Разработка и исследование защищенной компьютерной системы общего назначения тема диссертации и автореферата по ВАК РФ 05.13.17, кандидат технических наук Колищак, Андрей Николаевич

Актуальность темы. Важную часть процесса внедрения новых информационных технологий во все сферы жизни общества является обеспечение защищенности информации. Широкомасштабное использование вычислительной техники и телекоммуникационных систем, переход на этой основе к безбумажным технологиям, увеличение объемов обрабатываемой информации и расширение круга пользователей приводят к качественно новым возможностям несанкционированного доступа к ресурсам и данном информационной системы, к их высокой уязвимости.

Большинство традиционных механизмов и средств защиты связано с разграничением доступа, межсетевыми экранами, аутентификацией, криптографическими системами и так далее. Вместе с тем существуют и другие механизмы адаптивной безопасности сети, к которым относятся механизмы анализа защищенности и обнаружения атак. Предлагаемые на отечественном рынке отдельные средства защиты не в состоянии решить проблему в целом. Основной проблемой, с которой сталкиваются пользователи и собственники информационных систем является ограниченность, а зачастую и полная невозможность обеспечения необходимого уровня доверия к технологии и, как следствие, к уровню защищенности в целом.

Стремление повысить степень защищенности компьютерных систем от различного рода внешних угроз приводит к необходимости разработки комплексных моделей их защищенности. Практическое использование осложняется рядом серьезных трудностей.

Большинство методов могут быть отнесены к множеству компьютерных систем специального назначения, то есть систем, отвечающих специальным требованиям безопасности. Отмеченная специфика предполагает существование особых подходов к построению и практической реализации защищенных систем общего назначения.

Существующие механизмы и методы не позволяют сделать вывод о корректности и степени защищенности компьютерной системы. Более того, такие системы накладывают целый ряд ограничений на администрирование и функциональность. Другим недостатком существующих систем является локальный характер их действия, целость и конфиденциальность ресурсов при этом доказать невозможно.

Появление и использование новых, все более и универсальных операционных и сетевых платформ, различных универсальных общесистемных продуктов, делает невозможным использование традиционных подходов к реализации политики безопасности в компьютерной системе (КС). Они становятся трудно выполнимыми, либо вообще не могут быть реализованы.

Ситуация еще больше усугубляется тем обстоятельством, что в подавляющем большинстве случаев атаки злоумышленников реализуются через легальных клиентов или персонал системы, для которых барьерные механизмы защиты прозрачны. Вследствие указанных причин, рациональная и полная реализация политики безопасности классическими методами защиты от несанкционированного доступа приводит к очень сложным, динамически управляемым системам с существенным дефицитом доказательности:

Выявленные недостатки концептуального и технологического характера убедительно свидетельствуют о необходимости и актуальности разработки защищенных компьютерных систем нового типа для класса систем общего назначения. В задачу такой системы должно входить построение защищенной модели, целостности системы и конфиденциальности ее ресурсов. При этом должны быть получены количественные показатели в виде значения, принимаемого формальным критерием защищенности компьютерной системы общего назначения.

Изложенные обстоятельства определяют актуальность исследований, направленных на разработку научно-методической базы, прикладных методов и программных средств их реализации.

Степень разработанности темы. Научные основы обеспечения безопасности информационных систем разрабатывались в трудах российских ученых: В.А.Герасименко, А.А.Грушо, П.Д.Зегжды, В.В.Кульбы, В.В.Платонова, Н.Д.Подуфалов, А.Г.Ростовцева и других, а также зарубежных ученых: Р.Андерсон, К.Д.Биба, Д.Гольман, Д.Е.Деннинг, Д.Д.Кларк, М.Д.ЛаПадула, Д.А.Мак-Лина, Б.Шнайер. Значительный вклад в разработку прикладных аспектов безопасности внесли В.Ю.Гайкович, В.В.Домарев, Д.П.Зегжда, А.В.Лукацкий, И.Медведовский, Д.Леонов, А.Першин, Ю.Самохин, С.Е.Сталенков и другие.

