Ћекции.ќрг


ѕоиск:




 атегории:

јстрономи€
Ѕиологи€
√еографи€
ƒругие €зыки
»нтернет
»нформатика
»стори€
 ультура
Ћитература
Ћогика
ћатематика
ћедицина
ћеханика
ќхрана труда
ѕедагогика
ѕолитика
ѕраво
ѕсихологи€
–елиги€
–иторика
—оциологи€
—порт
—троительство
“ехнологи€
“ранспорт
‘изика
‘илософи€
‘инансы
’ими€
Ёкологи€
Ёкономика
Ёлектроника

 

 

 

 


”чебно Ц материальное обеспечение




“ ј ћ Ѕ ќ ¬ —   » … √ ќ — ” ƒ ј – — “ ¬ ≈ Ќ Ќ џ …

“ ≈ ’ Ќ » „ ≈ —   » … ” Ќ » ¬ ≈ – — » “ ≈ “

 

 афедра Ђ»нформационных систем и защиты информацииї

 

 

“ема є 7 Ђ“ребовани€ к защите основных операционных системї

Ћекци€ є 11 Ђћеханизмы защиты основных операционных системї

 

ќбсуждено на заседании кафедры

протокол є ____ Ђ____ї____________2011 г.

 

 

“амбов 2011

 

÷ель лекции

ќсновной учебной целью €вл€етс€ формирование представлени€ о механизмах защиты основных операционных систем.

 

—одержание

 

7.1. ћеханизмы защиты операционных систем. 3

7.2. јнализ защищенности современных операционных систем. 8

7.2.1. јнализ выполнени€ современными ќ— формализованных требований к защите информации от Ќ—ƒ.. 8

7.2.2. ќсновные встроенные механизмы защиты ќ— и их недостатки. 9

7.2.3. јнализ существующей статистики угроз дл€ современных универсальных ќ—. —емейства ќ— и обща€ статистика угроз. 14

7.2.4. ќбзор и статистика методов, лежащих в основе атак на современные ќ—.  лассификаци€ методов и их сравнительна€ статистика. 16

 онтрольные вопросы.. 18

 

”чебно Ц материальное обеспечение

1. ѕерсональна€ Ё¬ћ

2. LCD-проектор

3. Ќабор тематических слайдов


7.1. ћеханизмы защиты операционных систем

ќперационна€ система есть специально организованна€ совокупность программ, котора€ управл€ет ресурсами системы (Ё¬ћ, вычислительной системы, других компонентов »¬—) с целью наиболее эффективного их использовани€ и обеспечивает интерфейс пользовател€ с ресурсами.

ќперационные системы, подобно аппаратуре Ё¬ћ, на пути своего развити€ прошли несколько поколений:

ќ— первого поколени€ были направлены на ускорение и упрощение перехода с одной задачи пользовател€ на другую задачу (другого пользовател€), что поставило проблему обеспечени€ безопасности данных, принадлежащих разным задачам.

¬торое поколение ќ— характеризовалось наращиванием программных средств обеспечени€ операций ввода-вывода и стандартизацией обработки прерываний. Ќадежное обеспечение безопасности данных в целом осталось нерешенной проблемой.

  концу 60-х годов начал осуществл€тьс€ переход к мультипроцессорной организации средств ¬“, поэтому проблемы распределени€ ресурсов и их защиты стали более острыми и трудноразрешимыми. –ешение этих проблем привело к соответствующей организации ќ— и широкому применению аппаратных средств защиты (защита пам€ти, аппаратный контроль, диагностика и т.п.).

ќсновной тенденцией развити€ вычислительной техники была и остаетс€ иде€ максимальной доступности ее дл€ пользователей, что входит в противоречие с требованием обеспечени€ безопасности данных.

