Разработка алгоритмов проверки отсутствия несанкционированных доступов в компьютерных системах на основе дискреционных моделей безопасности тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Бречка, Денис Михайлович
- Специальность ВАК РФ05.13.19
- Количество страниц 117
Оглавление диссертации кандидат технических наук Бречка, Денис Михайлович
Введение.
Глава 1. Дискреционная политика безопасности и ее моделирование.
1. 1 Формальные политики безопасности.
1.2 Формальные субъекты и объекты.
1.3 Дискреционные модели.
1.4 Применение дискреционных моделей.
1.5 Модели дискреционного доступа.
1.6 Дальнейшее развитие моделей HRU и Take-Grant.
Глава 2. Базисный подход в модели HRU.
2.1 Матрица доступов.
2.2 Базисный подход в модели HRU.
2.3. Монооперационные системы в базисе.
2.4 Применение базисного подхода в операционных системах Windows.
Глава 3. Алгоритмы проверки безопасности состояний компьютерной системы в модели Take-Grant.
3.1 Исследование безопасности Take-Grant.
3.2 Поиск tg-путей.
3.3 Пример поиска tg-путей.
3.4 Поиск островов.
3.5 Пример поиска островов.
3.6 Образование стяжек-островов.
3.7 Распознаватели мостов.
3.8 Примеры распознавания мостов.
3.9 Алгоритмы поиска мостов.
3.10 Примеры поиска мостов.
3.11 Оценка общей трудоемкости.
3.12 Применение модели Take-Grant для анализа безопасности Windows.
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Методика проверки наличия возможности несанкционированного доступа в объектно-ориентированных системах2012 год, кандидат технических наук Усов, Сергей Владимирович
Модели оценки рисков несанкционированного доступа и утечки информации на основе модели Take-Grant2012 год, кандидат технических наук Бардычев, Василий Юрьевич
Дискреционная модель безопасности управления доступом и информационными потоками в компьютерных системах с функционально или параметрически ассоциированными сущностями2009 год, кандидат технических наук Колегов, Денис Николаевич
Разработка и реализация математических моделей защищенности в рабочих группах и доменах Windows2006 год, кандидат технических наук Коньков, Александр Константинович
Передача мультимедийных данных по цифровым каналам в режиме, защищенном от несанкционированного доступа2008 год, кандидат технических наук Нопин, Сергей Викторович
Введение диссертации (часть автореферата) на тему «Разработка алгоритмов проверки отсутствия несанкционированных доступов в компьютерных системах на основе дискреционных моделей безопасности»
Актуальность проблемы. Модели безопасности компьютерных систем позволяют формализовать процесс выявления возможных каналов утечки информации. С их помощью может быть проведено строгое доказательство устойчивости компьютерных систем к атакам злоумышленников [11-13, 38-41].
На сегодняшний день разработано несколько типов моделей безопасности, однако исторически первыми были дискреционные модели [15,19,20,34,47,56], основанные на принципе явного присвоения наборов разрешенных действий для каждой пары субъект - объект информационных отношений. Все модели безопасности компьютерных систем основываются на принципах впервые сформулированных в стандарте «Department of Defense Trusted Computer System Evaluation Criteria» [61], также известному как «Оранжевая книга», регламентирующему уровни безопасности информационных систем, минимальным требованием защищенности системы является наличие в ней разделения доступа. То есть, необходимо организовать работу системы так, чтобы каждый пользователь имел доступ лишь к тем частям информационной системы, которые необходимы ему для выполнения своих обязанностей. Разделение доступа в информационных системах реализуется через политику безопасности, представляющую собой нормы и правила эксплуатации системы [1-9, 11-13, 15-17].
Модель Харрисона-Руззо-Ульмана (Harrison-Ruzzo-Ulman, HRU) [15, 19, 20, 47, 68] была одной из первых моделей, ориентированных на анализ дискреционного доступа, и большинство более поздних моделей основаны на ее базовых положениях. Одним из основных результатов модели HRU является алгоритмическая неразрешимость задачи проверки произвольной системы на наличие каналов утечки информации. В связи с этим в работах [67, 77] предложен ряд ограничений модели, позволяющих выявить системы, для которых можно гарантировать защищенность. При этом существенно ограничивается функциональность компьютерной системы.
