Разработка метода проектирования систем разграничения доступа и методика их внедрения в вычислительные системы тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Федоров, Александр Владимирович
- Специальность ВАК РФ05.13.19
- Количество страниц 146
Оглавление диссертации кандидат технических наук Федоров, Александр Владимирович
Содержание.
Введение.
Глава 1. Современное состояние проблемы. Постановка задачи.
Выводы к главе 1.
Глава 2. Модели разграничения прав доступа.
2.1. Модель дискреционного доступа.
2.1.1. Описание модели.
2.1.2. Реализация подсистемы DAC.
2.1.3. Функции взаимодействия с подсистемой DAC.
2.1.4. Необходимые системные функции.
2.2. Модель мандатного доступа.
2.2.1. Описание MAC модели.
2.2.2. Реализация модели.
2.2.3. Необходимые системные функции.
Выводы к главе 2.
Глава 3. Модель защищаемой системы.
3.1. Ресурсы системы.
3.2. Сервер ресурса.
3.3. Идентификация ресурсов.
Выводы к главе 3.
Глава 4. Комплексная модель ЗВС с внедренной подсистемой РПД.
4.1. Операции, затрагивающие подсистемы РПД.
4.2. Изменение функциональности сервера ресурсов.
4.3. Сервер субъектов.
4.4. Сервер объектов.
4.5. Место подсистемы РПД в модели системы.
4.6. Изменение прав доступа субъекта к объекту.
4.7. Параметры системы.
4.8. Компоненты системы.
4.9. Системные запросы.
4.9.1. Использование ресурсов.
4.9.2. Администрирование.
4.10. Методика применения комплексной модели ЗВС.
4.11. Область применения комплексной модели ЗВС.
Выводы к главе 4.
Глава 5. Практическое применение комплексной модели ЗВС.
5.1. Внедрение модели дискреционного разграничения прав доступа в ядро ОС Linux.
5.2. Разработка комплекса защищенного документооборота.
Выводы к главе 5.
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Реализация средств управления доступом в микроядерных операционных системах2000 год, кандидат технических наук Степанов, Павел Георгиевич
Исследование и разработка методов реализации мандатных средств управления доступом в сетевых ОС семейства UNIX2004 год, кандидат технических наук Хартиков, Денис Михайлович
Модель и алгоритмы обеспечения безопасности управления доступом в операционных системах семейства Linux2023 год, кандидат наук Каннер Андрей Михайлович
Методы и программные средства исследования моделей логического разграничения доступа на предмет выполнения требований по безопасности2010 год, кандидат физико-математических наук Шапченко, Кирилл Александрович
Построение защищенных информационных систем с использованием технологии гибридных ОС2005 год, кандидат технических наук Вовк, Александр Михайлович
Введение диссертации (часть автореферата) на тему «Разработка метода проектирования систем разграничения доступа и методика их внедрения в вычислительные системы»
В последнее время вычислительные системы (ВС) все больше используются не только в сфере обслуживания и управления производством, но и в государственной сфере. Обеспечение безопасности информации, хранящейся и обрабатываемой в государственных организациях, является национальной задачей, от выполнения которой зависит благополучие всей страны. В нашей стране на сегодняшний день практически отсутствует производство отечественных компьютеров. Отечественные предприятия и организации вынуждены использовать зарубежную компьютерную технику, и данная ситуация вряд ли изменится в обозримом будущем. Использование зарубежной компьютерной техники вызвало применение зарубежного программного обеспечения (ПО). Подобное положение дел может удовлетворять частных лиц и негосударственные структуры, но для государственных организаций, в первую очередь военных и правительственных, она .неприемлема. Не рассматривая вопросы создания отечественных компьютеров, необходимо отметить, что разработка отечественного системного ПО является реальной задачей. В этой связи разработка методов проектирования защищенных вычислительных систем (ВС) представляется не только актуальной, но и необходимой.
Реализация политики безопасности, и, в частности, подсистемы разграничения прав доступа (РПД), является одной из основных и одновременно одной из самых сложных задач при создании защищенных вычислительных систем (ЗВС). В настоящее время данной проблемой занимаются такие ученые как В. А. Герасименко, Л. В. Курило, А. П. Ухлинов, С. П. Расторгуев, К. Лендвер, Д. МакЛин, Д. Кларк, Д. Миллен и др. Среди сходных направлений можно отметить исследования, проведенные компанией Secure Computing Corporation в рамках работ по развитию микроядра Mach и использования его в ОС DTOS. Одной из самых распространенных причин нарушения безопасности ВС является неправильное внедрение выбранной модели безопасности. Работы по данному вопросу отсутствуют в открытой печати. Поэтому, не смотря на важность данной проблемы, до сих пор не существует общедоступных методик, позволяющих решить вопрос j внедрения модели безопасности.
