Основные функции, выполняемые подсистемой
защиты операционной системы.
1.Разграничение доступа.Каждый пользователь системы имеет
доступ только к тем объектам операционной
системы, к которым ему предоставлен
доступ в соответствии с текущей политикой
безопасности.
2.Идентификация и
аутентификация.Ни один пользователь
не может начать работу с операционной
системой, не идентифицировав себя и не
предоставив системе аутентифицирующую
информацию, подтверждающую, что
пользователь действительно является
тем, за кого он себя выдает.
3.Аудит.Операционная
система регистрирует в специальном
журнале события, потенциально опасные
для поддержания безопасности системы.
Записи об этих событиях могут просматривать
в дальнейшем только администраторы
операционной системы.
4.Управление политикой
безопасности.Политика безопасности
должна постоянно поддерживаться в
адекватном состоянии, т.е. должна гибко
реагировать на изменения условий
функционирования операционной системы,
требований к защите информации, хранимой
и обрабатываемой в системе, и т.д.
Управление политикой безопасности
осуществляется администраторами системы
с использованием соответствующих
средств, встроенных в операционную
систему.
5.Криптографические
функции.В настоящее время защита
информации немыслима без использования
криптографических средств защиты. В
операционных системах шифрование
используется при хранении и передаче
по каналам связи паролей пользователей
и некоторых других данных, критичных
для безопасности системы.
6.Сетевые функции.Современные операционные системы, как
правило, работают не изолированно, а в
составе локальных и/или глобальных
компьютерных сетей. Операционные системы
компьютеров, входящих в одну сеть,
взаимодействуют между собой для решения
различных задач, в том числе и задач,
имеющих прямое отношение к защите
информации. Подсистема защиты практически
никогда не представляет собой единый
программный модуль. Как правило, каждая
из перечисленных функций подсистемы
защиты решается одним или несколькими
программными модулями. Некоторые функции
встраиваются непосредственно в ядро
операционной системы. Тем не менее
должен существовать четко определенный
интерфейс между различными модулями
подсистемы защиты, используемый при
взаимодействии модулей для решения
общих задач.
В одних операционных системах, как в
WindowsNT,
подсистема защиты четко выделяется в
общей архитектуре операционной системы,
в других, как вUNIX, защитные
функции «размазаны» практически
по всем элементам операционной системы.
Но, однако, любая операционная система,
удовлетворяющая стандарту защищенности
С2 «Оранжевой книги», должна содержать
подсистему защиты, выполняющую все
вышеперечисленные функции.
Обычно подсистема защиты операционной
системы допускает свое расширение
дополнительными программными модулями.
Разграничение доступа к объектам
операционной системы
Основные определения
Объектом доступа(или просто
объектом) будем называть любой элемент
операционной системы, доступ к которому
пользователей и других субъектов доступа
может быть произвольно ограничен.
Ключевым словом в данном определении
является слово «произвольно». Если
правила, ограничивающие доступ субъектов
к некоторому элементу операционной
системы, определены жестко и не допускают
изменения с течением времени, этот
элемент операционной системы мы не
будем считать объектом. Другими словами,
возможность доступа к объектам
операционной системы определяется не
только архитектурой операционной
системы, но и текущей политикой
безопасности.
Методом доступак объекту
называется операция, определенная для
некоторого объекта. Например, для файлов
могут быть определены методы доступа
«чтение», «запись» и «добавление»
(дописывание информации в конец файла).
Субъектом доступа(или просто
субъектом) будем называть любую сущность,
способную инициировать выполнение
операций над объектами (обращаться к
объектам по некоторым методам доступа).
Например, пользователи являются
субъектами доступа.
В литературе, посвященной компьютерной
безопасности, до сих пор не сформировалось
единое представление, что же такое
субъект доступа. Часто множество
субъектов доступа считают подмножеством
множества объектов защищенной системы.
Такой подход эффективен при описании
формальных моделей политики безопасности,
но при рассмотрении конкретных систем
защиты более удобно считать, что множество
субъектов доступа и множество объектов
доступа не пересекаются. Мы будем
придерживаться второго подхода.
Иногда к субъектам доступа относят
процессы, выполняющиеся в системе. Но,
поскольку процессы в операционной
системе выполняются не сами по себе, а
от имени и под управлением пользователей
(прямым или косвенным), логичнее считать
субъектом доступа именно пользователя,
от имени которого выполняется процесс.
Естественно, под субъектом доступа мы
будем подразумевать не физического
пользователя, работающего с компьютером,
а «логического» пользователя, от
имени которого выполняются процессы
операционной системы. Другими словами,
если один физический пользователь может
входить в операционную систему под
двумя различными именами, мы будем
считать, что этим именам соответствуют
два различных субъекта доступа.
Итак, объект доступа -это
то, к чему осуществляется доступ, субъект
доступа -это тот, кто
осуществляет доступ, и метод доступа
-это то, как осуществляется доступ.
Для объекта доступа может быть определен
владелец —субъект, которому принадлежит данный
объект и который несет ответственность
за конфиденциальность содержащейся в
объекте информации, а также за целостность
и доступность объекта. Обычно владельцем
объекта автоматически назначается
субъект, создавший данный объект, в
дальнейшем владелец объекта может быть
изменен с использованием соответствующего
метода доступа к объекту. Владелец
объекта не может быть лишен некоторых
прав на доступ к этому объекту. На
владельца, как правило, возлагается
ответственность за корректное ограничение
прав доступа к данному
объекту других субъектов.
Правом доступа к объектубудем
называть право на выполнение доступа
к объекту по некоторому методу или
группе методов. В последнем случае право
доступа дает субъекту возможность
осуществлять доступ к объекту по любому
методу из данной группы. Говорят, что
субъект имеет некоторое право на доступ
к объекту (или «субъект имеет некоторое
право на объект»), если он имеет
возможность осуществлять доступ к
объекту по соответствующему методу или
группе методов. Например, если пользователь
имеет возможность читать файл, говорят,
что он имеет право на чтение этого файла.
Понятие метода доступа и понятие права
доступа не идентичны. Например, в
операционной системе UNIXправо на запись в файл дает возможность
субъекту обращаться к файлу как по
методу «запись», так и по методу
«добавление», при этом, поскольку
право доступа «добавление» вUNIXотсутствует, невозможно разрешить
субъекту операцию добавления, одновременно
запретив операцию записи.
Говорят, что субъект имеет некоторую
привилегию,если он имеет
право на доступ по некоторому методу
или группе методов ко всем объектам
операционной системы, поддерживающим
данный метод доступа. Например, если
субъект операционной системыWindowsNTимеет привилегию
отлаживать программы, он имеет право
доступа ко всем объектам типа «процесс»
и «поток» по группе методов,
используемых отладчиками при отладке
программ.
Разграничением доступасубъектов
к объектам является совокупность правил,
определяющая для каждой тройки
субъект-объект-метод, разрешен ли доступ
данного субъекта к данному объекту по
данному методу. При избирательном
разграничении доступа возможность
доступа определена однозначно для
каждой тройки субъект-объект-метод, при
полномочном разграничении доступа
ситуация несколько сложнее.
Мы будем называть субъекта доступа
суперпользователем,если
он имеет возможность игнорировать
правила разграничения доступа к объектам.
Правила разграничения доступа
Правила разграничения доступа, действующие
в операционной системе, устанавливаются
администраторами системы при определении
текущей политики безопасности. За
соблюдением этих правил субъектами
доступа следит монитор ссылок
—часть подсистемы защиты
операционной системы.
Правила разграничения доступа должны
удовлетворять следующим требованиям.
1.Правила разграничения
доступа, принятые в операционной системе,
должны соответствовать аналогичным
правилам, принятым в организации, в
которой установлена операционная
система. Другими словами, если согласно
правилам организации доступ пользователя
к некоторой информации считается
несанкционированным, этот доступ должен
быть ему запрещен. Под несанкционированным
доступом здесь подразумевается не
только несанкционированное чтение
информации, но и несанкционированные
изменения, копирование и уничтожение
информации.
2.Правила разграничения
доступа не должны допускать разрушающие
воздействия субъектов доступа, не
обладающих соответствующими
привилегиями, на операционную систему,
выражающиеся в несанкционированном
изменении, удалении или другом воздействии
на объекты, жизненно важные для обеспечения
нормального функционирования операционной
системы.
3.Любой объект доступа
должен иметь владельца. Присутствие
объектов, не имеющих владельца,
недопустимо.
4.Присутствиенедоступных
объектов —объектов,
к которым не может обратиться ни один
субъект доступа ни по одному методу
доступа, непозволительно. Недоступные
объекты фактически бесполезно растрачивают
аппаратные ресурсы компьютера.
5.Утечка конфиденциальной
информации недопустима. Поскольку
защита от этой угрозы труднореализуема,
данное требование предъявляется согласно
«Оранжевой книге» только к системам
класса защищенности В1 и выше.
Типичные модели разграничения доступа
1. Избирательное
разграничение доступа.Система правилизбирательногоилидискреционногоразграничения доступа (discretionaryaccesscontrol)
формулируется следующим образом.
1.Для любого объекта
операционной системы существует
владелец.
2.Владелец объекта может
произвольно ограничивать доступ других
субъектов к данному объекту.
3.Для каждой тройки
субъект-объект-метод возможность доступа
определена однозначно.
4.Существует хотя бы один
привилегированный пользователь
(администратор), имеющий возможность
обратиться к любому объекту по любому
методу доступа. Это не означает, что
этот пользователь может игнорировать
разграничение доступа к объектам и
поэтому является суперпользователем.
Не всегда для реализации возможности
доступа к объекту операционной системы
администратору достаточно просто
обратиться к объекту. Например, вWindowsNTадминистратор для
обращения к чужому (принадлежащему
другому субъекту) объекту должен вначале
объявить себя владельцем этого объекта,
использовав привилегию администратора
объявлять себя владельцем любого
объекта, затем дать себе необходимые
права, и только после этого администратор
может обратиться к объекту. При этом
использование администратором своей
привилегии не остается незамеченным
для прежнего владельца объекта.
Последнее требование введено для
реализации механизма удаления потенциально
недоступных объектов.
При создании объекта его владельцем
назначается субъект, создавший данный
объект. В дальнейшем субъект, обладающий
необходимыми правами, может назначить
объекту нового владельца. Обычно при
изменении владельца объекта допускается
назначать новым владельцем объекта
только субъекта, изменяющего владельца
объекта. Другими словами, субъект,
изменяющий владельца объекта, может
назначить новым владельцем объекта
только себя. Такое ограничение вводится
для того, чтобы владелец объекта не мог
отдать «владение» объектом другому
субъекту и тем самым снять с себя
ответственность за некорректные действия
с объектом.
Дли определения прав доступа субъектов
к объектам при избирательном разграничении
доступа используется матрица доступа.Строки этой матрицы представляют собой
объекты, столбцы -субъекты
(или наоборот). В каждой ячейке матрицы
хранится совокупность прав доступа,
предоставленных данному субъекту на
данный объект.
Поскольку матрица доступа очень велика
(типичный объем для современной
операционной системы составляет
несколько десятков мегабайтов), матрица
доступа никогда не хранится в системе
в явном виде. Для сокращения объема
матрицы доступа используется объединение
субъектов доступа в группы. Права,
предоставленные группе субъектов для
доступа к данному объекту, предоставляются
каждому субъекту группы.
Вместе с каждым объектом доступа хранятся
его атрибуты защиты,описывающие, кто является владельцем
объекта и каковы права доступа к данному
объекту различных субъектов. Атрибуты
защиты фактически представляют собой
совокупность идентификатора владельца
объекта и строку матрицы доступа в
кодированном виде.
На практике используются два способа
кодирования строки матрицы доступа.
1.Вектор доступа(UNIX) — вектор фиксированной
длины, разбитый на несколько подвекторов.
Каждый подвектор описывает права доступа
к данному объекту некоторого субъекта.
С помощью вектора доступа можно описать
права доступа к объекту только
фиксированного числа субъектов, что
накладывает существенные ограничения
на систему разграничения доступа.
2.Список доступа(VAX/VMS,WindowsNT) -список
переменной длины, элементами которого
являются структуры, содержащие:
• идентификатор субъекта;
• права, предоставленные этому субъекту
на данный объект;
• различные флаги и атрибуты.
Фактически вектор доступа представляет
собой список доступа фиксированной
длины и является частным случаем списка
доступа.
