Разработка методов и средств поиска уязвимостей при сертификационных испытаниях защищенных вычислительных систем тема диссертации и автореферата по ВАК РФ 05.13.16, кандидат технических наук Корт, Семен Станиславович

Прогресс в области применения информационных технологий, обусловленный развитием вычислительных систем (ВС) и программных средств, сопровождается повышением требований к стабильности функционирования информационных систем и устойчивости при попытках нарушения их безопасности. Вышеуказанные требования сформулированы в различных нормативных документах, в том числе в требованиях Гостехкомиссии Российской Федерации. Процесс сертификационных испытаний в настоящее время в основном сводится к проверке соответствия сертифицируемой системы требованиям, предъявляемым к ней со стороны нормативных документов. Однако, на практике весьма часты случаи фактического нарушения безопасности сертифицированных систем. Причиной этого является то, что ряд особенностей программного обеспечения (в том числе, и импортного производства) предоставляют нарушителю возможности, которые не проверяются в ходе сертификационных испытаний, т.е. не проводится поиск уязвимостей.

Методологическая и теоретическая база изучения проблем, возникающих при поиске уязвимостей в защищенных вычислительных системах (ЗВС), как специфического объекта научных исследований в настоящее время только формируется усилиями таких ученых, как B.C. Анашина, C.B. Герасименко, A.A. Грушо, С.П. Расторгуева, M. JT. Ухлинов, М. Бишоп, К. Лендвер, П. Ньюман. Данная работа опирается на результаты этих исследований и развивает их отдельные положения применительно к задаче формализации методов обнаружения уязвимостей в ЗВС, представляющей одно из направлений общей проблемы обеспечения информационной безопасности. Процесс сертификации и поиска уязвимостей в ЗВС дорог и должен обладать надежностью выводов. Поэтому разработка системных основ и практических методов анализа безопасности, повышение их надежности и эффективности, автоматизация процесса анализа безопасности и методики его проведения составляют актуальную проблему, имеющую большое научное и практическое значение.

В диссертационной работе рассмотрен системный подход к задаче анализа информационной безопасности ЗВС, предложены методы и разработаны практические средства поиска уязвимостей.

Целью работы является объективизация и автоматизация сертификационных испытаний защищенных вычислительных комплексов безопасности путем разработки и применения формальных методов и автоматизированных средств поиска уязвимостей, а также выработка рекомендаций по повышению безопасности ЗВС.

Для достижения поставленной цели в работе решались следующие задачи:

1. Разработка формальной постановки задачи поиска уязвимостей в ЗВС, позволяющей автоматизировать и объективизировать процесс поиска уязвимостей в ЗВС.

2. Формализация условий корректности преобразования модели безопасности в процессе проектирования ЗВС.

3. Построение систематизации уязвимостей в ЗВС на основании разработанных условий преобразования модели безопасности.

4. Разработка модели нарушителя, используемой при описании уязвимостей в ЗВС.

5. Разработка методики, направленной на поиск уязвимостей в ЗВС.

6. Разработка языка описания политик безопасности, позволяющего описать недостатки в математических моделях ЗВС.

7. Разработка автоматизированных средств поиска уязвимо-стей в ЗВС на основании предлагаемой методики на основании предлагаемой методики, позволяющих увеличить надежность процесса сертификационных испытаний, а также уменьшить их стоимость.

Работа состоит из четырех глав.

В первой главе рассмотрены проблемы, возникающие при анализе ЗВС в процессе сертификационных испытаний. Под защищенной вычислительной системой понимается вычислительная система, содержащая в своем составе механизмы защиты, удовлетворяющие требованиям некоторого класса защищенности в соответствии с положениями нормативных документов. Под уязвимостью понимается некоторое состояние системы, в котором возможно осуществление атаки на систему. Состояние системы обычно характеризуется процедурно-декларативным описанием. Подчеркнута необходимость поиска уязвимостей в ЗВС в процессе сертификационных испытаний. Рассматриваются существующие методики поиска уязвимостей в ЗВС и указываются их недостатки. Рассматриваются известные модели нарушителя, используемые при анализе, и рассматриваются их особенности и недостатки. Глава завершается формулировкой общей постановки задачи.

