№ 5 сентябрь-октябрь 2007 г. Тема номера: SOA И ЗАЩИТА ОТ НСД
		ПРОВЕРКА ПРАВИЛ ПОЛИТИКИ БЕЗОПАСНОСТИ ДЛЯ КОРПОРАТИВНЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ И. В. Котенко, д. т. н., профессор, А. В. Тишков, к. ф.-м. н., с. н. с., Е. В. Сидельникова, аспирант, О. В. Черватюк, аспирант СПИИРАН

Актуальной задачей, решение которой необходимо при поддержке функционирования корпоративных компьютерных сетей, базирующихся на политике безопасности, является проверка правильности (верификация) этой политики. Настоящая работа описывает общий подход к верификации политики безопасности корпоративных компьютерных сетей, основанный на использовании гибридной многомодульной архитектуры системы верификации. Данный подход был предложен и реализован в группе компьютерной безопасности СПИИРАН на основе разработки программного средства Security Checker (SEC).

Введение

Одним из наиболее важных требований к политике безопасности корпоративных компьютерных сетей, как совокупности правил, регулирующих реализацию безопасности сети (в том числе обеспечение конфиденциальности, целостности и доступности информационных ресурсов), является гарантия отсутствия противоречий и возможность реализации политики безопасности на планируемой (текущей) конфигурации сети.

Для системного администратора, не имеющего соответствующего программного средства, обнаружение и разрешение противоречий в политике безопасности даже в рамках одной категории правил (авторизации, аутентификации и т. д.) – задача очень сложная. Она становится еще более сложной, если рассматривать противоречия между различными категориями правил, а также противоречия применения созданной политики к конкретной сети.

Так как политика безопасности корпоративных сетей включает в себя множество правил различных категорий, применяемых в различных сегментах сети, задача обнаружения и разрешения противоречий в политике безопасности представляет собой достаточно сложную научную и практическую проблему, требующую эффективного решения.

Для построения мощного и гибкого программного средства верификации политики безопасности важно применять подходы, имеющие открытую (расширяемую) архитектуру, эффективную реализацию верификации и позволяющие обнаруживать и разрешать все возможные противоречия (конфликты и аномалии).

Опыт решения указанной задачи авторами настоящей статьи показал, что цель построения системы, реализующей эффективную верификацию политики безопасности, может быть достигнута только с использованием семейства различных модулей верификации, каждый из которых функционирует с приемлемой вычислительной сложностью для конкретных типов противоречий [1–6, 34, 35, 46, 47].

В настоящей работе представляется предлагаемый подход и рассматривается разработанный программ-ный комплекс Security Checker (SEC), предназначенный для проверки правильности правил политики безопасности. SEC может служить для отладки правил политики различных категорий, включая аутентификацию, авторизацию, фильтрацию, защиту каналов (конфиденциальность) и операционные правила.

Особенностью предлагаемого подхода к реализации является использование гибридной многомодульной архитектуры. Применяя несколько модулей верификации, SEC комбинирует методы общего назначения со специализированными алгоритмами для конкретных типов противоречий. Его архитектура открыта для добавления новых модулей и поэтому предоставляет собой гибкое и масштабируемое решение для задачи верификации политики безопасности компьютерной сети.

Статья структурирована следующим образом.

В разделе 2 приводится анализ основных релевантных работ.

Возможные противоречия в политике безопасности и конфигурации сети представлены в разделе 3.

В разделе 4 рассматривается общий подход к верификации политики безопасности и архитектура SEC.

Раздел 5 посвящен особенностям реализации модуля верификации, основанного на исчислении событий и абдуктивном выводе.

Механизмы верификации на базе метода проверки на модели представлены в разделе 6.

В разделе 7 кратко изложены реа-лизованные специализированные методы.

В разделе 8 описаны особенности реализации и некоторые из проведенных экспериментов.

Наконец, в заключении статьи суммируются полученные результаты и приводятся направления дальнейшей работы.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru