Коньков Александр Константинович РАЗРАБОТКА И РЕАЛИЗАЦИЯ МАТЕМАТИЧЕСКИХ

На правах рукописи
Коньков Александр Константинович
РАЗРАБОТКА И РЕАЛИЗАЦИЯ МАТЕМАТИЧЕСКИХ
МОДЕЛЕЙ ЗАЩИЩЕННОСТИ В РАБОЧИХ ГРУППАХ И
ДОМЕНАХ WINDOWS
Специальность 05.13.18 – математическое моделирование, численные
методы и комплексы программ
АВТОРЕФЕРАТ
диссертации на соискание ученой степени
кандидата технических наук
Москва - 2006
Работа выполнена на кафедре информатики Московского физикотехнического института (государственного университета)
Научный руководитель:
кандидат физико-математических наук
Кадощук Игорь Тарасович
Официальные оппоненты:
доктор физико-математических наук, профессор
Грушо Александр Александрович
кандидат технических наук
Шумов Сергей Иванович
Ведущая организация:
Институт автоматизации проектирования РАН
Защита состоится “ 22 ” декабря 2006 г. в 9 час. 00 мин.
на заседании диссертационного совета К 212.156.02 при Московском физико техническом институте (государственном университете) по адресу: 141700,
Московская обл., г. Долгопрудный, Институтский пер., 9, ауд. 903 КПМ.
С диссертацией можно ознакомиться в библиотеке МФТИ
Автореферат разослан “ 20 ” ноября 2006 г.
Ученый секретарь
диссертационного совета
К 212.156.02
Федько О.С.
2
Общая характеристика работы
Актуальность проблемы
Важность решения проблемы защиты информации является
общепризнанной, подтверждением чему служат громкие процессы о
нарушении целостности систем. Убытки, которые несут компании из-за
нарушений информационной безопасности, исчисляются триллионами
долларов. Вместе с тем, динамика статистики нарушений свидетельствует о
наличии кризиса в данной области, который во многом обусловлен
недостатками проектирования и эксплуатации средств защиты. Большинство
операционных систем, используемых в вычислительных системах в
настоящее время, обладают встроенными механизмами защиты, однако
обеспечить полную защиту от несанкционированного доступа (НСД) они не
могут. Для преодоления кризиса разработчики систем защиты должны
обеспечить потребителя определенными гарантиями того, что в
предлагаемые решения обладают требуемыми свойствами.
Цель исследований
Целью данной работы является разработка и реализация математических
моделей защищенности в операционных системах Microsoft (составляющих
около 80% информационных систем в мире), предотвращающих появление
широкого класса уязвимостей: нарушения конфиденциальности, целостности и
доступности информации при ее обработке, хранении и передаче, нарушения
целостности операционной системы.
В соответствии с поставленной целью основными задачами являются:
1. Исследование существующих подходов и моделей защищенности в
ОС Windows и их применимости на практике.
2. Анализ защитных средств, применяемых в информационных
системах под управлением ОС Windows, с использованием
субъектно-объектной модели.
3. Разработка математических моделей и комплексов программ,
реализующих механизмы добавочной защиты в ОС Windows и
обоснование их корректности.
Методы исследований
Для решения поставленных задач применялись методы теории вероятностей,
случайных процессов, теории массового обслуживания, формальные модели
систем
информационной
безопасности,
теория
криптографии,
математическое моделирование, руководящие документы ФСТЭК РФ
(Федеральная служба по техническому и экспортному контролю), стандарт
ГОСТ 15408.
3
Научная новизна
-
-
-
-
Построенная математическая модель изолированной компьютерной
системы позволяет формально обосновать защищенность системы
от угроз конфиденциальности, целостности и доступности
информации при ее хранении и обработке.
Предложенный метод доверенной загрузки операционной системы
позволяет гарантировать изолированность программной среды не
только в процессе ее работы, но и на стадии генерации.
Реализация
разработанных
моделей
не
нарушает
производительности информационной системы. Это обосновано с
помощью теории случайных процессов и моделей массового
обслуживания
и
подтверждено
результатами
численных
экспериментов.
На основании математических моделей, а также с помощью
активного исследования информационной системы в соответствии
со стандартом ГОСТ 15408 доказана корректность предложенной
схемы защиты.
Практическая значимость
Предложенные в диссертационной работе модели реализованы в
комплексных системах защиты информации StrongDisk Server, StrongDisk
Pro, StrongNet, StrongBoot, которые были внедрены в ряде федеральных и
коммерческих структур.
Положения, выносимые на защиту
-
-
Математические модели управления доступом к ресурсам
вычислительной системы с использованием криптографических
преобразований информации.
Реализация предложенных моделей в виде комплексов программ в
среде ОС Windows.