Кодирование матрицы доступа в виде
совокупности списков доступа позволяет
реализовать более мощный и гибкий
механизм разграничения доступа, однако
требует гораздо больше оперативной и
дисковой памяти для хранения атрибутов
защиты объекта, усложняет техническую
реализацию правил разграничения доступа
и создает проблему, связанную с тем, что
значения элементов списка доступа могут
противоречить друг другу. Предположим,
один элемент списка доступа разрешает
некоторому пользователю доступ к
объекту, а другой элемент списка запрещает
доступ к объекту группе, в которую входит
этот пользователь. При использовании
списков доступа правила разграничения
доступа должны включать в себя правила
разрешения этих противоречий.
При создании нового объекта владелец
объекта должен определить права доступа
различных субъектов к этому объекту.
Если владелец объекта не сделал этого,
то либо новому объекту назначаются
атрибуты защиты по умолчанию, либо новый
объект наследует атрибуты защиты от
родительского объекта (каталога,
контейнера и т.д.).
Избирательное разграничение доступа
является наиболее распространенным
механизмом разграничения доступа. Это
обусловлено сравнительной простотой
реализации избирательного разграничения
доступа и сравнительной необременительностью
правил избирательного разграничения
доступа для пользователей. Вместе с тем
защищенность операционной системы,
подсистема защиты которой реализует
только избирательное разграничение
доступа, во многих случаях недостаточна
2. Изолированная
программная среда.Изолированнаяилизамкнутая программная
средапредставляет собой расширение
модели избирательного разграничения
доступа. Здесь правила разграничения
доступа формулируются следующим образом.
1.Для любого объекта
операционной системы существует
владелец.
2.Владелец объекта может
произвольно ограничивать доступ других
субъектов к данному объекту.
3.Для каждой четверки
субъект-объект-метод-процесс возможность
доступа определена однозначно.
4.Существует хотя бы один
привилегированный пользователь
(администратор), имеющий возможность
обратиться к любому объекту по любому
методу.
5.Для каждого субъекта
определен список программ, которые этот
субъект может запускать.
При использовании изолированной
программной среды права субъекта на
доступ к объекту определяются не только
правами и привилегиями субъекта, но и
процессом, с помощью которого субъект
обращается к объекту. Можно, например,
разрешить обращаться к файлам с
расширением .docтолько
программамWord,WordViewerиWPview.
Изолированная программная среда
существенно повышает защищенность
операционной системы от разрушающих
программных воздействий, включая
программные закладки и компьютерные
вирусы. Кроме того, при использовании
данной модели повышается защищенность
целостности данных, хранящихся в системе.
В то же время изолированная программная
среда создает определенные сложности
в администрировании операционной
системы. Например, при инсталляции
нового программного продукта администратор
должен модифицировать списки разрешенных
программ для пользователей, которые
должны иметь возможность работать с
этим программным продуктом. Изолированная
программная среда не защищает от утечки
конфиденциальной информации.
3. Полномочное
разграничение доступа без контроля
информационных потоков.Полномочноеилимандатное разграничение
доступа (mandatoryaccesscontrol) обычно применяется
в совокупности с избирательным. При
этом правила разграничения доступа
формулируются следующим образом.
1.Для любого объекта
операционной системы существует
владелец.
2.Владелец объекта может
произвольно ограничивать доступ других
субъектов к данному объекту.
3.Для каждой тройки
субъект-объект-метод возможность доступа
определена однозначно.
4.Существует хотя бы один
привилегированный пользователь
(администратор), имеющий возможность
удалить любой объект.
5.В множестве объектов
доступа операционной системы выделяется
подмножествообъектов полномочного
разграничения доступа.Каждый объект
полномочного разграничения доступа
имеетгриф секретности.Чем выше
числовое значение грифа секретности,
тем секретнее объект. Нулевое значение
грифа секретности означает, что объект
несекретен. Если объект не является
объектом полномочного разграничения
доступа или если объект несекретен,
администратор может обратиться к нему
по любому методу, как и в предыдущей
модели разграничения доступа.
6.Каждый субъект доступа
имеетуровень допуска.Чем
выше числовое значение уровня допуска,
тем больший допуск имеет субъект. Нулевое
значение уровня допуска означает, что
субъект не имеет допуска. Обычно ненулевое
значение допуска назначается только
субъектам-пользователям и не назначается
субъектам, от имени которых выполняются
системные процессы.
7. Если:
-объект является объектом
полномочного разграничения доступа,
-гриф секретности объекта
строго выше уровня допуска субъекта,
обращающегося к нему,
-субъект открывает объект
в режиме, допускающем чтение информации,
то доступ субъекта к объекту запрещен
независимо от состояния матрицы доступа.
К объектам полномочного разграничения
доступа обычно относят только файлы.
Часто множество объектов полномочного
разграничения доступа лежит в множестве
всех файлов, но не совпадает с ним. В
идеале к объектам полномочного
разграничения доступа следует относить
файлы, в которых может храниться секретная
информация, и не относить файлы, в которых
секретная информация храниться не может
(например, файлы программ).
В данной модели разграничения доступа
администраторам операционной системы,
как правило, назначается нулевой уровень
допуска.
Нетрудно заметить, что, за исключением
правила 4,данная модель
сводится к предыдущей. Существенное
отличие ее от предыдущей заключается
в том, что в данной модели администратор
не имеет права читать секретную
информацию, и, таким образом, его права
несколько ограничены по сравнению с
предыдущей моделью.
Поскольку данная модель не дает ощутимых
преимуществ по сравнению с предыдущей
и в то же время существенно сложнее ее
в технической реализации, на практике
данная модель используется крайне
редко.
4. Полномочное
разграничение доступа с контролем
информационных потоков.Как и в
предыдущем случае, мы будем рассматривать
данную модель разграничения доступа в
совокупности с избирательным разграничением
доступа. Правила разграничения доступа
в данной модели формулируются
следующим образом.
1. Для любого объекта операционной
системы существует владелец.
2.Владелец объекта может
произвольно ограничивать доступ других
субъектов к данному объекту.
3.Для каждой четверки
субъект-объект-метод-процесс возможность
к доступа определена однозначно в каждый
момент времени. При изменении состояния
процесса со временем возможность
предоставления доступа также может
измениться, т.е. если в некоторый момент
времени к некоторому объекту разрешен
доступ некоторого субъекта посредством
некоторого процесса, это не означает,
что в другой момент времени доступ тоже
будет разрешен. Вместе с тем в каждый
момент времени возможность доступа
определена однозначно -никаких случайных величин здесь нет.
Поскольку права процесса на доступ к
объекту меняются с течением времени,
они должны проверяться не только при
открытии объекта, но и перед выполнением
над объектом таких операций, как чтение
и запись.
4.Существует хотя бы один
привилегированный пользователь
(администратор), имеющий возможность
удалить любой объект.
5.В множестве объектов
выделяется множествообъектов
полномочного разграничения доступа.Каждый объект полномочного разграничения
доступа имеет гриф секретности. Чем
выше числовое значение грифа секретности,
тем секретнее объект. Нулевое значение
грифа секретности означает, что объект
несекретен. Если объект не является
объектом полномочного разграничения
доступа или если объект несекретен,
администратор может обратиться к нему
по любому методу, как и в предыдущей
модели разграничения доступа.
6.Каждый субъект доступа
имеетуровень допуска.Чем выше
числовое значение уровня допуска, тем
больший допуск имеет субъект. Нулевое
значение уровня допуска означает, что
субъект не имеет допуска. Обычно ненулевое
значение допуска назначается только
субъектам-пользователям и не назначается
субъектам, от имени которых выполняются
системные процессы.
7.Если:
• объект является объектом полномочного
разграничения доступа,
• гриф секретности объекта строго выше
уровня допуска субъекта, обращающегося
к нему,
• субъект
открывает объект в режиме, допускающем
чтение информации, то доступ субъекта
к объекту должен быть запрещен независимо
от состояния матрицы доступа. Это
—
так называемое правило
NRU
(Not
Read
Up-не
читать выше).
8.Каждый процесс операционной
системы имеетуровень конфиденциальности,равный максимуму из грифов секретности
объектов, открытых процессом на протяжении
своего существования. Уровень
конфиденциальности фактически
представляет собой гриф секретности
информации, хранящейся в оперативной
памяти процесса.
9.Если:
• объект является объектом полномочного
разграничения доступа,
• гриф секретности объекта строго ниже
уровня конфиденциальности процесса,
обращающегося к нему,
• субъект собирается записывать в
объект информацию, то доступ субъекта
к объекту должен быть запрещен независимо
от состояния матрицы доступа. Это правило
разграничения доступа предотвращает
утечку секретной информации. Это
-так называемоеправило NWD(NotWriteDown
-не записывать ниже).
10.Понизить гриф секретности
объекта полномочного разграничения
доступа может только субъект, который:
-имеет доступ к объекту
согласно правилу 7;
-обладает специальной
привилегией, позволяющей ему понижать
грифы секретности объектов.
При использовании данной модели
разграничения доступа существенно
страдает производительность операционной
системы, поскольку права доступа к
объекту должны проверяться не только
при открытии объекта, но и при каждой
операции чтения/записи.
Кроме того, данная модель разграничения
доступа создает пользователям определенные
неудобства, связанные с тем, что если
уровень конфиденциальности процесса
строго выше нуля, то вся информация в
памяти процесса фактически является
секретной и не может быть записана в
несекретный объект. Если процесс
одновременно работает с двумя объектами,
только один из которых является секретным,
процесс не может записывать информацию
из памяти во второй объект. Эта проблема
решается посредством использования
специального программного интерфейса
(API) для работы с памятью.
Области памяти, выделяемые процессам,
могут быть описаны как объекты полномочного
разграничения доступа, после чего им
могут назначаться грифы секретности.
При чтении секретного файла процесс
должен считать содержимое такого файла
в секретную область памяти, используя
для этого функции операционной системы,
гарантирующие невозможность утечки
информации. Для работы с секретной
областью памяти процесс также должен
использовать специальные функции.
Поскольку утечка информации из секретных
областей памяти в память процесса
невозможна, считывание процессом
секретной информации в секретные области
памяти не отражается на уровне
конфиденциальности процесса. Если же
процесс считывает секретную информацию
в область памяти, не описанную как объект
полномочного разграничения доступа,
повышается уровень конфиденциальности
процесса.
Пользователи операционных систем,
реализующих данную модель разграничения
доступа, вынуждены использовать
программное обеспечение, разработанное
с учетом этой модели В противном случае
пользователи будут испытывать серьезные
проблемы в процессе работы с объектами
операционной системы, имеющими ненулевой
гриф секретности. Пусть, например,
пользователь работает в среде Windowscустановленным дополнительным
пакетом защиты, реализующим данную
модель разграничения доступа. Пользователь
открывает с помощьюMicrosoftWordдва документа, один из
которых является секретным. Уровень
конфиденциальности процессаwinword.exeповышается, и пользователь теряет
возможность сохранить изменения,
внесенные им в данном сеансе работы в
несекретный документ.
Также вызывает определенные проблемы
вопрос о назначении грифов секретности
создаваемым объектам. Если пользователь
создает новый объект с помощью процесса,
имеющего ненулевой уровень
конфиденциальности, пользователь
вынужден присвоить новому объекту гриф
секретности не ниже уровня конфиденциальности
процесса. Во многих ситуациях это
неудобно.
С этим файлом связано 10 файл(ов). Среди них: 454.docx, 454.docx, физ.docx, Бланк_2.docx, Приложение №6 Инструкция по паспортизации.pdf, авыаываыв.rtf, To begin with (1) (1) (1).docx, Расчет прогонов.docx, ТТА №1 Кейс.docx, Реферат по дисциплине “Физическая культура и спорт” вторая тема .
Показать все связанные файлы
Подборка по базе: КТП Архитектура аппаратных средств.doc, Графика в Делфи лекция.docx, 6. Негативное воздействие компьютера на здоровье человека и спос, ФХМИ ЛЕКЦИЯ 3 МЫТЬЕ ЛАБ. ПОСУДЫ.pptx, Тема 2. Физико-механические и тепловые свойства горных пород ЛЕК, проект Архитектура как образ жизни.docx, Дискретные структуры. Лекция.docx, Проблемы защиты интеллектуальной собственности в Российской Феде, экономика лекция задание (1).pdf, Понятие и виды социальной защиты населения РФ.docx
28.02.2022 Лекция 6
Архитектура подсистемы защиты операционной системы
Основные функции подсистемы защиты операционной системы.
