Главная страница
Навигация по странице:

  • Идентификация и аутентификация.

  • 2. Разграничение доступа.

  • 3. Аудит

  • 5. Криптографические функции.

  • Персональный идентификационный номер PIN

  • Динамический (одноразовый) пароль

  • Сертификаты и электронные подписи

  • Авторизация субъекта доступа

  • Разграничение доступа к объектам операционной системы.

  • Методом доступа к объекту

  • Разграничением доступа субъектов к объектам

  • Правила разграничения доступа

  • Основные модели разграничения доступа.

  • Избирательное разграничение доступа

  • Список прав доступа ACL.

  • Изолированная программная среда.

  • Полномочное разграничение доступа с контролем информационных потоков.

  • Сравнительный анализ моделей разграничения доступа

  • Управление политикой безопасности, криптографические и сетевые

    		•

    лекция. 6)Лекция 6 28.02.2022. Лекция 6 Архитектура подсистемы защиты операционной системы


    Скачать 151.36 Kb.
    НазваниеЛекция 6 Архитектура подсистемы защиты операционной системы
    Анкорлекция
    Дата05.03.2022
    Размер151.36 Kb.
    Формат файлаdocx
    Имя файла6)Лекция 6 28.02.2022.docx
    ТипЛекция
    #383840

    28.02.2022 Лекция 6

    Архитектура подсистемы защиты операционной системы

    Основные функции подсистемы защиты операционной системы.

    Подсистема защиты ОС выполняет следующие основные функции:

    1. Идентификация и аутентификация. Ни один пользователь не мо-

    жет начать работу с операционной системой, не идентифицировав себя и не

    предоставив системе аутентифицирующую информацию, подтверждающую,

    что пользователь действительно является тем, кем он себя заявляет.

    2. Разграничение доступа. Каждый пользователь системы имеет до-

    ступ только к тем объектам ОС, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.

    3. Аудит. Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы.

    4. Управление политикой безопасности. Политика безопасности

    должна постоянно поддерживаться в адекватном состоянии, то есть должна

    гибко реагировать на изменения условий функционирования ОС. Управление

    политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему.

    5. Криптографические функции. Защита информации немыслима без

    использования криптографических средств защиты. Шифрование используется в ОС при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.

    6. Сетевые функции. Современные ОС, как правило, работают не

    изолированно, а в составе локальных и(или) глобальных компьютерных сетей.ОС компьютеров, входящих в одну сеть, взаимодействуют между собой для решения различных задач, в том числе и задач, имеющих прямое отношение кзащите информации. Подсистема защиты обычно не представляет собой единый программный модуль. Как правило, каждая из перечисленных функций подсистемы защиты решается одним или несколькими программными модулями. Некоторые функции встраиваются непосредственно в ядро ОС. Между различными модулями подсистемы защиты должен существовать четко определенный интерфейс, используемый при взаимодействии модулей для решения общих задач.

    В таких операционных системах, например в Windows 7, подсистема защиты четко выделяется в общей архитектуре ОС; в других, как UNIX, защитные функции распределены практически по всем элементам операционной системы. Однако любая ОС, удовлетворяющая стандарту защищенности, должна содержать подсистему защиты, выполняющую все вышеперечисленные функции. Обычно подсистема защиты ОС допускает расширение дополнительными программными модулями.

    Рассмотрим эти функции подробнее.

    • Идентификация, аутентификация и авторизация субъектов доступа

    В защищенной ОС любой пользователь (субъект доступа), перед тем как

    начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию. Субъектом доступа (или просто субъектом) называют любую

    сущность, способную инициировать выполнение операций над элементами ОС.В частности, пользователи являются субъектами доступа.

    Идентификация субъекта доступа заключается в том, что субъект сообща-

    ет операционной системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.

    Для того чтобы установить, что пользователь именно тот, за кого себя вы-

    дает, в информационных системах предусмотрена процедура аутентификации, задача которой - предотвращение доступа к системе нежелательных лиц.

    Аутентификация субъекта доступа заключается в том, что субъект предо-

    ставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.

