Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет

В. А. Васенин

Вперед Содержание Назад

Доказательная база надежности реализации политики безопасности

После того, как ПБ сформулирована и принята, способы ее реализации представляются определенным набором методов, правил и механизмов, интегрированных в модели и сценарии, которые призваны гарантировать соблюдение политики. Такой набор реализуется в виде аппаратного и программного комплекса -- самостоятельной подсистемы или продукта информационных технологий. Любой из подобных комплексов требует оценки его возможностей в полном объеме реализовать все положения ПБ. Гарантированность, как мера уверенности в том, что инструментальные средства защиты обеспечивают выполнение принятой ПБ, главным образом подтверждается на архитектурном и технологическом уровнях их реализации.

С позиции архитектурного уровня особая роль принадлежит защите ядра ОС, четкой систематизации привилегий для выполнения аппаратных и системных функций, их минимизации для отдельных компонент, сегментации адресного пространства процессов и т. п. Эти положения в той или иной мере будут затронуты в разделе 4, а также при обсуждении проблем, связанных с совершенствованием сервисов программно-технического уровня.

С точки зрения гарантированности технологической можно выделить следующие подходы, требующие для своего осуществления математических моделей, алгоритмического и программного обеспечения:

• тестирование;

• верификация на основе формальных методов доказательства;

• математические модели гарантированно защищенных систем.

Тестирование -- традиционный способ, сопровождающий приемо-сдаточные испытания любых, в том числе компьютерных систем ИБ. Сложность задачи на сегодня состоит в создании моделей и алгоритмов, предъявляющих адекватные требования к современным системам, объединяющим, как правило, ресурсы на гетерогенной сетевой среде. Такие требования к инструментальным средствам защиты должны предъявляться не только на начальном этапе (разработка и приемо-сдаточные испытания), но и во время эксплуатации, в условиях объективного изменения ее состава и функциональности. Методической основой для действий на данном направлении являются положения критериальных подходов, изложенные в соответствующих, как отечественных, так и зарубежных документах, например [1,2,3,4].

Верификация в автоматизированном режиме на основе формальных методов доказательства -- эффективный подход к обоснованию гарантированной защищенности компьютерных систем на всех этапах их жизненного цикла. Одним из важных является направление, связанное с созданием таких систем для обеспечения безопасности сложных программных комплексов. Актуальность данного направления повышается в связи с повсеместным использованием в составе таких комплексов программных средств, которые свободно распространяются через Интернет. Хорошие перспективы имеет использование систем автоматической верификации состояния защищенности в процессе функционирования практически значимых распределенных систем. Однако, несмотря на определенные теоретические заделы и отдельные прикладные разработки, эффективных решений для подобных систем пока нет. Такое положение, в первую очередь, связано с объективной трудностью их формального описания, учета многофакторных процессов, которые следует принимать во внимание. Необходим поиск подходов к созданию подсистем, автоматизирующих процессы верификации безопасности отдельных функционально замкнутых компонентов, описанию и практической реализации моделей их взаимодействия в составе больших распределенных систем. Теоретические основы для решения подобных задач, подходы к формализации программ и потенциальных средств разрушающего воздействия, методы анализа и инструментальные средства на этом направлении только создаются.

Если модель ПБ удается достаточно подробно и четко формализовать математически, то высока вероятность получить аналитически (привлекая математический аппарат) или путем строгих логических рассуждений доказательство гарантии выполнения объектом защиты ПБ. Для относительно простых систем и перечисленных выше моделей ПБ в условиях достаточно "жестких" дополнительных ограничений получить такие оценки можно. Их удается получить, например, в рамках модели "Take-Grant" [12], описывающей с помощью теории графов способы распространения прав доступа в системах с дискреционной ПБ, или теоретико-множественных моделей "Белла -- Лападула" [21,22], "Low-Water-Mark" [23,24], автоматной модели невлияния "Гогена -- Месгауэра" [25,26] для многоуровневых систем (мандатный контроль доступа), а также ряда других.

Однако практические системы, подлежащие защите, являются более сложными и, как правило, распределенными. Создание модели системы в виде набора математически строгих соотношений, описывающих ее начальное состояние и ограничений на возможные переходы (во времени и фазовом пространстве), не нарушающие ПБ многопараметрической (многокомпонентной) системы, которые позволяли бы путем столь же строгих логических рассуждений доказать справедливость выполнения ПБ в любых состояниях системы, оказывается очень трудной задачей. С учетом объективно высокого уровня сложности подобных систем и огромного числа возможных ее состояний в процессе эксплуатации требуются новые нетрадиционные подходы к построению математических моделей гарантированно защищенных распределенных объектов ИТ. В качестве примера, подтверждающего перспективность такого подхода можно привести модель распределенной компьютерной системы, представленной в виде обобщения автоматной модели невлияния Гогена -- Месгауэра на случай вероятностного автомата [27]. Такой подход позволил редуцировать традиционную детерминированную модель с огромным числом состояний к вероятностной модели с таким их числом, которое позволяет построить достаточные и почти необходимые локальные условия, обеспечивающие глобальную безопасность системы. Эффективность новых подходов к созданию математических моделей систем, гарантированно защищающих распределенную систему от атак на доступность, продемонстрирована тем же автором в работе [28].