Подсистема защиты ОС выполняет следующие основные функции:
1. Идентификация и аутентификация. Ни один пользователь не мо-
жет начать работу с операционной системой, не идентифицировав себя и не
предоставив системе аутентифицирующую информацию, подтверждающую,
что пользователь действительно является тем, кем он себя заявляет.
2. Разграничение доступа. Каждый пользователь системы имеет до-
ступ только к тем объектам ОС, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.
3. Аудит. Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы.
4. Управление политикой безопасности. Политика безопасности
должна постоянно поддерживаться в адекватном состоянии, то есть должна
гибко реагировать на изменения условий функционирования ОС. Управление
политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему.
5. Криптографические функции. Защита информации немыслима без
использования криптографических средств защиты. Шифрование используется в ОС при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.
6. Сетевые функции. Современные ОС, как правило, работают не
изолированно, а в составе локальных и(или) глобальных компьютерных сетей.ОС компьютеров, входящих в одну сеть, взаимодействуют между собой для решения различных задач, в том числе и задач, имеющих прямое отношение кзащите информации. Подсистема защиты обычно не представляет собой единый программный модуль. Как правило, каждая из перечисленных функций подсистемы защиты решается одним или несколькими программными модулями. Некоторые функции встраиваются непосредственно в ядро ОС. Между различными модулями подсистемы защиты должен существовать четко определенный интерфейс, используемый при взаимодействии модулей для решения общих задач.
В таких операционных системах, например в Windows 7, подсистема защиты четко выделяется в общей архитектуре ОС; в других, как UNIX, защитные функции распределены практически по всем элементам операционной системы. Однако любая ОС, удовлетворяющая стандарту защищенности, должна содержать подсистему защиты, выполняющую все вышеперечисленные функции. Обычно подсистема защиты ОС допускает расширение дополнительными программными модулями.
Рассмотрим эти функции подробнее.
- Идентификация, аутентификация и авторизация субъектов доступа
В защищенной ОС любой пользователь (субъект доступа), перед тем как
начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию. Субъектом доступа (или просто субъектом) называют любую
сущность, способную инициировать выполнение операций над элементами ОС.В частности, пользователи являются субъектами доступа.
Идентификация субъекта доступа заключается в том, что субъект сообща-
ет операционной системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.
Для того чтобы установить, что пользователь именно тот, за кого себя вы-
дает, в информационных системах предусмотрена процедура аутентификации, задача которой — предотвращение доступа к системе нежелательных лиц.
Аутентификация субъекта доступа заключается в том, что субъект предо-
ставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.
Для подтверждения своей подлинности субъект может предъявлять си-
стеме разные сущности. В зависимости от предъявляемых субъектом сущно-
стей процессы аутентификации могут быть разделены на следующие катего-
рии:
на основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ;
на основе обладания чем-либо. Обычно это магнитные карты, смарт- карты, сертификаты и устройства touch memory;
на основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.). В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.
Пароль — это то, что знает пользователь и что также знает другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.
Персональный идентификационный номер PIN является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.
Динамический (одноразовый) пароль — это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.
Система запрос-ответ — одна из сторон инициирует аутентификацию с
помощью посылки другой стороне уникального и непредсказуемого значения
«запрос», а другая сторона посылает ответ, вычисленный с помощью запроса и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны. (часовой на посту, умножить на пять).
Сертификаты и электронные подписи — если для аутентификации используются сертификаты, то требуется применение электронных подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией.В рамках Интернета появился ряд коммерческих инфраструктур управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.
Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта ОС выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. Например,авторизация пользователя в операционной системе UNIX включает в себя порождение процесса, являющегося операционной оболочкой, с которой в дальнейшем будет работать пользователь. В операционной системе Windows 7 авторизация пользователя включает в себя создание маркера доступа пользователя, создание рабочего стола и запуск на нем от имени авторизуемого пользователя процесса Userinit, инициализирующего индивидуальную программную среду пользователя. Авторизация субъекта не относится напрямую к подсистеме защиты операционной системы. В процессе авторизации решаются технические задачи, связанные с организацией начала работы в системе уже идентифицированного и аутентифицированного субъекта доступа. С точки зрения обеспечения безопасности ОС процедуры идентификации и аутентификации являются весьма ответственными. Действительно, если злоумышленник сумел войти в систему от имени другого пользователя, он легко получает доступ ко всем объектам ОС, к которым имеет доступ этот пользователь. Если при этом подсистема аудита генерирует сообщения о событиях, потенциально опасных для безопасности ОС, то в журнал аудита записывается не имя злоумышленника, а имя пользователя, от имени которого злоумышленник работает в системе.
Наиболее распространенными методами идентификации и аутентификации являются следующие:
идентификация и аутентификация с помощью имени и пароля;
идентификация и аутентификация с помощью внешних носителей ключевой информации;
идентификация и аутентификация с помощью биометрических характеристик пользователей.
- Разграничение доступа к объектам операционной системы.
Основными понятиями процесса разграничения доступа к объектам опе-
рационной системы являются «объект доступа», «метод доступа к объекту» и
«субъект доступа».
Объектом доступа (или просто объектом) называют любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Возможность доступа к объектам ОС определяется не только архитектурой операционной системы, но и текущей политикой безопасности. Под объектами доступа понимают как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные ресурсы (файлы, программы, семафоры), то есть все то, доступ к чему контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции.
Методом доступа к объекту называется операция, определенная для
объекта. Тип операции зависит от объектов. Например, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а для файлов могут быть определены методы доступа «чтение», «запись» и «добавление» (дописывание информации в конец файла).
Субъектом доступа называют любую сущность, способную иницииро-
вать выполнение операций над объектами (обращаться к объектам по некото-
рым методам доступа). Обычно полагают, что множество субъектов доступа и множество объектов доступа не пересекаются. Иногда к субъектам доступа относят процессы, выполняемые в системе. Однако логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом доступа подразумевают не физического пользователя, работающего с компьютером, а «логического» пользователя, от имени которого выполняются процессы операционной системы.
Таким образом, объект доступа — это то, к чему осуществляется доступ, субъект доступа — это тот, кто осуществляет доступ, и метод доступа — это то,как осуществляется доступ.Для объекта доступа может быть определен владелец — субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта.Обычно владельцем объекта автоматически назначается субъект, создавший данный объект, в дальнейшем владелец объекта может быть изменен с использованием соответствующего метода доступа к объекту. На владельца, как правило, возлагается ответственность за корректное ограничение прав доступ к данному объекту других субъектов.
Правом доступа к объекту называют право на выполнение доступа к объекту по некоторому методу или группе методов. Например, если пользователь имеет возможность читать файл, говорят, что он имеет право на чтение этого файла. Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объектам ОС, поддерживающим данный метод доступа.
Разграничением доступа субъектов к объектам является совокупность
правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. При избирательном разграничении доступа возможность доступа определена однозначно для каждой тройки субъект-объект-метод, при полномочном разграничении доступа ситуация несколько сложнее.
Субъекта доступа называют суперпользователем, если он имеет возможность игнорировать правила разграничения доступа к объектам.
Правила разграничения доступа
Правила разграничения доступа, действующие в операционной системе,устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок — часть подсистемы защиты операционной системы.
Правила разграничения доступа должны удовлетворять следующим тре-
бованиям:
1. Правила разграничения доступа, принятые в операционной систе-
ме, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена эта ОС. Иными словами, если согласно правилам организации доступ пользователя к некоторой информации считается несанкционированным, этот доступ должен быть ему запрещен.
2. Правила разграничения доступа не должны допускать разрушаю-
щие воздействия субъектов доступа на ОС, выражающиеся в несанкциониро-
ванном изменении, удалении или другом воздействии на объекты, жизненно
важные для нормальной работы ОС.
3. Любой объект доступа должен иметь владельца. Недопустимо при-
сутствие ничейных объектов — объектов, не имеющих владельца.
4. Недопустимо присутствие недоступных объектов — объектов, к ко-
торым не может обратиться ни один субъект доступа ни по одному методу доступа.
5. Недопустима утечка конфиденциальной информации.
Основные модели разграничения доступа.
Существует две основных модели разграничения доступа:
избирательное (дискреционное) разграничение доступа;
полномочное (мандатное) разграничение доступа.
При избирательном разграничении доступа (discretionary access control)
определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. Большинство операционных систем реализуют именно избирательное разграничение доступа.
Полномочное разграничение доступа заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда эту модель называют моделью многоуровневой безопасности, предназначенной для хранения секретов.
Избирательное разграничение доступа
Система правил избирательного разграничения доступа формулируется
следующим образом:
1. Для любого объекта операционной системы существует владелец.
2. Владелец объекта может произвольно ограничивать доступ других
субъектов к данному объекту.
3. Для каждой тройки субъект-объект-метод возможность доступа
определена однозначно.
4. Существует хотя бы один привилегированный пользователь (ад-
министратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Этот привилегированный пользователь не может игнорировать разграничение доступа к объектам. Например, в Windows 7 администратор для обращения к чужому объекту (принадлежащему другому субъекту) должен вначале объявить себя владельцем этого объекта, используя привилегию администратора объявлять себя владельцем любого объекта, затем дать себе необходимые права, и только после этого администратор может обратиться к объекту. Последнее требование введено для реализации механизма удаления потенциально недоступных объектов.
При создании объекта его владельцем назначается субъект, создавший
данный объект. В дальнейшем субъект, обладающий необходимыми правами, может назначить объекту нового владельца. При этом субъект, изменяющий владельца объекта, может назначить новым владельцем объекта только себя.
Такое ограничение вводится для того, чтобы владелец объекта не мог отдать «владение» объектом другому субъекту и тем самым снять с себя ответственность за некорректные действия с объектом.
Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используются такие понятия, как «матрица доступа»и «домен безопасности».
С концептуальной точки зрения текущее состояние прав доступа при избирательном разграничении доступа описывается матрицей, в строках которой перечислены субъекты доступа, в столбцах — объекты доступа, а в ячейках -операции, которые субъект может выполнить над объектом.
Домен безопасности (protection domain) определяет набор объектов и типов операций, которые могут производиться над каждым объектом операционной системы.
Возможность выполнять операции над объектом есть право доступа, каждое из которых есть упорядоченная пара
Основные функции подсистемы защиты ОС
Подсистема защиты ОС выполняет следующие основные функции.
1. Идентификация и аутентификация. Ни один пользователь не может начать работу с ОС, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, кем он себя заявляет.
2. Разграничение доступа. Каждый пользователь системы имеет доступ только к тем объектам ОС, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.
3. Аудит. ОС регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы.
4. Управление политикой безопасности. Политика безопасности должна постоянно поддерживаться в адекватном состоянии, т. е. должна гибко реагировать на изменения условий функционирования ОС. Управление политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в ОС.
5. Криптографические функции. Защита информации немыслима без использования криптографических средств защиты. Шифрование используется в ОС при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.
6. Сетевые функции. Современные ОС, как правило, работают не изолированно, а в составе локальных и/или глобальных компьютерных сетей. ОС компьютеров, входящих в одну сеть, взаимодействуют между собой для решения различных задач, в том числе и задач, имеющих прямое отношение к защите информации.
Подсистема защиты обычно не представляет собой единый программный модуль. Как правило, каждая из перечисленных функций подсистемы защиты решается одним или несколькими программными модулями. Некоторые функции встраиваются непосредственно в ядро ОС. Между различными модулями подсистемы защиты должен существовать четко определенный йнтерфейс, используемый при взаимодействии модулей для решения общих задач.
В таких ОС, как Windows ХР, подсистема защиты четко выделяется в общей архитектуре ОС, в других, как UNIX, защитные функции распределены практически по всем элементам ОС. Однако любая ОС, удовлетворяющая стандарту защищенности, должна содержать подсистему защиты, выполняющую все вышеперечисленные функции. Обычно подсистема зашиты ОС допускает расширение дополнительными программными модулями.
Идентификация, аутентификация и авторизация субъектов доступа
В защищенной ОС любой пользователь (субъект доступа), перед тем как начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию. Субъектом доступа (или просто субъектом) называют любую сущность, способную инициировать выполнение операций над элементами ОС. В частности, пользователи являются субъектами доступа.