Модель Take-Grant [15, 20, 47, 71] более предсказуема, чем модель HRU. Для модели Take-Grant сформулированы условия, при которых в системе, работающей согласно этой модели, гарантированно не произойдет утечек информации. Однако способы проверки выполнимости данных условий не определены.
Целью диссертационной работы является развитие моделей дискреционного разграничения доступа HRU и Take-Grant, выявление новых классов безопасных компьютерных систем, построение алгоритмов проверки безопасности состояния компьютерной системы.
Методы исследования. При решении поставленных задач использовались математические модели, теория графов, теория алгоритмов, элементы булевой алгебры.
Научная новизна результатов исследований.
1. Впервые применен базисный подход для анализа безопасности модели HRU, что позволило расширить класс систем гарантированно защищенных от несанкционированного доступа.
2. Проведен анализ подсистемы безопасности операционных систем семейства Windows на возможность возникновения несанкционированных доступов с использованием дискреционных моделей безопасности.
3. Построены полиномиальные алгоритмы проверки возможности несанкционированного доступа заданного субъекта к заданному объекту.
Достоверность результатов работы. Научные результаты диссертационной работы получены с использованием методов хорошо зарекомендовавших себя при моделировании политик безопасности компьютерных систем. Проведено сравнение результатов моделирования с современными программными средствами защиты информации.
Практическая ценность заключается в разработке алгоритмов проверки безопасности компьютерных систем и выявлении безопасных состояний, которые могут найти применение в программных реализациях средств аудита безопасности вычислительных комплексов.
Основные положения, выносимые на защиту:
1. Возможно расширение дискреционной модели безопасности Н1Ш за счет введения различных операций преобразования матриц доступа.
2. На множестве операций преобразования матрицы доступа возможно выделение базисного набора операций, через который линейно выражаются все остальные операции.
3. Рассмотрение компьютерных систем в различных базисах позволяет расширить класс систем, для которых допустимо доказательство гарантированной защищенности от несанкционированных доступов.
4. Алгоритмы проверки отсутствия несанкционированных доступов могут быть построены на основе алгоритмов на графах, поиска в ширину и поиска в глубину.
5. Проверка отсутствия каналов несанкционированного доступа между заданными субъектом и объектом может быть осуществлена за полиномиальное время.
Апробация работы. Основные результаты диссертации докладывались и обсуждались на следующих конференциях: Межвузовская научно-практическая конференция «Информационные технологии автоматизации и управления» (Омск, 2009); XIII международная научно-практическая конференция «Решетневские чтения» (Красноярск, 2009); Вторая международная научно-практическая конференция «Современные проблемы гуманитарных и естественных наук» (Москва, 2010), «Научное творчество XXI века» (Красноярск 2010), Вторая международная научно-практическая конференция «Наука в современном мире» (Москва, 2010), Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография» - БТВЕСКУРТ'Ю (Тюмень, 2010), а также обсуждались на научных семинарах Омского государственного университета.
Публикации. По теме диссертации опубликованы 14 научных работ, в том числе три статьи в коллективной монографии «Проблемы обработки и защиты информации книга 1 — Модели политик безопасности компьютерных систем» и две статьи в журнале, из списка рекомендованного ВАК.