По отдельным направлениям безопасности отечественные разработки или отсутствуют или являются закрытыми. Большинство работ посвящено криптографическим методам, узким специализированным механизмам и средствам защиты, не позволяющим ответить на вопрос: как обеспечить защищенность компьютерных систем общего назначения в соответствии с современными требованиями.

Восполнить в определенной мере данный пробел призвано данное исследование.

Цель работы состоит в разработке системы научно-методологических положений, моделей и методических рекомендаций, позволяющих осуществить анализ, выявить приоритеты и построить модель безопасности компьютерных систем общего назначения.

Достижение этой цели ведет к повышению степени защищенности и обеспечивает разработку долгосрочной стратегии политики безопасности на основе учета информационных потребностей пользователей.

Основные задачи работы:

• анализ методов и технологий защиты с целью выявления и систематизации основных проблем современного состояния в области безопасности компьютерных систем общего назначения;

• формулировка приоритетных требований по безопасности компьютерных систем общего назначения;

• формализация модели компьютерной системы общего назначения;

• построение формального критерия защищенности компьютерной системы общего назначения, основанного на степени уязвимости компонентов системы и их связей;

• исследование возможности построения модели защищенной компьютерной системы, адекватной с точки зрения сформулированного критерия безопасности;

• разработка и исследование моделей целостности компьютерной системы общего назначения и конфиденциальности ее ресурсов;

• методическое и практическое обеспечение преобразования компьютерной системы к защищенной модели.

Объектом исследования является компьютерная система общего назначения.

Предметом исследования являются методология, модели и методы защищенной компьютерной системы общего назначения.

Теоретической и методической основой исследования являются системно-концептуальный подход к безопасности, методы теории вероятности, теории множеств, математической логики, матричной алгебры, информационного моделирования, математической статистики.

Научная новизна исследования состоит в следующем:

• выявлены основные недостатки существующих методов безопасности и сформулированы приоритетные требования по защищенности компьютерных систем общего назначения;

• формализована модель компьютерной системы общего назначения;

• разработан формальный критерий защищенности компьютерной системы, основанный на степени уязвимости компонентов системы и их связей;

• разработана мандатная модель целостности компьютерной системы;

• разработана модель конфиденциальности ресурсов компьютерной системы в рамках подхода контролирования потоков информации;

• произведена оценка методов реализации защищенной компьютерной системы на основе инфраструктуры операционных систем общего назначения.

Практическая значимость работы состоит в создании научно-обоснованной технологии концептуального проектирования КС, обеспечивающей проектировщиков и специалистов предметной области следующим инструментарием: формализованной моделью КС, критерием защищенности, позволяющем сравнивать степени безопасности КС, методическими рекомендациями по преобразованию КС к защищенной модели.

Реализация результатов работы. Результаты диссертационного исследования нашли практическое применение в ЦНИИ НИИ «Буревестник», компании Secure Wave и учебном процессе Нижегородского государственного технического университета на кафедре Вычислительная техника.

Результаты работы отражены в четырех статьях в журнале «Конфидент» и сборнике научных работ Нижегородского государственного технического университета, а так же в докладах Всесоюзной научнопрактической конференции «Информационные системы и технологии» (Н.Новгород, 2000-2003), Международной научно-практической конференции «Фундаментальные и прикладные вопросы информатики и экономики» (Москва-Сочи, 2000), Международной научной конференции «Информационные технологии и проблемы безопасности» (С-Петебург, 2001) и на научных семинарах кафедры Вычислительная техника НГТУ.

3.3. Выводы главы 3

1. В ходе практической реализации модели защищенной компьютерной системы произведена оценка методов реализации на основе инфраструктуры операционных систем общего назначения.