Идентификация субъекта доступа заключается в том, что субъект сообщает ОС идентифицирующую информацию о себе (имя, учетный номер и т. д.) и таким образом идентифицирует себя.
Для того чтобы установить, что пользователь именно тот, за кого себя выдает, в информационных системах предусмотрена процедура аутентификации, задача которой — предотвращение доступа к системе нежелательных лиц.
Аутентификация субъекта доступа заключается в том, что субъект предоставляет ОС помимо идентифицирующей информации еще и аутентифицирующую информацию,подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.
Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта ОС выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. Например, авторизация пользователя в операционной системе UNIX включает в себя порождение процесса, являющегося операционной оболочкой, с которой в дальнейшем будет работать пользователь. В ОС Windows NT авторизация пользователя включает в себя создание маркера доступа пользователя, создание рабочего стола и запуск на нем от имени авторизуемого пользователя процесса Userinit, инициализирующего индивидуальную программную среду пользователя. Авторизация субъекта не относится напрямую к подсистеме зашиты ОС. В процессе авторизации решаются технические задачи, связанные с организацией начала работы в системе уже идентифицированного и аутентифицированного субъекта доступа.
С точки зрения обеспечения безопасности ОС процедуры идентификации и аутентификации являются весьма ответственными. Действительно, если злоумышленник сумел войти в систему от имени другого пользователя, он легко получает доступ ко всем объектам ОС, к которым имеет доступ этот пользователь. Если при этом подсистема аудита генерирует сообщения о событиях, потенциально опасных для безопасности ОС, то в журнал аудита записывается не имя злоумышленника, а имя пользователя, от имени которого злоумышленник работает в системе.
Разграничение доступа к объектам ОС
Основными понятиями процесса разграничения доступа к объектам ОС являются объект доступа, метод доступа к объекту и субъект доступа.
Объектом доступа (или просто объектом) называют любой элемент ОС, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Возможность доступа к объектам ОС определяется не только архитектурой ОС, но и текущей политикой безопасности. Под объектами доступа понимают как ресурсы оборудования (процессор, сегменты памяти, принтер, диски и ленты), так и программные ресурсы (файлы, программы, семафоры), т. е. все то, доступ к чему контролируется. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции.
Методом доступа к объекту называется операция, определенная для объекта. Тип операции зависит от объектов. Например, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а для файлов могут быть определены методы доступа «чтение», «запись» и «добавление» (дописывание информации в конец файла).
Субъектом доступа называют любую сущность, способную инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). Обычно полагают, что множество субъектов доступа и множество объектов доступа не пересекаются. Иногда к субъектам доступа относят процессы, выполняющиеся в системе. Однако логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом доступа подразумевают не физического пользователя, работающего с компьютером, а «логического» пользователя, от имени которого выполняются процессы ОС.
Таким образом, объект доступа — это то, к чему осуществляется доступ, субъект доступа — это тот, кто осуществляет доступ, и метод доступа — это то, как осуществляется доступ.
Для объекта доступа может быть определен владелец — субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта.
Обычно владельцем объекта автоматически назначается субъект, создавший данный объект, в дальнейшем владелец объекта может быть изменен с использованием соответствующего метода доступа к объекту. На владельца, как правило, возлагается ответственность за корректное ограничение прав доступа к данному объекту других субъектов.
Правом доступа к объекту называют право на выполнение доступа к объекту по некоторому методу или группе методов. Например, если пользователь имеет возможность читать файл, говорят, что он имеет право на чтение этого файла. Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объектам ОС, поддерживающим данный метод доступа.
Разграничением доступа субъектов к объектам является совокупность правил, определяющая для каждой тройки субъект—объект—метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. При избирательном разграничении доступа возможность доступа определена однозначно для каждой тройки субъект—объект—метод, при полномочном разграничении доступа ситуация несколько сложнее.
Субъекта доступа называют суперпользователем, если он имеет возможность игнорировать правила разграничения доступа к объектам.
Правила разграничения доступа, действующие в ОС, устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок — часть подсистемы защиты ОС.
Правила разграничения доступа должны удовлетворять следующим требованиям:
1. Соответствовать аналогичным правилам, принятым в организации, в которой установлена ОС. Иными словами, если согласно правилам организации доступ пользователя к некоторой информации считается несанкционированным, этот доступ должен быть ему запрещен.
2. Не должны допускать разрушающие воздействия субъектов доступа на ОС, выражающиеся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для нормальной работы ОС.
3. Любой объект доступа должен иметь владельца. Недопустимо присутствие ничейных объектов — объектов, не имеющих владельца.
4. Не допускать присутствия недоступных объектов — объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа.
5. Не допускать утечки конфиденциальной информации.
Существуют две основные модели разграничения доступа:
• избирательное (дискреционное) разграничение доступа;
• полномочное (мандатное) разграничение доступа.
При избирательном разграничении доступа определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. Большинство ОС реализуют именно избирательное разграничение доступа (discretionary access control).
Полномочное разграничение доступа заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда эту модель называют моделью многоуровневой безопасности, предназначенной для хранения секретов.
Избирательное разграничение доступа
Система правил избирательного разграничения доступа формулируется следующим образом.
1. Для любого объекта ОС существует владелец.
2. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
3. Для каждой тройки субъект—объект—метод возможность доступа определена однозначно.
4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Привилегированный пользователь не может игнорировать разграничение доступа к объектам. Например, в Windows NT администратор для обращения к чужому объекту (принадлежащему другому субъекту) должен сначала объявить себя владельцем этого объекта, использовав привилегию администратора объявлять себя владельцем любого объекта, затем дать себе необходимые права и только после этого может обратиться к объекту. Последнее требование введено для реализации механизма удаления потенциально недоступных объектов.
При создании объекта его владельцем назначается субъект, создавший данный объект. В дальнейшем субъект, обладающий необходимыми правами, может назначить объекту нового владельца. При этом субъект, изменяющий владельца объекта, может назначить новым владельцем объекта только себя. Такое ограничение вводится для того, чтобы владелец объекта не мог отдать «владение» объектом другому субъекту и тем самым снять с себя ответственность за некорректные действия с объектом.
Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используются такие понятия, как матрица доступа и домен безопасности.
С концептуальной точки зрения текущее состояние прав доступа при избирательном разграничении доступа описывается матрицей, в строках которой перечислены субъекты доступа, в столбцах — объекты доступа, а в ячейках — операции, которые субъект может выполнить над объектом.
Домен безопасности (protection domain) определяет набор объектов и типов операций, которые могут производиться над каждым объектом ОС.
Возможность выполнять операции над объектом есть право доступа, каждое из которых есть упорядоченная пара <object-name, rights-set>. Таким образом, домен есть набор прав доступа. Например, если домен D имеет право доступа <file F, (read, write)>, это означает, что процесс, выполняемый в домене D, может читать или писать в файл F, но не может выполнять других операций над этим объектом (рис. 8.1).
Объект / Домен | F1 | F2 | F3 | Printer |
D1 | read | execute | ||
D2 | read | |||
D3 | ||||
D4 | read write | read write |
Рис. 8.1. Специфицирование прав доступа к ресурсам
Связь конкретных субъектов, функционирующих в ОС, может быть организована следующим образом:
• каждый пользователь может быть доменом. В этом случае набор объектов, к которым может быть организован доступ, зависит от идентификации пользователя;
• каждый процесс может быть доменом. В этом случае набор доступных объектов определяется идентификацией процесса;
• каждая процедура может быть доменом. В этом случае набор доступных объектов соответствует локальным переменным, определенным внутри процедуры. Заметим, что, когда процедура выполнена, происходит смена домена.
Модель безопасности, специфицированная выше (см. рис. 8.1), имеет вид матрицы и называется матрицей доступа. Столбцы этой матрицы представляют собой объекты, строки — субъекты. В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект.
Поскольку реальная матрица доступа очень велика (типичный объем для современной ОС составляет несколько десятков мегабайтов), матрицу доступа никогда не хранят в системе в явном виде. В общем случае эта матрица будет разреженной, т. е. большинство ее клеток будут пустыми. Матрицу доступа можно разложить по столбцам, в результате чего получаются списки прав доступа ACL (access control list). В результате разложения матрицы по строкам получаются мандаты возможностей (capability list, или capability tickets).
Список прав доступа ACL. Каждая колонка в матрице может быть реализована как список доступа для одного объекта. Очевидно, что пустые клетки могут не учитываться. В результате для каждого объекта имеем список упорядоченных пар <domain, rights-set>, который определяет все домены с непустыми наборами прав для данного объекта.
Элементами списка прав доступа ACL могут быть процессы, пользователи или группы пользователей. При реализации широко применяется предоставление доступа по умолчанию для пользователей, права которых не указаны. Например, в ОС Unix все субъекты-пользователи разделены на три группы (владелец, группа и остальные), и для членов каждой группы контролируются операции чтения, записи и исполнения (rwx). В итоге имеем ACL — 9-битный код, который является атрибутом разнообразных объектов Unix.
Мандаты возможностей. Как отмечалось выше, если матрицу доступа хранить по строкам, т. е. если каждый субъект хранит список объектов и для каждого объекта — список допустимых операций, то такой способ хранения называется «мандаты возможностей» или «перечни возможностей» (capability list). Каждый пользователь обладает несколькими мандатами и может иметь право передавать их другим. Мандаты могут быть рассеяны по системе и вследствие этого представлять большую угрозу для безопасности, чем списки контроля доступа. Их хранение должно быть тщательно продумано.
Избирательное разграничение доступа — наиболее распространенный способ разграничения доступа. Это обусловлено сравнительной простотой его реализации и необременительностью правил такого разграничения доступа для пользователей. Главное достоинство избирательного разграничения доступа — гибкость; основные недостатки — рассредоточенность управления и сложность централизованного контроля.
Вместе с тем, защищенность ОС, подсистема защиты которой реализует только избирательное разграничение доступа, в некоторых случаях может оказаться недостаточной. В частности, в США запрещено хранить информацию, содержащую государственную тайну, в компьютерных системах, поддерживающих только избирательное разграничение доступа.
Расширением модели избирательного разграничения доступа является изолированная (или замкнутая) программная среда.
При использовании изолированной программной среды права субъекта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью которого субъект обращается к объекту. Можно, например, разрешить обращаться к файлам с расширением .doc только программам Word, Word Viewer и WPview.
Изолированная программная среда существенно повышает защищенность операционной системы от разрушающих программных воздействий, включая программные закладки и компьютерные вирусы. Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе.
Полномочное разграничение доступа с контролем информационных потоков
Полномочное, или мандатное, разграничение доступа (mandatory access control) обычно применяется в совокупности с избирательным разграничением доступа. Рассмотрим именно такой случай. Правила разграничения доступа в данной модели формулируются следующим образом.
1. Для любого объекта ОС существует владелец.
2. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
3. Для каждой четверки субъект—объект—метод—процесс возможность доступа определена однозначно в каждый момент времени. При изменении состояния процесса со временем возможность предоставления доступа также может измениться. Вместе с тем, в каждый момент времени возможность доступа определена однозначно. Поскольку права процесса на доступ к объекту меняются с течением времени, они должны проверяться не только при открытии объекта, но и перед выполнением над объектом таких операций, как чтение и запись.
4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект.
5. В множестве объектов выделяется множество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен. Если объект не является объектом полномочного разграничения доступа или если объект несекретен, администратор может обратиться к нему по любому методу, как и в предыдущей модели разграничения доступа.
6. Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска. Обычно ненулевое значение допуска назначается только субъектам-пользователям и не назначается субъектам, от имени которых выполняются системные процессы.
7. Доступ субъекта к объекту должен быть запрещен независимо от состояния матрицы доступа, если:
• объект является объектом полномочного разграничения доступа;
• гриф секретности объекта строго выше уровня допуска субъекта, обращающегося к нему;
• субъект открывает объект в режиме, допускающем чтение информации.
Это правило называют правилом NRU (Not Read Up — не читать выше).
8. Каждый процесс ОС имеет уровень конфиденциальности, равный максимуму из грифов секретности объектов, открытых процессом на протяжении своего существования. Уровень конфиденциальности фактически представляет собой гриф секретности информации, хранящейся в оперативной памяти процесса.
