Разработка методов и инструментов информационной безопасности грид-технологий на основе международных стандартов

Оставаясь в рамках системы контроля дискреционногодоступа, операционная среда (ОС) имеет фундаментальное ограничение на распределение доступа процессов к ресурсам, поскольку этот доступ к ресурсам основан на правах доступа пользователя. Это традиционные права чтения/записи/запуска на трех уровнях: владелец, группа-владелец все остальные.

По проекту запланировано разработать инструментарий, позволяющий самой ОС устанавливать права доступа при помощи специально определенных политик. Политики работают на уровне системных вызовов и применяются самим ядром (но можно реализовать и на уровне приложения). Этот инструментарий срабатывает после классической модели безопасности, то есть через этот инструментарий нельзя позволить то, что запрещено правами доступа пользователей/групп. Предлагается описывать политики с помощью специального гибкого языка описания правил доступа. В основном правила инструментария будут «прозрачными» для приложений, и не нужна никакая их модификация. Права можно определять на основе совпадения типа процесса (субъекта) и файла (объекта). Также допустимы другие формы контроля доступа: доступ по ролям и на основе многоуровневой системы безопасности (например, для служебного пользования, секретно, совершенно секретно, особо важно).

Предложено применить такие три режима работы инструментария. Самый простой для работы и поддержки разновидность политики - так называемая «целевая», когда политика описывает n процессов, выполнимых в ОС. Все, что не описано «целевой» политикой, выполняется в домене (с типом) unconfined_t. Процессы, работающие в этом домене, не защищает инструментарий. Поэтому все сторонние приложения будут без осложнений работать в системе с «целевой» политикой в ​​рамках классических разрешений системы контроля дискреционного доступа.

Кроме «целевой» политики, имеющаяся политика с многоуровневой моделью безопасности (с поддержкой модели Bell LaPadula). Третья разновидность политики - «суровая», когда действует принцип наименьших прав: «что не разрешено, то запрещено».

Кроме контроля доступа, будет разработан инструментарий защиты каналов с применением международно механизмов защиты информации, а не морально устаревших материалов СБУ конца 1990-х гг, причем не нормативных документов (стандартов), а только зарегистрированных в Минюсте Украины (разве их за рубежом воспринимают?).

Все разработки основаны на международных стандартах или национальных, гармонизированных с международными, что гарантирует высокий уровень качества результатов и доверия со стороны зарубежных коллег.

Аннотация: 

Цель проекта - разработка в рамках базового прикладного программного обеспечения (БППЗ) уровня информационной безопасности грид-инфраструктуры, с акцентом на целостность и аутентичность данных, с обеспечением 4-го уровня EAL. Этот уровень безопасности будет работать прозрачно для конечного применения, в частности используя политику безопасности с различными возможностями. По результатам разработки 4-х национальных стандартов Украины, гармонизированных с международными: - Предложено набор профилей защиты для обеспечения целостности и подлинности данных в грид-среде, также как основу сертификата Комплексной системы защиты информации, - Предложено применение сертифицированных смарт-карт и токенов как носителей ключевое информации для идентификации и авторизации пользователей Национального грид-среды, - Обосновано рекомендации относительно применения промежуточного программного обеспечения грид-среды (grid middleware) с акцентом на простоту и безопасность применения.