Зегжда Д.П. Информационная безопасность

Подождите немного. Документ загружается.

модель КВМ не следует рассматривать как академическое исследование, а скорее как

комплекс существующих методов. Модель КВМ также предоставляет исследователям

методы работы с целостностью, отличные от традиционных уровне-ориентированных

подходов, таких как модели БЛМ и Биба. Фактически, публикация оригинальной модели

КВМ пробудила интерес к исследованиям в области защиты и моделирования

целостности.

Основным недостатком модели КВМ является то, что IVP и методы предотвращения

CDI от искажения целостности нелегко реализовать в реальных компьютерных системах.

Конечно, эти принципы легко реализовать в ограниченном наборе приложений.

Например, в случае стекового приложения IVP можно реализовать путем анализа длины

стека на основании всех операций push и pop для определения правильной длины стека.

Кроме того, ограничения на ПП можно реализовать за счет использования абстрактного

типа данных для которых единственно возможными операциями являются push и pop.

Однако, в менее тривиальных приложениях, таких как разработка ПО, использование

IVP и ПП затруднительно. Мы уже упоминали ограничения на просмотр кода как

проблему при создании IVP для ПО. Подобные ограничения существуют для других

потенциальных методов проверки ПО, таких как контрольная сумма, синтаксическая

проверка, анализатор качества ПО, и т.д. Заметьте, однако, что даже если эти методы и

не гарантируют целостность полностью, они предоставляют дополнительный уровень

обеспечения целостности.

Все недостатки данной модели вытекают из ее неформализованности. Ее можно

применять при проектировании систем для спецификации пользовательских приложений

и применяться на соответствующем уровне иерархии рассмотрения защищенной

вычислительной системы. Данная модель может использоваться в сочетании с другими

моделями и применяться в качестве "дискретной" модели целостности в сочетании с

мандатной моделью целостности Биба, что и рассмотрено в следующем пункте.

Объединение модели КВМ с моделью Биба.

Дополнительным преимуществом модели КВМ является возможность ее

объединения с другими моделями безопасности. Мы рассмотрим один из многих

потенциальных подходов объединения моделей в терминах разработки ПО, в котором

ПО можно разделить на (1) разработанный исходный код и (2) другие вспомогательные

данные, файлы и т.д.

Предположим, что компьютерная система, в которой будут защищаться это ПО и

данные, предоставляет многоуровневую целостность. Однако, для наших целей

достаточно использования только двух уровней целостности. То есть, мы будем считать,

что разрабатываемое ПО расположено на высоком уровне целостности, а все что не

относится к нему — на низком уровне. Субъекты верхнего уровня называются

администраторами.

Мы также будем считать, что субъекты могут располагаться на обоих уровнях

целостности и что администрирование ПО включает в себя обычный набор действий

(например, управление конфигурацией, учет состояния конфигурации, запросы на

модификацию, и т.д.). Также необходимо расположить основные инструменты

разработки ПО, включая компиляторы, ассемблер, и т.д. на верхнем уровне целостности.

Используя эти предположения мы можем теперь рассмотреть специфический подход к

защите целостности на основе моделей КВМ и Биба.

Защита по модели Биба между уровнями целостности. Первый тип защиты в нашей

модели основан на мандатной модели целостности Биба. То есть, мы гарантируем что

уровни целостности обрабатываются в соответствии с правилами no read down и по write

up. Кроме того, выполнение мы рассматриваем также как чтение, следовательно

действует правило no execute down ("нет исполнения снизу").

Эти методы имеют те же преимущества, что и модель Биба. В контексте нашего

примера пользователи с низким уровнем не могут изменять ПО никаким образом, будь

то злонамеренным или случайным. Таким образом система оказывается защищенной от

вирусов и троянских коней, расположенных на низком уровне целостности.

Однако, один из видов атак подразумевает пoдcтpoeнное выполнение

администратором скрытой программы, что может иметь разрушительные последствия.

Этот тип атак также предотвращается моделью Биба поскольку правило no execute down

не позволяет системным администраторам с высоким уровнем целостности выполнять

программы нижнего уровня.

Защита по модели Clark-Wilson в пределах уровней целостности. Модель Биба

эффективно защищает ПО от атак субъектов, находящихся на другом уровне

целостности. Однако, не предоставляется никакой защиты ПО от атак в пределах уровня

целостности. То есть, если злоумышленник находится на высоком уровне целостности

(возможно в результате ошибки при определении уровня целостности для данного

субъекта), то этот субъект может стать причиной различных проблем с целостностью

ПО.