Структура и объем работы. Диссертационная работа состоит из введения, трех глав, заключения и списка литературы. Работа содержит 116 страницы основного текста, 33 рисунка и 5 таблиц. Список литературы включает 80 наименований.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Методы и программные средства исследования моделей логического разграничения доступа на предмет выполнения требований по безопасности2010 год, кандидат физико-математических наук Шапченко, Кирилл Александрович
Защита данных от утечки по скрытым логическим каналам в телекоммуникационных сетях2011 год, кандидат технических наук Усов, Павел Андреевич
Моделирование информационных процессов финансовой деятельности с высоконадежной обработкой информации2012 год, кандидат технических наук Быковский, Александр Николаевич
Модели управления доступом в распределенных компьютерных системах2008 год, кандидат технических наук Биктимиров, Марат Рамилевич
Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения2009 год, кандидат технических наук Чемин, Александр Александрович
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Бречка, Денис Михайлович
ЗАКЛЮЧЕНИЕ
В работе были исследованы и развиты модели дискреционного доступа HRU и Take-Grant. Были показаны особенности данных моделей и возможность применения на практике. Основные результаты работы:
1. Проведено развитие модели безопасности компьютерных систем с дискреционным разделением доступа HRU.
1.1 Возможно построение минимального набора операций на множестве матриц доступа (базиса).
1.2 Использование базиса позволяет выбирать наиболее удобное представление команд преобразования матрицы доступов.
1.3 Использование базисного подхода позволяет выявить новые классы безопасности компьютерных систем с дискреционным разделением доступа.
2. Исследовано дискреционное разграничение доступа в операционных системах семейства Windows.
2.1 Применен базисный подход к исследованию системы защиты от несанкционированного доступа в компьютерных системах под управлением ОС Windows.
2.2 Сформулированы рекомендации по разработке дополнительной системы защиты, делающей объекты ОС Windows защищенными от несанкционированных доступов.
3. Построены алгоритмы проверки безопасности компьютерных систем с дискреционным разделением доступа в рамках модели Take-Grant.
3.1 Разработан полиномиальный алгоритм проверки отсутствия несанкционированных доступов в системах с дискреционным разделением доступов с трудоемкостью 0(N ).
3.2 Исследована применимость построенных алгоритмов к компьютерным системам под управлением ОС Windows. Показана возможность программной реализации дополнительных систем защиты, исследующих возможность несанкционированного доступа заданного пользователя к заданному объекту.
Список литературы диссертационного исследования кандидат технических наук Бречка, Денис Михайлович, 2011 год
1. ГОСТ 50.922-96. Стандартизованные термины и определения в области защиты информации.
2. ГОСТ Р 50992-96. Защита информации. Основные термины и определения.
3. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
4. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М. : Изд-во стандартов, 2002.
5. Руководящий документ ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. М.: Воениздат, 1992.
6. Руководящий документ ГТК РФ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Воениздат, 1992.
7. Руководящий документ ГТК РФ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М.: Воениздат, 1992.
8. Руководящий документ ГТК РФ. Руководство по разработке профилей защиты и заданий по безопасности. М.: Воениздат, 2003.
9. Руководящий документ ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Воениздат, 1992.
10. Алгоритмы: построение и анализ. / Кормен Т. и др. М.: МЦНМО, 2000. 960 с.
11. Анин Б.Ю. Защита компьютерной информации. СПб.:БХВ Санкт1. Петербург, 2000. 376 с.
12. Багаев, М. А. Методические основы управления доступом пользователей к информационным ресурсам автоматизированных систем // Информация и безопасность, 2003, № 2. с. 156-158.
13. Безбогов A.A., Яковлев A.B., Мартемьянов Ю.Ф. Безопасность операционных систем. М.: Машиностроение-1, 2007. 220 с.
14. Брагг Р. Система безопасности Windows 2000. М.: Изд. дом «Вильяме», 2001. 592 с.
15. Гайдамакин H.A. Разграничение доступа к информации в компьютерных системах. Е.: Издательство Уральского Университета, 2003. 328 с.
16. Галатенко В.А Стандарты информационной безопасности: курс лекций: учебное пособие. Второе издание. М.: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2006. 264 с.
17. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.:Кн.1. М.: Энергоатомиздат, 1994. 400 с.
18. Гордеев A.B., Молчанов А.Ю. Системное программное обеспечение. Учебник. СПб.: Питер, 2001. 736 с.
19. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. М.: Яхтсмен, 1996. 192с.
20. Девянин П.Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. М.: Издательский центр «Академия», 2005. 144 с.