Доказательство корректности реализации предложенных
механизмов защиты информационных систем.
Апробация работы
Научные и практические результаты диссертации доложены, обсуждены и
получили одобрение специалистов на:
- XLVI, XLVII ,XLVIII научных конференциях МФТИ (Москва, 20032006 г.г.);
4
Всероссийской научно-практической конференции «Методы и средства
защиты конфиденциальной информации» (Обнинск, 2004 г);
- научных семинарах кафедры информатики МФТИ.
Публикации
По теме диссертации опубликовано 8 работ, в том числе три - из списка
изданий, рекомендованных ВАК РФ.
Структура работы
Основной текст диссертационной работы изложен на 116 страницах, состоит
из введения, пяти глав, заключения и списка использованных источников,
включающего 60 наименований. Работа также содержит одно приложение.
Содержание работы
Во введении обосновывается актуальность темы, формулируется цель
исследования и определяются основные задачи.
В первой главе содержится обзор основных стандартов и моделей,
применяющихся для защиты информации. Рассматриваются основные
угрозы защищенности информационных систем (ИС) и способы
противодействия этим угрозам.
При обосновании защищенности ИС принято использовать формальные
модели. В работе используются следующие из них:
субъектно-объектная модель. Для построения формальных моделей
безопасности принято представлять ИС в виде совокупности
взаимодействующих сущностей – субъектов и объектов. Субъект
безопасности - активная системная составляющая системы, а объект пассивная. Примерами субъектов могут служить пользователи,
процессы и потоки, а объектов – файлы и устройства.
дискреционная и ролевая модели контроля управления доступом.
Применение формальных моделей не позволяет строго обосновать
защищенность ИС для ряда наиболее интересных случаев, поэтому стандарт
ISO 15408 (в России ему соответствует ГОСТ 15408) предписывает также
обосновывать защищенность ИС путем активного исследования системы.
Вторая глава посвящена разработке модели ИС, включающей штатную
систему защиты ОС Windows для изолированного компьютера и ряд
дополнительных защитных средств. Кроме того, в главе обосновывается
гарантированность защищенности рассматриваемой ИС.
5
В разделе 2.1 описывается стандартная система защиты ОС Windows,
которая, в основном, совпадает с требованиями уровня C2 «Оранжевой
книги» - наиболее известного из документов, регламентирующих основные
подходы в области защиты информации. В системе реализованы
идентификация и аутентификация пользователей, дискреционное управление
доступом, защита объектов от повторного использования, защита системы от
внешнего навязывания. При этом система защиты Windows не избавлена от
некоторых недостатков, описанных в разделе 2.3:
незащищенность
системы
от
пользователя,
обладающего
административными правами: администратор может устанавливать
любые права на доступ к любым объектам в системе.
незащищенность системы от злоумышленника, имеющего физический
доступ к компьютеру: он может изъять жесткий диск с информацией и
организовать к нему доступ на другом компьютере, где он будет
являться администратором
уязвимость базы SAM (Security Access Manager), связанная с
возможностью подмены хэш-кода пользовательского пароля на хэшкод от другого пароля, известного злоумышленнику
недостаточно надежное удаление файлов: информация уничтожается
(частично или полностью), только когда система записывает на место
удаленного файла другой файл, что может произойти нескоро.
В разделе 2.4 предложено решение, устраняющее эти недостатки.
Для идентификации ОС Windows с усиленной защитой вводится термин
модифицированная защищенная среда (МЗС), которая состоит из системы
безопасности собственно ОС Windows и ряда аддитивных добавок.
В основе создания МЗС лежит система прозрачного шифрования данных. В
процессе работы МЗС на файловых системах FAT16/32 и NTFS могут быть
созданы виртуальные шифрованные логические диски, доступ к которым
защищён паролем. Защищенный диск, созданный с помощью МЗС,
физически представляет собой обыкновенный файл. Драйверы, которые
входят в состав МЗС, позволяют операционной системе работать с таким
файлом (он называется файлом-образом диска или файлом-контейнером) как
с отдельным логическим диском. В процессе записи на защищенный диск
данные шифруются, а в процессе чтения расшифровываются соответственно.
Предлагается следующая политика безопасности ПБ1:
1. В каждый момент только один пользователь может работать с
системой.
2. Объекты общего доступа хранятся только на системном диске,
имеющем небольшой размер, необходимый только для
функционирования операционной системы.
6
3. Каждый пользователь держит свои данные на своем защищенном
диске, необходимой информацией для подключения которого обладает
только он сам.
4. При смене пользователей системы уходящий пользователь:
• выключает питание системы, после чего все содержимое
оперативной памяти стирается, остаются записи на жестком
диске, где хранятся объекты общего доступа.