2. Произведена реализация модели защищенной КСОН на базе операционной системы Windows NT, включающая в себя драйвер ядра и установочный модуль. Драйвер реализует все функции защиты разработанных моделей. Установочный модуль осуществляет инсталляцию драйвера, маркировку ТСВ-объектов с памятью и маркировку объектов с конфиденциальными данными. Инсталляция является автоматической и не требует дополнительных параметров. Защищенная модель начинает функционировать после перезагрузки системы. Прототип совместим с ОС Windows 2000 и Windows ХР. Требования к аппаратному обеспечению аналогичны требованиям ОС Windows NT.

3. Разработанный прототип защищенной системы на основе разработанных формальных моделей целостности и конфиденциальности соответствует всем приоритетным требованиям. Защищенность системы подтверждается противодействием известным атакам, которые успешно проходят в рамках незащищенной системы. При этом обеспечивается сохранение совместимости и производительности существующего программного обеспечения. Прозрачность функционирования защиты обеспечивается коррекцией прототипа в соответствии с предусмотренными усовершенствованиями формальных моделей. Также подтверждается низкая стоимость реализации и поддержки системы.

Заключение

1. В результате сравнительного анализа существующих методов и технологий защиты для компьютерных систем общего назначения предложена их новая классификация на основе причинно-следственной зависимости между наличием уязвимости и ущербом, наносимым системе. Выявлены основные недостатки указанных методов, сформулированы приоритетные требования, которые необходимые предъявлять к защищенным компьютерным системам. Сделан вывод, что на сегодняшний день отсутствует законченное научное решение проблемы построения защищенной компьютерной системы общего назначения.

2. С целью разработки модели защищенности для компьютерных систем общего назначения впервые предложена формализация компьютерной системы общего назначения (рис. 1.3). Уточнены понятия: атаки, уязвимости, защищенной компьютерной системы, целостности КС.

3. Для сравнительной количественной оценки степени защищенности компьютерной системы общего назначения разработан универсальный критерий защищенности, основанный на степени уязвимости компонентов системы и их связей. Значение критерия защищенности представлено в виде вероятности возникновения угрозы целостности КС. Минимизация критерия представляет суть преобразований КСОН к защищенной модели.

4. Проведено исследование возможности построения модели защищенности компьютерной системы общего назначения, адекватной с точки зрения сформулированного критерия безопасности. В результате данного исследования выявлены основные причины нарушения целостности, определены функционально-параметрические характеристики защищенной КСОН на основе предложенной автором комбинированной мандатно-дискреционной модели доступа.

5. Разработана и исследована модель целостности защищенной компьютерной системы общего назначения в виде ограничений на действия модификации объектов без ограничений на считывание объектов. Ограничения на модификацию объектов, предъявляемые к мандатной модели доступа, сформулированы в математическом виде как предикат отношения модифицируемых объектов (2.39). Введение в модель динамических уровней целостности субъектов позволило исключить необходимость администрирования механизмов зашиты. В результате сформулировано Утверждение 2.1 показывающее, что целостность КСОН удовлетворяет критерию защищенности (2.14) при условии, если отношение модификации эквивалентны предикату (2.39).

6. Разработана модель конфиденциальности ресурсов компьютерной системы общего назначения в рамках подхода контролирования потоков информации. Показано, что контролирование потоков заключается в определении уровней конфиденциальности субъектов и задании правил, ограничивающих направления потоков данных между этими субъектами. Контроль осуществляется посредством ограничения чтения и модификации объектов. Согласно Утверждению 2.2. КСОН обеспечивает конфиденциальность доступа к ресурсам, если начальное и последующие состояния КС удовлетворяют условиям (2.47), а уровни конфиденциальности объектов и субъектов назначаются в соответствии с выражениями (2.45), (2.46). Основная модель дополнена требованиями блокирования скрытых каналов.

7. Разработано методическое обеспечение для практического преобразования компьютерной системы к защищенной модели, заключающееся в устранении ряда ограничений формальных моделей целостности и конфиденциальности.