Во второй главе рассмотрено описание объекта исследования - ЗВС, представляемое автоматом, изменяющим состояния. Сформулированы достаточные условия корректности преобразования основной теоремы безопасности системы. На основании данных условий проведена формальная систематизация уязвимостей в ЗВС, дополняющая ранее определенные классификации уязвимостей в ЗВС.

Разработана модель нарушителя, приведены основные этапы методики поиска уязвимостей в ЗВС.

В третьей главе рассмотрены методы поиска уязвимостей в ЗВС, включающие принципы обнаружения, оценку описанных в главе 2 метрик и методы устранения уязвимостей, язык описания политик безопасности в системе и его применение к анализу безопасности математической модели ЗВС, особенности методов непосредственного тестирования ЗВС, а также принципы формального поиска уязвимостей в ЗВС.

В четвертой главе рассмотрена система автоматизации поиска уязвимостей в процессе сертификационных испытаний, особенности ее модулей, а также ее применение.

Основные положения, выносимые на защиту:

1. Формальная постановка задачи и общие принципы анализа безопасности ЗВС.

2. Условия преобразования модели безопасности в процессе проектирования ЗВС.

3. Систематизация уязвимостей в ЗВС на основе нарушения условий преобразования модели безопасности ЗВС.

4. Модель нарушителя, используемая при поиске уязвимостей в ЗВС.

5. Общие положения методики поиска уязвимостей в ЗВС.

6. Методы поиска неудачных характеристик в математических моделях ЗВС.

Научная новизна диссертационной работы состоит в следующем:

1. Впервые сформулированы условия корректности преобразования модели безопасности в процессе проектирования ЗВС.

2. На основе разработанного описания предложена систематизация уязвимостей в ЗВС.

3. Разработана модель нарушителя, позволяющая выбрать глубину анализа при сертификационных испытаниях, а также объективизировать процесс анализа ЗВС.

4. Для каждого типа уязвимостей, которые могут существовать в ЗВС, сформулированы принципы поиска, методы устранения данного типа уязвимостей, а также оценки сложности его обнаружения и последствий его использования.

5. Разработана оригинальная методика поиска уязвимостей в

ЗВС.

Практическая ценность работы определяется возможностью использования предложенных в ней методик и полученных результатов для осуществления поиска уязвимостей в ЗВС при сертификационных испытаниях. К таким результатам относятся:

1. Разработка методики поиска уязвимостей в защищенных вычислительных системах (акт об использовании от Регионального Центра Защиты Информации Санкт-Петербурга).

2. Применение разработанной методики при сертификационных испытаниях в Центре Защиты Информации СПбГТУ.

3. Дополнения к стандарту «Требования к устройствам типа межсетевые экраны» Федерального Агентства Правительственной Связи и Информации при Президенте РФ.

4. Реализация системы поиска уязвимостей в математической модели ЗВС.

5. Реализация системы поиска уязвимостей в ЗВС методом непосредственного тестирования.

6. Разработка и реализация комплекса лабораторных работ для курсов специальности 22.06.00 — «Организация и технология защиты информации».

Основные результаты диссертационной работы использованы при выполнении научно-исследовательских работ, проводимых в Центре защиты информации СПбГТУ, и реализованы в научных и проектных разработках, проводимых Региональным Центром Защиты Информации. Акты о внедрении результатов работы приведены в приложении к диссертации.

Содержащиеся в работе методические материалы, а также разработанные программные средства используются в учебном процессе на кафедре "Информационная безопасность компьютерных систем" Санкт-Петербургского государственного технического университета в лекциях и практических занятиях по ряду дисциплин для студентов специальности 22.06.00 — "Организация и технология защиты информации" [10, 11], а также в курсовых и дипломных работах студентов.

1. Постановка задачи.

Прогресс в области применения информационных технологий, обусловленный развитием вычислительных систем (ВС) и программных средств, сопровождается повышением требований к стабильности функционирования информационных систем и их устойчивости по отношению к попыткам нарушения безопасности. Во многих приложениях, особенно когда от этого зависит жизнь человека, требуется применение гарантированно безопасных защищенных вычислительных систем (ЗВС). Под уязвимостью понимается некоторое состояние системы, в котором возможно осуществление атаки на систему. Состояние системы обычно характеризуется процедурно-декларативным описанием.