• уничтожает файл подкачки, который может содержать часть
персональных данных пользователя
5. Новый пользователь организует свою работу с включения
системы и подключения своего персонального защищенного диска.
Принципиальное отличие ПБ1 от штатной системы защиты Windows
следующее: пользователь, обладающий административными правами в
системе, не сможет, тем не менее, получить доступ к файлам других
пользователей системы.
В разделе 2.5 исследуется вопрос гарантированности выполнения
предложенной схемы защиты.
Для этого надо:
во-первых, убедиться, что система обладает заданной
функциональностью – обеспечивает конфиденциальность данных,
невозможность повторного использования объектов и другие
требования ;
во-вторых, удостовериться, что сами защитные механизмы
реализованы корректно и их применение не может торпедировать
работу системы
Для доказательства обеспечения необходимой функциональности
используются следующие понятия:
Время дискретно и принимает значения из множества N={1,2,…}.
Вводятся:
Ot – множество объектов системы в момент времени t;
St – множество субъектов системы в момент времени t, St  Ot;
U – множество пользователей;
S1a S2 – процедура активизации субъектом S1 субъекта S2;
Пользователи считаются активизированными по определению и могут
активизировать другие субъекты.
R – множество всех видов доступов в системе.
7
Множество доступов  активизированного субъекта S к объекту O
O,   R.
Последовательность доступов S a S1 a S2 a … a Sk  O
называется доступом от имени субъекта S к объекту O: S  * O.
обозначается как S
Любое обращение за доступом к объекту O субъектом S начинается с запроса
на доступ S ? O.
Dt(S)={ O | S  *O в момент времени t} – множество объектов, к
которым субъект S имеет доступ в момент времени t,
тогда в системе определены множества D(Ui) для любого t  N
D=i D(Ui) – общие ресурсы системы,
O(Ui) – множество объектов в системе, которые породил пользователь Ui.
Каналы утечки информации возникают при доступах вида
Ui1 *O, Uj2 *O, ij.
Политика безопасности заключается в том, что если S?O,
 Ot (U) доступ SO разрешается, а если S
 Ot(Ui), O  Ot(Uj), ij, то доступ SO не
то при S,O
(1)
разрешается.
Делаются следующие предположения:
1.
Если субъект
S активизирован в момент t, то существует единственный
активизированный субъект S" в St, который
активизировал S. В момент t = 0 активизированы только пользователи.
2.
Функционирование системы описывается последовательностью доступов
множеств субъектов к множествам объектов в каждый момент времени
t  N.
3.
Если O  D, то доступы Ui1 *O,
Uj2 *O, ij, не могут
создать канал утечки при любых 1 и 2, т.е. ценная информация не
может быть отражена в общих ресурсах системы.
4.
Если некоторый субъект S, S  D, активизирован от имени
пользователя Ui, в свою очередь субъекту S предоставлен в момент t
доступ к объекту О, то либо О  D, либо О  Ot
8
(Ui).
Кроме того, необходимо обеспечить выполнение (1). Для этого предлагаются
следующие условия:
1.
Идентификация и аутентификация: если для любых
tN, p R, S,O Ot, S?*O, то вычислены функции
принадлежности S и О к множествам Ot (U} ), Ot (U2 ), D.
2.
Управление доступом: если S  Ot(Ui), O  Ot(Uj), и S ? O в
момент t, то из i=j следует, что доступ S   O разрешен, и из ij
следует, что доступ S   O не разрешен.
3.
Отсутствие путей, позволяющих обойти (1): для любых t  N,  
R, если субъект S, активизированный к моменту t, получил в момент t
доступ S   O, то в момент t поступил запрос на доступ S  ? O.
В работе [*] были доказаны две теоремы:
1.
Если в системе выполняются предположения 1-4 и доступы
осуществляются в соответствии с (1), то утечка информации невозможна.
2.
Выполнения предложений 1-4 и условий 1-3 достаточно для
выполнения (1).
Покажем, что данные условия и предположения реализуются в ПБ1.
Выполнение предположения 2 достаточно легко осуществимо: для его
выполнения достаточно, чтобы возможные вычислительные процессы
однозначно отражались в терминах последовательностей доступов и значений
функций принадлежности объектов к множествам 0t(Ui), D.
Выполнение предположения 3 обеспечивается
в МЗС с помощью
уничтожения файла подкачки при завершении сеанса пользователя и
возможности хранения всех временных файлов приложений на
зашифрованных дисках.
Предположение 4 выполняется, поскольку система контроля доступа
реализуется за счет шифрования – невозможно прочитать информацию с
защищенного диска, не обладая необходимым ключом шифрования. Каждый
пользователь обладает только своим собственным ключом и, таким образом,
может получить доступ только к своим данным, зашифрованным именно
этим ключом.