ѕод механизмами защиты ќ— будем понимать все средства и механизмы защиты данных, функционирующие в составе ќ—. ќперационные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

ѕод безопасностью ќ— будем понимать такое состо€ние ќ—, при котором невозможно случайное или преднамеренное нарушение функционировани€ ќ—, а также нарушение безопасности наход€щихс€ под управлением ќ— ресурсов системы. ”кажем следующие особенности ќ—, которые позвол€ют выделить вопросы обеспечени€ безопасности ќ— в особую категорию:

- управление всеми ресурсами системы;

- наличие встроенных механизмов, которые пр€мо или косвенно вли€ют на безопасность программ и данных, работающих в среде ќ—;

- обеспечение интерфейса пользовател€ с ресурсами системы;

- размеры и сложность ќ—.

Ѕольшинство ќ— обладают дефектами с точки зрени€ обеспечени€ безопасности данных в системе, что обусловлено выполнением задачи обеспечени€ максимальной доступности системы дл€ пользовател€.

–ассмотрим типовые функциональные дефекты ќ—, которые могут привести к созданию каналов утечки данных.

1. »дентификаци€.  аждому ресурсу в системе должно быть присвоено уникальное им€ - идентификатор. ¬о многих системах пользователи не имеют возможности удостоверитьс€ в том, что используемые ими ресурсы действительно принадлежат системе.

2. ѕароли. Ѕольшинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.

3. —писок паролей. ’ранение списка паролей в незашифрованном виде дает возможность его компрометации с последующим Ќ—ƒ к данным.

4. ѕороговые значени€. ƒл€ предотвращени€ попыток несанкционированного входа в систему с помощью подбора парол€ необходимо ограничить число таких попыток, что в некоторых ќ— не предусмотрено.

5. ѕодразумеваемое доверие. ¬о многих случа€х программы ќ— считают, что другие программы работают правильно.

6. ќбща€ пам€ть. ѕри использовании общей пам€ти не всегда после выполнени€ программ очищаютс€ участки оперативной пам€ти (ќѕ).

7. –азрыв св€зи. ¬ случае разрыва св€зи ќ— должна немедленно закончить сеанс работы с пользователем или повторно установить подлинность субъекта.

8. ѕередача параметров по ссылке, а не по значению (при передаче параметров по ссылке возможно сохранение параметров в ќѕ после проверки их корректности, нарушитель может изменить эти данные до их использовани€).

9. —истема может содержать много элементов (например, программ), имеющих различные привилегии.

ќсновной проблемой обеспечени€ безопасности ќ— €вл€етс€ проблема создани€ механизмов контрол€ доступа к ресурсам системы. ѕроцедура контрол€ доступа заключаетс€ в проверке соответстви€ запроса субъекта предоставленным ему правам доступа к ресурсам.  роме того, ќ— содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контрол€ и аудита. ¬ совокупности механизмы контрол€ доступа и вспомогательные средства защиты образуют механизмы управлени€ доступом.

—редства профилактического контрол€ необходимы дл€ отстранени€ пользовател€ от непосредственного выполнени€ критичных с точки зрени€ безопасности данных операций и передачи этих операций под контроль ќ—. ƒл€ обеспечени€ безопасности данных работа с ресурсами системы осуществл€етс€ с помощью специальных программ ќ—, доступ к которым ограничен.

—редства мониторинга осуществл€ют посто€нное ведение регистрационного журнала, в который занос€тс€ записи о всех событи€х в системе. ¬ ќ— могут использоватьс€ средства сигнализации о Ќ—ƒ, которые используютс€ при обнаружении нарушени€ безопасности данных или попыток нарушени€.

 онтроль доступа к данным

ѕри создании механизмов контрол€ доступа необходимо, прежде всего, определить множества субъектов и объектов доступа. —убъектами могут быть, например, пользователи, задани€, процессы и процедуры. ќбъектами - файлы, программы, семафоры, директории, терминалы, каналы св€зи, устройства, блоки ќѕ и т.д. —убъекты могут одновременно рассматриватьс€ и как объекты, поэтому у субъекта могут быть права на доступ к другому субъекту. ¬ конкретном процессе в данный момент времени субъекты €вл€ютс€ активными элементами, а объекты - пассивными.

ƒл€ осуществлени€ доступа к объекту субъект должен обладать соответствующими полномочи€ми. ѕолномочие есть некий символ, обладание которым дает субъекту определенные права доступа по отношению к объекту, область защиты определ€ет права доступа некоторого субъекта ко множеству защищаемых объектов и представл€ет собой совокупность всех полномочий данного субъекта.