Для того, чтобы показать, что система является безопасной требуется анализ, подтверждающий данное свойство. Как показано на рисунке 1.1., анализ безопасности ЗВС опирается на требования, сформулированные в различных нормативных документах, в том числе в требованиях по сертификации Гостехкомиссии Российской Федерации[12 - 16]. Сертификация определяется как действия третьей стороны, доказывающие, что обеспечивается необходимая уверенность в том, что должным образом идентифицированная продукция, процесс или услуга соответствует конкретному стандарту или другому нормативному документу [54]. За рубежом можно выделить такие нормативные документы, как [21, 22]. В данных документах описаны требования к таким механизмам ЗВС, как управление доступом, контроль целостности, аудит и т.д. Однако в этих документах слабо отражено понятие уязвимости, тогда как поиск уязвимостей должен стать неотъемлемой частью процесса сертификационных испытаний.

В идеале процесс сертификационных испытаний можно представить как процесс анализа системы, состоящий из двух частей, как это показано на рисунке 1.1.

Рисунок 1.1. Анализ безопасности ЗВС

К сожалению, процесс сертификационных испытаний в настоящее время в основном сводится к тому, что проверяется соответствие сертифицируемой системы требованиям, предъявляемым к ней со стороны нормативных документов. При этом процесс сертификационных испытаний не может носить объективного характера ввиду отсутствия общепринятых подходов к оценке уровня безопасности и расплывчатого характера документов Гостехкомиссии России в части требований к поиску в них уязвимостей. На практике весьма часты случаи фактического нарушения безопасности сертифицированных систем. Причиной этого является то, что ряд особенностей программного обеспечения (в том числе и импортного производства) предоставляют нарушителю возможности, которые не проверяются в ходе сертификационных испытаний при поиске уязвимостей. Данная ситуация возникает вследствие того, что если процесс определения соответствия сертифицируемой системы требованиям, предъявляемым к ней со стороны нормативных документов, является достаточно стандартизованным, то методики поиска уязвимостей в каждом сертификационном центре свои собственные и нередко не являются адекватными.

Таким образом, для повышения качества процесса сертификационных испытаний необходима разработка общих подходов к поиску уязвимостей в ЗВС. Кроме повышения качества анализа защищенных вычислительных систем, наличие таких подходов позволит объективизировать, а как следствие в значительной степени автоматизировать сам процесс сертификационных испытаний. Найденные в процессе анализа уязвимости помогут разработчику устранить их, а как следствие повысить уровень защищенности ЗВС.

Всякое нарушение безопасности компьютерной системы может быть рассмотрено в терминах угроз, уязвимостей и атак. Под угрозой вычислительной системе будем понимать любое возможное происшествие, преднамеренное или нет, которое может оказать нежелательное воздействие на активы и ресурсы, связанные с вычислительной системой. Таким образом, задача поиска уязвимостей в

ЗВС, является важнейшей составляющей процесса анализа безопасности ЗВС.

Уязвимости могут вноситься в ЗВС на различных этапах жизненного цикла системы. Стандартный жизненный цикл ЗВС, как и у всякого программного продукта [51], включает следующие этапы: выработка требований, проектирование, реализация, тестирование, эксплуатация и поддержка.

После этапа реализации ЗВС обычно подвергается анализу и тестированию и проходит сертификационные испытания в соответствии с требованиями нормативных документов, относящихся к защите информации.

Уязвимостям, вносимым в систему на этапе эксплуатации и поддержки, посвящена работа [42]. Существует много автоматизированных средств, осуществляющих поиск уязвимостей, как в локальных, так и в распределенных вычислительных системах. Примером программного обеспечения (ПО) данного типа являются такие программные продукты, как Cops, Satan, Internet Security Scanner. Необходимо отметить, что ошибки, вызванные некорректной реализацией ЗВС, имеют более тяжкие последствия, чем ошибки эксплуатации системы, т.к. они приводят к наличию уязвимостей не у отдельно взятой системы, а у целого класса систем.

Задачей данной работы является создание формальной методики поиска уязвимостей в защищенных операционных системах, вносимых в систему на стадии проектирования и реализации, а также разработка автоматизированных средств поиска уязвимостей. Данная методика должна использоваться на этапе тестирования и при сертификационных испытаниях.