8. В ходе практической реализации модели защищенной компьютерной системы произведена оценка методов реализации на основе инфраструктуры операционных систем общего назначения.

9. Произведена реализация модели защищенности на базе операционной системы Windows NT, включающая в себя драйвер ядра и установочный модуль. Драйвер реализует все функции защиты разработанных моделей. Установочный модуль осуществляет инсталляцию драйвера, маркировку ТСВ-объектов с памятью и маркировку объектов с конфиденциальными данными. Инсталляция является автоматической и не требует дополнительных параметров. Защищенная модель начинает функционировать после перезагрузки системы. Прототип совместим с ОС Windows 2000 и Windows ХР. Требования к аппаратному обеспечению аналогичны требованиям Windows NT.

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Руководящий документ Гостехкомиссии России.-М: ГТК РФ, 1992.

2. Атака из Internet / И. Д. Медведовский, П.В. Семьянов, Д.Г. Леонов, A.B. Лукацкий М.: СОЛОН-Р, 2002. - 368 с.

3. Баранов А.П. и др. Математические основы информационной безопасности. Орел: ВИПС, 1997.

4. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. -М: МИФИ, 1995.

5. Галатенко A.B. О применении методов теории вероятности для решения задач информационной безопасности. Вопросы кибернетики. -М.: РАН, НИИСИ, 1999.

6. Герасименко В.А. Комплексная защита информации в современных системах обработки данных // Зарубежная радиоэлектроника. -1993, №2.

7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. -М.: Энергоатомиздат, 1994.

8. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. -М: Агентство «Яхтсмен», 1996. 186 с.

9. Ю.Домарев В.В. Защита информации и безопасность компьютерных систем. Киев: ДиаСофт, 1999. - 480 с.

10. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты К.: ООО "ТИД "ДС", 2001. - 688 с.

11. Карпов Ю.Г. Теория автоматов. СПб.: Питер, 2002. - 224 е.: ил.

12. Касперски К. Техника и философия хакерских атак. М: СОЛОН-Р, 1999, - 272 с.

13. Касперски К. Техника и философия сетевых атак. М: СОЛОН-Р, 2001, -396 с.

14. Колищак А.Н. Атаки на переполнение буфера // Защита информации. Конфидент. 2000, №3.

15. Колищак А.Н. Атаки на переполнение стека в Windows NT. http://www.security.nnov.ru/articles/ntbo.asp, 1999.21 .Колищак А.Н". Безопасность SQL-приложений // Защита информации. Конфидент. -2000, №6, 25-28с.

16. Колищак А.Н. Информационная безопасность протоколов ТСРЛР. Тезисы докл. Меж. науч.конф. "Информационные технологии и проблемы безопасности", С-Пб., 2000.

17. Колищак А.Н. История одной уязвимости // Защита информации. Конфидент. 2001, №6, 2-5с.

18. Колищак А.Н. Модель целостности для компьютерных систем массового использования. Тезисы докл. Веер, науч.-техн. конф. "Информационные системы и технологии", Н.Новгород, 2003.

19. Колищак А.Н. Проблемы защиты протоколов сетевого уровня семейства TCP/IP. Тезисы докл. меж. науч. конф. "Фундаментальные и прикладные вопросы информатики", Москва-Сочи, 2000.

20. Колищак А.Н. Программный комплекс автоматизации моделирования случайных процессов. Тезисы докл. 5 Межд. науч.-техн. конф. студентов и аспирантов. Радиоэлектроника, электротехника и энергетика, т.1 Москва, 1999.

21. Колищак А.Н. Уязвимость форматной строки. Межвуз. сб. науч. трудов "Системы обработки информации и управления". Вып. 7. Н.Новгород: НГТУ, 2001.

22. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии России. М: ГТК РФ, 1992.

23. Лукацкий A.B. Обнаружение атак. СПб.: БХВ-Петербург, 2001. - 624 е.: ил.

24. Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В. Безопасность компьютерных сетей на основе Windows NT — М.: Издательский отдел «Русская Редакция» ТОО «Channel Trading Ltd.», 1998. 304 с.:ил.

25. Мельников B.B. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электронинформ, 1997. 368 с.:ил.

26. Моисеенков И.Э. Основы безопасности компьютерных систем // КомпьютерПресс.-1991. №10. с. 19-24, №11. с.7-21, №12.

27. Новиков Ф.А. Дискретная математика для программистов. СПб.: Питер, 2001.-304 с.

28. Программирование драйверов и систем безопасности: Учеб. Пособие / Сорокина С.И., Тихонов А.Ю., Щербаков А.Ю. СПб.: БХВ-Петербург, М.:Издатель Молчагаева C.B., 2002. - 256 с.

29. Романцев Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под ред. В.Ф. Шаньгина. М.: Радио и связь, 1999.-328 с.

30. Ростовцев А.Г. Элементы криптологии. СПб.: СПбГТУ, 1995.

31. Симонов С. Анализ рисков, упраление рисками. М: Джет Инфо Паблишер, 1999.

32. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии России.- М: ГТК РФ, 1992.

33. Степанов П.Г. Обеспечение мобильности защищенных ОС. Методы и технические средства обеспечения безопасности информации, 2000.

34. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.: Яхтсмен, 1996.

35. Теоретические основы информационной безопасности. Дополнительные главы. Учебное пособие / Баранов А.П., Зегжда Д.П., Зегжда П.Д., Ивашко A.M., Корт С.С. -СПб.: СПбГТУ, 1998.

36. Тимонина Е.Е. Скрытые каналы. М: Джет Инфо Паблишер, 2002.

37. Трубачев А. Концептуальные вопросы оценки безопасности информационных технологий // Джет Инфо. -1998, №5-6.

38. Шеннон К. Работы по теории информации и кибернетике. М: Иностранная литература, 1963.

39. Abrams M.D., LaPadula L.J. Eggers K.W., Oslon I.M. A Generalized Framework for Access Control: An Informal Description. Proc. 13th National Computer Security Conference, 1990, pp. 135-143.

40. Anderson R. Security Engineering. New York: Wiley, 2001, - 612 p.

41. Badger M.L., Sterne D.F, Sherman D.L., Walker K.M., Haghighat S.A. A Domain and Type Enforcement UNIX Prototype. Proc. Fifth USENIX UNIX Security Simposium. Salt Lake City, Utah, 1995.

42. Badger M.L., Sterne D.F, Sherman D.L., Walker K.M., Haghighat S.A. Practical Domain and Type Enforcement for UNIX. Proc. IEEE Symposium on Security and Privacy. Oakland, CA, 1995.

43. Bell D.E., LaPadula L.J. Secure Computer Systems: Mathematical Foundations. Report. MITRE Technical Report 2547, Volume I, 1973.

44. Bell D.E., LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. Report. MITRE Technical Report 2997, 1976.

45. Biba K.J. Integrity Considerations for Secure Computer Systems. Report. USAF Electronic Systems Division, ESD-TR-76-372, Hanscom Air Force Base, Bedford, Massachusetts, 1977.

46. Brewer D.F., Nash MJ. The Chinese Wall Security Policy, Proceedings of IEEE Symposium on Research in Security and Privacy, 1989, pages 206-214.

47. Chander A., Dean D., Mitchell J.C. A State-Transition Model of Trust Management and Access Control. Work Paper of DARPA grant N66001-00-C-8015,2000.

48. Clark D.D., Wilson D.R. A comparison of Commercial and Military Computer Security Policies, Proceedings of IEEE Symposium on Security and Privacy, 1987, pages 184-194

49. Common Criteria for Information Technology Security Evaluation. CC 2.1, 1999.

50. Denning D.E. A Lattice Model of Secure Information Flow, Proceedings of Fifth ACM Symposium on Operation Systems Principles, Oakland, 1975.