9. Доступ субъекта к объекту должен быть запрещен независимо от состояния матрицы доступа, если:
• объект является объектом полномочного разграничения доступа;
• гриф секретности объекта строго ниже уровня конфиденциальности процесса, обращающегося к нему;
• субъект собирается записывать в объект информацию,
Это правило предотвращает утечку секретной информации; его называют правилом NWD (Not Write Down — не записывать ниже).
10. Понизить гриф секретности объекта полномочного разграничения доступа может только субъект, который:
• имеет доступ к объекту согласно правилу 7;
• обладает специальной привилегией, позволяющей ему понижать грифы секретности объектов.
При использовании данной модели разграничения доступа существенно страдает производительность ОС, поскольку права доступа к объекту должны проверяться не только при открытии объекта, но и при каждой операции чтение/запись. Кроме того, эта модель создает пользователям определенные неудобства: если уровень конфиденциальности процесса строго выше нуля, то вся информация в памяти процесса фактически является секретной и не может быть записана в несекретный объект.
Если процесс одновременно работает с двумя объектами, только один из которых является секретным, то он не может записывать информацию из памяти во второй объект. Эта проблема решается посредством использования специального программного интерфейса API для работы с памятью. Области памяти, выделяемые процессам, могут быть описаны как объекты полномочного разграничения доступа, после чего им могут назначаться грифы секретности.
При чтении секретного файла процесс должен считать содержимое такого файла в секретную область памяти, используя для этого функции ОС, гарантирующие невозможность утечки информации. Для работы с секретной областью памяти процесс также должен использовать специальные функции. Поскольку утечка информации из секретных областей памяти в память процесса невозможна, считывание процессом секретной информации в секретные области памяти не отражается на уровне конфиденциальности процесса. Если же процесс считывает секретную информацию в область памяти, не описанную как объект полномочного разграничения доступа, повышается уровень конфиденциальности процесса.
Из вышеизложенного следует, что пользователи ОС, реализующих данную модель разграничения доступа, вынуждены использовать ПО, разработанное с учетом этой модели. В противном случае они будут испытывать серьезные проблемы в процессе работы с объектами ОС, имеющими ненулевой гриф секретности.
Каждая из рассмотренных моделей разграничения доступа имеет свои достоинства и недостатки.
В большинстве ситуаций применение избирательного разграничения доступа наиболее эффективно. Изолированную программную среду целесообразно использовать в случаях, когда важно обеспечить целостность программ и данных ОС. Полномочное разграничение доступа с контролем информационных потоков следует применять в тех случаях, когда для организации чрезвычайно важно обеспечение защищенности системы от несанкционированной утечки информации. В остальных ситуациях применение этой модели нецелесообразно из-за резкого ухудшения эксплуатационных качеств ОС.
Аудит
Процедура аудита применительно к ОС заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для ОС. Пользователи системы, обладающие правом чтения журнала аудита, называются аудиторами.
Необходимость включения в защищенную ОС функций аудита обусловлена следующими обстоятельствами:
• обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения;
• подсистема защиты ОС может не отличить случайные ошибки пользователей от злонамеренных действий. Администратор, просматривая журнал аудита, сможет установить, что произошло при вводе пользователем неправильного пароля — ошибка легального пользователя или атака злоумышленника. Если пользователь пытался угадать пароль 20—30 раз, то это явная попытка подбора пароля;
• администраторы ОС должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как ОС функционировала в недавнем прошлом. Такую возможность обеспечивает журнал аудита;
• если администратор ОС обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. Журнал аудита может содержать всю необходимую информацию.
К числу событий, которые могут представлять опасность для ОС, обычно относят следующие:
• вход или выход из системы;
• операции с файлами (открыть, закрыть, переименовать, удалить);
• обращение к удаленной системе;
• смену привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).
Если фиксировать в журнале аудита все события, объем регистрационной информации будет расти слишком быстро, что затруднит ее эффективный анализ. Необходимо предусмотреть выборочное протоколирование как в отношении пользователей, так и в отношении событий.
Требования к аудиту. Подсистема аудита ОС должна удовлетворять следующим требованиям.
1. Добавлять записи в журнал аудита может только ОС. Если предоставить это право какому-то физическому пользователю, этот пользователь получит возможность компрометировать других пользователей, добавляя в журнал аудита соответствующие записи.
2. Редактировать или удалять отдельные записи в журнале аудита не может ни один субъект доступа, в том числе и сама ОС.
3. Просматривать журнал аудита могут только пользователи, обладающие соответствующей привилегией.
4. Очищать журнал аудита могут только пользователи-аудиторы. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. ОС должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.
5. При переполнении журнала аудита ОС аварийно завершает работу («зависает»). После перезагрузки работать с системой могут только аудиторы. ОС переходит к обычному режиму работы только после очистки журнала аудита.
Для ограничения доступа к журналу аудита должны применяться специальные средства защиты.
Политика аудита — это совокупность правил, определяющих, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты ОС в журнале аудита должны обязательно регистрироваться следующие события:
• попытки входа/выхода пользователей из системы;
• попытки изменения списка пользователей;
• попытки изменения политики безопасности, в том числе и политики аудита.
Окончательный выбор событий, которые должны регистрироваться в журнале аудита, возлагается на аудиторов. При выборе оптимальной политики аудита следует учитывать ожидаемую скорость заполнения журнала аудита. Политика аудита должна оперативно реагировать на изменения в конфигурации ОС, в характере хранимой и обрабатываемой информации и особенно на выявленные попытки атаки ОС.
В некоторых ОС подсистема аудита помимо записи информации о зарегистрированных событиях в специальный журнал предусматривает возможность интерактивного оповещения аудиторов об этих событиях.
Эта статья была опубликована Пятница, 11 сентября, 2009 at 14:17 в рубрике Обеспечение безопасности операционных систем.
Вы можете следить за ответами через RSS 2.0 feed.
Содержание:
Введение
Сразу после создания первых компьютеров процесс взаимодействия с ними был очень сложным. Далеко не каждый человек мог пользоваться компьютером. Почти для каждого конкретного случая его использования приходилось каждый раз создавать алгоритм необходимых действий. При этом, алгоритм надо было еще и формировать в четком и понятном компьютеру виде. Малейшие ошибки или отклонения от установленных норм приводили к неправильной его работе.
Постепенно компьютерная техника и программы для нее развивались. На определенном этапе этого развития возникли своеобразные суперпрограммы, основным назначением которых было максимальное упрощение взаимодействия человека и компьютера. Безошибочно интерпретируя простые действия человека в понятные компьютеру команды, они давали возможность пользователю в очень простой и наглядной форме буквально пальцем указывать компьютеру что ему необходимо делать.
Сегодня такие суперпрограммы называются операционными системами (сокращенно — ОС) и именно благодаря им компьютерная техника получила такое широкое распространение.
В настоящее время очень удобной и распространенной операционной системой (однако, не единственной) является Windows. Она создана и поддерживается американской компанией Microsoft.
Windows в современном виде возникла не сразу и в своем развитии прошла ряд этапов. Распространенными остаются также некоторые предыдущие версии — Windows XP, Windows Vista, Windows 7. Разница между различными версиями Windows, конечно, довольно существенная. Однако, базовые принципы работы и порядок использования компьютеров с такой операционной системой являются одинаковыми независимо от версий.
Для корпорации Microsoft информационная безопасность пользователей Windows всегда стояла во главе угла и по сей день остается приоритетом номер один. По этому поводу можно иронизировать сколько угодно, однако что правда — то правда. Компания упорно и практически непрерывно (разработка-то идёт чуть ли не во всех часовых поясах!) совершенствует механизмы защиты своих операционных систем и с каждым новым поколением внедряет решения, повышающие уровень безопасности. Ярким примером работы в этом направлении может служить Windows 7 — система, построенная на прочном фундаменте безопасности Windows Vista и вобравшая в себя последние наработки в данной области.
Тема данного курсового проекта — Особенности обеспечения безопасности ОС Windows 7.
Объект исследования – операционная система Windows 7.
Предмет исследования – безопасность операционной системы Windows 7
Этапы решения поставленной цели:
- Изучить описание операционной системы Windows 7
- Изучить особенности информационной безопасности Windows 7
- Изучить настройку информационной безопасности операционной системы Windows 7
Глава 1. Описание операционной системы Windows 7
1.1 Описание ОС Windows 7
Windows NT — это серия, а точнее платформа, на базе которой ведутся разработки ОС. Практически все семейство Windows базируется на этой платформе. Помимо NT есть еще платформа 9х, к которой относится Windows95, Windows98 и WindowsME.
Операционная система Windows 7 принадлежит семейству Windows NT и следует за Windows Vista. Она носит номер 6.1 (Windows 2000 принадлежит номер 5.0, а Windows XP — 5.1, Windows Server 03 года — 5.2, а Windows Vista и Server 08 года — 6.0).
В целом, если описывать данное семейство ОС, то можно сказать, что история ОС Windows делится на 2 части — до выхода Windows Vista и после. Ничего принципиально нового (кроме визуальных эффектов) в интерфейс этой версии своей ОС разработчики Microsoft не привнесли, однако полностью было переписано ядро системы.
Из-за нового ядра была потеряна совместимость со старыми программами (разработка которых остановилась до выхода Vista) и драйверами старых устройств. Этим в большей мере объясняется дурная слава и непопулярность этой версии Windows. В Windows7 разработчики учли ошибки, производители софта и железа уже имели возможность выпускать ПО и оборудование с учётом новых требований ОС, однако большинство старых программ и старого оборудования этой операционной системой уже не поддерживается.
1.2 Совместимость версий Windows
Чтобы выйти из положения (множество промышленных программ не работает в Windows7), в версиях Windows7 Professional, Enterprise и Ultimate есть возможность запускать программы из-под XP-Mode. XP-Mode представляет собой виртуальную машину и образ лицензионной WindowsXP. Правда графические возможности эмуляции находятся на уровне S3 Trio64 без поддержки 3D, то есть самый минимум.
Согласно статистическим данным, уже в декабре 2011 г. эта ОС использовалась 46,1 % пользователей Интернета. А это значит, что она занимает лидирующую позицию в мире по применению, превзойдя по данному показателю даже Windows XP — прежнего лидера. Скачать windows 7 сегодня можете и Вы, чтобы воспользоваться всеми возможностями ОС, которую выбрали для себя миллиарды людей.
Windows 7 официально имеет шесть редакций, среди которых:
1.Начальная windows 7 Starter, которую в большинстве случаев предустановливают на нетбуки.
В этом дистрибутиве практически нет возможности настройки системы. Установлены катастрофические ограничения по аппаратной комплектации ПК. Нет возможности поставить 64-битный вариант ОС, из-за этого факта накладывается ограничение на мощность процессора. Лишь 2 Гигабайта оперативки окажутся задействованными.
Из минусов еще хочется отметить отсутствие возможности изменить стандартный фон рабочего стола. Все окна будут отображаться в непрозрачном режиме (так было на Windows XP). Это не настолько ужасный вариант для юзеров, обладающих крайне устаревшим оборудованием.
2.Домашняя базовая (Windows 7 Home Basic) предназначается исключительно для продажи в развивающихся странах. При условии, что нет необходимости производить тонкую настройку системы, используя лэптоп или стационарный компьютер лишь для деятельности дома, Home Basic – это неплохой выбор. Юзеры могут установить 64-битный вариант системы, в которой реализована поддержка неплохого объёма «оперативки» (до 8 Гигов на 64-х и до 4 на 32-х разрядной). Добавлены такие функции (отличные от Начальной версии), как:
Возможность быстро переключаться между пользователями, что упрощает работу за одним устройством нескольких людей;
Включена функция поддержки двух и более мониторов, очень удобно, если вы пользуетесь несколькими мониторами одновременно;
Есть возможность по смене фона рабочего стола;
Можно пользоваться диспетчером рабочего стола.
Данный вариант не является оптимальным выбором для комфортного пользования Виндовс 7. Здесь определенно не полный набор функциональных возможностей, отсутствует приложение для проигрывания различных медиаматериалов, поддерживается небольшой объём памяти (что является серьёзным недостатком)
3.Домашняя расширенная (Windows 7 Home Premium). Максимальный объем поддерживаемой ОЗУ ограничен 16 Гб, чего достаточно для большинства навороченных компьютерных игр и очень ресурсоёмких приложений. Дистрибутив имеет все функции, которые были представленные в редакциях, описанных выше, а среди дополнительных новшеств имеется следующее:
Полный функционал настройки Aero-интерфейса, есть возможность менять облик ОС до неузнаваемости;
Реализована функция Мультитач, которая будет полезна при использовании планшета или лэптопа с сенсорным экраном. Отлично распознает ввод рукописного текста;
Возможность обработки видеоматериалов, звуковых файлов и фото;
Присутствуют встроенные игры.