Существует два метода анализа программного обеспечения: метод непосредственного тестирования и формальный анализ системы защиты.

Применительно к ЗВС метод непосредственного тестирования является менее трудоемким и позволяет относительно быстро выявить типовые ошибки в программном обеспечении, приводящие к возникновению уязвимостей в ЗВС.

Применение методов непосредственного тестирования безопасности ЗВС описаны в работах [36, 37]. К недостаткам работ можно отнести отсутствие типовых тестирующих воздействий, направленных на обнаружение типичных уязвимостей. Авторами рассматривалась только угроза отказа в обслуживании, тогда как больший интерес для нарушителя представляют угрозы несанкционированного доступа и целостности.

Однако при использовании метода непосредственного тестирования ЗВС нельзя получить должной уверенности о безопасности системы вследствие дискреционного характера отношений между входными данными и выходной реакцией системы. При непосредственном тестировании систем, содержащих программное обеспечение, можно говорить только об отсутствии в программном обеспечении типовых уязвимостей, но не об отсутствии уязвимостей в ЗВС вообще.

В случае формального анализа мы имеем дело не просто с реакцией системы на некоторые группы входных данных, а с анализом внутренней реализации системы. На практике положение о анализе внутренней реализации системы выполняется путем требования о предоставлении исходных текстов ПО для формального анализа безопасности ЗВС. При выполнении данного требования возникает возможность "декомпозиции" возможных реакций системы на реакции ее компонентов (с помощью анализа формальных спецификаций компонентов) с последующей их композицией, что дает возможность описания всех реакций системы.

Формальные методы позволяют уменьшить количество аргументов, необходимых для логического вычисления утверждения о корректности работы системы.

Для автоматизации процесса доказательства безопасности системы используются "доказатели теорем" - программное обеспечение, проводящее формальную дедукцию и непосредственный поиск и "контроллеры доказательств" - программы, предоставляющие пользователю контролировать последовательность шагов в процессе логических выводов о свойствах системы, но проверяющие корректность каждого шага.

Следовательно, преимущество применения формальных методов при анализе безопасности систем заключается в возможности анализа всех реакций сложной программной системы, что позволяет делать точные заключения об отсутствии или наличии уязвимостей не одного, а всех типов. К недостаткам применения формальных методов можно отнести относительную трудоемкость использования, а также необходимость наличия информации о внутренней структуре системы, что затрудняет применение формального анализа для ЗВС импортного производства.

Основные результаты представленных исследований, выполненных для достижения поставленных в настоящей работе целей, могут быть сформулированы следующим образом:

1. Показана возможность решения задачи повышения информационной безопасности ЗВС посредством проведения поиска уяз-вимостей в процессе сертификационных испытаний, что позволяет предотвратить угрозы безопасности ЗВС в процессе их эксплуатации.

2. Впервые осуществлена формальная постановка задачи поиска уязвимостей в ЗВС на основании анализа безопасности состояний системы и достаточных условий преобразования модели безопасности системы в процессе проектирования ЗВС.

3. На основании сформулированных достаточных условий проектирования ЗВС предложена формальная систематизация уязвимостей в ЗВС, дополняющая существующие систематизации уязвимостей, не обладающие формальными свойствами.

4. Разработана модель нарушителя, включающая характеристики нарушителя, описывающие:

• возможности нарушителя, необходимые для эксплуатации уязвимости;

• последствия использования уязвимости;

• сложность обнаружения уязвимости.

Характеристика, описывающая возможности нарушителя, необходимые для использования уязвимости используется для автоматизации методики поиска уязвимостей в ЗВС. Характеристика, описывающая последствия использования уязвимости в ЗВС отражает качество разработки системы. Характеристика, описывающая сложность обнаружения уязвимости сложность анализа системы.

5. Разработана оригинальная методика поиска уязвимостей в ЗВС, объединяющая формальную систематизацию уязвимостей в ЗВС с моделью нарушителя.

6. Для каждого типа уязвимостей приведены:

• подробное описание;

• методы поиска;

• оценка последствий использования;

• оценка сложности поиска;

• рекомендации по устранению.

