Информационная безопасность
       

Модели угроз


С учетом широкого распространения распределенных систем надо подчеркнуть, что описанные нами приемы повышения надежности компьютеров — особенно в том, что касается конфиденциальности и целостности данных, — имеют как сильные, так и слабые стороны.

В принципе отдельные машины должны быть безусловно стойкими к атакам, совершаемым с помощью программных средств. Точнее говоря, если компьютер оснащен исправными аппаратными средствами, а его программные компоненты правильно сконфигурированы, никакие действия со стороны внешних программ не должны нарушать заданные для него правила контроля доступа. Такая защита сохранить конфиденциальность данных даже при наличии занесенных из Сети вирусов, «троянских коней», «червей» и т.п.

На практике же достижение безусловной стойкости к программным атакам будет в решающей степени зависеть от способности создавать аппаратные и программные компоненты, свободные от ошибок, имеющих отношение к системе безопасности. NGSCB предусматривает меры по сокращению числа опасностей, угрожающих конкурентоспособным с коммерческой точки зрения системам. К примеру, соответствующие решения на уровне архитектуры дают нам возможность исключить из надежной базы обработки данных основную операционную систему, большинство драйверов устройств и BIOS.

С другой стороны, существует целый спектр вариантов физических атак на аппаратные компоненты, которые вполне могут достичь своей цели при наличии у злоумышленников достаточного опыта и вычислительных средств достаточной мощности. Поэтому мы полагаем, что какая-то часть машин все-таки будет взломана.

В худшем случае противник может получить в свое распоряжение все конфиденциальные данные, которые хранились на взломанной машине (запечатанные данные), а также секретный ключ засвидетельствования. Завладение последним позволяет противнику выдавать себя за легитимную систему при взаимодействии с удаленными компьютерами. Если раскрытая информация будет широко использоваться (к примеру, если секретный ключ засвидетельствования будет размещен в Internet), эту информацию можно установить и отозвать ключ засвидетельствования.
В противном случае для выявления нужно будет задействовать какой-нибудь дополнительный механизм, например, проверки аппаратных средств корпоративной сети ответственным за безопасность служащим.

NGSCB гарантирует защиту конфиденциальности и целостности данных, если они хранятся на компьютерах, физический доступ к которым контролирует владелец данных. На практике это означает, что при совершении онлайновых банковских операций, покупок через Сеть и при сохранении различных персональных данных потребители могут рассчитывать на более высокую надежность ПК и на более совершенные средства защиты частной информации.

Столь же благоприятными будут последствия внедрения новой платформы и для корпоративных сетей. Кстати, стоит отметить, что хорошо управляемые корпоративные сети представляют собой распределенные системы, физически доступ к которым находится под контролем организации. В такой среде данные могут быть распределены по группе управляемых корпоративных машин с достаточно высокой степенью уверенности в том, что целостность и конфиденциальность данных не будет нарушена.

Прикладные программы систем NGSCB, предоставляющие конфиденциальные данные машинам, которые расположены в потенциально доступной для представителей недружественных организаций физической среде, должны учитывать возможность взлома некоторых машин и попадания конфиденциальных данных в чужие руки. Вытекающие из этого последствия для таких приложений зависят от множества факторов, которые определяются спецификой самого приложения. Так, если речь идет о предназначенных для широкого распространения и защищенных законом об авторских правах развлекательных приложениях, их дистрибьютор должен исходить из того, что какая-то часть получателей работает на взломанных машинах, и что эти люди могут обойти систему защиты соответствующих копий и заняться их распространением в собственных интересах. Коммерческие последствия этого зависят, помимо прочего, от эффективности избранного канала распространения [11].

Сложность, разнообразие и скорость изменения программной составляющей современных открытых систем противоречат базовым принципам проектирования защищенных систем.


Задача NGSCB состоит в том, чтобы сохранить, обеспечить безопасность и открытость, удовлетворяя в то же время требования коммерчески успешных массовых операционных систем.

С тем, чтобы обеспечить NGSCB соответствующими аппаратными компонентами, Microsoft сотрудничает с большой группой поставщиков оборудования. Основные аппаратные модули нового поколения — такие, как центральные процессоры, наборы микросхем, а также видеокомпоненты и средства ввода — находятся на разных этапах разработки.

Литература



  • B. Lampson, "Protection", Proc. 5th Princeton Symp. Information Sciences and Systems, Princeton Univ., Mar. 1971; reprinted in ACM Operating Systems Review, 1974, Jan.
  • J. McLean, "Security Models", Encyclopedia of Software Engineering, 3rd ed., J. Marciniak, ed., Wiley Press, 1994.
  • E. Meijer, J. Gough, "Technical Overview of the Common Language Runtime", tech. report, Microsoft, 2001; http://research.microsoft.com/~emeijer/Papers/CLR.pdf.
  • P. Johns, "Signing and Marking ActiveX Controls", Developer Network News, 1996. 15 Oct.
  • D.S. Wallach et al., "Extensible Security Architectures for Java", tech. report 546-97, Dept. of Computer Science, Princeton Univ., 1997. Apr.
  • P. England, M. Peinado, "Authenticated Operation of Open Computing Devices", Proc. 7th Australasian Conf. Information Security and Privacy (ACISP), Springer-Verlag, 2002.
  • M. Bellare, C. Namprempre, "Authenticated Encryption: Relations among Notions and Analysis of the Generic Composition Paradigm", Advances in Cryptology, Asiacrypt 00, Springer-Verlag, 2000.
  • B. Lampson et al., "Authentication in Distributed Systems: Theory and Practice", ACM Trans. Computer Systems, 1992. Nov.
  • R. Goldberg, "Survey of Virtual Machine Research", Computer, 1974. June
  • Trusted Computing Platform Alliance, TCPA Main Specification Version 1.1, 2001.
  • P. Biddle et al., "The Darknet and the Future of Content Protection", Proc. 2002 ACM Workshop on Digital Rights Management, Springer-Verlag, 2003.

    Пол Инглэнд (pengland@microsoft.com) — специалист по архитектуре программных средств подразделения Microsoft Security Business Unit. Батлер Лэмпсон (blampson@microsoft.com) — заслуженный инженер подразделения Microsoft Research. Джон Манферделли (jmanfer@microsoft.com) — генеральный менеджер подразделения Microsoft Windows Trusted Platform and Infrastructure. Маркус Пейнадо (marcuspe@microsoft.com) — специалист в области архитектуры. Брайан Уиллман (bryanwi@microsoft.com) — специалист в области программной архитектуры.

    Paul England, Butler Lampson, John Manferdelli, Marcus Peinado, Bryan Willman, A Trusted Open Platform. IEEE Computer, July 2003. IEEE Computer Society, 2003, All rights reserved. Reprinted with permission.


    Содержание раздела