Целью данной работы является повышение безопасности информационно-вычислительных систем критического назначения путем разработки метода проектирования подсистем разграничения доступа вновь разрабатываемых и существующих систем. —
Для достижения поставленной цели в работе решались следующие задачи:
1. Анализ основных типов моделей безопасности и их формализация.
2. Разработка обобщенной модели подсистемы РПД.
3. Разработка модели вычислительной системы с точки зрения предоставляемых ей подсистеме РПД ресурсов.
4. Разработка комплексной модели ЗВС (ВС с реализование
5. Разработка методики применения комплексной модели.
Для решения поставленных задач использовались методы объектно-ориентированного анализа и моделирования, теория алгоритмов, теория множеств, математическая логика, теория программирования и системный анализ. П подсистемой РПД).
Научная новизна работы заключается в следующем:
1. Сформулирована проблема внедрения и реализации подсистемы РПД.
2. Разработан обобщенный интерфейс с абстрактной подсистемой РПД. Определены необходимые для ее корректной работы компоненты защищаемой системы.
3. Разработана обобщенная модель защищаемой системы, представляющая собой набор компонентов данной модели, правила их взаимодействия при выполнении системных операций и их обобщенные интерфейсы.
4. Разработана комплексная модель защищенной системы с внедренной подсистемой разграничения доступа, позволяющая реализовывать на ее основе широкий класс ВС с различными подсистемами РПД.
5. Описана методика использования данной модели для разработки новых и модификации существующих ЗВС различного предназначения и архитектуры.
Практическая ценность работы определяется возможностью использования предложенных в ней моделей и методик для анализа, разработки и модификации защищенных ОС и ВС с точки зрения реализации в них подсистемы РПД. Разработанная в работе методика внедрения подсистемы РПД была применена для реализации в ядре ОС Linux 1.2.13 полноценной подсистемы дискреционного разграничения прав доступа вместо классической подсистемы безопасности ОС UNIX. Предложенная модель защищенной системы использовалась при разработке системы защищенного документооборота, реализованной на нескольких платформах. В число данных платформ входят Win32 (Windows 95/98/NT), UNIX (Linux, FreeBSD) а также защищенная ОС разработанная в Центре Защиты Информации при СПбГТУ. Результаты работы используются в учебном процессе кафедры ИБКС СПбГТУ и в НИР кафедры.
Основные теоретические и практические результаты работы обсуждались на Республиканской научно-технической конференции «Методы и технические средства защиты информации» (19951998 гг.), на конференции «Региональная информатика» в 1996 г. Основные положения, выносимые на защиту:
1. Обобщенная модель подсистемы РПД.
2. Обобщенная модель защищаемой системы.
3. Комплексная модель защищенной системы с внедренной подсистемой РПД.
4. Общие положения методики анализа защищаемой системы с целью внедрения или модификации подсистемы РПД.
Диссертация состоит из введения, пяти глав, заключения и списка литературы.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Интеграционный подход к построению защищенных распределенных вычислительных систем2001 год, кандидат технических наук Отавин, Алексей Дмитриевич
Методика построения защищенной вычислительной сети электронных платежей2003 год, кандидат технических наук Теренин, Алексей Алексеевич
Использование технологий открытых систем при создании и эксплуатации распределенных информационных систем специального назначения: На примере РИС ГИБДД МВД РТ2000 год, доктор технических наук Минниханов, Рифкат Нургалиевич
Логико-языковые средства описания моделей логического разграничения доступа2010 год, кандидат физико-математических наук Андреев, Олег Олегович
Управление доступом к ресурсам распределенных информационных систем на основе отношений доверия2010 год, кандидат физико-математических наук Иткес, Александр Александрович
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Федоров, Александр Владимирович
Основные результаты диссертационной работы использованы при выполнении научно-исследовательских работ, проводимых в Специализированном Центре Защиты Информации и на кафедре Информационной Безопасности Компьютерных Систем СПбГТУ.
Содержащиеся в работе методические материалы, а также разработанные программные средства используются в учебном процессе на кафедре Информационной Безопасности Компьютерных
Заключение
В результате проведенных исследований были достигнуты следующие результаты:
1. Формализованы дискреционная и мандатная модели разграничения прав доступа.
2. Разработана обобщенная модель подсистемы РПД, позволяющая проектировать на своей основе различные типы ЗВС, использующие широкий класс моделей безопасности.
3. Разработана обобщенная модель защищаемой ВС с точки зрения предоставляемых ей подсистеме РПД ресурсов, которая может быть применена для внедрения подсистем РПД в широкий класс ВС.
4. Разработана комплексная модель ЗВС с внедренной подсистемой РПД охватывающая широкий класс ВС использующих различные политики безопасности.
5. Разработана методика применения комплексной модели ЗВС для разработки новых и модификации существующих ЗВС.