7. Разработан язык описания политик безопасности, позволяющий выявить неадекватности в модели безопасности, используемой при проектировании ЗВС. Разработана Пролог-программа, позволяющая проводить поиск возможных уязвимостей в модели безопасности ЗВС. Разработано применение метода непосредственного тестирования к поиску уязвимостей в ЗВС, включающее выбор объектов системы, подлежащих непосредственному тестированию, средства тестирования и порядок их применения.

8. Разработаны подходы к поиску уязвимостей в ЗВС при формальном анализе системы на основании модульной и иерархической декомпозиции системы.

9. Разработаны структура и функциональный состав системы, реализующей поиск уязвимостей в ЗВС.

10. Значимость и эффективность разработанных методов, средств и методик подтверждается практическим опытом их использования.

Таким образом, поставленные в работе задачи выполнены. Дальнейшее развитие предложенных методов и средств поиска уяз-вимостей может проводится по следующим направлениям:

• расширение описанной методики для случая распределенных систем;

• реализация системы поиска уязвимостей в ЗВС для различных аппаратных платформ;

• выработка формальных требований к составу ЗВС, поступающих на сертификационные испытания;

• организация предложений для составлений нормативных документов

Материалы проведенных исследований использованы при выполнении ряда хоздоговорных работ. Эффективность полученных результатов подтверждена документально (соответствующие акты приведены в Приложении 1).

5. Заключение

1. Зегжда П.Д., Корт С.С. "Информационно-поисковая система подсистем защиты информации", "Безопасность информационных технологий" N2,1995.

2. Корт С.С. "Использование иерархической модель защищенной вычислительной системы для анализа каналов утечки информации", тезисы докладов конференции "Методы и технические средства обеспечения безопасности информации", С.-Петербург,1996.

3. Зегжда П.Д. Корт С.С. "Систематизация причин возникновения каналов утечки информации в компьютерных системах", V Санкт-Петербургской Международной конференции "РЕГИОНАЛЬНАЯ ИНФОРМАТИКА 96 (96)"

4. Зегжда П.Д., Корт С.С. "Методика анализа уязвимости защищенных ОС", тезисы VII научно-технической конференции "Оптические, сотовые и спутниковые сети и системы связи", 1996

5. Корт С.С., Семьянов П.В. «Уязвимости Windows NT», тезисы докладов конференции "Методы и технические средства обеспечения безопасности информации", С.-Петербург, 1997.

6. Зегжда Д.П., Корт С.С. «Моделирование TS при сертификационных испытаниях» Extended Abstracts of "European Simulation Multiconference", October 1998, Nottingham, England.

7. Бокоренко И.Н., Корт С.С. «Язык описания политик безопасности», 1998.

8. Зегжда П. Д., Корт С.С. «Системный подход к сертификационным испытаниям», Воронеж, 1998.

9. Зегжда, П.Д. Зегжда, Д.В. Копылов, С.С. Корт, И.Д. Медведов-ский, П.В. Семьянов, A.B. Федоров "Лабораторный практикум по курсу "Защита информации"" под ред. П.Д. Зегжды, С.Петербург, СПбГТУ, 1996

10. Зегжда, П.Д., В.А. Каулио, С.С. Корт "Лабораторный практикум по курсу "Теоретические основы защита информации"" под ред. П.Д. Зегжды, С.-Петербург, СПбГТУ, 1998

11. РД. АС. Защита от НСД к информации. Классификация АС и требования по защите информации.

12. РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.

13. РД. Концепция защиты СВТ и АС от НСД к информации.

14. РД. Защита от НСД к информации. Термины и определения.16.«Теория и практика обеспечения информационной безопасности», Под ред. П.Д. Зегжды,- М.: Яхтсмен, 1996.

15. А.П. Баранов, Н.П. Борисенко, П.Д. Зегжда, С.С. Корт, А.Г. Ростовцев «Математические основы информационной безопасности», Орел, 1997.

16. Хоффман Дж. «Современные методы защиты информации». М.: Сов. Радио, 1980.

17. Грушо A.A., Тимнонина Е.Е. «Теоретические основы защиты информации» М.: Яхтсмен, 1996. - 304 с.