Наибольшую трудность вызывает выполнение на архитектуре Microsoft
предположения 1 ввиду наличия в системе в системе различных служб
________________________________
*)
Тимонина Е. Е. «Анализ угроз скрытых каналов и метода построения гарантированно
защищенных распределенных автоматизированных систем.» Диссертация на соискание
ученой степени доктора технических наук.
9
уровня пользователя и ядра операционной системы, запускаемых еще до
регистрации пользователя, поэтому было бы неправильно говорить, что в
момент времени t=0 активизированы только пользователи. С другой
стороны, любая служба в системе все равно запускается от имени какоголибо пользователя. Предполагается наличие у пользователей системы
административных прав (иначе с защитой данных успешно справляется
штатная система защиты Windows). Поэтому предположим, что
пользователь может «отсечь» все службы, запускаемые не от его имени и не
от имени LOCALSYSTEM, и предположение 1, пусть с некоторой натяжкой,
но выполняется.
Данная архитектура позволяет добиться также выполнения условий 1-3,
правда, при невозможности физического проникновения и модификации
системы.
Далее проводится исследование получившейся среды с целью обоснования
корректности реализации МЗС. Показывается, что реализация МЗС не
нарушает изолированности программной среды, а это является одним из
необходимых условий при обосновании гарантированности выполнения
политики безопасности. Если верить описанию системы, то можно видеть,
что совокупность субъектов, функционирующих в составе МЗС, является
достаточно автономной и не затрагивает ключевых компонентов ОС
Windows. Каждый компонент изолирован и действует в своем виртуальном
адресном пространстве. Правильное взаимодействие внутренних модулей
системы защиты между собой обеспечивается правильной технологией
разработки, специфицированием всех функций и интерфейсов, а также
активизацией субъектов только из числа проверенных с контролем
целостности этих субъектов. Все это должно свидетельствовать в пользу
существования ядра безопасности. Особенно важным является то, что
отсутствует какое-либо влияние на монитор безопасности, что является
залогом правильной работы системы контроля дискреционного доступа. Для
большинства пользователей схема доступа осталась неизменной.
При обосновании выполнения предложенной схемы защиты были сделаны
важные допущения:
1. Невозможность злоумышленником модификации системы.
2. Во время работы пользователя все субъекты активизированы только от
его имени.
Эти предположения не всегда справедливы, если у злоумышленника
предполагается наличие административных прав. Даже администратор
системы не сможет гарантированно обнаружить службы уровня ядра ОС,
установленные другим администратором (а получить администраторские
права несложно в любой версии Windows). А это означает, что
10
злоумышленник может установить службу уровня ядра ОС, которая
скопирует данные с защищенного диска другого пользователя в некоторые
объекты общего доступа, тем самым образуя канал утечки информации
(фактически, используя известную уязвимость дискреционной модели к
атакам с помощью «троянского коня»). Тем самым будет нарушено условие
2:
S  Ot(Ui), O  Ot(Uj), и S  O, но при этом ij.
Другими словами, важно обеспечить изолированность программной среды не
только в стационарном состоянии, но и на этапе ее генерации (загрузки).
Поэтому в третьей главе рассматриваются средства, позволяющие
противодействовать таким угрозам, и предлагается их реализация.
Другими словами, важно обеспечить изолированность программной среды не
только в стационарном состоянии, но и на этапе ее генерации (загрузки).
Процедура загрузки ОС называется доверенной, если:
- установлена неизменность компонент ОС (объектов), участвующих в
загрузке, причем неизменность установлена до порождения первого
субъекта из множества активируемых в процессе загрузки
- установлена неизменность объектов, определяющих
последовательность активизации компонент ОС (с учетом нескольких
уровней иерархии), неизменность обеспечена в течение заданного
интервала времени; состояние указанных объектов не может быть
изменено никем, кроме предопределенного пользователя
(пользователей) КС
С учетом этого появляется еще одно добавление к ПБ1, а именно,
необходимость обеспечения доверенной загрузки ОС.
В настоящей работе предложен механизм доверенной загрузки ОС,
основанный на шифровании загрузочного раздела жесткого диска. Защиту
системы в загруженном состоянии обеспечивает драйвер-фильтр дисковой
системы. Драйвер при появлении в системе нового тома встраивается в
создаваемый ОС стек драйверов и имеет возможность полностью
контролировать все запросы ОС к тому, выполняя операции
шифрования/дешифрования над секторами жесткого диска.
На этапе загрузки вместо стандартного загрузочного кода из MBR
запускается загрузочный код МЗС, который также находится в MBR.
Помимо загрузчика в MBR находится база данных загрузчика, содержащая
информацию о загрузочном и системном диске (ключ шифрования,
интервалы зашифрованных секторов) и зашифрованная мастер-ключом.