21. Дейтел Г. Введение в операционные системы. Том 1. М.: Мир, 1987.216 с.
22. Дидюк Ю.Е., Дубровин A.C., Макаров О.Ю., Мещеряков Ю.А., Марков A.B., Рогозин Е.А. Основные этапы и задачи проектирования систем защиты информации в автоматизированных системах // Телекоммуникации. 2003. № 2. 29-33.
23. Духан Е.И., Синадский Н.И., Хорьков Д.А. Применение программно-аппаратных средств защиты компьютерной информации. Екатеринбург: УГТУ-УПИ, 2008. 182 с.
24. Емелин И.В., Эльгиян Р.В. Обеспечение многоуровневой защиты информации в информационных и вычислительных системах. М.: ВНИИМИ, 1979.
25. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие. М.: Логос, 2001. 264 с.
26. Защита информации, учеб. пособие. В 4 ч. Ч. 2. Основы организации защиты информации в ЭВМ. / Завгородний М. Г. и др. Воронеж: Воронеж, высш. школа МВД России, 1997. 130 с.
27. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему? / Под ред. Д.П. Зегжды и В.В. Платонова. СПб.: Мир и семья, 1997. 312 с.
28. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия Телеком, 2000.452 с.
29. Коберниченко A.B. Недокументированные возможности Windows NT. М.: Нолидж, 1998. 287 с.
30. Козленко JT. Информационная безопасность в современных системах управления базами данных // КомпьютерПресс. 2004. Вып.З. URL: http:// www.compress.ru/Article.aspx?id=10099 (дата обращения 10.01.2010)
31. Кристофидес Н. Теория графов. Алгоритмический подход. М.: Мир, 1978. 432 с.
32. Куприянов А.И., Сахаров A.B., Швецов В. А. Основы защиты информации: учеб. пособие для стуц. высш. уч. Заведений. М.: Академия, 2006. 256 с.
33. Майника Э. Алгоритмы оптимизации на сетях и графах. М.: Мир, 1981.323 с.
34. Математические основы информационной безопасности. Пособие. /
35. Баранов А.П.и др. Орел: ВИПС, 1997. 354 с.
36. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика; Электроинформ, 1997. 368 с.
37. Новик И.Б. Абдулов А.Ш. Введение в информационный мир. М.: Наука, 1991. 228 с.
38. Носов В.А. Основы теории алгоритмов и анализа их сложности. Курс лекций. М.: МГУ, 1992. 140 с.
39. Основы информационной безопасности. Учебное пособие для вузов. / Белов Е.Б. и др. М.: Горячая линия-Телеком, 2006. 554 с.
40. Основы организационного обеспечения информационной безопасности объектов информатизации. / Семкин С.Н. и др. М.: Гелиос АРВ, 2005. 187 с.
41. Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Учебное пособие. М.: Изд. Моск.гос. ин-та электроники и математики, 1998. 184 с.
42. Проскурин В.Г., Кругов C.B., Мацкевич И.В. Защита в операционных системах: Учебное пособие. М.: Радио и связь, 2000. 168 с.
43. Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000. Мастер-класс. Пер. с англ. 4-е изд. М.: Издательско-торговый дом «Русская редакция», 2005. 992 с.
44. Свами М., Тхуласираман К. Графы, сети и алгоритмы. М. : Мир, 1984. 455 с
45. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. 320 с.
46. Смирнов С. Н. Безопасность систем баз данных. М.: Гелиос АРВ, 2007. 352 с
47. Станек У.Р. Microsoft Windows XP Professional. Справочник администратора, пер. с англ. 2 изд. М.: Издательско-торговый дом «Русскаяредакция», 2003. 448 с.
48. Теоретические основы компьютерной безопасности: Учебное пособие для вузов / Девянин П.Н. и др. М.: Радио и связь, 2001. 192 с.
49. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.: Яхтсмен, 1996. 298 с.
50. Уолкер Б. Дж. Безопасность ЭВМ и организация их защиты, перевод с англ. М.: Связь, 1980.