    Для подтверждения своей подлинности субъект может предъявлять си-

    стеме разные сущности. В зависимости от предъявляемых субъектом сущно-

    стей процессы аутентификации могут быть разделены на следующие катего-

    рии:

    на основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ;

    на основе обладания чем-либо. Обычно это магнитные карты, смарт- карты, сертификаты и устройства touch memory;

    на основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.). В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.

    Пароль - это то, что знает пользователь и что также знает другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

    Персональный идентификационный номер PIN является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

    Динамический (одноразовый) пароль - это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

    Система запрос-ответ - одна из сторон инициирует аутентификацию с

    помощью посылки другой стороне уникального и непредсказуемого значения

    «запрос», а другая сторона посылает ответ, вычисленный с помощью запроса и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны. (часовой на посту, умножить на пять).

    Сертификаты и электронные подписи - если для аутентификации используются сертификаты, то требуется применение электронных подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией.В рамках Интернета появился ряд коммерческих инфраструктур управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.

    Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта ОС выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. Например,авторизация пользователя в операционной системе UNIX включает в себя порождение процесса, являющегося операционной оболочкой, с которой в дальнейшем будет работать пользователь. В операционной системе Windows 7 авторизация пользователя включает в себя создание маркера доступа пользователя, создание рабочего стола и запуск на нем от имени авторизуемого пользователя процесса Userinit, инициализирующего индивидуальную программную среду пользователя. Авторизация субъекта не относится напрямую к подсистеме защиты операционной системы. В процессе авторизации решаются технические задачи, связанные с организацией начала работы в системе уже идентифицированного и аутентифицированного субъекта доступа. С точки зрения обеспечения безопасности ОС процедуры идентификации и аутентификации являются весьма ответственными. Действительно, если злоумышленник сумел войти в систему от имени другого пользователя, он легко получает доступ ко всем объектам ОС, к которым имеет доступ этот пользователь. Если при этом подсистема аудита генерирует сообщения о событиях, потенциально опасных для безопасности ОС, то в журнал аудита записывается не имя злоумышленника, а имя пользователя, от имени которого злоумышленник работает в системе.

    Наиболее распространенными методами идентификации и аутентификации являются следующие:

    идентификация и аутентификация с помощью имени и пароля;

    идентификация и аутентификация с помощью внешних носителей ключевой информации;

    идентификация и аутентификация с помощью биометрических характеристик пользователей.

    • Разграничение доступа к объектам операционной системы.

    Основными понятиями процесса разграничения доступа к объектам опе-

    рационной системы являются «объект доступа», «метод доступа к объекту» и

    «субъект доступа».

    Объектом доступа (или просто объектом) называют любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Возможность доступа к объектам ОС определяется не только архитектурой операционной системы, но и текущей политикой безопасности. Под объектами доступа понимают как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные ресурсы (файлы, программы, семафоры), то есть все то, доступ к чему контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции.

    Методом доступа к объекту называется операция, определенная для

    объекта. Тип операции зависит от объектов. Например, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а для файлов могут быть определены методы доступа «чтение», «запись» и «добавление» (дописывание информации в конец файла).

    Субъектом доступа называют любую сущность, способную иницииро-

    вать выполнение операций над объектами (обращаться к объектам по некото-

    рым методам доступа). Обычно полагают, что множество субъектов доступа и множество объектов доступа не пересекаются. Иногда к субъектам доступа относят процессы, выполняемые в системе. Однако логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом доступа подразумевают не физического пользователя, работающего с компьютером, а «логического» пользователя, от имени которого выполняются процессы операционной системы.

    Таким образом, объект доступа - это то, к чему осуществляется доступ, субъект доступа - это тот, кто осуществляет доступ, и метод доступа - это то,как осуществляется доступ.Для объекта доступа может быть определен владелец - субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта.Обычно владельцем объекта автоматически назначается субъект, создавший данный объект, в дальнейшем владелец объекта может быть изменен с использованием соответствующего метода доступа к объекту. На владельца, как правило, возлагается ответственность за корректное ограничение прав доступ к данному объекту других субъектов.