51. DTOS General System Security and Assurability Assessment Report. Report. Secure Computing Corporation. Rosseville, Minnesota, 1996, no. A011.

52. Dutertre B., Stavridou V. A Model of Noninterference for Integrating Mixed-Criticality Software Components. Proc. DCCA-7, San Jose, CA, 1999.

53. Elliott D., LaPadula L.J. Secure Computer Systems: Mathematical Foundations, MITRE Technical Report 2547, Volume I, 1973.

54. Fischer-Hubner S., Ott A., Swimmer M. Approaches to Integrated Malware Detection and Avoidance. Proc. The Third Nordic Workshop on Secure IT Systems, Trondheim, Norway, 1998.

55. Fischer-Hubner S., Ott A. From a Formal Privacy Model to its Implementation. Proc. 21st National Information Systems Security Conference, Arlington, VA, 1998.

56. Foley S.N. Evaluating System Integrity. Proc. New Security Paradigms Workshop. Charlottesville, VA, USA, 1998.

57. Fraser T. LOMAC: Low Water-Mark Integrity Protection for COSTS Environments, Proceedings of IEEE Symposium on Security and Privacy, 2000.

58. Fraser T. LOMAC: MAC You Can Live With. Proc. of USENIX Annual Technical Conference, 2001.

59. Fraser T., Badger L., Feldman M. Hardening COTS Software with Generic Software Wrappers. Proc. DARPA Information Survivability Conference and Exposition. Vol. 2, 1999, pp. 323-337.

60. Gollmann D„ Computer Security. New York: Wiley, 1999, - 320 p.

61. A Guide to Understanding Security Modeling in Trusted Systems. Report. National Computer Security Center, 1992.

62. Hallyn S.E. Domain and Type Enforcement for Linux, Proceedings of 4th Annual Atlanta Linux Showcase, Atlanta, 2000.

63. Harrison M., Ruzzo W., Uhlman J. Protection in operating systems, Communications of the ACM, 19(8) pages 461-471, August 1976.

64. Harrison M., Ruzzo W. Monolitic, Protection systems, Foundation of Secure Computation, 1978.

65. Howard M., LeBlanc D. Writing Secure Code. Redmond: Microsoft Press, 2002

66. Hunt G., Brubacher D. Detours: Binary Interception of Win32 Functions. Proc. 3rd USENIX Windows NT Symposium. Seattle, WA, 1999, pp. 135-143.

67. HYDRA: The Kernel of a Multiprocessor Operating Systems / W. Wulf, E. Cohen, W. Corwin, A. Jones, R. Levin, C. Pierson, F. Pollack. Proc. Communication of the ACM. Vol.17, No. 6. 1974, pp. 337-345.

68. The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments / P.A. Loscocco, S.D. Smalley, P.A. Muckelbauer, R.C. Taylor, S J. Turner, J.F. Farrell, tos@epoch.ncsc.mih National Security Agency

69. Kemmerer R.A. Shared Resource Matrix Methodology: An Approach to Identifying Storage and Timing Channels // ACM Transactions on Computer Systems, 1:3, 1983, pp.256-277.

70. Laprie J., Avizienis A., Randell B. Fundamental Concepts of Computer System Dependability. Proc. IARP/IEEE-RAS Workshop on Robot Dependability. Seoul, Korea, 2001.

71. Loscocco P., Smalley S. Integrating Flexible Support for Security Policies into the Linux Operating System. Proc. FREENIX Track, USENIX Annual Technical Conference, 2001.

72. McCullough D. Noninterference and the Composability of Security Properties. Proc. IEEE Symposium on Computer Security and Privacy, 1988.

73. McLean J. A Comment on the "Basic Security Theorem" of Bell and LaPadula. Proc. Information Processing Letters, vol. 20, No. 2. 1985, pp. 67-70.

74. McLean J.A. Reasoning About Security Models. Proc. IEEE Symposium on Privasy and Security, Oakland, CA. 1987, pp. 123-131.