4.Профессиональная (Windows 7 Professional). Можно сказать, что здесь, в принципе, нет ограничения на объём оперативной памяти (128 Гб должно хватить на любые, даже самые сложные задачи). ОС Виндовс 7 в данном релизе способна функционировать одновременно с двумя и более процессорами (не путать с ядрами).
Здесь реализованы инструменты, которые окажутся крайне полезными для продвинутого юзера, а также будут приятным бонусом для любителей «поковыряться» в опциях ОС. Есть функционал для созданию резервной копии системы по локальной сети. Его возможно запустить через удалённый доступ.
Появилась функция по созданию эмуляции среды Windows XP. Такой инструментарий будет невероятно полезен пользователям, которые хотят произвести запуск устаревших программных продуктов. Крайне полезно для того, чтобы включить старую компьютерную игру, выпущенную до 2000-х годов.
5.Корпоративная (Windows 7 Enterprise), предназначенная для использования крупными корпоративными клиентами. Совершенно бесплатная трехмесячная версия ОС Windows 7 Корпоративная предоставляется ИТ-специалистам, желающим познакомиться с возможностями Windows 7 в рамках предприятия.
6.Максимальная (Windows 7 ultimate).
Что касается максимального объёма оперативной памяти для Windows 7, он составляет 4 Гб для 32-битных версий, кроме Начальной редакции, поддерживающей до 2 Гб.
Существуют системы отдельного семейства NT — Windows Embedded, используемые в различных программно-технических комплексах: банкоматах, терминалах, медицинских приборах и тому подобное. Будучи основанными на настольных версиях NT, системы Embedded отличаются от первых модифицированным ядром, урезанным функционалом и более низкой стоимостью. Как и у прочих версий Windows, у Windows Embedded есть свои редакции. Например, Windows 7 Embedded распространяется в редакциях POSReady, Compact, Standard и Enterprise.
Для Windows Embedded Standard 7, к примеру, вполне хватит процессора с частотой 1 ГГц и 512 Мб ОЗУ, а вот восьмерку лучше устанавливать на ПК с памятью не менее 1 Гб. Давайте для начала взглянем на Windows 7 Embedded Standard 32-бит.
Основные отличия Windows 7 Embedded
По сути, это та же самая «семерка», но с урезанным функционалом. В ней есть панель управления, встроенный браузер, плеер, набор системных утилит, командная строка и редакторы реестра и групповых политик, стандартные темы оформления, поддерживаются технологии Multitouch, Silverlight и DirectX, EWF и HORM.
Внешне Windows 7 Embedded почти не отличается от десктопной, разве что логотипом и экраном приветствия. В ней отсутствуют некоторые драйвера, отключен файл подкачки, ряд служб и системных компонентов, при установке не создается раздел «Зарезервировано системой», русский язык придется устанавливать отдельно.
Ограничений на инсталляции стороннего ПО нет. Последнее очень важно, так как для полноценной работы с периферийными устройствами может понадобиться установка дополнительных драйверов.
В Windows 7 имеются гибкие настройки User Account Control, характеризующиеся в отличие от версии Vista двумя дополнительными промежуточными состояниями. Присутствует возможность защиты информации на USB-накопителях при помощи Enhanced Storage. Пользователи этой операционной системы могут при помощи функции AppLocker запретить запуск отдельных приложений.
Владелец лицензионной Windows7 любой версии получает следующие преимущества:
- Целостность компонентов системы и правильность защитных настроек. От этого напрямую зависит безопасность Windows, а также стабильность и предсказуемость работы системы и установленных в ней программ. Активаторы и пиратские сборки этого гарантировать не могут, зато могут порождать широкий ассортимент проблем, что мы регулярно наблюдаем на конференции OSZone.net.
- Возможность без усилий поддерживать систему в актуальном состоянии. Обладатели нелицензионных систем, как правило, не пользуются Windows Update, опасаясь, что слетит активация. Тем самым они лишаются встроенной в систему возможности загружать обновления, которые улучшают совместимость приложений, повышают стабильность системы и, главное, обеспечивают ее безопасность. Вообще, Microsoft позволяет загружать исправления безопасности со своего сайта и без проверки подлинности, но ведь туда еще нужно пойти и найти. Доходят далеко не все…
- Техническая поддержка. Если у вас предустановленная система, например, на нетбуке, поддержку осуществляет его производитель. Если же вы обладатель коробочной версии, техническую помощь предоставляет Microsoft. На момент написания этой статьи, Microsoft оказывает поддержку домашним пользователям Windows 7 бесплатно, хотя в центре решений Windows 7 начинать почему-то приходится из раздела «Платные обращения в Службу технической поддержки». На вопросы по электронной почте специалисты поддержки отвечают в течение 24 часов, а в рабочие дни можно задать вопрос в чате или позвонить по телефону 8 800 200-80-01.
- Бесплатная загрузка дополнительных программ. Увидевший свет в прошлом году антивирус Microsoft Security Essentials бесплатен, но для его установки требуется пройти проверку подлинности, а в работе он использует Windows Update. Таким образом, Microsoft предоставляет дополнительные средства защиты тем, кто пользуется легальной системой.
Глава 2. Особенности обеспечения безопасности ОС Windows 7
2.1 Функции безопасности в Windows 7
7 версия компании Microsoft операционной системы Windows, является наиболее эффективной из компьютерных ОС, которые доступна сегодня. Windows 7 удобна и безопасна во всех отношениях.
Хоть в ней и есть элементы пользовательского интерфейса, которые похожи на Windows Vista, «Windows СЕМЬ» имеет уровень безопасности выше, чем в других . В своей статье я хочу проанализировать некоторые функции безопасности в подробностях.
Всего функций безопасности в Windows 7 шесть категорий: BitLocker ,Windows Defender , Windows Firewall, User Account Control , резервное копирование и восстановление, родительский контроль.
Брандмауэр Windows
Вирусы, шпионские программы, хакеры, компьютерные черви, и другие угрозы влияют в компьютер ? Его защитит брандмауэр Windows. Он в Windows 7 более удобен. 3 сетевых профиля (домашний, рабочий, и общественный) поддерживаются в Windows 7 Firewall.
Каждый подходит для каких-то конкретных потребностей. К примеру, если компьютер подключили к сети общего пользования, ( точка доступа Wi-Fi) , можно сделать активным общий профиль сети. Брандмауэр Windows отфильтрует вошедшие соединения, которые будут угрозой безопасности. Так же, при подключении к рабочей среде, при желании вы можете иметь доверенное соединение, его создают через сетевой профиль работы.
Windows Defender
В Windows 7 есть версия Defender, она в использовании легче и проще, чем в Windows Vista. Защитник в Windows 7 входит в Action Center — это утилита, сообщающая о главных системных событиях. Еще версия имеет защитника простых уведомлений и дополнительные параметры сканирования .
Снижено значительно, кроме того, потребление ресурсов . “Очистка системы» — новая функция. Она помогает при помощи одного клика удалить все нежелательные программы.
User Account Control (UAC)
Функция уведомления о любой деятельности, которую возбудила любая программа в системе, и тебуется разрешение системного администратора. Когда такое происходит, UAC в диалоговом окне поиска уведомляет пользователя о деталях входа администратора.
Если же вы системный администратор, то нажимайте “Да” в диалоговом окне, и тогда система поднимет свой уровень доступа. Иначе вам надо связаться с администратором системы и сказать ему выполнить эту задачу для вас. Ну а после окончания задачи, уровень разрешений возвратится к стандартным пользователям. В диалоговом окне UAC есть разные значки уведомлений, они указывают на тип задачи, осуществляемой вами.
BitLocker To Go и
BitLocker . BitLocker — это инструмент шифрования данных. Она доступна в Windows Vista и «Windows СЕМЬ». Но этот инструмент тем не менее является частью только лишь окончательной редакции «Windows СЕМЬ». Он поможет пользователям защищать важную информацию на их компьютерах, инструмент шифрует её с » виртуальным замком «.
Вы сможете блокировать весь жесткий диск с этой утилитой .
После того как включили, программа шифрует автоматически любой из новых файлов, которые сохранены на жестком диске. В «Windows СЕМЬ», инструмент значительно улучшен, и есть еще один вариант, который называется BitLocker To Go, который позволит шифровать переносные устройства хранения данных, (например, внешние жесткие диски и USB-накопители).
Резервное копирование и восстановление
Резервное копирование и восстановление — это чудесный инструмент, который снабжен всеми версиями «Windows». Это поможет застраховать пользователя от потери данных (например, сбои в работе системы).
Благодаря этому инструмента пользователь может сделать резервную копию своих важных данных на оптические приводы или внешние жесткие диски. Ко всему прочему пользователь может воспользоваться вариантом расписания резервного копирования и восстановления, оно автоматизирует процесс резервного копирования, поэтому вам не надо будет беспокоиться вообще об этом [4] .
В изданиях Максимальная и Windows 7 PRO пользователь может создать резервные копии файлов в сетевые папки.
2.2 Система и безопасность Windows 7
К категории Система и безопасность относятся следующие утилиты(рис.1):
Рисунок 1 Утилиты категории Система и безопасность
Проверка состояния компьютера и решения проблем — оценивает безопасность вашего компьютера. На моем компьютере эта утилита не выявила проблем. В основном она определяет следующие проблемы: отсутствие защиты от шпионских программ, если у вас отсутствует антивирус, а также тот факт, что еще ни разу не была произведена архивация файлов. По сути, это не проблемы, а вообще толку от этой утилиты мало. Ничего нового она вам не расскажет.
Рисунок 2 Проверка состояния компьютера и решения проблем
Компонент UAC (User Account Control — контроль пользовательских учетных записей) запрашивает подтверждение действий, которые требуют прав администратора — для защиты от несанкционированного использования компьютера. Впервые этот компонент появился в Windows Vista. При желании UAC можно отключить в панели управления [8].
Раньше разграничение прав («суперпользователь» или обычный пользователь), с которыми выполнялись программы, было только на серверных операционных системах. На пользовательских операционных системах — MS DOS, Windows 3.x, Windows 9х — любая программа могла выполнить любое действие. Например, если программе захочется отформатировать ваш винчестер, то она сделает это.
Сами понимаете, такое положение вещей способствовало распространению вирусов и другого вредоносного программного обеспечения. В Windows NT, ХР (это, кстати, 5-я версия NT) разделение прав было, но пользователи для удобства использовали учетную запись администратора для выполнения ежедневных задач. Но основное правило безопасности гласит: запускай любую программу с минимально возможными правами. Нужно отметить, что некоторые пользователи сознательно работали с правами администратора, а некоторым приходилось это делать, потому что многие программы, ориентированные на Windows 9x, могли работать только с максимальными правами, с минимальными правами они просто не запускались.
В обеспечении компьютерной безопасности участвуют самые разнообразные средства Windows 7. Те, о которых будет упомянуто в данной книге, можно условно разделить на два типа.
Средства локальной безопасности. К ним относятся механизмы разграничения прав доступа пользователей к системе, контроль Windows за выполнением потенциально опасных действий, шифрование диска, строго заданные родительские ограничения для доступа к компьютеру детей, защита от нежелательного ПО, встроенные средства автоматического обновления Windows [11].
Средства сетевой безопасности. Сюда входят программы, препятствующие проникновению через сеть на компьютер вредоносных приложений, а также брандмауэр, блокирующий попытки таких программ установить несанкционированную передачу данных.
По уровню безопасности Windows 7 вместе с Windows Vista с огромным отрывом ушла вперед от своих предшественниц, и это не случайно. Безопасность и надежность при разработке новой операционной системы были поставлены Microsoft во главу угла: на создание принципиально новых технологий защиты и улучшение ранее существовавших было затрачено колоссальное количество времени.
В данной главе описаны важнейшие компоненты Windows 7, обеспечивающие безопасность ее работы. Разбирая тему локальной и сетевой защиты, мы поговорим об учетных записях пользователей, контроле над ними, рассмотрим обновленную функцию родительского контроля, встроенную антишпионскую программу Защитник Windows, брандмауэр Windows и средства автоматического обновления.
