КОНФЕРЕНЦИЯ «ДОВЕРИЕ-АЗИЯ-12» ВЕСНА

Главная > Статьи >КОНФЕРЕНЦИЯ «ДОВЕРИЕ-АЗИЯ-12» ВЕСНА
Статьи

Повышение доверия к компонентам информационных систем. Инициативы России в области доверенных операционных платформ

Ключевой задачей современной компьютерной безопасности является обеспечение гарантий выполнения заданной в ИТС политики безопасности (ПБ). После формулирования политика безопасности реализуется в компьютерной системе при помощи средств управления безопасностью (для z/OS это, например, RACF) Нарушение политики безопасности в ИТС может произойти только из-за действия активных сущностей – процессов, действующих автономно или управляемых пользователями или административным персоналом ИТС.

Таким образом, для гарантирования неизменности ПБ необходимо обеспечить контроль над активными сущностями ИТС. Кроме того, необходимо обеспечить невозможность влияния уже запущенных или разрешенных процессов друг на друга, поскольку их взаимовлияние тоже может повлиять на ПБ.

Для принципиального решения данной задачи создан TopCM (Top Control Manager) предназначен для осуществления полного контроля над функционированием операционной системы z/OS вместе со всеми ее приложениями с целью обеспечения гарантированного выполнения любой априорно заданной в z/OS политики безопасности и полной изоляции процессов и подсистем, построенных на базе z/OS. Монитор TopCM способен полностью контролировать взаимодействие вычислительной системы с внешней средой, включая взаимодействия с другими вычислительными системами посредством каналов связи, а также работу пользователей любого статуса, в том числе операторов и администраторов операционной системы и любых приложений.

Монитор TopCM запускается в среде z/OS как обычное задание в области V=R и представляет собой авторизованную программу. На этапе инициализации программа переходит в супервизорный режим и получает нулевой ключ доступа к памяти. Затем программа формирует свою собственную префиксную страницу и заменяет ею префиксную страницу z/OS. Если конфигурация вычислительной установки мультипроцессорная, TopCM заменяет своими собственными префиксные страницы z/OS для всех процессоров, входящих в конфигурацию.

Механизм префиксации был в свое время разработан для возможности работы операционной системы в режиме мультипроцессирования и является частью аппаратного обеспечения работы в мультипроцессорной конфигурации.

Таким образом, в том случае, если раньше TopCM не было запущено заданий, осуществляющих аналогичные, описанные выше преобразования, то можно гарантировать, что TopCM осуществляет полный перехват событий.

События, которые могут возникать в процессе работы ИТС, построенной на базе z/OS, и контролироваться монитором TopCM, делятся на четыре класса: это прерывания разных типов, запросы на исполнение управляющих функций, реализуемые с помощью привилегированных команд процессора, запросы на исполнение системных функций, реализуемые с помощью непривилегированной команды процессора SVC (Supervisor Call), а также запросы на исполнение неизвестных команд процессора.

Любые логические события в вычислительной системе, например: вход нового пользователя в систему, активизация задачи, переключение задач, запрос программы на выполнение некоторой системной функции, доступ к ресурсам (логическим или физическим), запрос на передачу или прием информации от внешнего устройства в конфигурации или удаленного устройства по сети, раскладываются в некоторую последовательность физических событий. Например, инициирование и завершение запроса на ввод/вывод данных всегда сопровождается выдачей последовательности команд ввода/вывода, которые являются привилегированными командами процессора, и последующим прерыванием ввода/вывода (одним или несколькими).

Возможность фильтрации запросов на исполнение неизвестных команд процессора позволяет реализовать в системе только документированные функции и достигнуть принципиально нового уровня обеспечения безопасности, полностью отказавшись от предварительного исследования исходных кодов z/OS и приложений, заменяя их динамической фильтрацией событий в TopCM.

Таким образом, для сертификации решений в области безопасности, включающих TopCM необходимо:

- обеспечить запуск TopCM до других аналогичных перехватчиков событий;

- обеспечить неизменность загружаемого кода TopCM и управляющих массивов данных, обеспечивающих его настройки;

- верифицировать код TopCM на предмет его корректного функционирования в части обработки фильтруемых событий;

- гарантировать работоспособность TopCM в течение всего времени работы;

- гарантировать с заданной вероятностью невозможность влияния сбоев оборудования и ошибок на работу TopCM.

Кроме того, TopCM может позволить проводить деталированный аудит системы, фиксируя цепочки событий, связанные с определенными операциями более высоких уровней иерархии. В связи с этим целесообразно рассматривать режим «мягкого администрирования», когда цепочки событий только фиксируются.

Таким образом, данная стратегия позволяет добиться принципиально нового качества доверия к операционной системе z/OS, отказаться от изучения большого объема исходных кодов (в данном случае необходимо изучить только процедуры начальной загрузки ОС и порождение процессов, поскольку TopCM стартует первоначально как процесс) и гарантировать выполнение практически любой заданной политики безопасности.

На указанную технологию в начале 2010 г. поданы заявки на получение российских и евразийских патентов, в 2011 г. согласовано техническое задание и разработан отчет по тематическим исследованиям «Повышение уровня доверия, доработка и подготовка материалов для сертификационных испытаний автоматизированных информационных систем типовой архитектуры, построенных на аппаратно-программной платформе корпорации IBM»

В рамках данной работы рассматривается поэтапное повышение уровня доверия (от уровня АК2 до уровня АК3), доработка и подготовка материалов для сертификационных испытаний автоматизированных информационных систем (АИС) типовой архитектуры, построенных на аппаратно-программной платформе корпорации IBM для обеспечения соответствия "Требованиям по защите конфиденциальной информации от несанкционированного доступа в автоматизированных информационных системах, расположенных на территории Российской Федерации".

В состав АИС входят следующие компоненты:

- операционная система z/OS V1.11 производства фирмы IВМ (ЕСБМ.425360.001 -ТУ, код ОКП 425360);

- гипервизор виртуальных машин РR/SM (LPAR) производства фирмы IBM (ЕСБМ.425360.002-ТУ, код ОКП 425360);

- монитор ТорСМ V1.1 производства ЗАО «ЕС-лизинг» (ЕСБМ.425251.001-ТУ, код ОКП 425251).

В рамках данного технического задания рассматривается типовая архитектура ИТС, состоящей из одного или нескольких серверов на аппаратной платформе IBM System Z, на которых установлены перечисленные выше компоненты, представляющую собой однородную локальную вычислительную сеть, изолированную от сетей общего пользования и полностью расположенную на контролируемой территории. При этом в составе АИС выделены рабочие места, также размещенные в рамках контролируемой территории, предназначенные для управления вычислительным процессом в АИС. Информация, предназначенная для обработки в описанной АИС поступает извне в виде объектов фиксированного формата, защищенных с использованием сертифицированных средств криптографической защиты информации (СКЗИ) и отправляется вовне также в виде объектов, защищенных с использование сертифицированных СКЗИ. Работа проводится с учетом того, что указанные АИС эксплуатируются преимущественно в Банке России с учетом принятых в нем организационно-технических мер эксплуатации и защиты информации.

Щербаков А.Ю.