Достоверность и практическая ценность полученных результатов подтверждена их применением в реальных разработках.
Список литературы диссертационного исследования кандидат технических наук Федоров, Александр Владимирович, 1999 год
1. П.Д. Зегжда, A.B. Федоров. К вопросу о реализации политики безопасности в операционной системе. "Проблемы информационной безопасности. Компьютерные системы." 1999 г. №1, стр. 113-120.
2. A.B. Федоров. Реализация политики безопасности при создании защищенной операционной системы. Конференция "Информационная безопасность автоматизированных систем" Воронеж, 1998 г.
3. A.B. Федоров. Как избавиться от исполняемых файлов. Республиканская научно-техническая конференция "Методы и технические средства обеспечения безопасности информации", СПбГТУ 1997 г., тезисы конференции, стр. 182-184.
4. A.B. Федоров. Типизация данных. Республиканская научно-техническая конференция "Методы и технические средства обеспечения безопасности информации", СПбГТУ 1997 г., тезисы конференции, стр. 184-188.
5. A.B. Федоров, B.B. Степаненко. Проблема внедрения модели доступа в незащищенную операционную систему. Всероссийская научно-техническая конференция "Методы и технические средства защиты информации", 1996 г.
6. A.B. Федоров, В.В. Степаненко. Пути построения защищенной операционной системы. Всероссийская научно-техническая конференция "Методы и технические средства защиты информации", 1996 г.
7. И.Д. Медведовский, A.B. Федоров, П.В. Семьянов. Средства контроля и исследования безопасности сети Novell NetWare. V Санкт-Петербургская Международная конференция "Региональная информатика-96", 1996 г.
8. П.Д. Зегжда, Д.В. Копылов, С.С. Корт, И.Д. Медведовский, П.В. Семьянов, A.B. Федоров "Лабораторный практикум по курсу "Защита информации"" под ред. П.Д. Зегжды, С.-Петербург, СПбГТУ, 1996 г.
9. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. Москва, 1992 г.
10. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Москва, 1992 г.
11. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Москва, 1992 г.
12. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Москва, 1992 г.
13. Теория и практика обеспечения информационной безопасности. Под ред. П.Д. Зегжда. М.: изд-во Агенства «Яхтсмен», 1996.
14. Д.П. Зегжда, AM. Ивашко. Как построить защищенную информационную систему. СПб.: НПО «Мир и семья 95», 1997.
15. Под редакцией проф. П.Д. Зегжда. Проблемы безопасности программного обеспечения. Центр защиты информации СПбГТУ, изд. СПбГТУ 1995 г. 201 стр.
16. В.А. Герасименко. Защита информации в автоматизированных системах обработки данных. М.: "Энергоатомиздат", кн. 1 и 2, 1994 г.
17. В.А. Герасименко, A.A. Малюк. Основы защиты информации. М. 1997 г.
18. А.П. Курило, JIM. Ухлинов. Проектирование систем контроля доступа к ресурсам сетей ЭВМ. Москва, 1996 г.
19. С.П. Расторгуев. Исследование систем защиты информации. Информ. процессы и системы. N 12, 1993 г.
20. А.П. Баранов и др. Математические основы информационной безопасности. Орел: ВИПС, 1997.
21. А.Ю. Щербаков. К вопросу о гарантированной реализации политики безопасности в компьютерной системе. Безопасность информационных технологий. N1, 1997, стр. 15-26.
22. А.А. Грушо, Е Е. Тимонина. Теоретические основы защиты информации. М.: Яхтсмен, 1996 г.
23. А.В. Спесивцев, В.А. Вегнер, А.Ю. Крутяков и др. М.: Радио и связь, ВЕСТА, 1992 г.
24. Л.Дж. Хоффман. Современные методы защиты информации. М.: Сов. радио, 1980 г.
25. Под редакцией Д. Гроувера. Защита программного обеспечения. М.: Мир, 1992 г.
26. Гради Буч. Объектно-ориентированный анализ и проектирование. С примерами приложений на С++. Второе издание. М.: "Бином", СПб.: "Невский диалект", М.: "ИЦ-Грант" 1998 г.
27. С. Шлеер, С. Меллор. Объектно-ориентированный анализ: моделирование мира в состояниях. Киев: Диалектика, 1993 г.
28. Д. Цикритзис, Ф. Бернстайн. Операционные Системы. М.: «Мир», 1977 г.
29. В.А. Успенский, А.Л. Семенов. Теория алгоритмов: основные открытия и приложения. М.: Наука, 1987 г.
30. А. Робачевский. Операционная система UNIX. СПб.: «BHV», 1997 г.
31. Морис Дж. Бах. Архитектура операционной системы UNIX.
32. В.А. Вязгин, В.В. Федоров. Математические методы автоматизированного проектирования. М.: «Высшая школа», 1989 г.
33. Б.А. Трахтенброт, Я.М. Барздинь. Конечные автоматы (Поведение и синтез). М.: «Наука», 1970 г.
34. Trusted Computer System Evaluation Criteria. US Department of Defence 5200.28-STD, 1993.
35. A guide to understanding discretionary access control in trusted systems. National Computer Security Center. NCSC-TG-003 Version 1, September 1987.
36. Federal Criteria for Information Technology Security. National Institute of Standards and Technology & National Security Agency. Version 1.0, December 1992.
37. Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. -Department of Trade and Industry, London, 1991.
38. Canadian Trusted Computer Product Evaluation Criteria. Canadian System Security Centre Communication Security Establishment, Government of Canada. Version 3.0e. January 1993.
39. National Communications Security Agency (Netherlands). Version 0.6 11.01.97.
40. William Caelli, Dennis Longley, Michael Shain. Information Security Handbook. Stockton Press, 1991.
41. M. Harrison, W. Ruzzo, J. Uhlman "Protection in operating systems", Communications of the ACM, 1976
42. D. Bell L. LaPadula. Secure Computer Systems: Mathematical Foundation, ESD-TR-73-278, V. I, MITRE Corporation.
43. L. LaPadula D. Bell. Secure Computer Systems: A Mathematical Model, ESD-TR-73-278, V. II, MITRE Corporation.
44. John McLean "A comment om the "Basic Security Theorem" of Bell and La Padula", Information Processing Letters, 1985
45. John McLean "The specification and modeling of computer security", Computer, 1990
46. John McLean "Security models", Enciclopedia of software engeneering, 1994
47. C. Landwehr. Formal Models for Computer Security. ACM Computing Surveys. Vol. 13, N 3. 1984.
48. Carl E. Lendwehr, Constanse L. Heitmeyer, John McLean, "A security models for military message system", ACM transactions of computer systems, 1984
49. D. Clark D.Wilson. A Comparison of Commercial and Military Computer Security Policies. Proceedings of the IEEE Symposium on Security and Privacy.
50. Abbott R. P., Chin J.S., Donnelley J.E., Konigsford W.L., Tokubo S. and Webb D. A. Security analysis and enhancements of computer operating system. NBSIR 76-1041, National Bureau of Standards, ICST, April 1976.
51. Pfleeger C. P. 1989. Security in Computing. Prentice Hall, Englewood Cliffs, NJ.
52. Mach 3 Kernel Principles. Open Software Foundation and Carnegie Mellon University. Keith Loepere. NORMA-MK 12: July 15, 1992.
53. William R. Bevier, Lawrence M. Smith. A Methematical Model of the Mach Kernel: Enteties and Relations. Technical Report 88. December, 1994.
54. Final Evaluation Report Microsoft. Inc. Windows NT Workstation and Server Version 3.5 with U.S. Service Pack 3. National Computer Security Center. 29 April 1996.
55. Rob Pike, Dave Presotto, Sean Dorward, Bob Flandrena, Ken Thompson, Howard Trickey, Phil Winterbottom. Plan 9 from Bell Labs.
56. Rob Pike, Dave Presotto, Ken Thompson, Howard Trickey, Phil Winterbottom. The Use of Name Spaces in Plan 9.
57. See-Mong Tan, David K. Raila, Roy H. Campbell. An Object-Oriented Nano-Kernel for Operating System Hardware Support. Department of Computer Science, University of Illinois at Urbana-Champaign Digital Computer Laboratory.
58. See-Mong Tan, David K. Raila, Willy S. Liao, Roy H. Campbell. Virtual Hardware for Operating System Development. Department of Computer Science, University of Illinois at Urbana-Champaign Digital Computer Laboratory.
59. David Curry. UNIX System Security: A Guide for Users and Administrators. Addison-Wesley, Reading, MA, 1992.
60. Simpsons Garfinkel and Gene Spafford. Practical UNIX Security. O'Reilly and Associates, Inc., Sebastopol, CA, 1992.
61. DTOS Lessons Learned Report. Secure Computing Corparation. Version Date 27 June 1997.
62. УТВЕРЖДАЮ Вице-президент Ш'иаучнойпрабоч'с СПбГТУ1£Я. Башкарев ^ . . г.
63. УТВЕРЖДАЮ Генеральный директор НИИ ХК «Ле1. Тухин1. АКТ
64. Об использовании результатов диссертационной работы аспиранта СПбГТУ A.B. Федорова
65. Возможный экономический эффект за счет использования разработанного A.B. Федоровым метода мокет-составить до 100 ООО рублей в год.
66. Заместитель директора СЦЗИ к.т.н., проф.тик1. В.В. Платонов
67. Помощник генерального конструктора НИИ «Системотехника» ХК «Ленинец» Заслуженный деятель науки и техники1. Г.Бундин
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.