Загрузчик МЗС запрашивает у пользователя пароль (который может быть
комбинацией пароля, вводимого с клавиатуры и кода, содержащегося на
электронном идентификаторе), вычисляет на основе данного пароля мастерключ и пытается расшифровать Preboot БД. Поскольку системный диск,
11
вместе с файлами Ntldr и Ntoskernel.exe, зашифрован, загрузить систему, не
расшифровав их, не получится. Поэтому загрузчик МЗС устанавливает свой
собственный обработчик прерывания int13h (BIOS disk i/o), и этот
обработчик позволяет выполнять все запросы к секторам жесткого диска
точно так же, как если бы они были не зашифрованы до тех пор, пока не
будет загружен драйвер-фильтр дисковой системы, который уже
обеспечивает аналогичную функциональность в работающей системе
Windows.
Далее управление передается штатному загрузочному коду из MBR, который
начинает процесс загрузки ОС как было описано выше.
В разделе 3.2 главы рассматривается штатная загрузка ОС Windows.
В разделе 3.3 формулируется ПБ с учетом требования обеспечения
доверенной загрузки системы.
Учитывая, что на одном компьютере может работать несколько
пользователей, условия ее выполнения принимают следующий вид:
1. В каждый момент только один пользователь может работать с
системой.
2. Объекты общего доступа отсутствуют - у каждого пользователя свой
собственный системный диск с установленной ОС, на нем же он
держит свои конфиденциальные данные. Диск зашифрован ключом К,
доступным только данному пользователю.
3. При смене пользователей системы уходящий пользователь:
• записывает во внешнюю память все объекты, которые он
хочет сохранить для дальнейших сеансов;
• выключает питание системы, после чего все содержимое
оперативной памяти стирается, остаются записи на жестком
диске
4. Новый пользователь организует свою работу с включения
компьютера, ввода своей персональной аутентифицирующей
информации и загрузки своего собственного образа системы.
В разделе 3.4 описана реализованная схема
возможность которой обоснована в работе [**].
доверенной
загрузки,
________________________________
**)
Щербаков А.Ю. Методы и модели проектирования средств обеспечения безопасности
в распределенных компьютерных системах на основе создания изолированной
программной среды. - Диссертация на соискание ученой степени доктора технических
наук.
12
Введем следующие обозначения:
базовая ОС
- ОС, для которой возможна полноценная генерация
изолированной программной среды (ИПС)
пользовательская ОС – ОС, для которой необходимо обеспечить доверенную
загрузку)
шлюзовое ПО – ПО, позволяющее базовой ОС получить доступ к файловой
системе пользовательской ОС.
Установлено, что для генерации ИПС необходимо выполнить следующие
операции:
1.
2.
Осуществить
аутентификацию
пользователя
(по
его
индивидуальной информации),
Осуществить контроль целостности всех объектов базовой ОС,
3.
Загрузить базовую ОС и осуществить контроль целостности
шлюзового ПО.
4.
Загрузить шлюзовое ПО.
5.
Последовательно осуществить контроль целостности объектов
уровней, меньших максимального уровня представления объектов
в пользовательской ОС (файлов), целостности файлов
пользовательской
ОС,
целостности
объекта,
задающего
последовательность загрузки компонент.
Осуществить
принудительную
загрузку
(инициируется
предопределенный порядок загрузки компонент ОС) проверенной
на целостность пользовательской ОС.
6.
Далее было доказано следующее утверждение (условия генерации ИПС при
реализации метода доверенной загрузки):
Пусть ядро ОС содержит монитор безопасности объектов (МБО) и монитор
безопасности субъектов (МБС), инициируемые в ОС субъекты попарно
корректны и их объекты-источники принадлежат множеству проверяемых на
неизменность в ходе доверенной загрузки, МБО запрещает изменение
любого объекта-источника и выполнена процедура доверенной загрузки ОС,
тогда после инициирования ядра ОС генерируется ИПС.
Покажем, что пункты 1-6 выполняются для МЗС:
1. Аутентификация пользователя, очевидно, происходит – если с
помощью введенного им пароля не удается расшифровать базу данных
preboot, ему сразу же выдается сообщение о неправильно введенном
пароле и процесс загрузки дальше не идет.
13
2. Целостность полностью не гарантирована. Например, существует
теоретическая возможность перезаписи BIOS злоумышленником с
целью подмены диалога для ввода аутентифицирующих данных с
последующим их сохранением где-то еще. Однако надо заметить, что
такую атаку может осуществить только разработчик материнской
платы (а предлагаемая схема защиты разрабатывалась в
предположении о «дружественном» аппаратном обеспечении). Так что,
разумеется, защищенность ИС носит вероятностный характер, но
вероятность успешной атаки на этом этапе невелика.