В результате мы можем выработать некоторые механизмы, которые связаны с

моделью КВМ. Точнее, мы можем рассматривать каждый уровень целостности как

состоящий из множества субъектов и множества объектов, которые мы будем

интерпретировать как набор CDI. Наша цель — установить контроль по модели КВМ

над множеством CDI на верхнем уровне целостности, чтобы обеспечить защиту этих

СDI от субъектов.

Данные типы управления обеспечивают защиту целостности в соответствии с

моделью КВМ:

КВМ-тройки. Для субъектов должны быть определены отношения КВМ-троек, ПП

(которые осуществляют чтение и запись ПО), и CDI в пределах каждого из уровней

целостности, чтобы обеспечить соблюдение подходящей политики. Эта политика будет

реализовывать множество защитных требований, соответствующих группам субъектов,

ПП, и СDI в пределах каждого уровня.

Разделение обязанностей. Подходящая политика разделение обязанностей должна

быть определена и проводиться для КВМ-троек в пределах уровней для обеспечения

повышенного уровня защиты целостности. Примером разделенияния обязанностей

может послужить требование на то, что никакой субъект не может изменить CDI без

вовлечения другого субъекта.

2.2.2.3. Проблема контроля целостности ядра системы.

Часовым называется любой механизм или процедура, разработанная для снижения

воздействия нежелательных событий до того, как они произошли. То есть, часовые

являются предупредительным средством в том смысле, что они утанавливаются до того,

как происходят события от которых они обеспечивают защиту.

Несомненно, что в контексте компьютерных систем проведение защитных действий до

причинения какого-либо вреда имеет свои особенности. Некоторые из этих особенностей

будут обсуждаться ниже.

Интеграция в процессе проектирования. Поскольку часовые должны находится в

работоспособном состоянии до возникновения угрозы, то они должны быть

идентифицированы и установлены в систему на стадии разработки и проектирования.

Системным инженерам гораздо удобнее внести необходимые качества компьютерной

системы на ранней стадии разработки, чем добавлять их в готовый проект.

Противостояние катастрофическим угрозам. Если определенную угрозу нельзя

допустить ни в коем случае (если возможные последствия приведут к гибели большого

числа людей), то метод часовых подходит как нельзя лучше, поскольку в такой ситуации

принятие защитных действий послe происшедшего нежелательного события является

абсолютно недопустимым. Компьютерные системы, управляющие жизненно важными

операциями являются наиболее вероятными кандидатами на установку часовых.

Возможная растрата ресурсов. Важным аспектом работы часовых, который

необходимо принимать во внимание, является оценка дополнительного времени и

ресурсов, затрачиваемых на предотвращение событий, которые и так не могут

произойти. Например, если наш торговый автомат установлен в менее криминогенном

месте (например в монастыре), то часовые будут представлять собой пустую трату

ресурсов. Подобно этому, компьютерные системы в некритическом применении могут и

не нуждаться в использовании часовых.

Сложности в оценке повышения безопасности. Еще одной проблемой при

использовании часовых является то, что не всегда можно определить, действительно ли

работает часовой. Конечно, это возможно в случаях, когда можно зафиксировать

неудачные попытки нападения. Однако в тех случаях, когда нельзя определить, что

данный часовой действительно предотвратил потенциальную атаку, оценить

достигнутый успех довольно сложно. Можно использовать статистические или

вероятностные методы (например использование системы с установленным и

неустановленным часовым), но некоторая степень неопределенности будет оставаться.

Задачей подсистемы контроля целостности ядра является обеспечение целостности

ядра безопасности системы во время ее функционирования и обнаружение

некорректного вмешательства субъектов системы в его работу. В основе подсистем

контроля целостности системы лежат две основы ные составляющие: статическая

(подсистема обеспечена целостности ядра системы) и динамическая (подсистема

контроля целостности ядра системы). Рассмотрим эти составляющие подробнее.

В основе статической составляющей подсистемы контроля целостности ядра лежит

модель целостности информации, например модель Биба. Ядро системы должно

находиться на самом привилегированном уровне безопасности в системе и к нему

должен быть запрещен доступ по записи со стороны всех менее привилегированных

субъектов системы. Реализация подсистемы обеспечения целостности информации

должна опираться на аппаратную поддержку вычислительной системы.

Подсистема контроля целостности ядра системы.

В общем случае, задачей подсистемы контроля целостности системы является

динамический анализ целостности ядра системы с целью обнаружения возможных

вмешательств в работу ядра системы со стороны менее привилегированных субъектов

системы.

Подсистема контроля целостности ядра безопасности системы характеризуется двумя

параметрами: множество объектов, целостность которых подлежит контролю, и частота

срабатывания подсистемы контроля целостности. Рассмотрим влияние данных

параметров на безопасность и производительность системы.

