А.Ю.Щеглов, К.А.Щеглов [23/02/2006]

Версия для печати

В предыдущих частях работы мы много внимания уделили рассмотрению возможностей добавочных средств защиты информации от несанкционированного доступа (СЗИ НСД), в основу создания которых положено использование новых технологий защиты. При этом основное внимание в опубликованном ранее блоке работ было уделено вопросам реализации, на наш взгляд, ключевых механизмов защиты информации от НСД – механизмов контроля доступа к ресурсам. Наше исследование в этой части было бы не полным, если бы мы не рассмотрели вопрос, а какой ценой достигаются новые свойства защиты информации. Рассмотрению этих вопросов мы и посвятим данную часть работы.

Как отмечалось в предыдущих частях работы (см. части 1,3,5,6), выполнение большинства требований к корректности реализации механизмов контроля доступа к ресурсам, а также существенное функциональное расширение их возможностей, связано с включением в схему управления доступом к ресурсам субъекта "ПРОЦЕСС", как самостоятельного субъекта доступа (заметим, что процесс, как субъект доступа, отсутствует в схемах управления доступом к ресурсам, реализуемых современными ОС, что, как мы показали ранее, существенно ограничивает возможности защиты информации, реализуемые встроенными в ОС механизмами защиты).

Проведем оценку, в какой мере влияет на загрузку вычислительного ресурса защищаемого объекта включение в схему управления доступом дополнительного субъекта доступа процесс, или оценим, какова же цена за столь значительные новые свойства защиты информации.

С этой целью построим следующие математические модели:

• Математическую модель рабочей станции без системы защиты;
• Математическую модель рабочей станции с реализацией управления доступом к файловым объектам для субъекта доступа "ПОЛЬЗОВАТЕЛЬ";
• Математическую модель рабочей станции с реализацией управления доступом к файловым объектам для субъектов доступа "ПОЛЬЗОВАТЕЛЬ" и "ПРОЦЕСС".

С использованием данных математических моделей оценим, в какой мере дополнительно затрачивается вычислительный ресурс, при включении процесса, как самостоятельного субъекта доступа, в механизмы контроля доступа к ресурсам.

Замечание. Возможно, неподготовленному читателю наши математические выкладки покажутся сложными. В этом случае мы можем порекомендовать поверить нам “на слово”, и сразу обратиться к результатам исследований и к сделанным на их основании выводам.

Модель рабочей станции без системы защиты

Для построения модели, необходимо решить на какой круг задач будет рассчитана защищаемая вычислительная система. Будем рассматривать типовые задачи, с которыми чаще всего приходится сталкиваться в современных вычислительных системах общего назначения.

Задачи гипотетической вычислительной системы, модель которой требуется построить, ограничим следующим списком:

• Обработка текстов. Редактирование и верстка;
• Математическая обработка данных;
• Разработка программ. Редактирование и сборка.

В качестве типовых приложений, реализующих вышеперечисленные задачи, будем рассматривать следующие программы:

• Текстовый редактор – Word 2000;
• Текстовый компилятор - MikTeX 2.2;
• Электронные таблицы - Excel 2000;
• Разработка программ – MS Visual C++ 5.0.

Основные параметры (число операций счета, количества обращений к внешним устройствам и т.п.) этих программ определялись экспериментально. В качестве экспериментального стенда использовался компьютер на базе процессора Intel Celeron 1000 МГц, объем памяти (ОЗУ) 384 Мб, внешнее запоминающее устройство - накопитель на жестком магнитном диске (НЖМД) IBM IC35L040 AVER07-0, ОС – MS Windows 2000 Professional.

Параметры программ определялись с помощью следующих специальных средств:

• Filemon - монитор обращений к файловой системе;
• Regmon - монитор обращений к реестру;
• Diskmon - монитор обращений к физическим носителям, например, НЖМД;
• Cpumon - монитор центрального процессора;
• cистемный монитор, входящий в состав ОС MS Windows 2000 Professional.

Параметры приложений, полученные в результате серии экспериментов и последующих расчетов, представлены в табл.7.1.

Математическая модель вычислительной системы (рабочей станции) без системы защиты представлена на рис.7.1. Она представляет собой разомкнутую сеть массового обслуживания (СеМО). Эта СеМО состоит из трех узлов, в свою очередь представляющие собой отдельные системы массового обслуживания (СМО).

Первая - СМО процессор - оперативная память, вторая - CMO файловая система, третья - CMO реестр.

Таблица 7.1

Параметры приложений

В качестве входного потока примем стационарный пуассоновский поток.