3. В качестве «шлюзового» ПО выступает обработчик прерывания int13h,
устанавливаемый загрузчиком МЗС. Целостность самого загрузчика
можно гарантировать с высокой долей вероятности (см. пункт 2).
Выполнение пунктов 5-6 обеспечиваются тем фактом, что раздел
зашифрован. Если система загружается – значит, на любом уровне
представления объекты удается расшифровать, что может сделать только
легальный пользователь, обладающий необходимыми ключами. Другое
дело, что у злоумышленника остается возможность просто затереть MBR,
не позволив тем самым загрузить систему даже при наличии ключей.
Однако в МЗС предусмотрена возможность создания резервной копии
MBR на внешнем носителе с целью последующего восстановления на
жесткий диск.
В четвертой главе рассматривается модель вычислительной среды,
состоящей из компьютеров под управлением ОС Windows, объединенных
в сеть. Предполагается, что есть некоторый компьютер – сервер и есть
клиенты, которые работают как со своими локальными данными, так и с
данными на сервере. Сеть может состоять из одной или нескольких
подсетей, включать устройства типа switch или hub.
Также
предполагается, что в сети нет контроллера домена.
В разделе 4.2 рассматривается штатная система защиты, реализованная
Microsoft для рабочей группы, которая практически не отличается от
системы защиты локального компьютера с той разницей, что доступ к
файлам на сервере может осуществляться удаленно.
В разделе 4.3 рассматриваются недостатки штатной системы защиты в
рабочих группах Microsoft и связанные с этим угрозы защищенности
системы.
В разделе 4.4 главы предлагается ПБ, усиливающая штатную систему
защиты Microsoft для рабочей группы и ее реализация.
14
По сравнению с защитой информации на изолированном компьютере
появляются добавления, связанные с тем, что работа с защищенными
данными на сервере ведется, как правило, по сети: при установлении
соединения сервер и клиент должны проходить взаимную
аутентификацию и само соединение должно быть защищенным (должна
обеспечиваться конфиденциальность и целостность передаваемых
данных). Кроме того, в МЗС должны присутствовать механизмы,
препятствующие атакам типа «отказ в обслуживании» (должны
присутствовать возможности блокировки пакетов, приходящих с
«нежелательных» IP-адресов, закрытия определенных портов и
протоколов).
Как и в случае с изолированным компьютером в основе создания МЗС
лежит система «прозрачного» шифрования данных, но защита данных
обеспечивается как при их хранении и обработке на серверах и рабочих
станциях, так и при передаче по сети.
Помимо
технических
мер
могут
также
предусматриваться
административные меры, поэтому сервер чаще всего располагается в
отдельном помещении, доступ в которое может быть ограничен. Поэтому
подключение защищенного диска на сервере может выполняться как
непосредственно с консоли сервера, так и с удаленного компьютера
(управляющей станции), имеющего TCP-соединение с сервером.
Для получения удаленного доступа к защищенному диску необходимо
установить с сервером защищенное соединение с помощью специального
ключа. Все пакеты, пришедшие на сервер не по защищенному
соединению, игнорируются. После установки защищенного соединения
обеспечивается конфиденциальность и целостность передаваемых между
клиентом и сервером данных путем симметричного шифрования.
Предложенная схема должна усилить защищенность ОС Windows и
реализовать предложенную систему защиты. Данный тезис, как это
рекомендовано в стандарте ГОСТ 15408, обосновывается в пятом разделе
главы путем активного исследования получившейся среды, поскольку, как
было сказано выше, это невозможно сделать формально. В основе
исследования анализ получившихся подсистем идентификации,
аутентификации и авторизации, а также реализации и корректного
использования
субъектов-компонентов
программы
со
стороны
вызывающих их модулей и их сопряжения со штатными средствами
защиты ОС Windows.
Очевидно, что введение новых
защитных средств не должно
провоцировать генерацию отказов в обслуживании в случае большой
загруженности файловой подсистемы.
15
В пятой главе проводится оценка влияния дополнительных средств
контроля доступа на скорость выполнения файловых операций. С этой
целью необходимо строятся математические модели функционирования
стандартной системы работы с диском и аналогичной системы с
дополнительными средствами защиты.
Общепринятой моделью анализа производительности дисковой
подсистемы является вариант модели массового обслуживания с одной
обслуживающей единицей. Согласно этой модели существует входной
пуассоновский поток запросов (в данном случае запросов к секторам
диска) с интенсивностью . В этом случае вероятность поступления n
запросов за произвольный интервал времени t равна
e-t (t)n / n! (n = 0,1,2,…),
а ожидаемый интервал (математическое ожидание) между запросами T
равен
T = 1/.
Запросы обслуживаются с интенсивностью , причем время
обслуживания также полагается случайным, распределенным по
пуассоновскому закону. В частности, вероятность того, что система
сможет обслужить запрос в течение времени t равна
P = 1-e-t.
