Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет

В. А. Васенин

Вперед Содержание Назад

Операционная система -- главный объект защиты и исходный рубеж информационной безопасности

Примером "монолитного" объекта, который требует особого внимания, с точки зрения информационной безопасности, является операционная система (ОС). ОС -- набор программных компонент (в том числе -- микропрограммных), которые обеспечивают поддержку аппаратуры компьютера с целью управления его ресурсами, включая процессоры, память, устройства ввода-вывода, данные. Степень защищенности любых, в том числе сложных, распределенных систем в Интернет, в большей степени зависит от механизмов реализации инфраструктурных сервисов, которые, как правило, поддерживаются ядром ОС.

Инициаторами запросов к ОС выступают как пользователи (в том числе, -- операторы, программисты или администраторы), так и программы, аппаратные средства. С этих позиций ОС сама представляет собой комплекс, объекты информации и субъекты-потребители которого взаимодействуют между собой с использованием тех же первичных механизмов (механизмов ядра ОС), что и объекты и субъекты отдельного "монолитного" компьютера или компьютеров, распределенных на сети. Более того, совокупность таких механизмов обеспечивает поддержку базовых программно-технических сервисов безопасности в ядрах всех современных ОС (включая идентификацию/аутентификацию, разграничение доступа, протоколирование и аудит). С этих позиций все проблемы вышеперечисленных программно-технических сервисов ИБ, которые будут обсуждаться далее в разделе 5, в той или иной мере относятся и к ОС, во-первых, как к продукту ИТ, во-вторых, как к месту их размещения и эффективной поддержки. Отмеченные особенности ОС указывают на то, что ее надежная защита -- главная задача и начальная гарантия уровня защищенности информационно-вычислительного объекта любой, сколь угодно сложной архитектуры и назначения.

С учетом особой роли операционной системы поиск подходов к устранению "уязвимостей" как "локально-тактического", так и "принципиально-стратегического" характера, которые объективно существуют на сегодня в ОС для любых аппаратных платформ, является важнейшим направлением [39]. По-прежнему остаются проблемы защиты от скрытых средств разрушающего воздействия и приобретения неадекватных полномочий пользователем при реализации ПБ на основе традиционной дискреционной модели доступа. Механизмы принудительного доступа (на основе многоуровневой модели), в большей степени защищающие от подобных атак, имеют свои сложности реализации в ядрах традиционных ОС и проблемы практического использования при создании монитора безопасности для больших распределенных систем.

К уже упомянутым при использовании компьютерных систем в Интернет добавляются угрозы отказа в обслуживании, которые, как правило, реализуются путем изменения настроек подсистемы сетевого доступа. Однако следует отметить, что возможности традиционных как дискреционных, так и многоуровневых моделей, реализующих произвольный и принудительный доступ, на данном направлении далеко не исчерпаны. Для создания дополнительных, более тонких механизмов защиты от рассмотренных выше угроз необходимо выделить в отдельную группу объектов сущности ядра ОС, которые отвечают за доступ к сети. Такими могут быть, например, локальные адреса используемых протоколов, порты, записи в таблицах маршрутизации, правила пакетных фильтров [40,41]. За доступом к объектам данной группы должен быть обеспечен отдельный контроль. На этом пути необходимо реализовать принцип наименьших привилегий по отношению к типовым сетевым задачам (сервисам). С этой целью кроме традиционно используемых идентификаторов пользователя и процесса представляется целесообразным ввести дополнительные идентификации подобных задач (сервисов). Тогда полномочия на использование средств сетевого доступа (управления сокетами, конфигурацией, создание фильтров и т. п.) можно будет определять с учетом приоритетов задачи, которая эти средства использует.

Эффективная реализация указанных мер связана с необходимостью анализа проблем на данном направлении, исследованием и систематизацией уже имеющихся подходов к их разрешению и разработкой достаточно строгой, поддающейся верификации и тестированию модели системы защиты ОС. Подобные исследования на сегодня активно проводятся за рубежом [42,43,44]. Есть работы на этом направлении и в России.

В разделах 2 и 3 уже отмечалась важность более широкого внедрения перспективных с точки зрения современных требований политик безопасности, в первую очередь -- многоуровневой, реализующей принудительное управление, а также ролевой и других. Необходимость таких действий диктуется требованиями современных критериальных подходов к условиям эксплуатации практически значимых систем. Наряду с традиционными сервисами (идентификации и аутентификации, протоколирования и аудита) для реализации подобных дополнительных средств защиты необходим поиск новых эффективных моделей, программных решений в ядре ОС, не затрагивающих других, уже сложившихся и широко используемых механизмов. Такие задачи, особенно в последние годы, решаются в России. На сегодня есть ряд ОС, реализующих многоуровневую ПБ на основе мандатного контроля и прошедших различные уровни апробации, например [45,46]. Есть разработки, коды которых представлены в открытом доступе.

Одной из важнейших остается задача создания отечественной ОС, отвечающей предъявляемым к ней современным требованиям по функциональности. С учетом объективных сложностей на пути решения этой задачи в полном объеме, на начальном этапе необходим поиск подходов, отвечающих хотя бы минимальному набору таких требований, которые диктуют национально значимые системы и (или) объекты высокой практической ценности.

С этих позиций следует рассматривать разработку НИИСИ РАН операционной системы ОС 2000 [47], оригинальные архитектурные решения которой, кроме удовлетворения ряда специальных функциональных требований, призваны обеспечить дополнительные возможности собственной защиты и безопасности прикладных систем на ее базе. Требования к функциональности ОС и оценочные уровни доверия к ней сформулированы в соответствии с положениями "Общих критериев" [1,2,3].

К значимым разработкам на данном направлении следует отнести создание POSIX-совместимой [48] защищенной ОС "Феникс" в Специализированном центре защиты информации СПбГТУ. В основу архитектурных требований к данной системе положен оригинальный подход к управлению доступом, трактовка защищаемых сущностей в виде информационных ресурсов и универсальный интерфейс доступа.

Подчеркивая значимость указанных выше результатов в направлении создания новых и совершенствования уже существующих ОС, следует отметить, что сегодня ни одна из них не ориентирована должным образом на использование в составе распределенных систем на существенно гетерогенной инфраструктуре Интернет. Создание таких ОС -- дело будущего. В настоящее время необходимо более точно сформулировать перечень требований к такого сорта системам, разработать модель, которая, в свою очередь, должна обеспечить необходимую функциональность системы и требуемый уровень доверия к ней.

Вперед Содержание Назад