ѕри функционировании системы необходимо иметь возможность создавать новые субъекты и объекты. ѕри создании объекта одновременно создаетс€ и полномочие субъектов по использованию этого объекта. —убъект, создавший такое полномочие, может воспользоватьс€ им дл€ осуществлени€ доступа к объекту или же может создать несколько копий полномочи€ дл€ передачи их другим субъектам.

— традиционной точки зрени€ средства управлени€ доступом позвол€ют специфицировать и контролировать действи€, которые субъекты (пользователи и процессы) могут выполн€ть над объектами (информацией и другими компьютерными ресурсами). ¬ данном разделе речь пойдет о логическом управлении доступом, которое, в отличие от физического, реализуетс€ программными средствами. Ћогическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещени€ обслуживани€ неавторизованных пользователей).

–ассмотрим формальную постановку задачи в традиционной трактовке. »меетс€ совокупность субъектов и набор объектов. «адача логического управлени€ доступом состоит в том, чтобы дл€ каждой пары "субъект-объект" определить множество допустимых операций и контролировать выполнение установленного пор€дка.

ќтношение "субъекты-объекты" можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах - объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные услови€ (например, врем€ и место действи€) и разрешенные виды доступа. ‘рагмент матрицы может выгл€деть, например, как показано в табл.9.1:

“аблица 9.1. Ц ‘рагмент матрицы доступа
  ‘айл ѕрограмма Ћини€ св€зи –ел€ционна€ таблица
ѕользователь 1 o r w с системной консоли e rw с 8:00 до 18:00  
ѕользователь 2       a

ќбозначение: "o" - разрешение на передачу прав доступа другим пользовател€м, "r" - чтение, "w" - запись, "e" - выполнение, "a" - добавление информации.

 

“ема логического управлени€ доступом - одна из сложнейших в области информационной безопасности. ƒело в том, что само пон€тие объекта (а тем более видов доступа) мен€етс€ от сервиса к сервису. ƒл€ операционной системы к объектам относ€тс€ файлы, устройства и процессы. ѕрименительно к файлам и устройствам обычно рассматриваютс€ права на чтение, запись, выполнение (дл€ программных файлов), иногда на удаление и добавление. ќтдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владени€). ѕроцессы можно создавать и уничтожать. —овременные операционные системы могут поддерживать и другие объекты.

ƒл€ систем управлени€ рел€ционными базами данных объект - это база данных, таблица, представление, хранима€ процедура.   таблицам применимы операции поиска, добавлени€, модификации и удалени€ данных, у других объектов ¬ результате при задании матрицы доступа нужно принимать во внимание не только принцип распределени€ привилегий дл€ каждого сервиса, но и существующие св€зи между сервисами (приходитс€ заботитьс€ о согласованности разных частей матрицы). јналогична€ трудность возникает при экспорте/импорте данных, когда информаци€ о правах доступа, как правило, тер€етс€ (поскольку на новом сервисе она не имеет смысла). —ледовательно, обмен данными между различными сервисами представл€ет особую опасность с точки зрени€ управлени€ доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботитьс€ о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

ћатрицу доступа, ввиду ее разреженности (большинство клеток - пустые), неразумно хранить в виде двухмерного массива. ќбычно ее хран€т по столбцам, то есть дл€ каждого объекта поддерживаетс€ список "допущенных" субъектов вместе с их правами. Ёлементами списков могут быть имена групп и шаблоны субъектов, что служит большим подспорьем администратору. Ќекоторые проблемы возникают только при удалении субъекта, когда приходитс€ удал€ть его им€ из всех списков доступа; впрочем, эта операци€ производитс€ нечасто.

—писки доступа - исключительно гибкое средство. — их помощью легко выполнить требование о гранул€рности прав с точностью до пользовател€. ѕосредством списков несложно добавить права или €вным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Ѕезусловно, списки €вл€ютс€ лучшим средством произвольного управлени€ доступом.