    Правом доступа к объекту называют право на выполнение доступа к объекту по некоторому методу или группе методов. Например, если пользователь имеет возможность читать файл, говорят, что он имеет право на чтение этого файла. Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объектам ОС, поддерживающим данный метод доступа.

    Разграничением доступа субъектов к объектам является совокупность

    правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. При избирательном разграничении доступа возможность доступа определена однозначно для каждой тройки субъект-объект-метод, при полномочном разграничении доступа ситуация несколько сложнее.

    Субъекта доступа называют суперпользователем, если он имеет возможность игнорировать правила разграничения доступа к объектам.

    Правила разграничения доступа

    Правила разграничения доступа, действующие в операционной системе,устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок - часть подсистемы защиты операционной системы.

    Правила разграничения доступа должны удовлетворять следующим тре-

    бованиям:

    1. Правила разграничения доступа, принятые в операционной систе-

    ме, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена эта ОС. Иными словами, если согласно правилам организации доступ пользователя к некоторой информации считается несанкционированным, этот доступ должен быть ему запрещен.

    2. Правила разграничения доступа не должны допускать разрушаю-

    щие воздействия субъектов доступа на ОС, выражающиеся в несанкциониро-

    ванном изменении, удалении или другом воздействии на объекты, жизненно

    важные для нормальной работы ОС.

    3. Любой объект доступа должен иметь владельца. Недопустимо при-

    сутствие ничейных объектов - объектов, не имеющих владельца.

    4. Недопустимо присутствие недоступных объектов - объектов, к ко-

    торым не может обратиться ни один субъект доступа ни по одному методу доступа.

    5. Недопустима утечка конфиденциальной информации.

    Основные модели разграничения доступа.

    Существует две основных модели разграничения доступа:

    избирательное (дискреционное) разграничение доступа;

    полномочное (мандатное) разграничение доступа.

    При избирательном разграничении доступа (discretionary access control)

    определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. Большинство операционных систем реализуют именно избирательное разграничение доступа.

    Полномочное разграничение доступа заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда эту модель называют моделью многоуровневой безопасности, предназначенной для хранения секретов.

    Избирательное разграничение доступа

    Система правил избирательного разграничения доступа формулируется

    следующим образом:

    1. Для любого объекта операционной системы существует владелец.

    2. Владелец объекта может произвольно ограничивать доступ других

    субъектов к данному объекту.

    3. Для каждой тройки субъект-объект-метод возможность доступа

    определена однозначно.

    4. Существует хотя бы один привилегированный пользователь (ад-

    министратор), имеющий возможность обратиться к любому объекту по любому методу доступа.

    Этот привилегированный пользователь не может игнорировать разграничение доступа к объектам. Например, в Windows 7 администратор для обращения к чужому объекту (принадлежащему другому субъекту) должен вначале объявить себя владельцем этого объекта, используя привилегию администратора объявлять себя владельцем любого объекта, затем дать себе необходимые права, и только после этого администратор может обратиться к объекту. Последнее требование введено для реализации механизма удаления потенциально недоступных объектов.

    При создании объекта его владельцем назначается субъект, создавший

    данный объект. В дальнейшем субъект, обладающий необходимыми правами, может назначить объекту нового владельца. При этом субъект, изменяющий владельца объекта, может назначить новым владельцем объекта только себя.

    Такое ограничение вводится для того, чтобы владелец объекта не мог отдать «владение» объектом другому субъекту и тем самым снять с себя ответственность за некорректные действия с объектом.

    Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используются такие понятия, как «матрица доступа»и «домен безопасности».

    С концептуальной точки зрения текущее состояние прав доступа при избирательном разграничении доступа описывается матрицей, в строках которой перечислены субъекты доступа, в столбцах - объекты доступа, а в ячейках -операции, которые субъект может выполнить над объектом.

    Домен безопасности (protection domain) определяет набор объектов и типов операций, которые могут производиться над каждым объектом операционной системы.