51. Хоффман JI. Современные методы защиты информации: Пер с англ./Под ред. В.А. Герасименко. М.: Сов. Радио, 1980. 264 с.
52. Цирлов В. JI. Основы информационной безопасности. Краткий курс. М.: Феникс, 2008. 256 с.
53. Чипига А. Ф. Информационная безопасность автоматизированных систем. М.: Гелиос АРВ, 2010. 336 с.
54. Шаньгин В.Ф. Защита компьютернй информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. 544 с.
55. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника, 2004. 384 с.
56. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности М. : Молгачева С. В., 2001. 352 с.
57. A guide to understanding discretionary access control in trusted systems. National Computer Security Center. NCSC-TG-003 Version 1, September 1987.
58. Bishop M. Theft of information in the Take-Grant protection model // Computer security 3 (4), 1994. p.283-309.
59. Computer Security Requirements. Guidance for Applying the Department of Defense Trusted Computer System Evaluation Criteria in Specific Environments, DoD, 1985
60. Database Security. / Castano S. and others. Addison Wesley Publishing Company, ACM Press, 1995. 456 p.
61. Denning D. An Intrusion Detection Model, IEEE Transactions on
62. Software Engineering, v.SE-13, № 1. 1987. p. 222-232.
63. Department of Defense Trusted Computer System Evaluation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985
64. Federal Criteria for Information Technology Security. National Institute of Standards and Technology & National Security Agency. Version 1.0, December 1992.
65. Frank J., Bishop M. Extending the Take-Grant protection system. Technical report. Department of Computer science, University of California in Devis, 1996. 14 p.
66. Goguen J.A., Meseguer J. Security Policies and Security Models. // 1982 IEEE Symposium on Security and Privacy, 1982. p. 1-26.
67. Guidance for applying the Department of Defense Trusted Computer System Evaluation Criteria in specific environment. US Department of Defense. CSC-STD-003-85, June 1985.
68. Guide to Understanding configuration management in trusted systems. National Computer Security Center. NCSC-TG-006-88, March 1988.
69. Harrison M.A., Ruzzo W.L. Monotonie protection systems // Foundation of Secure Computation. New York: Academic Press, 1978. P. 337-365.
70. Harrison M.A., Ruzzo W.L., Ulman J.D. Protection in Operating Systems // Communications of the ACM, 1975. p. 14-25.
71. Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. Department of Trade and Industry, London, 1991.
72. J.A. Goguen, J. Meseguer, Security Policies and Security Models, Proceedings of the 1982 Symposium
73. Lipton R.J., Snayder L. A linear time algorithm for deciding subject security // Journal of ACM (Addison-Wesley). N.3, 1977. p.455-464
74. McLean J. The Specification and Modeling of Computer Security. // Computer, 23(1), 1990. p. 9-16
75. Microsoft Corporation Microsoft Windows XP Professional. Учебный курс MCSA/MCSE. Пер. с англ. 2-е изд. Испр. М.: Издательско-торговый дом «Русская редакция», 2003. 1008 с.
76. Microsoft Developer Network. URL: http://msdn.microsoft.com (дата обращения 10.10.2010)
77. Nyanchama M., Osborn S.L. Access rights administration in role-based security systems // Database security VIII: Status & Prospects, Biskup, Morgenstern and Landwehr eds. North-Holland, 1994. p. 37-56.
78. Russell D., Gangemi Sr. G.T., Computer Security Basics. CA.: O'Reilly & Associates, Inc., 1991. 301 p.
79. Sandhu R.S. The typed matrix access model // Proceedings of the 1992 IEEE Symposium on Security and Privacy, 1992. p. 122-136
80. The Interpreted Trusted Computer System Evaluation Criteria Requirements. National Computer Security Center. NCSC-TG-001-95, January 1995. IIS. Trasted Computer System Evaluation Criteria. US Department of Defense 5200.28-STD, 1993.
81. Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria, NCSC, 1991
82. Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria, NCSC, 1987
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.