Стационарный пуассоновский поток является простейшим потоком, а для простейшего потока характерно, что поступление заявки через короткий промежуток времени, более вероятно, чем через длинный промежуток времени.

Следствием этого свойства является то, что простейший поток создает наиболее тяжелый режим работы для системы. Поэтому простейший поток в моделях позволяет получать предельные значения входных характеристик, и, следовательно, если входной поток в реальной системе отличен от простейшего, то система будет иметь характеристики функционирования, по крайней мере, не хуже, чем при простейшем входном потоке.

Интенсивность входного потока определена экспериментально.

Для задания характеристики среднего времени обслуживания в каждом узле сети массового обслуживания, рассмотрим эти СМО по отдельности.

СМО файловая система

Параметры этой СМО определялись с помощью экспериментальных данных. Для определения закона распределения длительности обслуживания были построены гистограммы распределения значений длительностей обслуживания для каждого приложения. Все эти гистограммы имеют практически одинаковый вид, представленный на рис.7.2.

Как видим, полученное распределение при моделировании СМО файловая система подчиняется экспоненциальному закону.

Для определения среднего времени обслуживания в СМО файловая система используем следующее отношение:

где:

a- коэффициент передачи в соответствующий узел СеМО;

l0 – интенсивность потока заявок на входе СеМО;

u – среднее время пребывания заявки в СеМО;

Среднее время обслуживания в СМО файловая система определялось по результатам экспериментов, с использование отношения (1), и для каждого приложения представлено в табл. 7.2.

СМО реестр

Параметры этой СМО также определялись экспериментально.

Гистограмма распределения длительности обслуживания для всех приложений имеет вид, очень похожий на гистограмму, представленную на рис.7.2.

Следуя заключениям, сделаным для СМО файловая система, будем также считать, что распределение длительности обслуживания в СМО реестр подчиняется экспоненциальному закону.

Среднее время обслуживания в СМО реестр определялось по результатам экспериментов, с использование отношения (1), для каждого приложения представлено в табл.7.1.

СМО процессор – оперативная память

Рассмотрим СМО процессор - оперативная память. Данных, указывающих на закон распределения времени обслуживания в СМО процессор - оперативная память нет. Для упрощения расчета модели и по аналогии с рассмотренными ранее СМО, предположим что распределение длительности обслуживания в СМО процессор - оперативная память подчиняется экспоненциальному закону.

Для определения средней длительности обслуживания будем использовать формулу (1) и следующее соотношение:

Откуда получаем:

где:
u1 – среднее время пребывания в СМО процессор-оперативная память;
u2 - среднее время пребывания в СМО файловая система;
u3 - среднее время пребывания в СМО реестр;
n2 - количество обращений к файловой системе;
n3 - количество обращений к реестру;
N – количество этапов счета;
U – среднее время пребывания в СеМО.

Согласно формуле (1) и табл.7.1 определяется для каждого приложения среднее время обслуживания в узлах модели. Результаты вычислений представлены в табл.7.2.

Таблица 7.2

Среднее время обслуживания в узлах модели

Сетевая модель рабочей станции

Перейдем к рассмотрению СеМО, изображенной на рис.7.1. Обозначим СМО процессор --- оперативная память через S1, CMO файловая система через S2, CMO реестр через S3. Введем узел S0, через него в систему поступают заявки на обслуживание.

Граф передач такой сети представлен на рис.7.3.

Соответствующая этому графу матрица вероятностей передач выглядит следующим образом:

Используя эту матрицу, получаем систему уравнений, связывающую между собой интенсивности потоков в узлах СеМО и вероятности передач:

Решая эту систему уравнений, получаем выражения для определения коэффициентов передач:

Для нахождения с помощью таких выражений численного значения коэффициентов передач необходимо определить вероятности перехода заявки из одного узла СеМО в другой.

Очевидно, что P10i = 1/Ni, откуда:

где Ni – количество этапов счета для i-го типа приложения (в нашем случае I = 5).

Вероятность перехода заявки в СМО файловая система есть отношение количества обращений к файловой системе к количеству этапов счета, то есть:

Откуда:

где n2 – количество обращений к ФС, N –количество этапов счета, i – тип приложения.

Таким же образом определяем вероятность перехода заявки в СМО реестр:

Откуда:

где n3 – количество обращений к реестру, N –количество этапов счета, i – тип приложения.

Расчет характеристик сети далее будет производиться исходя из условия, что сеть работает в стационарном режиме, то есть вероятностные характеристики сети не зависят от времени. Условие существования стационарного режима в сети, определяется существованием стационарного режима во всех узлах этой сети.