75. McLean J. Security Models // Encyclopedia of Software Engineering, Wiley Press, 1994.

76. McLean J. The Specification and Modeling of Computer Security // Computer, 23(1):9 16, 1990.

77. Mitchem T. Lu R., Brien R. Using Kernel Hypervisors to Secure Applications.th

78. Proc. 13 Annual Computer Security Application Conference, San Diego, California, 1997, pp.175-184.

79. Model Checking / E.M. Clarke, J.O. Grumberg, D.A. Peled -London: The MIT Press, 2001,314 p.

80. Nagar R. Windows NT File System Internals: A Developer's Guide. -Sebastopol: O'Reilly & Associates, 1997.

81. Nebbett G. Windows NT/2000 Native API Reference. -Indianapolis: Macmillan Technical Publishing, 2000.87,Oney W. Programming the Microsoft Windows Driver Model. -Washington: Microsoft Press, 1999.

82. Rubini A., Corbet J. Linux Device Drivers. Sebastopol: O'Reilly & Associates Inc., 2001, 564p.

83. Saltzer J.H., Schroeder M.D. The Protection of Information in Computer Systems. Proc. IEEE. Vol. 63, No. 9. 1975, pp. 1278-1308.

84. Sandhu R.S. On Five Definitions of Data Integrity. Proceedings of IFIP WG11.3 Workshop on Database Security, 1993.

85. Sandhu R.S. Lattice-Based Access Control Models, IEEE Computer, Volume 26, November 1993, pages 9-19.

86. Schaufler C. TCB Isolation Using a Mandatory Integrity Policy. Report. Silicon Graphics, 1995.

87. Schneier B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. New York: Wiley, 2nd edition, 1996.

88. Schneier B. Secrets and Lies. New York: Wiley, 2000, 412 p.

89. Schreiber S.B. Undocumented Windows 2000 Secrets: a programmer's cookbook. New York: Addison-Wesley, 2001.

90. Solomon D.A., Russinovich M.E. Inside Windows 2000. Third Edition. -Washington: Microsoft Press, 2000, 903 p.

91. Spencer R., Smalley S., Loscocco P. The Flask Security Architecture: System Support for Diverse Security Policies. Proc. The Eighth USENIX Security Symposium, 1999, pp. 123-139

92. Tidswell J., Potter J. Domain and Type Enforcement in a ^.-Kernel, Work Paper, Microsoft Research Institute, Macquarie University.

93. Tidswell J., Potter J. An Approach to Dynamic Domain and Type Enforcement, Work Paper, Microsoft Research Institute, Macquarie University.

94. Tidswell J., Outhred G., Potter J. Dynamic Rights: Safe Extensible Access Control. Work Paper , Microsoft Research Institute, Macquarie University, 2000

95. Trusted Computing Platforms / B. Balacheff, L. Chen, S. Pearson, D. Plaquin, G. Proudler New Jersey: Prentice Hall PTR, 2002, 322 p.

96. Trusted Computer System Evaluation Criteria, Department of Defense, 1985

97. Viega J., McGraw G. Building Secure Software. How to Avoid Security Problems the Right Way. New York: Addison-Wesley, 2002, - 493 p.

98. Viscarola P.G., Mason A.W. Windows NT Device Driver Development. -Indianapolis: Macmillan Technical Publishing, 1997.

99. Wheeler D. A. Secure Programming for Linux and Unix HO WTO. v 3.0, 2002, www.dwheeler.com

100. Wing J. M. A Symbolic Relationship Between Formal Methods and Security, Workpaper CMU-CS-98-188, Carnegie Mellon Universaty, 1998

101. Walker K.M., Sterne D.F., Badger M.L., Petkac M.J., Sherman D.L., Oostendorp K.A. Confining Root Programs with Domain and Type Enforcement (DTE). Proc. Sixth USENIX UNIX Security Symposium. San Jose, California, 1996.