    Возможность выполнять операции над объектом есть право доступа, каждое из которых есть упорядоченная пара . Таким образом, домен есть набор прав доступа. Например, если домен D имеет право доступа , это означает, что процесс, выполняемый в домене D, может читать или переписывать файл F, но не может выполнять других операций над этим объектом. Пример доменов показан на рис.1



    Рис. 1. Спецификация доступа к ресурсам

    Связь конкретных субъектов, функционирующих в операционных системах, может быть организована следующим образом:

    каждый пользователь может быть доменом. В этом случае набор объектов, к которым может быть организован доступ, зависит от идентификации пользователя;

    каждый процесс может быть доменом. В этом случае набор доступных объектов определяется идентификацией процесса;

    каждая процедура может быть доменом. В этом случае набор доступ-

    ных объектов соответствует локальным переменным, определенным внутри

    процедуры. Когда процедура выполнена, происходит смена домена.

    В ОС UNIX домен связан с пользователем. Каждый пользователь обычно работает со своим набором объектов.

    Модель безопасности, специфицированная выше (см. рис. 1), имеет вид

    матрицы и называется матрицей доступа. Столбцы этой матрицы представляют собой объекты, строки субъекты. В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект. Поскольку реальная матрица доступа очень велика (типичный объем для современной операционной системы составляет несколько десятков мегабайтов),матрицу доступа никогда не хранят в системе в явном виде. В общем случае эта матрица будет разреженной, то есть большинство ее клеток будут пустыми.

    Матрицу доступа можно разложить по столбцам, в результате чего получаются списки прав доступа ACL (access control list). В результате разложения матрицы по строкам получаются мандаты возможностей (capability list или capability tickets).

    Список прав доступа ACL.

    Каждая колонка в матрице может быть реализована как список доступа для одного объекта. Очевидно, что пустые клетки могут не учитываться. В результате для каждого объекта имеем список упорядоченных пар , который определяет все домены с непустыми наборами прав для данного объекта.

    Элементами списка прав доступа ACL могут быть процессы, пользователи или группы пользователей. При реализации широко применяется предо-

    ставление доступа по умолчанию для пользователей, права которых не указа-

    ны. Например, в ОС UNIX все субъекты-пользователи разделены на три группы (владелец, группа и остальные) и для членов каждой группы контролируются операции чтения, записи и исполнения (rwx). В итоге имеем ACL - 9-битовый код, который является атрибутом разнообразных объектов UNIX.

    Мандаты возможностей. Как отмечалось выше, если матрицу доступа

    хранить по строкам, то есть если каждый субъект хранит список объектов и

    для каждого объекта список допустимых операций, то такой способ хранения

    называется «мандаты возможностей» или «перечни возможностей». Каждый пользователь обладает несколькими мандатами и может иметь право передавать их другим. Мандаты могут быть рассеяны по системе и вследствие этого представлять большую угрозу для безопасности, чем списки контроля доступа.

    Их хранение должно быть тщательно продумано. Примерами систем, использующих перечни возможностей, являются Hydra, Cambridge CAP System.

    Избирательное разграничение доступа является наиболее распространенным способом разграничения доступа. Это обусловлено сравнительной простотой реализации избирательного разграничения доступа и необременительностью правил такого разграничения доступа для пользователей. Главное достоинство избирательного разграничения доступа - гибкость; основные недостатки - рассредоточенность управления и сложность централизованного контроля.

    Вместе с тем защищенность операционной системы, подсистема защиты которой реализует только избирательное разграничение доступа, в некоторых случаях может оказаться недостаточной. В частности, в США запрещено хранить информацию, содержащую государственную тайну, в компьютерных системах, поддерживающих только избирательное разграничение доступа.Расширением модели избирательного разграничения доступа является изолированная (или замкнутая) программная среда.

    Изолированная программная среда.

    При использовании изолированной программной среды права субъекта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью которого субъект обращается к объекту. Можно, например, разрешить обращаться к файлам с расширением .doc только программам Word, Word Viewer и WPview.