Стационарный режим существует в отдельной СМО с одним обслуживаюшим прибором, если выполняется следующее условие:

то есть, если загрузка прибора меньше единицы.

Исходя из этого, можно сформировать условие существования стационарного режима в рассматриваемой сети:

и руководствоваться им при выборе максимальной интенсивности входного потока заявок каждого типа, при расчете характеристик сети.

Самой важной характеристикой сети, для нас, является время пребывания заявки в сети. Время пребывания заявки в сети определяется выражением:

где M – число СМО в сети.

Так как:

то выражение, определяющее время пребывания заявки в рассматриваемой сети, можно записать следующим образом:

Модель рабочей станции с системой защиты

Под системой защиты в данном случае подразумевается диспетчер разграничения прав доступа к ресурсам файловой системы и реестра, с включением процесса, как самостоятельного субъекта доступа.

Так как, при проверке прав субъекта доступа не требуется обращения к файлам и другим не вычислительным ресурсам рабочей станции, проверку прав можно представить в виде СМО и одним обслуживающим прибором. Время обслуживания в этой СМО определяется лишь быстродействием процессора вычислительной системы и трудоемкостью алгоритма проверки прав.

Из блок-схемы алгоритма управления доступом к ресурсам с учетом субъекта доступа процесс, как самостоятельного субъекта доступа (приведена в первой части работы), среднюю трудоемкость T алгоритма анализа запроса доступа к ресурсу можно выразить следующим образом:

где:
x – трудоемкость проверки прав доступа;
P1 - вероятность поступления запроса от процесса, не упомянутого в разграничениях прав доступа,
P2 - вероятность поступления запроса от процесса, имеющего совместный (вместе с субъектом пользователь) режим проверки прав доступа,
P3 - вероятность поступления запроса от процесса, имеющего эксклюзивный режим проверки прав доступа.

Экспериментальные исследования, на средствах добавочной защиты для ОС семейства Windows - КСЗИ “Панцирь” для ОС Windows 2000/XP/2003, показали, что с настройками механизма контроля доступа к ресурсам, приведенными в первой части работы, вероятность поступления запроса от привилегированного процесса составляет порядка 0,3, процесса с совместным режимом проверки (анализируются и права пользователя, и права процесса) запроса порядка 0,1. Поэтому для дальнейших расчетов примем среднее время проверки запроса с учетом субъекта процесс, как самостоятельного субъекта доступа, равным ((1-0,3 – 0,1) + 0,3)x +2*0,1x = 1,1x.

Из всех типов запросов, обращающихся к файловой системе и реестру, проверке (анализу прав доступа) подлежит лишь часть. Бессмысленно проверять, например, операцию закрытия файла или операцию сброса буферов ввода-вывода. В результате проведенных экспериментов определено, что контролировать целесообразно 90% запросов (в общем потоке) к ресурсам реестра и 34% запросов к файловой системе.

Экспериментально было определено время, требуемое на проведение проверки (контроля прав доступа) для одного запроса, в среднем составившее 130 мкс.

Исходя из вышеизложенного, для дальнейших расчетов примем следующее выражение для определения среднего времени обслуживания в СМО системы защиты:

Модель рабочей станции с системой защиты, приведенная на рис.7.4, представляет собой разомкнутую сеть массового обслуживания (СеМО). По сравнению с рассматриваемой ранее моделью без системы защиты, в этой СеМО появилась новая СМО - система защиты.

Граф передач такой сети представлен на рис.7.5.

Соответствующая этому графу матрица вероятностей передач выглядит следующим образом:

Используя эту матрицу, получаем систему уравнений, связывающую между собой интенсивности потоков в узлах СеМО и вероятности передач:

Решая эту систему уравнений, получаем выражение для определения коэффициентов передач:

Для нахождения с помощью данных выражений численных значений коэффициентов передач необходимо определить вероятности перехода заявки из одного узла СеМО в другой.

Очевидно, что:

где: N – количество этапов счета;
i = 1…I – тип приложения (в нашем случае I = 5).

Исходя из этого и так как:

Вероятность перехода заявки в СМО файловая система есть отношение количества обращений к файловой системе к количеству этапов счета, то есть:

где:
n2 – количество обращений к ФС,
N – количество этапов счета;
i = 1…I – тип приложения (в нашем случае I = 5).

Аналогично определяется вероятность перехода заявки в СМО реестр:

где:
n2 – количество обращений к ФС,
N – количество этапов счета;
i = 1…I – тип приложения (в нашем случае I = 5).