18. С.П.Расторгуев "Защита информации в вычислительных системах и сетях", М.: Яхтсмен, 1993.21. "Trusted Computer System Evaluation Criteria", Department of Defense, 1985.

19. Common Criteria for Information Technology Security Evaluation, Preliminary DRAFT Version 0.9,1994.

20. Bell L. LaPadula. Secure Computer System: Mathematical Foundation, ESD-TR-73-278, V 1, MITRE Corporation.

21. LaPadula D. Bell. Secure Computer Systems: A Mathematical Model, ESD-TR-73-278, V. II, MITRE Corporation.

22. Landwehr. Formal Models for Computer Security. ACM Computing Surveys. Vol. 13, N3. 1984.

23. Vijay Varadharajan "A multilevel security policy for networks", 1990.

24. John McLean "A comment on the "Basic Security Theorem" of Bell and La Padula", Information Processing Letters, 1985.

25. John McLean "The specification and modeling of computer security", Computer, 1990.

26. John McLean "Security models", Encyclopedia of software engineering, 1994.

27. John McLean "Security models and information flow", IEEE symposium on research in security and privacy, 1990.

28. Carl E. Lendwehr, Constanse L.Heitmeyer, John McLean, "A security models for Military Message System", ACM transactions of computer systems, 1984.

29. M.Harrison, W.Ruzzo, J.Uhlman "Protection in operating systems", Communications of the ACM, 1976.

30. M.Harrison, W.Ruzzo "Monotonic protection systems", Foundation of secure computation, 1978.

31. Lampson, B. W. "A note on the confinement problem", Comm. ACM 16,10 (October), 613-615, 1973.

32. J.McLean "High assurance computer systems: a research agenda",1995.

33. Miller, L. Fredriksen, "An empirical study of the reliability of UNIX utilities", 1990.

34. B.Miller, D.Kosky, R.Murthy, C.Lee, A.Natarajan, J.Steidl, V.Maganty, "Fuzz revisited: a re-examination of the reliability of UNIX utilities and services", 1995.

35. J.Rushby, "Formal methods and the certification of critical systems", 1993.

36. J.Rushby, "Formal methods and their role in the certification of critical systems", 1995.

37. J.Rushby, "Critical System Properties: survey and taxonomy", Reliability Engineering and System Safety, Vol.43,1994.

38. J.Rushby "Kernels for safety?", Safe and Secure Computing Systems, 1986.

39. W. Timothy Polk "Automated tools for testing computer systems Vulnerability", 1992.

40. C. Lendwehr, A. Bull, J. McDerrmot, W. Choi "A taxonomy of computer program security flaws, with examples", ACM Computing Surveys, 1994.

41. T. Aslam "Use of a taxonomy of security flaws", Purdue University,1996.

42. M. Bishop, M. Dilger "Checking for race conditions in file accesses", Computing Systems, 1996.46. "Glossary of computer security acronyms", Department of Defense, 1987

43. J. P. Anderson, "Computer Security Technology Planning Study", 1972.

44. S. Jajodia, P. Samarati, V. Subrahmanian, E. Bertino "A Unified framework for enforcing multiple access control policies", Conference in Oakland, 1997

45. S. Jajodia, P. Samarati, V. Subrahmanian "A logical language for expressing authorizations", Conference in Oakland, 1997

46. R. Sandhu, E. Coyne, H. Feinstein, C. Youman "Role Based Access Control: A multidimensional view", 10 Annual Computer Security Applications Conf., Orlando, 1994

47. Г. Буч «Объектно-ориентированное программирование с примерами применения», Диалектика, Киев, 1992.

48. В.В. Липаев «Отладка сложных программ», М., Энергоиздат, 1993

49. В.В. Липаев «Программно-технологическая безопасность информационных систем», М., МИФИ, 1996

50. УТВЕРЖДАЮ Генеральный Дирекз < Ре г на нддыддга Це н граош1УУЙ. I,1. АКТоб нсв«аьз«»ашш результатов р«^тквни

51. Ожидаемый экономический эффект за счет «атоматизацин процесса, анализа безопасности может составить до 100 ООО рублей в ход.

52. Заместитель директора СЦЗИ1. В.В. Платонов

53. Технйчесюай директор "СПб ЩЗйУ Кандидат технических наук .ИЗ.Кравец