Учетные записи пользователей
Система учетных записей была создана для того, чтобы за одним компьютером автономно могли работать несколько пользователей. Входя в систему под собственной учетной записью, каждый пользователь получает в распоряжение набор личных папок и имеет возможность настраивать интерфейс Рабочего стола по своему вкусу, поскольку сделанные изменения не затронут пользователей других учетных записей. Личные папки всех зарегистрированных на компьютере пользователей находятся в папке Пользователи корневого каталога системного раздела диска. Сетевые подключения являются общими для всех учетных записей. Система учетных записей разных типов позволяет разграничить доступ пользователей к настройкам системы, определенным категориям файлов и папок, а также к установленным программам [9].
Учетные записи можно разделить на два типа.
Администратор. Пользователи учетных записей администраторов имеют полный доступ ко всем файлам и папкам на диске, а также вправе изменять любые параметры системы. Кроме того, администраторы обладают возможностью создавать, редактировать и удалять учетные записи других пользователей.
Однако чтобы исключить несанкционированные действия вредоносных программ, связанные с их инсталляцией в систему и изменением ряда настроек, в Windows 7 существует контроль учетных записей пользователей (UAC — User Account Control). При выполнении действий, которые могут повлечь за собой опасные для системы последствия или повлиять на работу других пользователей, всегда появляется окно UAC, где вам нужно подтвердить, что автором изменений являетесь вы и можно продолжить их проведение.
Обычный доступ. Пользователи учетных записей данного типа существенно ограничены в доступе к «недрам» системы. Они могут беспрепятственно работать с разрешенными файлами и папками, с программами, однако устанавливать и удалять приложения, оборудование, менять настройки системы, которые могут затронуть и других пользователей, а также работать с их личными файлами и папками права не имеют. При попытке совершить одно из вышеперечисленных действий появится окно UAC, в котором будет предложено ввести пароль учетной записи администратора. Если он известен пользователю, то дальнейшее продолжение действия будет возможно [10].
Помимо описанных типов учетных записей, на компьютере всегда присутствует учетная запись особого типа — Гость. Она предназначена для входа в систему случайных посетителей компьютера, для которых создание отдельной учетной записи с набором личных папок нецелесообразно. Учетная запись Гость не разрешает изменять параметры системы и работать с папками и файлами других пользователей.
Если на компьютере имеется несколько учетных записей, то при загрузке Windows появится экран входа в систему, на котором вы увидите значки и имена всех учетных записей. Щелкните на значке со своим именем, чтобы выполнить вход. Если на компьютере имеется единственная учетная запись (она всегда является учетной записью администратора), не защищенная паролем, экран приветствия появляться не будет.
Получается, что разработчики создают программы, требующие права администратора, пользователи работают под администратором, поскольку этого требуют используемые программы, а вирусы продолжают плодиться. Чтобы помочь делу, Microsoft разработала средство контроля учетных записей пользователей — UAC.
Если программа запрашивает действие, для выполнения которого требуются права администратора, UAC приостанавливает выполнение программы и спрашивает пользователя, разрешить ли выполнение этой программы? Окно UAC выводится на защищенном рабочем столе, чтобы сама программа не смогла за пользователя щелкнуть по кнопке Да.
Запросы UAC выдаются при изменении реестра, при попытке установки системного времени, изменения меню Пуск и в некоторых других случаях [2].
Компонент UAC можно отключить, хотя этого делать не рекомендуется, но если вы — опытный пользователь и уверены в своих действиях, тогда разберемся, как выключить UAC.
Выполните следующие действия:
1. Выберите команду меню Пуск => Панель управления.
2. Выберите вид Мелкие значки.
3. Выберите Учетные записи пользователей.
4. Выберите команду Изменение параметров контроля учетных записей.
5. Переместите ползунок вниз, выбрав вариант Никогда не уведомлять (см. рисунок).
6. Щелкните по кнопке ОК.
7. Перезагрузите компьютер.
Устранить типичные проблемы компьютера — выводит список утилит (настройка подключения к Интернету, настройка звука и т.д.), позволяющих устранить типичные проблемы.
Восстановление предшествующего состояния компьютера (рис.3) — этому вопросу посвящена глава Система восстановления Windows 7.
Рисунок 3 Восстановление предшествующего состояния компьютера
Не загружается система Windows 7
Предположим, что после каких-то событий (будь-то установка какой-то программы, вирус, редактирование реестра и т.д.) ваша система перестала загружаться. Сразу хочу отметить, что Windows 7 более стабильна, чем ее предшественницы, которые «падали» с завидной регулярностью, но именно благодаря этому и была создана система восстановления Windows, которую очень удобно использовать при необходимости [3].
Разберемся, как работает система восстановления. Перед установкой новой программы или драйвера создается контрольная точка. Контрольная точка — это резервная копия всех важных системных файлов, в том числе файлов реестра. Контрольная точка может быть создана по расписанию, например, раз в неделю, или же вручную. Когда я устанавливаю важную программу, которая тесно интегрируется с системой (например, антивирус, брандмауэр и т.д.), или же обновляю драйвер, я создаю контрольную точку вручную — на всякий случай (позже будет описано, как это сделать).
Итак, что делать, если система больше не запускается? Перезагрузите компьютер — можно нажатием кнопки Reset на корпусе компьютера — теперь уже все равно. При загрузке Windows нажмите клавишу для отображения меню дополнительных вариантов Загрузки (рис.4).
Рисунок 4. Меню дополнительных вариантов Загрузки
Брандмауэр, firewall
Настройка брандмауэра Windows 7. Включение и выключение брандмауэра
Выберите команду меню Пуск => Панель управления => Брандмауэр Windows. Если вы не включили отображение элемента Панель управления как меню в настройках меню Пуск, тогда откройте Панель управления, выберите вид Мелкие значки и запустите утилиту Брандмауэр Windows.
Настройка брандмауэра Windows 7. Включение и выключение брандмауэра
Заблокировать программе доступ в Интернет
Существует два способа запрещения (или разрешения) программе обращаться к Интернету. Первый заключается в том, что вы указываете выполняемый файл программы и «говорите», что этой программе доступ к Интернету запрещен (или разрешен). В этом случае вы запретите (или разрешите) доступ конкретному выполняемому файлу (конкретной программе). Предположим, что вы разрешили доступ к Интернету программе qip.ехе. Если кто-то переименует ее выполняемый файл в qip1.ехе, то доступ к Интернету этой программе будет запрещен, поскольку брандмауэр ничего не знает об этой программе — он знаком только с программой qip.ехе.
Параметры восстановления системы Windows 7
Создание контрольной точки восстановления Windows 7
Создание контрольной точки рекомендуется в следующих ситуациях:
Компьютер хорошо работает, вас все устраивает, почему бы не создать контрольную точку? Я создаю контрольную точку раз в неделю самостоятельно (помимо того сама система создает контрольные точки в автоматическом режиме).
Когда вы запланировали установку новой программы, тесно интегрирующейся с системой.
Когда вы хотите установить новое устройство или обновить драйвер существующего устройства.
Для создания контрольной точки откройте окно Компьютер (с помощью команды Пуск => Компьютер). Щелкните на кнопке Свойства системы. В окне свойств системы щелкните на кнопке Защита системы. В появившемся окне щелкните на кнопке Создать.
Проверка состояния брандмауэра, Разрешение запуска программы через брандмауэр Windows — позволяют просмотреть, как заявлено, состояние брандмауэра и разрешить запуск программы через брандмауэр. Брандмауэр рассматривается в главе Настройка стандартного брандмауэра Windows 7 [1].
Брандмауэр, firewall
Основная задача брандмауэра (другие названия — межсетевой экран, бастион, firewall) — фильтрация пакетов. Брандмауэр просматривает заголовки всех пакетов, которые передаются по сетевым интерфейсам нашего компьютера, и выполняет действия над этими пакетами в соответствии с установленными вами правилами.
Брандмауэр может использоваться как для защиты одного компьютера, например, домашнего компьютера, подключающегося к Интернету, так и для защиты всей сети. В случае с сетью брандмауэр устанавливается на шлюзе — компьютере, который предоставляет доступ остальным компьютерам к Интернету. В этой главе мы не будем рассматривать такие брандмауэры (зачем серверный брандмауэр пользователю ноутбука или персонального компьютера?), а рассмотрим самый стандартный брандмауэр Windows 7, защищающий ваш ноутбук.
Настройка брандмауэра Windows 7. Включение и выключение брандмауэра
Выберите команду меню Пуск => Панель управления => Брандмауэр Windows. Если вы не включили отображение элемента Панель управления как меню в настройках меню Пуск, тогда откройте Панель управления, выберите вид Мелкие значки и запустите утилиту Брандмауэр Windows. Окно брандмауэра Windows изображено на рисунке.
Настройка брандмауэра Windows 7. Включение и выключение брандмауэра
Заблокировать программе доступ в Интернет
Существует два способа запрещения (или разрешения) программе обращаться к Интернету. Первый заключается в том, что вы указываете выполняемый файл программы и «говорите», что этой программе доступ к Интернету запрещен (или разрешен). В этом случае вы запретите (или разрешите) доступ конкретному выполняемому файлу (конкретной программе) [8]. Предположим, что вы разрешили доступ к Интернету программе qip.ехе. Если кто-то переименует ее выполняемый файл в qip1.ехе, то доступ к Интернету этой программе будет запрещен, поскольку брандмауэр ничего не знает об этой программе — он знаком только с программой qip.ехе.
Рисунок 5 Включение и выключение брандмауэра
Включение и выключение брандмауэра
Второй способ запрещения (разрешения) доступа основан на портах. В этом случае вы можете запретить (или разрешить) доступ сразу всем программам определенного класса. Например, сервис ICQ использует порт 5190. Если вы запретите порт 5190, то ни одна программа, использующая этот порт, — будь то qip.exe, qip1.ехе или icq.exe — не сможет получить доступ к Интернету по этому порту. Как по мне, второй способ более надежный, но для этого вам нужно знать порты, которые использует программа. Номер порта можно уточнить в документации по программе или на сайте разработчика программы
В Windows 7 основы безопасности можно изучать с помощью центра поддержки, который подсказывает вам оптимальные настройки для защиты системы. Лучший способ избавиться от напоминаний о недостаточной защите – это выполнение рекомендаций, которые содержатся в уведомлениях центра поддержки [5].
Даже если параметры безопасности Windows 7 настроены оптимальным образом, установка программ, утилит и кодеков все равно сопряжена с риском, поскольку вредоносный код зачастую проникает в систему обманным путем.
Компоненты, использующиеся во время работы системы по своему функциональному наполнению больше всего похожи на антивирусы класса Internet Security. Первым из них является встроенный «антивирус», получивший название Защитник. С некоторых пор в Microsoft осознали, что предлагать пользователю только систему – значит, обрекать его на выход в Интернет без защиты. Поэтому, начиная с Windows 7, появился встроенный антивирус. Его возможности изначально не претендовали на обеспечение высокого уровня защиты пользователя и были ориентированы на то, чтобы «сил хватило» до покупки реального программного обеспечения от производителей. Зачем? Из-за пользователей.
Выпустить антивирусный продукт – это лишь половина успеха. Нужно еще уговорить пользователя его купить. А если он не хочет? Или ленится? Но в этом случае его машина представляет собой угрозу окружающим (будучи заражённой, она может стать частью ботнета, участвовать в рассылке спама и т.д.). Поэтому и нужен антивирус хотя бы минимального базового уровня, чтобы снизить угрозу от компьютера такого пользователя для окружающих.
2.3 Советы по настройке безопасности Windows 7
1. Включите BitLocker
BitLocker Drive Encryption может использоваться для шифрования любого раздела на вашем жестком диске, включая загрузочный, системный и даже съемные носители, такие как USB флешки. Недостатки, которые были в Windows Vista, устранены. Теперь вы можете кликнуть правой кнопкой мыши и зашифровать любой раздел прямо из Windows Explorer. Существует несколько методов защиты, включающие в себя комбинации из чипа TPM (Trusted Platform Module), ПИН-кода, пароля и смарт-карты.
Мне особенно нравится функция шифрования съемных носителей, поддерживающая как NTFS, так и FAT разделы. Вы можете зашифровать съемные носители по отдельности, или потребовать по умолчанию шифровать все съемные устройства. Зашифрованные съемные носители могут быть расшифрованы на любом компьютере с Windows 7, а не только на том, на котором они изначально были зашифрованы. Зашифрованные носители с файловыми системами FAT, exFAT и FAT32 могут также использоваться клиентами Windows XP и Windows Vista, однако зашифрованные данные будут только для чтения и не могут быть перезашифрованы [6].