    Система правил разграничения доступа для модели изолированной программной среды формулируется следующим образом:

    1. Для любого объекта операционной системы существует владелец.

    2. Владелец объекта может произвольно ограничивать доступ других

    субъектов к данному объекту.

    3. Для каждой четверки субъект-объект-метод-процесс возможность

    доступа определена однозначно.

    4. Существует хотя бы один привилегированный пользователь (ад-

    министратор), имеющий возможность обратиться к любому объекту по любому методу.

    5. Для каждого субъекта определен список программ, которые этот

    субъект может запускать.

    Изолированная программная среда существенно повышает защищенность операционной системы от разрушающих программных воздействий, включая программные закладки и компьютерные вирусы. Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе. В то же время изолированная программная среда создает определенные сложности в администрировании операционной системы.Например, при инсталляции нового программного продукта администратор должен модифицировать списки разрешенных программ для пользователей, которые должны иметь возможность работать с этим программным продуктом. Изолированная программная среда не защищает от утечки конфиденциальной информации.

    Полномочное разграничение доступа с контролем информационных

    потоков.

    Полномочное, или мандатное, разграничение доступа (mandatory access

    control) обычно применяется в совокупности с избирательным разграничением доступа. Рассмотрим именно такой случай. Правила разграничения доступа в данной модели формулируются следующим образом:

    1. Для любого объекта операционной системы существует владелец.

    2. Владелец объекта может произвольно ограничивать доступ других

    субъектов к данному объекту.

    3. Для каждой четверки субъект-объект-метод-процесс возможность

    доступа определена однозначно в каждый момент времени. При изменении состояния процесса со временем возможность предоставления доступа также

    может измениться. Вместе с тем в каждый момент времени возможность до-

    ступа определена однозначно. Поскольку права процесса на доступ к объекту

    меняются с течением времени, они должны проверяться не только при открытии объекта, но и перед выполнением над объектом таких операций, как чтение и запись.

    4. Существует хотя бы один привилегированный пользователь (ад-

    министратор), имеющий возможность удалить любой объект.

    5. В множестве объектов выделяется множество объектов полномоч-

    ного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен. Если объект не является объектом полномочного разграничения доступа или если объект несекретен, администратор может обратиться к нему по любому методу, как и в предыдущей модели разграничения доступа.

    6. Каждый субъект доступа имеет уровень допуска. Чем выше число-

    вое значение уровня допуска, тем больший допуск имеет субъект. Нулевое

    значение уровня допуска означает, что субъект не имеет допуска. Обычно

    ненулевое значение допуска назначается только субъектам пользователям и не назначается субъектам, от имени которых выполняются системные процессы.

    7. Доступ субъекта к объекту должен быть запрещен независимо от

    состояния матрицы доступа в следующих случаях:

    объект является объектом полномочного разграничения доступа;

    гриф секретности объекта строго выше уровня допуска субъекта, обращающегося к нему;

    субъект открывает объект в режиме, допускающем чтение информации.

    Это правило называют правилом NRU(Not Read Up - не читать выше).

    8. Каждый процесс операционной системы имеет уровень конфиден-

    циальности, равный максимуму из грифов секретности объектов, открытых

    процессом на протяжении своего существования. Уровень конфиденциально-

    сти фактически представляет собой гриф секретности информации, хранящейся в оперативной памяти процесса.

    9. Доступ субъекта к объекту должен быть запрещен независимо от

    состояния матрицы доступа в следующих случаях:

    объект является объектом полномочного разграничения доступа;

    гриф секретности объекта строго ниже уровня конфиденциальности процесса, обращающегося к нему;

    субъект собирается записывать в объект информацию.

    Это правило разграничения доступа предотвращает утечку секретной ин-

    формации. Это так называемое правило NWD (Not Write Down - не записывать ниже).

    10. Понизить гриф секретности объекта полномочного разграничения

    доступа может только субъект, который имеет доступ к объекту согласно правилу 7; обладает специальной привилегией, позволяющей ему понижать грифы секретности объектов.

    При использовании данной модели разграничения доступа существенно страдает производительность операционной системы, поскольку права доступа к объекту должны проверяться не только при открытии объекта, но и при каждой операции чтения(записи).

    Кроме того, данная модель разграничения доступа создает пользователям определенные неудобства, связанные с тем, что если уровень конфиденциальности процесса строго выше нуля, то вся информация в памяти процесса фактически является секретной и не может быть записана в несекретный объект.

    Если процесс одновременно работает с двумя объектами, только один из которых является секретным, процесс не может записывать информацию из памяти во второй объект. Эта проблема решается посредством использования специального программного интерфейса API для работы с памятью. Области памяти, выделяемые процессам, могут быть описаны как объекты полномочного разграничения доступа, после чего им могут назначаться грифы секретности.

    При чтении секретного файла процесс должен считать содержимое такого файла в секретную область памяти, используя для этого функции операционной системы, гарантирующие невозможность утечки информации. Для работы с секретной областью памяти процесс также должен использовать специальные функции. Поскольку утечка информации из секретных областей памяти в память процесса невозможна, считывание процессом секретной информации в секретные области памяти не отражается на уровне конфиденциальности процесса. Если же процесс считывает секретную информацию в область памяти,не описанную как объект полномочного разграничения доступа, повышается уровень конфиденциальности процесса.

    Из вышеизложенного следует, что пользователи операционных систем,

    реализующих данную модель разграничения доступа, вынуждены использо-

    вать программное обеспечение, разработанное с учетом этой модели. В про-

    тивном случае пользователи будут испытывать серьезные проблемы в про-

    цессе работы с объектами операционной системы, имеющими ненулевой гриф секретности.

    Определенные проблемы вызывает также вопрос о назначении грифов

    секретности создаваемым объектам. Если пользователь создаст новый объект с помощью процесса, имеющего ненулевой уровень конфиденциальности, пользователь вынужден присвоить новому объекту гриф секретности не ниже уровня конфиденциальности процесса. Во многих ситуациях это неудобно.

    Сравнительный анализ моделей разграничения доступа

    Каждая из рассмотренных моделей разграничения доступа имеет свои достоинства и недостатки.

    Таблица 4.1 позволяет провести их сравнительный анализ.

    Как видно из этой таблицы, в большинстве ситуаций применение избирательного разграничения доступа наиболее эффективно. Изолированную программную среду целесообразно использовать в случаях, когда важно обеспечить целостность программ и данных операционной системы. Полномочное разграничение доступа с контролем информационных потоков следует применять в тех случаях, когда для организации чрезвычайно важно обеспечение защищенности системы от несанкционированной утечки информации. В остальных ситуациях применение этой модели нецелесообразно из-за резкого ухудшения эксплуатационных качеств операционной системы.
    Таблица 4.1.

    Характеристика различных моделей разграничения доступа


    Аудит

    Процедура аудита применительно к ОС заключается в регистрации в специальном журнале, называемом журналом аудита, или журналом безопасности,событий, которые могут представлять собой опасность для операционной системы. Пользователи системы, обладающие правом чтения журнала аудита,называются аудиторами.

    Необходимость включения в защищенную операционную систему функций аудита обусловлена следующими обстоятельствами:

    • обнаружение попыток вторжения является важнейшей задачей си-

    стемы защиты, поскольку ее решение позволяет минимизировать

    ущерб от взлома и собирать информацию о методах вторжения;

    • подсистема защиты ОС может не отличить случайные ошиб-

    ки пользователей от злонамеренных действий. Администратор, про-

    сматривая журнал аудита, сможет установить, что произошло при

    вводе пользователем неправильного пароля - ошибка легального

    пользователя или атака злоумышленника. Если пользователь пытал-

    ся угадать пароль 20-30 раз - эго явная попытка подбора пароля;

    • администраторы ОС должны иметь возможность получать инфор-

    мацию не только о текущем состоянии системы, но и о том, как ОС

    функционировала в недавнем прошлом. Такую возможность обеспе-

    чивает журнал аудита;

    • если администратор ОС обнаружил, что против системы проведена

    успешная атака, ему важно выяснить, когда была начата атака и ка-

    ким образом она осуществлялась. Журнал аудита может содержать

    всю необходимую информацию.

    К числу событий, которые могут представлять опасность для операционной системы, обычно относят следующие:

    • вход или выход из системы;

    • операции с файлами (открыть, закрыть, переименовать, удалить);

    • обращение к удаленной системе;

    • смена привилегий или иных атрибутов безопасности (режима до-

    ступа, уровня благонадежности пользователя и т.п.).

    Если фиксировать в журнале аудита все события, объем регистрационной информации, будет расти слишком быстро, что затруднит ее эффективный анализ. Необходимо предусмотреть выборочное протоколирование в отношении как пользователей, так и событий.

    Требования к аудиту

    Подсистема аудита операционной системы должна удовлетворять следующим требованиям:

    1. Добавлять записи в журнал аудита может только операционная си-

    стема. Если предоставить это право какому-то физическому пользователю, этот пользователь получит возможность компрометировать других пользователей,добавляя в журнал аудита соответствующие записи.

    2. Редактировать или удалять отдельные записи в журнале аудита не

    может ни один субъект доступа, в том числе и сама ОС.

    3. Просматривать журнал аудита могут только пользователи, облада-

    ющие соответствующей привилегией.

    4. Очищать журнал аудита могут только пользователи-аудиторы. По-

    сле очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Операционная система должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.

    5. При переполнении журнала аудита ОС аварийно завершает работу

    («зависает»). После перезагрузки работать с системой могут только аудиторы.Операционная система переходит к обычному режиму работы только по-

    сле очистки журнала аудита.

    Для ограничения доступа к журналу аудита должны применяться специальные средства защиты.

    Политика аудита

    Политика аудита - это совокупность правил, определяющих то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обязательно регистрироваться следующие события;

    • попытки входа(выхода) пользователей в(из) систему(ы);

    • попытки изменения списка пользователей;

    • попытки изменения политики безопасности, в том числе и политики

    аудита.

    Окончательный выбор того, какие события должны регистрироваться в

    журнале аудита, а какие не должны, возлагается на аудиторов. При выборе оптимальной политики аудита следует учитывать ожидаемую скорость заполнения журнала аудита. Политика аудита должна оперативно реагировать на изменения в конфигурации операционной системы, в характере хранимой и обрабатываемой информации, и особенно на выявленные попытки атаки операционной системы.В некоторых ОС подсистема аудита помимо записи информации о зарегистрированных событиях в специальный журнал предусматривает возможность интерактивного оповещения аудиторов об этих событиях.

    Управление политикой безопасности, криптографические и сетевые

    функции системы защиты ОС нужно рассмотреть самостоятельно. Приветствуется подготовка доклада по этой теме.

    Заключение

    Рассмотрены проблемы обеспечения безопасности в операционных системах. С какими проблемами сталкиваются организаторы ИС в части

    защиты информации и определили основные способы решения этих проблем.

    На следующей лекции рассмотрим технологии обнаружения атак на КС и технологии защиты от вирусов.

    Контрольные вопросы

    1. В чем отличие фрагментарного и комплексного подхода к

    проблеме обеспечения безопасности КС?

    2. Какие меры нужно предпринять для создания безопасных

    условий функционирования субъектам информационных от-

    ношений?

    3. На какие области информационной безопасности в первую

    очередь должны сконцентрировать свое внимание создатели

    автоматизированных информационных систем?

    4. Какие задачи следует решить для построения комплексной

    защиты от угроз и гарантии выгодного и безопасного ис-

    пользования коммуникационных ресурсов?

    5. Какие методы и средства защиты информации применяются

    для реализации основных функциональных компонентов си-

    стемы безопасности?

    6. Перечислите этапы формирования и поддержание политики

    безопасности ОС.

    7. Перечислите основные функции подсистемы защиты операционной системы.

    написать администратору сайта