Соответственно, ожидаемое время обслуживания одного запроса  равно
 =1/ .
Важную роль в системе играет приведенная интенсивность u: u = /,
которая характеризует возможности системы по эффективному
обслуживанию требований. Если u меньше 1, то среднее время W
пребывания запроса в системе обслуживания равно
W = 1/(-).
Если же u больше 1, то система не будет справляться со своевременным
обслуживанием запросов, очередь которых начнет быстро расти.
Реальную производительность дисковой системы можно оценить,
анализируя ее поведение при обработке больших потоков информации.
16
Поэтому будем предполагать, что большая часть запросов на чтение и
запись файлов не может быть удовлетворена из кэша системы.
Сначала рассмотрим производительность штатной файловой NTFS
системы.
Рис.1. Обработка запросов на запись: а) стандартная б) с использованием
криптографии
Стандартный запрос на чтение-запись (рис.1-а) файла переадресуется
драйверу файловой системы (FSD). FSD формирует поток запросов к
драйверу диска.
Запрос к драйверу диска представляет собой
непрерывную последовательность от 1 до 128 соседних секторов диска.
Таким образом, обычная деятельность системы ввода-вывода в данном
случае складывается из формирования запросов (IRP-пакетов) к драйверу
диска драйвером файловой системы с интенсивностью 1 и операции
обслуживания этих запросов драйвером диска с интенсивностью 1.
Согласно нашим оценкам время формирования запроса драйвером
файловой системы составляет несколько десятков микросекунд, тогда как
время обслуживания запроса драйвером диска – несколько тысяч
микросекунд.
17
Поскольку в данном случае 1 << , количество запросов к диску быстро
возрастает до величины, равной размеру файла, деленной на средний
размер запроса (примерно 50 секторов по нашим оценкам). Емкость
данной очереди обычно лимитируется размером кэша системы. Драйвер
диска непрерывно занят обслуживанием этих запросов со средним
временем
1 =1/1.
Теперь рассмотрим случай модифицированной штатной
установленными модулями криптозащиты (рис. 1-б).
среды с
Обработка запроса усложняется. Запрос от драйвера файловой системы
вначале обрабатывается драйвером виртуального устройства, затем
криптографическим сервисом (см. рис.) и только после этого передается
драйверу диска. Поскольку входная очередь, в процессе дополнительной
обработки не переупорядочивается, не комбинируется и не разделяется,
то время обслуживания запроса входной очереди в данном варианте
всегда больше или равно времени обслуживания запроса в штатном
варианте, рассмотренном выше. Это означает, что модель поведения
системы остается прежней.
Пусть величина 2 определяет интенсивность обслуживания потока
запросов от драйвера файловой системы в варианте с модифицированной
защитной средой, то среднее время обслуживания запроса будет
2 =1/2 .
Поскольку средний объем запроса не изменился, в качестве критерия
оценки снижения производительности дисковой системы после
включения дополнительных средств защиты можно выбрать отношение
средних времен обслуживания запроса в первом и втором вариантах:
Keff = 2 / 1.
Результаты испытаний:
Статистика собиралась на компьютере с конфигурацией:
Процессор Athlon64 3000
RAM 1024Mb
DDR 3200 одноканальная
жесткий диск Seagate Barracuda 7200.7 120 Gb,
ОС:
Windows XP SP2
Windows Server 2003 SP1
18
Рассмотрим два режима работы ИС: обычный, без использования
дополнительных защитных средств, и защищенный, с использованием
шифрования данных.
Обычный режим работы:
1 - время обработки запроса штатным драйвером диска.
Для рабочей станции время обработки и средний размер запроса
определены путем мониторинга работы диска с помощью программы
DiskMonitor (www.sysinternals.com) и составляют 1915 мксек и 50
секторов (25600 байт) соответственно.
Для файлового сервера время обработки и средний размер запроса
составляют соответственно 10300 мксек и 17 секторов (8700 байт).
Работа с использованием криптографической защиты:
2- - время обработки запроса с включенными дополнительными
механизмами защиты.
2 = 1 + t1 + t2 + t3,
где
t1 – время первичной обработки запроса драйвером виртуального
устройства
t2 - время, необходимое, для передачи запроса криптографическому
сервису (с переключением системы из режима ядра в режим пользователя)
t3 – время обработки запроса криптографическим сервисом
Для рабочей станции:
t1=8 мкс
t2=128 мкс
t3=731 мкс
Суммарное время обработки равно
2 = 1 + 867 мкс = 2782 мкс.
В итоге имеем
Keff = 1 / 2 ~ 0,69,
что примерно соответствует 30 - процентному снижению
производительности.
