоматизированных информационных системах, функционирующих на основе систем управления базами данныхАрхипочкин Евгений Витальевич

Алгоритмы активного аудита информационной системы на основе технологий искусственных иммунных системКашаев Тимур Рустамович