Допустим ядро синтезированной системы содержит N объектов, из которых М

(М≥N), подлежат контролю. При этом безопасность L=M-N объектов не

контролируется. При анализе качества синтеза данной системы возможны следующие

ситуации;

1. в число L объектов попадают объекты, имеющие непосредственное отношение к

реализации правил- ограничений безопасности системы;

2. в число L объектов попадают объекты, не имеющие непосредственного отношения

к реализации правил-ограничений безопасности системы;

3. в число L объектов попадают объекты, не имеющие непосредственного отношения

к реализации правил-ограничений безопасности системы, но при нарушении целостности

которых можно воздействовать на объекты, имеющие отношение к реализации правил-

ограничений системы безопасности.

Рассмотрим все эти ситуации. Ситуация 1 показывает отсутствие контроля

целостности объекта, принадлежащего ядру безопасности со стороны системы.

Нарушение целостности данного объекта останется незамеченным системой в процессе

ее функционирования, что может привести к нарушению безопасности системы.

Ситуация 2 показывает нарушение целостности объекта системы, не приводящее к нару-

шению ее безопасности. Хотя нарушение целостности данного объекта останется

незамеченным системой в процессе ее функционирования, нарушения безопасности

системы не произойдет. Ситуация 3 показывает случай, при котором нарушение

целостности объекта не приводит непосредственно к нарушению безопасности системы,

но может привести к нарушению целостности системы и привести к ситуации 1.

Влияние множества контролируемых объектов системы на ее производительность

можно выразить следующим выражением. Допустим в цикле Т проверяется целостность

М объектов. Для m

M существует параметр t

, определяющий время, затрачиваемое

системой на проверку целостности объекта m

. Параметр t

определяет сложность

алгоритма проверки целостности объекта системы m

и может выражаться в количестве

тактов, в течении которых процессор проверяет целостность объекта m

. При

увеличении значения данного параметра с одной стороны возрастает надежность

контроля целостности объекта m

, а с другой — возрастает время, затрачиваемое на

контроль целостности системы, и как следствие падает ее производительность.

Тогда однократная проверка системой целостности объектов ядра займет время:





(1)

Частота срабатывания подсистемы контроля целостности ядра определяет время,

которое система будет находиться в состоянии "утечки информации" в случае

нарушения целостности системы. Иными словами, если подсистема контроля

целостности отрабатывает один раз за временной промежуток Т, то система, при условии

нарушения целостности ядра, система будет находиться в состоянии утечки информации

в течение временного промежутка [0,Т]. К определению интервала времени Т возможно

два подхода.

Первый подход характерен минимизацией потери производительности системы

вследствие наличия в системе подсистемы контроля целостности ядра. При этом

подсистема контроля целостности ядра срабатывает в том случае, если субъекты

системы не используют процессорное время в течение промежутка времени Т. При этом

частота срабатывания подсистемы контроля целостности ядра нерегулярна, так как она

имеет низкий приоритет по сравнению с остальными субъектами системы, но при этом

не происходит потери производительности системы.

Второй подход характерен тем, что он обеспечивает более высокий уровень

безопасности при возможных потерях производительности системы. В данной ситуации

подсистема контроля целостности ядра имеет высокий приоритет и срабатывает

независимо от условий функционирования системы один раз за период времени Т.

Нижней границей определяющей значение Т, является выражение, определяющее

максимально возможное время, которое система может провести в состоянии утечки

информации. Это время определяется, исходя из вероятности преодоления подсистемы

контроля целостности. Будем считать подсистему контроля целостности нарушенной в

том случае, когда субъект нарушитель смог изменить алгоритм подсистемы контроля

целостности. Для этого ему необходимо преодолеть подсистему обеспечения

целостности. Таким образом, для стопроцентного детектирования появления канала

утечки информации, возникающего вследствие нарушения целостности системы

необходимо, чтобы подсистема контроля целостности срабатывала за период времени, не

превышающий минимальное время, необходимое для преодоления субъектом-

нарушителем подсистемы обеспечения целостности и модификации подсистемы

контроля целостности.

Для определения времени, необходимого для изменения алгоритма контроля

целостности необходимо для синтезированной системы контроля и обеспечения

целостности построить граф, отражающий все возможные пути преодоления

подсистемы обеспечения целостности и модификации подсистемы контроля

целостности. Пример данного графа приведен на рисунке 2.2. Узлами данного графа

являются компоненты подсистемы обеспечения целостности. Конечной вершиной

каждого пути на данном графе является подсистема контроля целостности.

