"Применение иерархического метода для построения защищенной операционной системы" Федеральное агентство по образованию Российский государственный университет инновационных технологий и предпринимательства Северный филиал на тему: "Применение иерархического метода для построения защищенной операционной системы" Выполнила: студентка гр. И411 О.А.Шилова Принял: Батулин И.С. г. Великий Новгород 2008г. Применение иерархического метода для построения защищенной операционной системы. Существуют две проблемы при построении защищенных информационных систем: 1) распределение задач администрирования средствами защиты информации между субъектами управления системой; 2) использование встроенных механизмов защиты на всех уровнях иерархии системы. Первая проблема обусловлена иерархическими принципами построения сложной системы. Уровни сложной системы: 1) уровень платформы (операционная система), 2) общесистемный уровень (СУБД и другие системные средства), 3) уровень приложений. Каждый уровень требует своего администрирования. В сложной системе выделяются задачи администрирования: 1. системное администрирование (настройка ОС, конфигурация и маршрутизация сетевого трафика и т.п.); 2. администрирование СУБД и других общесистемных средств; 3. администрирование прикладных приложений. На уровне системного администрирования может присутствовать разделение задач по функциональному назначению объектов - рабочие станции, файл-серверы и серверы приложений, серверы доступа к внешним сетям и др. В сложной системе вводятся соответствующие администраторы, каждый из которых отвечает за свою компоненту управления. В защищенных информационных системах, предназначенных для обработки конфиденциальной информации, выделяется самостоятельное управление - управление информационной безопасностью системы. Возникает проблема включения этой компоненты в исходную схему администрирования, связанная с тем, что администратором каждого уровня иерархии управления решаются в том числе и задачи администрирования информационной безопасностью в рамках соответствующего уровня иерархии. Существует другая проблема, которая состоит в использовании встроенных средств защиты, распределении задач между встроенными и добавочными средствами защиты. Данная задача осложнена тем, что, с одной стороны, невозможно в полной мере доверять встроенным в системы иностранного производства средствам защиты. С другой, нельзя отказываться от этих механизмов в полном объеме, иначе для всех видов ОС, СУБД и т.д. потребуется разрабатывать добавочные средства защиты, а это не всегда возможно реализовать, или это приведет к существенному усложнению системы. Для разрешения этих проблем возможны следующие альтернативные подходы: · Все задачи администрирования информационной безопасностью системы возложить на администратора безопасности. Но тогда задача администрирования будет слишком сложной и потребует для решения очень высокой квалификации администратора безопасности, и для использования данного решения нужно разграничивать функции администрирования на всех уровнях иерархии системы, что возможно только с реализацией защиты на всех уровнях добавочными средствами. · Задачи администрирования информационной безопасностью системы распределить между администраторами на всех уровнях иерархии. Тогда будут не ясны задачи и функции администратора безопасности как основного звена управления информационной безопасностью сложной защищенной системы. Предлагается метод уровневого контроля целостности списков санкционированных событий. Суть метода: все ресурсы системы делятся на уровни по функциональному признаку. Текущая конфигурация каждого уровня заносится в соответствующий эталонный список, хранящийся в системе защиты и недоступный никому, кроме администратора безопасности. При обнаружении расхождений текущего и эталонного списка является признаком несанкционированного доступа, в качестве реакции на которое средство защиты, помимо восстановления изначальной конфигурации, может выполнить дополнительные реакции. В контролируемых списках могут находиться списки зарегистрированных пользователей, списки их паролей, списки разрешенных к запуску процессов, настройки ОС и т.д. Применение метода при распределении функций администрирования безопасностью в системе. Все настройки информационной безопасности на соответствующих уровнях иерархии задаются соответствующим системным администратором, администратором приложений, администратором СУБД при контроле со стороны администратора безопасности. По завершении настроек они сохраняются администратором безопасности в эталонных списках средств защиты информации, к которым имеет доступ только администратор безопасности. В процессе функционирования системы данные списки непрерывно контролируются и автоматически восстанавливаются из эталонных копий в случае обнаружения их искажений. Таким образом, решение состоит в следующем: Администраторы уровней иерархии сами реализуют требования разграничительной политики доступа к ресурсам при непосредственном контроле со стороны администратора безопасности. Средства защиты информации обеспечивает невозможность изменения заданных настроек без участия администратора безопасности, в том числе и остальным администраторам системы. Данный подход позволяет разделить задачи администраторов без использования добавочных средств защиты и в полном объеме использовать встроенные механизмы защиты на всех уровнях иерархии системы. Существует метод противодействия ошибкам и закладкам в средствах информационной системы: При любом доступе пользователя к информации должен произойти ряд событий - авторизация пользователя, должна быть запущена некоторая программа на исполнение, при доступе к информации должны быть проверены права доступа пользователя, при этом собственно ОС и СУБД должны обладать набором заданных администраторами свойств и т.д. Средство защиты информации создает эталонные копии списков контролируемых событий и осуществляет их непрерывный контроль в процессе функционирования системы. При искажении исходного списка вырабатывается реакция средства защиты информации. Таким образом, если доступ к информации осуществляет санкционированный пользователь, он получает доступ к информации. В противном случае, нарушителю необходимо осуществить какое-либо изменение контролируемого события при доступе к информации, иначе доступ к информации невозможен. К преимуществам рассмотренных принципов реализации системы защиты можно отнести то, что она реализуется на прикладном уровне, т.е. практически инвариантна к типу используемых в информационных системах ОС, СУБД и приложений, и ее применение практически не приводит к снижению надежности функционирования системы. Следует отметить, что предложенный подход к построению системы защиты может использоваться и для решения иных задач, в частности, для асинхронного контроля целостности файловых объектов, локального и сетевого контроля активности средств защиты информации и др.