ѕодавл€ющее большинство операционных систем и систем управлени€ базами данных реализуют именно произвольное управление доступом. ќсновное достоинство произвольного управлени€ - гибкость.   сожалению, у "произвольного" подхода есть р€д недостатков. –ассредоточенность управлени€ доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные операторы или администраторы. »з-за рассе€нности или некомпетентности сотрудника, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи. —ледовательно, произвольность управлени€ должна быть дополнена жестким контролем за реализацией избранной политики безопасности.

¬торой недостаток, который представл€етс€ основным, состоит в том, что права доступа существуют отдельно от данных. Ќичто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее "тро€нским" аналогом. ѕодобна€ "разделенность" прав и данных существенно осложн€ет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

¬озвраща€сь к вопросу представлени€ матрицы доступа, укажем, что дл€ этого можно использовать также функциональный способ, когда матрицу не хран€т в €вном виде, а каждый раз вычисл€ют содержимое соответствующих клеток. Ќапример, при принудительном управлении доступом примен€етс€ сравнение меток безопасности субъекта и объекта.

”добной надстройкой над средствами логического управлени€ доступом €вл€етс€ ограничивающий интерфейс, когда пользовател€ лишают самой возможности попытатьс€ совершить несанкционированные действи€, включив в число видимых ему объектов только те, к которым он имеет доступ. ѕодобный подход обычно реализуют в рамках системы меню (пользователю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ќ— Unix.

ѕри прин€тии решени€ о предоставлении доступа обычно анализируетс€ следующа€ информаци€:

- идентификатор субъекта (идентификатор пользовател€, сетевой адрес компьютера и т.п.). ѕодобные идентификаторы €вл€ютс€ основой произвольного (или дискреционного) управлени€ доступом;

- атрибуты субъекта (метка безопасности, группа пользовател€ и т.п.). ћетки безопасности - основа мандатного управлени€ доступом.

Ќепосредственное управление правами доступа осуществл€етс€ на основе одной из моделей доступа:

Ј матричной модели доступа (модель ’аррисона-–уззо-”льмана)

Ј многоуровневой модели доступа (модель Ѕелла-Ћападулы)

–азработка и практическа€ реализаци€ различных защищенных ќ— привела ’аррисона, –уззо и ”льмана к построению формальной модели защищенных систем. —хема модели ’аррисона, –уззо и ”льмана (HRU- модели) приведена на рис.7.1.

 
 

 

–ис.7.1. —хема модели ’аррисона, –уззо и ”льмана.

 

7.2. јнализ защищенности современных операционных систем

7.2.1. јнализ выполнени€ современными ќ— формализованных требований к защите информации от Ќ—ƒ

јнализировать выполнение современными универсальными ќ— требований, задаваемых дл€ класса защищенности ј— 1¬, не имеет смысла в принципе. ƒл€ большинства ќ— либо полностью не реализуетс€ основной дл€ данных приложений мандатный механизм управлени€ доступом к ресурсам, либо не выполн€етс€ его важнейшее требование Ђƒолжно осуществл€тьс€ управление потоками информации с помощью меток конфиденциальности. ѕри этом уровень конфиденциальности накопител€ должен быть не ниже уровн€ конфиденциальности записываемой на него информацииї. ¬ св€зи с этим далее будем говорить лишь о возможном соответствии средств защиты современных ќ— классу ј— 1√ (защита конфиденциальной информации).

¬ качестве альтернативных реализаций ќ— рассмотрим семейства Unix и Windows (естественно, Windows NT/2000, т.к. о встроенных механизмах защиты ќ— Windows 9x/Me говорить вообще не приходитс€).

—начала остановимс€ на принципиальном, даже можно сказать, концеп≠туальном противоречии между реализованными в ќ— механизмами за≠щиты и прин€тыми формализованными требовани€ми.  онцептуальном в том смысле, что это противоречие характеризует не какой-либо один механизм защиты, а общий подход к построению системы защиты.