Характеристикой каждого узла графа является время, необходимое для преодоления

данного компонента подсистемы обеспечения целостности, а также вероятность

преодоления данного компонента, в предположении, что предыдущий компонент

данного пути преодолен. Для первого элемента каждого пути данная вероятность

полагается равной единице. Тогда, нижнюю границу периода срабатывания подсистемы

контроля целостности информации можно записать как:

≤ min (Т

, Т

,... Т

) (2)

где

Т — время преодоления системы соответствующее пути m на графе;



pim

/ P

i,i – 1

(3)

где

pim

- время преодоления подсистемы i принадлежащей пути m;

i,i–1

— вероятность преодоления подсистемы i при условии преодоления подсистемы

i-1.

Для первого элемента в пути, ведущем к преодолению подсистемы контроля

целостности, Р=1. То есть предполагается, что данное звено в системе некорректно.

При выполнении условия, определенного в (2), субъекту-злоумышленнику преодолеть

подсистему контроля целостности не удастся.

На рисунке 1 показаны возможные пути нарушения подсистемы целостности

информации. На данном рисунке ПКЦ — подсистема контроля целостности, а Т

ркпц

—

время разрушения подсистемы контроля целостности.

Объект 1

)

Объект 3

)

Объект ПКЦ

РКПЦ

)

рисунок 2.2.

На данном рисунке показано два пути нарушения подсистемы контроля целостности.

Для пути 1 суммарное время нарушения подсистемы контроля целостности.

нар1

=Т

р1

+Т

рЗ

+Т

рпкц

. Для пути 2 суммарное время нарушения подсистемы контроля

целостности Т

нар1

=Т

р2

+Т

рn

+Т

рпкц

. Таким образом, период функционирования

подсистемы контроля целостности должен быть: Т ≤min(Т

нар.1

, Т

нар.2

)

Выражение (2) определяет нижнюю границу возможного значения периода

функционирования подсистемы контроля целостности.

Верхняя граница значения периода функционирования подсистемы контроля

целостности определяется исходя из возможной потери производительности системы.

При этом потеря производительности системы с учетом множества контролируемых

объектов определяется как:

Р=(Т

-Т

)/Т

= 1 -





(4)

Где показатель t/T отражает отношение сложности кoнтроля проверки целостности

объекта ядра системы oтнocительно частоты срабатывания подсистемы защиты

информации. Из данного выражения видно, что если задано значение, определяющее

допустимую потерю производительности системы Р и заданы алгоритмы контроля

целостности ядра системы t

, то можно вычислить интервал времени Т, в течении

которого должна срабатывать система контроля целостности.

Очевидно, что с целью повышения производительности системы должно выполняться

выражение Т→mах, т.е. чем реже выполняется контроль целостности ядра системы, тем

меньше потеря производительности. Из данного выражения может быть вычислена

верхняя граница времени Т-периода срабатывания подсистемы контроля целостности

информации:

≥





/(P-1) (5)

Объект 2

)

Объект n

)

Таким образом, исходя из выражений (2) и (5) может быть выбран период

срабатывания подсистемы контроля целостности для второго подхода. Если значение,

полученное из (2) больше, чем значение, полученное из (5), то нам удалось

спроектировать систему с заданной потерей производительности и с гарантией контроля

целостности. Если значение, полученное из (2) меньше или равно, значению,

полученному из (5), то нам удалось спроектировать систему с заданной потерей

производительности и с вероятностью того, что подсистема контроля целостности не

будет преодолена с вероятностью:

Р = (Т

- Т

) / Т

(6)

где

— период срабатывания подсистемы контроля целостности, вычисленный исходя из

уравнения (5).

— период срабатывания подсистемы контроля целостности, вычисленный исходя из

уравнения (2).

В случае, если Т

>Т

, для достижения приемлемых безопасности и потери

производительности, необходимо изменить алгоритмы контроля целостности системы.

2.2.3. Механизм защиты от угрозы отказа в обслуживании.

До настоящего времени большинство исследований компьютерной безопасности

было связано с угрозами раскрытия и целостности. Одной из причин такого внимания

этим угрозам является то, что различные международные организации по защите

определяли раскрытие и целостность как основные угрозы. В результате, большинство

средств, выделяемых на исследования, тратилось на работы именно в этих

направлениях. Другая причина состоит в том, что поскольку отказ в обслуживании очень

тесно связан с существующими понятиями доступности системы и разработки систем

реального времени (многие годы изучавшимися исследователями и разработчиками),

исследователи безопасности все же должны найти подходящую нишу в этой области

анализа вычислительных систем.

Несмотря на эти преграды в области отказа в обслуживании были сделаны некоторые

предварительные шаги. В этом параграфе рассмотрим понятия, связанные с описанием и