Важным направлением исследований является поиск способов гарантированной защиты данных в недоверенной среде на основе применения надежных алгоритмов шифрования, применяемых, например, в межсетевых шлюзах. Отдельно в ряду задач на этом направлении стоит поиск механизмов и выработка моделей организации (скрытых) каналов утечки информации, включая способы управления ими, а также выработка и реализация мер противодействия. Результаты на этом направлении изложены в работах [12,14].

Политика безопасности, модели, механизмы и средства защиты многих из практически значимых систем представляют государственную тайну и являются "закрытыми". Эти обстоятельства заставляют искать другие подходы к доказательству гарантированности (высокой степени доверия) для объектов защиты с точки зрения выполнения ими положений принятой ПБ. Гарантированность в данном случае обеспечивается на операционном, архитектурном, как одном из его аспектов, и технологическом уровнях реализации инструментальных средств защиты объекта.

Таким является подход, основанный на формулировании условий в виде стандарта, с высокой степенью вероятности гарантирующего поддержку ПБ. Первым подобным стандартом стала "Оранжевая книга" [29] (США, впервые опубликована в 1983 г.), которая гарантировала поддержку ПБ, основанную на дискреционной и мандатной моделях, для изолированных "монолитных" на отдельных компьютерах информационных систем, затем дополнения к этому стандарту, гарантирующие защиту распределенных систем (1987 г.) (Интерпретация "Оранжевой книги" для сетевых конфигураций [30,31,32] и распределенных баз данных [33] (1991 г.) (Рекомендации Х.800)) на основе тех же политик. Подход оказался продуктивным и стимулировал разработку как ряда национальных, так и международных стандартов [34,35,36]. Последним из них стал результат 5-летней работы специалистов из США, Канады, Англии, Франции -- стандарт ISO/МЭК 15408 "Критерии оценки безопасности информационных технологий", опубликованный в 1999 г. [1,2,3] и более известный как "Общие критерии". "Общие критерии" объединили в себе все лучшее критериальных подходов прошлых лет и в настоящее время стал "дефакто" мировым эталоном в этой области.

Проблемы разработки и строгой формализации ПБ, доказательства гарантий ее выполнения для практически значимых, важных объектов (продуктов и систем ИТ) в последние годы в значительной степени связаны с их сложной внутренней структурой и принципами организации внешней сетевой среды функционирования, в качестве которой, как правило, выступают сети Интернет [37]. К числу таких проблем можно отнести:

• независимость и равноправие сетей, объединенных в Интернет на основе стека протоколов TCP/IP, и проблемы ограничений сетевого доступа без ущерба для узла, инициирующего такие ограничения;

• межведомственный, региональный и транснациональный характер сети, сложности применения на ней законодательных мер, административных рычагов и операционных регуляторов;

• практическое отсутствие возможностей защиты каналов связи для крупных сетей пакетной коммутации и объективные сложности создания модели единой системы, гарантирующей защиту взаимодействующих объектов на таких сетях;

• сложности решения проблемы аутентификации пользователя (субъекта) в условиях удаленного сетевого доступа без применения идентификаторов, учитывающих его индивидуальные особенности;

• высокие темпы изменения (мобильности) субъектов доступа и объектов защиты на сетях, а также связанные с этим сложности описания их ПБ.

Отдельные задачи по каждой из этих проблем, а также в их взаимосвязи решаются в рамках приоритетных и долговременных программ. Такие программы реализуются как в отдельных странах, так и на уровне международной кооперации. В последние годы главные результаты на этом направлении получены на основе критериальной базы, позволяющей разрабатывать и реализовывать ПБ объектов ИТ на основе функциональных требований к элементам системы защиты, задания по безопасности объекта и профиля его защиты. Российскими специалистами на основе Общих критериев разработаны предложения по внедрению в стране государственного стандарта ГОСТ Р ИСО/МЭК  15408 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" [4,38]. В настоящее время идет активное обсуждение способов его внедрения. Это также сложный и долговременный процесс. Исследования гарантий защищенности объектов на основе критериальной базы -- это важное и эффективное направление, однако возможности строгих математических моделей ПБ и аналитической доказательной базы эффективности ее реализации далеко не исчерпаны. Это относится как к "монообъектам", так и к продуктам ИТ, представляющим собой распределенные сетевые системы на метасети Интернет.

Вперед Содержание Назад