ѕротиворечие состоит в принципиальном различии подходов (соответственно требований) к построению схемы администрировани€ механизмов защиты и как следствие, это коренным образом сказываетс€ на формировании общих принципов задани€ и реализации политики безопасности в организации, распределени€ ответственности за защиту информации, а также на определении того, кого относить к потенциальным злоумышленникам (от кого защищать информацию).

ƒл€ иллюстрации из совокупности формализованных требований к системе защиты конфиденциальной информации рассмотрим следующие два требовани€:

- право измен€ть правила разграничени€ доступа (ѕ–ƒ) должно предоставл€тьс€ выделенным субъектам (администрации, службе безопасности и т.д.).

- должны быть предусмотрены средства управлени€, ограничивающие распространени€ прав на доступ.

ƒанные требовани€ жестко регламентируют схему (или модель) администрировани€ механизмов защиты. Ёто должна быть централизованна€ схема, единственным элементом которой выступает выделенный субъект, в частности, администратор (администратор безопасности). ѕри этом конечный пользователь исключен в принципе из схемы администрировани€ механизмов защиты.

ѕри реализации концепции построени€ системы защиты, регламентируемой рассматриваемыми требовани€ми, пользователь не надел€етс€ элементом довери€, т.к. он может считатьс€ потенциальным злоумышленником, что и имеет место на практике.

“еперь в общих чертах рассмотрим концепцию, реализуемую в современных универсальных ќ—. «десь Ђвладельцемї файлового объекта, то есть лицом, получающим право на задание атрибутов (или ѕ–ƒ) доступа к файловому объекту, €вл€етс€ лицо, создающее файловый объект. “.к. файловые объекты создают конечные пользователи, то именно они и назначают ѕ–ƒ к создаваемым им файловым объектам. ƒругими словами, в ќ— реализуетс€ распределенна€ схема назначени€ ѕ–ƒ, где элементами схемы администрировани€ €вл€ютс€ собственно конечные пользователи.

¬ данной схеме пользователь должен надел€тьс€ практически таким же доверием, как и администратор безопасности, при этом нести нар€ду с ним ответственность за обеспечение компьютерной безопасности. ќтметим, что данна€ концепци€ реализуетс€ и большинством современных приложений, в частности —”Ѕƒ, где пользователь может распростран€ть свои права на доступ к защищаемым ресурсам.  роме того, не име€ в полном объеме механизмов защиты компьютерной информации от конечного пользовател€, в рамках данной концепции невозможно рассматривать пользовател€ в качестве потенциального злоумышленника. ј как мы увидим далее, именно с несанкционированными действи€ми пользовател€ на защищаемом компьютере (причем как сознательными, так и нет) св€зана больша€ часть угроз компьютерной безопасности.

ќтметим, что централизованна€ и распределенна€ схемы администрировани€ Ц это две диаметрально противоположные точки зрени€ на защиту, требующие совершенно различных подходов к построению моделей и механизмов защиты. ѕри этом сколько-нибудь гарантированную защиту информации можно реализовать только при прин€тии концепции полностью централизованной схемы администрировани€, это подтверждаетс€ известными угрозами ќ—.

¬озможности моделей, методов и средств защиты будем рассматривать применительно к реализации именно концепции централизованного администрировани€. ќдним из элементов данной концепции €вл€етс€ рассмотрение пользовател€ в качестве потенциального злоумышленника, способного осуществить Ќ—ƒ к защищаемой информации.

7.2.2. ќсновные встроенные механизмы защиты ќ— и их недостатки

 ратко остановимс€ на основных механизмах защиты, встроенных в современные универсальные ќ—. —делаем это применительно к возможности реализации ими прин€той нами дл€ рассмотрени€ концепции защиты конфиденциальной информации.





ѕоделитьс€ с друзь€ми:


ƒата добавлени€: 2016-12-17; ћы поможем в написании ваших работ!; просмотров: 258 | Ќарушение авторских прав


ѕоиск на сайте:

Ћучшие изречени€:

80% успеха - это по€витьс€ в нужном месте в нужное врем€. © ¬уди јллен
==> читать все изречени€...

574 - | 559 -


© 2015-2024 lektsii.org -  онтакты - ѕоследнее добавление

√ен: 0.039 с.