В итоге, получаем для проведения дальнейших расчетов следующее выражение, позволяющее определять среднее время обслуживания в СМО системы защиты:

Анализ эффективности механизмов контроля доступом к ресурсам с разграничением прав для субъектов “ПОЛЬЗОВАТЕЛЬ” и “ПРОЦЕСС”

Характеристика времени пребывания заявки для рассмотренных трех моделей, без системы защиты, с управлением доступом к ресурсам для субъекта доступа “ПОЛЬЗОВАТЕЛЬ”, с управлением доступом к ресурсам для субъектов доступа “ПОЛЬЗОВАТЕЛЬ” и “ПРОЦЕСС” (в схему управления доступом включается субъект процесс), для рассматриваемых приложений, представлена на рис.7.6 – рис.7.9.

Из полученных зависимостей можем сделать следующие важные выводы:

1. Эффективность использования вычислительного ресурса при реализации контроля доступа незначительно зависит от типов используемых в системе приложений.
2. Дополнительное влияние на загрузку вычислительного ресурса системы, обусловливаемое использованием в схеме управления доступом к ресурсам дополнительного субъекта "ПРОЦЕСС", составляет единицы и доли единицы процентов, что является весьма низкой ценой за совокупность принципиально новых свойств защиты, достигаемых при использовании субъекта доступа "ПРОЦЕСС", как самостоятельного субъекта доступа.
3. Влияние на загрузку вычислительной системы, при реализации механизма управления доступом к ресурсам, пропорционально количеству решаемых задач, и обратно пропорционально трудоемкости задачи. Поэтому наибольшее влияние в данном случае оказывается при загрузке системы задачами с низкой трудоемкостью этапа счета и большим количеством обращений к ресурсам при выполнении задачи (что, в принципе, очевидно).

И в завершении изложения блока материала, посвященного вопросам реализации ключевых механизмов защиты информации от НСД – механизмов контроля доступа к ресурсам, проиллюстрируем возможности дискреционного контроля доступа к ресурсам в наших разработках СЗИ НСД для ОС семейства Unix (HP-UX, Linux, Free BSD). Ранее мы утверждали, что все сказанное нами, в части реализации СЗИ НСД, созданной для добавочной защиты ОС семейства Windows, в большой мере относится и к ОС других семейств, в частности Unix.

В порядке иллюстрации, лишь покажем, как выглядит интерфейс задания субъекта доступа (покажем, каким образом – совокупностью каких параметров, определяется субъект доступа) в настройках механизма контроля доступа к файловым объектам нашей СЗИ НСД для ОС семейства Unix, см. рис.7.10.

Окно добавления субъекта доступа имеет следующие поля:

• Поле ввода “Имя субъекта” предназначено для задания имени сформированного из совокупности параметров субъекта доступа (которое будет использоваться при задании ПРД к объектам),
• Группа “Параметры субъекта” предназначена для задания параметров субъекта доступа:
  • Выпадающий список "UID” позволяет задать реальный идентификатор пользователя,
  • Выпадающий список “Эффективный UID” позволяет задать эффективный идентификатор пользователя,
  • Выпадающий список “Имя процесса” позволяет задать полнопутевое имя процесса доступа из списка разрешенных к запуску процессов.

Таким образом, субъект доступа в общем случае представляет собой совокупность из трех параметров. Все параметры, предназначенные для определения субъекта доступа, могут содержать либо значение <нет> (что подразумевает исключение данного параметра из определителя субъекта доступа, либо конкретное значение). В качестве значений “UID” и “Эффективный UID” используется стандартный список пользователей на данной машине (после их создания – задание учетных данных пользователей). В качестве значений “Имя процесса” используется один из разрешенных процессов, который выбирается из выпадающего списка “Имя процесса”. Список разрешенных процессов (процессов, разрешенных к запуску на компьютере) формируется настройкой механизма обеспечения замкнутости программной среды (принципы реализации данного механизма защиты мы рассматривали в шестой части работы).

Сделать же вывод, относительно того, в какой мере добавочными средствами можно расширить функциональные возможности защиты информации от НСД и для ОС семейства Unix, мы предлагаем читателю самостоятельно.

Более или менее разобравшись с вопросами реализации основных механизмов защиты информации от НСД - механизмов контроля доступа к ресурсам, далее (в последующих частях работы) мы перейдем к рассмотрению вопросов реализации других механизмов защиты добавочными средствами. Здесь также хватает проблем и задач, как в части расширения их функциональных возможностей, по сравнению с соответствующими механизмами защиты, встроенными в ОС и приложения, так и в части вопросов их корректной реализации.

Назад   |   Оглавление   |   Далее

Начать обсуждение этой статьи на Форуме