19
Для файлового сервера:
t1=8 мкс
t2=43 мкс
t3=248 мкс
Суммарное время обработки равно
2 = 1 + 299 мкс = 10654 мкс
Keff = 1 / 2 ~ 0,97,
то есть наблюдается примерно 3% - снижение производительности
системы
Меньшее влияние шифрования на скорость работы системы на сервере по
сравнению с рабочей станцией обусловлено тем, что благодаря высокой
интенсивности потока запросов на сервере и небольшим размером
запросов накладные расходы, связанные с шифрованием, играют
незначительную роль.
В заключении сформулированы основные результаты диссертационной
работы.
Приложение содержит ряд технических документов, специфицирующих
реализацию описываемых в работе комплексов программ.
Основные результаты работы
1. На основании анализа угроз построена
математическая модель
защищенной изолированной компьютерной системы Windows,
основывающаяся на дискреционной и ролевой модели разграничения
доступа, криптографической защите информации и механизме
доверенной загрузки операционной системы.
2. Предложена реализация системы защиты для изолированных
компьютерных систем в виде комплекса программ, основывающаяся на
построенной модели, и формально доказана ее корректность с
использованием субъектно-объектной модели.
3. Построена модель защищенной информационной системы в рабочей
группе или домене Windows, использующая математическую модель
изолированной компьютерной системы.
4. Предложена реализация системы защиты для рабочих групп и доменов
Windows в виде комплекса программ, базирующаяся на построенной
модели, и проведено ее активное исследование с целью обоснования
корректности реализации, поскольку в общем случае защищенность
систем с дискреционной моделью разграничения доступа нельзя
доказать формально.
5. Проведено исследование влияния реализованных дополнительных
защитных механизмов на производительность файловых операций в
20
системе и оценки потери производительности по сравнению с работой
незащищенной системы.
Публикации по теме диссертации:
1. Головатский М.А., Коньков А.К. Защита информации в сетях
беспроводной связи. // Connect!Мир Связи, - М., 2006, №6, - С. 94-96.
2. Коньков А.К., Коньков К.А. Об одном из способов повышения степени
защищенности ОС MS Windows. // Информационные технологии и
вычислительные системы, - М., 2006. №1, - C. 45-60.
3. Коньков А.К., Коньков К.А. Политики безопасности и их реализация в
доменах и рабочих группах Windows. Ч1 // Безопасность
информационных технологий. – М., 2006. №1, - C. 73-76.
4. Коньков А.К., Коньков К.А. Политики безопасности и их реализация в
доменах и рабочих группах Windows. Ч2 // Безопасность
информационных технологий. – М., 2006. №2, - C. 50-56.
5. Биличенко А.В., Головатский М.А., Коньков А.К., Царин А.А.,
Чанышев Е.Г., Коньков К.А. Защита сетей на основе технологии VPN.
// Современные проблемы фундаментальных и прикладных наук. Часть
VII. Прикладная математика и экономика: Труды XLVI конференции
МФТИ. M. - Долгопрудный, 2003 г., - C. 37.
6. Биличенко А.В., Коньков А.К., Коньков К.А. Организация сетевой
защиты на основе технологии VPN. // Труды Всероссийской научнопрактической конференции «Методы и средства защиты
конфиденциальной информации». Обнинск, 2004 г. - C.71.
7. Коньков А.К., Милославский А.И., Телицын М.А., Царин А.А.,
Коньков К.А. Комплексная защита информации в сетях Microsoft. //
Современные проблемы фундаментальных и прикладных наук. Часть
VII. Прикладная математика и экономика: Труды XLVII конференции
МФТИ. М. - Долгопрудный, 2004 г. - С.13.
8. Бабичев С.Л., Головатский М.А., Коньков А.К., Царин А.А., Коньков
К.А. Защита информации в операционной среде Microsoft Windows. //
Современные проблемы фундаментальных и прикладных наук. Часть
VII. Прикладная математика и экономика: Труды XLVIII конференции
МФТИ. М.- Долгопрудный, 2005 г. - С.151.
Лично соискателем в перечисленных работах было выполнено построение
математических моделей защищенной информационной системы для
изолированного компьютера, а также рабочих групп и доменов OC Windows,
и обоснована их корректность, исследовано влияние использования системы
защиты на производительность информационных систем.
21
Коньков Александр Константинович
Разработка и реализация математических моделей
защищенности в рабочих группах и доменах Windows.
Автореферат
Подписано в печать 10.11.2006
Усл. Печ. Л. 1.2 Тираж 80 экз. Заказ № 374
Моасковский физико-технический институт
(государственный университет)
НИЧ МФТИ
Печать на аппаратуре Rex-Rotary Copy Printer 1280
141700, Московская обл. Гю Долгопрудный, Институтский пер., 9
22