Полезный совет: храните информацию по восстановлению для BitLocker где-нибудь в безопасном и надежном месте. BitLocker является хорошим средством шифрования, и он может зашифровать ваши данные навсегда, если вы не сможете предоставить ему пароль для восстановления. В большинстве организация следует автоматически бэкапить пользовательские пароли восстановления в Active Directory. Информация по восстановлению для BitLocker хранится как атрибут в Computer Object, поэтому убедитесь, что настроены права доступа пользователя к этим атрибутам в соответствии с правилами безопасности вашей организации.
2. Поднимите ползунок UAC
User Account Control был существенно улучшен, чтобы быть менее назойливым и более эффективным по распознаванию допустимых и потенциально опасных действий в Windows 7. Однако, в зависимости от того, под каким пользователем вы вошли в систему – администратором или стандартным польователем, некоторые установки Windows 7 могут иметь настройки безопасности UAC по умолчанию на уровень ниже, чем некоторые эксперты рекомендуют. Стандартные пользователи имеют настройки безопасности UAC на самом высоком уровне, однако аккаунты администраторов находятся на уровень ниже от максимального, что является потенциально опасным.
Microsoft сделала простой ползунок UAC, что позволяет администраторам и пользователям настраивать их уровень безопасности UAC. После установки всего необходимого программного обеспечения и настройки Windows 7 удобным для вас способом, я рекомендую поднимать ползунок UAC до значения “Всегда уведомлять” (“Always notify”), которое является наиболее безопасным. Даже в режиме “Всегда уведомлять” вам будут реже попадаться оповещения UAC, по сравнению с Windows Vista.
Замечание: Хотя UAC и предоставляет механизм, препятствующий несанкционированному использованию прав админимстратора, его все равно можно обойти. Если вам нужен высокий уровень безопасноси, то не заходите в систему под пользователем с повышенными привилегиями, если в этом нет необходимости.
3. Устанавливайте все обновления
В Windows 7 со стандартными настройками, сервис обновлений Windows Update будет настроен должным образом, чтобы своевременно скачивать и устанавливать критические обновления операционной системы Windows и приложений Microsoft. Многочисленные наблюдения показали, что программное обеспечение Microsoft является одним из наиболее обновляемых в мире. Однако в Windows нет ничего, что могло бы помочь для поддержки обновлений, не являющихся Microsoft. Убедитесь, что все программы обновляются – особенно ваши плагины браузера. Хакеры быстро находят наименее обновляемые программы сторонних разработчиков, чтобы незаметно атаковать конечного пользователя.
4. Установите анти-спам и анти-malware
Набольшую опасность для пользовательских систем представляют трояны – поддельный патч для Outlook, поддельный сканер анти-вируса, поддельный кодек для просмотра видео с Бритни Спирс – так обманывают конечных пользователей для скачивания и запуска вредоносного ПО. Прошли те времена, когда вы могли выделить плохой контент, заметив ошибки в грамматике и неправильное написание. Сегодня могут быть одурачены даже самые осведомленные люди в области безопасности. Пока вы не сможете сказать в чем разница между хорошим и плохим ПО с идеальной точностью, вам следует устанавливать и использовать обновленные анти-спам и анти-malware ПО.
5. Включите фильтр SmartScreen в Internet Explorer 8
При первом запуске IE8, мастер настройки спросит вас, хотите ли вы включить SmartScreen фильтр, который проверяет в локальной базе данных или на сайте Microsoft, является ли просматриваемый веб-сайт разрешенным или вредоносным. Фильтр SmartScreen также проверяет на наличие известных уязвимостей, таких как XSS (межсайтовый скриптинг). При включенном SmartScreen будут небольшие, едва заметные задержки. Разбирающиеся в безопасности пользователи возможно захотят отключить эту настройку, однако большинству пользователей следует убедиться, что она включена. Если у вас уже запущен IE8, включите фильтр SmartScreen, выбрав его в меню Безопасность.
6. Проведите очистку
Со временем большинство систем накапливают все больше и больше программ, зачастую ненужных, что в конечном итоге сказывается на ресурсах оперативной памяти. Без очистки ваша система станет более медленной, более склонной к поломкам и подвергнутой атакам на плохое ПО.
Периодически проверяйте программы и сервисы, работающие в вашей системе, и удаляйте то, что не нужно. Вы можете проверять вашу систему вручную или использовать утилиту, такую как Autoruns от Microsoft, бесплатную для скачивания. Autoruns отобразит весь список программ и сервисов, работающих в системе, и позволит вам отключить то, что не нужно, одним кликом мыши. Прежде чем отключать все подряд, что вам неизвестно, я советую провести исследование – для того, чтобы у вас не было потом непонятных проблем, если вы забудете, что отключили.
7. Делайте бэкапы ваших данных
Все мы давно пользуемся компьютерами и знаем что может случиться. Хорошо иметь гарантию на компьютер на несколько лет, но чтобы минимизировать вред, нанесенный поломкой комьютера – обязательно делайте бэкапы незаменимых данных. Windows 7 включает в себя надежную программу для создания бэкапов, которую вы можете найти в Control Panel > System and Security > Backup and Resotre. Или просто сделайте поиск по ключевому слову “backup” в Справке и Поддержке (Help and Support), чтобы узнать все, что вам нужно о бэкапах Windows.
Заключение
ОС Windows 7 предоставляет больше функций безопасности, улучшенные возможности аудита и мониторинга, а также возможности шифрования подключений и данных. В Windows 7 имеют место некоторые усовершенствования внутренней защиты для обеспечения безопасности такими внутренними компонентами системы, как Kernel Patch Protection (защита патча ядра), Service Hardening (упрочение сервисов), Data Execution Prevention (предотвращение несанкционированного выполнения данных), Address Space Layout Randomization (внесение случайности в верстку адресного пространства) и Mandatory Integrity Levels (обязательные уровни целостности).
Windows 7 создана для надежного использования. С одной стороны она была разработана в рамках Microsoft’s Security Development Lifecycle (SDL) и спроектирована для поддержки требований Common Criteria, что позволило ей получить сертификацию Evaluation Assurance Level (EAL) 4, которая отвечает требованиям федерального стандарта обработки информации (Federal Information Processing Standard – FIPS) #140-2. При использовании Windows 7 как отдельной системы ее можно защищать личными средствами безопасности. Windows 7 содержит множество различных инструментов безопасности
Очевидно, что встроенные средства защиты Windows обеспечивают базовый уровень безопасности, которого должно быть достаточно для повседневной работы. Однако, если компьютер используется для осуществления более чувствительных с точки зрения безопасности действий, например, осуществления интернет-платежей, необходимо задуматься о более функционально наполненных решениях класса Internet Security.
Список литературы
- Ватаманюк, А. Установка, настройка и восстановление Windows 7 / А. Ватаманюк. — М.: Питер, 2016. — 160 c.
- Жук, Алексей Халява в Интернете. Ноутбук без напряга. Изучаем Windows 7 (комплект из 2 книг) / Алексей Жук , Андрей Жвалевский. — М.: Питер, 2015. — 816 c.
- . Зозуля, Юрий Windows 7 на 100% / Юрий Зозуля. — М.: Питер, 2016. — 432 c.
- Леонов, В. Краткий самоучитель Windows 7 / В. Леонов. — М.: Эксмо, 2015. — 176 c.
- Райтман, Михаил 100 интереснейших трюков в Windows 7 / Михаил Райтман. — М.: БХВ-Петербург, 2015. — 275 c.
- Райтман, Михаил Установка и настройка Windows 7 для максимальной производительности (+ DVD-ROM) / Михаил Райтман. — М.: БХВ-Петербург, 2016. — 368 c.
- Ривкин, И.А. Самоучитель Windows 7:русская версия / И.А. Ривкин. — М.: Триумф, 2016. — 192 c.
- Симмонс, К. Современный самоучитель работы в Windows XP / К. Симмонс. — М.: ДМК, 2008. — 400 c.
- Тихомиров, В.В. Самоучитель Windows 7 Установка, настройка, использование / В.В. Тихомиров. — СПб.: Наука и техника, 2010. — 304 c.
- Шаталов, С.В. 100% самоучитель. Windows 7 / С.В. Шаталов. — М.: Триумф, 2016. — 192 c.
- Юдин, М.В. Самоучитель работы на ноутбуке с Windows 7 / М.В. Юдин. — СПб.: Наука и техника, 2015. — 512 c.
- .Основы работы с операционной системой Windows 7.
- .Разработка регламента выполнения процесса «Предоставление рекламных услуг».
- Разработка сайта магазина игрушек «Маленький мир»
- Графические планшеты (Понятие и содержание графических планшетов)
- Проектирование реализации операций бизнес-процесса «Расчет заработной платы.
- ПРИМЕНЕНИЕ НЕЙРОННЫХ СЕТЕЙ ДЛЯ ПРОГНОЗИРОВАНИЯ ФИНАНСОВЫХ ВРЕМЕННЫХ РЯДОВ
- .Проблемы коммуникаций в современных организациях.
- Реклама в сети Интернет (на примере компании).
- Возникновение права . .
- Национальная, мировая и региональная валютные системы (Основные этапы современной мировой валютной системы)
- Теоретические аспекты рекламы как сигнала и информации
- .Определение, основные задачи, функции бухгалтерского учета.
- Авторы
- Резюме
- Файлы
- Ключевые слова
- Литература
Агафонов В.Е.
1
Субракова Н.Л.
1
1 ХТИ филиал СФУ
Все пользователи информации заинтересованы в информационной безопасности. Для защиты необходимо грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, несанкционированного доступа, несанкционированного чтения и копирования. Поэтому проблема защиты информации обуславливает необходимость углубленного анализа защиты информации и комплексной организации методов и механизмов защиты. По разным оценкам на сегодняшний день на большей части компьютеров и планшетов установлена операционная система Windows. Корпорация Microsoft создала подпрограммы для безопасности пользователей, которые заинтересованы в сохранении своих личных данных при использовании операционной системы Windows. В операционной системе Windows имеется большое количество различных подсистем для защиты пользователей как при локальной работе, так и в сети. Но большая часть пользователей операционной системы Windows незнакома с большинством из них, поэтому проблемой исследования является анализ наиболее известных подсистем защиты операционной системы Windows. В статье выполнено качественное сравнение характеристик популярных операционных систем, определены проблемы защиты информации на ОС Windows и дано краткое описание подсистем защиты ОС Windows, приведены результаты анкетирования студентов на знание подсистем защиты ОС Windows.
операционная система
windows
защита
информация
подсистемы
вирусы
брандмауэр
1. Современные технологии информационной безопасности : учебно-методическое пособие / М.В. Шаханова. Москва : Проспект, 2015. 216 с.
2. Тупикина А. А. Актуальность защиты конфиденциальной информации //Информационные технологии в науке, бизнесе и образовании. 2016. С. 436-439.
3. Янченко И. В. Информационный и технологический вызовы образованию как точки роста //Актуальные проблемы гуманитарных и естественных наук. 2016. №. 2-5. С. 8-10. URL: https://elibrary.ru/download/elibrary_25612629_48376290.pdf (дата обращения: 07.01.2018).
4. Microsoft Windows [Электронный ресурс]. URL: https://www.microsoft.com/ru-ru (дата обращения: 22.12.2018).
5. The Linux Foundation [Электронный ресурс]. URL: https://www.linux.com (дата обращения: 06.01.2019).
6. MacOSWorld [Электронный ресурс]. URL: https://macosworld.ru (дата обращения: 06.01.2019).
7. Защита компьютера от вирусов [Электронный ресурс]. URL: https://support.microsoft.com/ru-ru/help/17228/windows-protect-my-pc-from-viruses (дата обращения: 06.01.2019).
8. Безопасность операционных систем: учебное пособие [Электронный ресурс]. URL: http://window.edu.ru/catalog/pdf2txt/669/56669/27248? p_page=9 (дата обращения: 05.12.2018).
Введение. Значение информации в развитии общества все более увеличивается. Роль информационной компоненты в любом производстве с течением времени возрастает. В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама [1].
Информация играет большую роль не только в производственных процессах, но и является основой деятельности управленческих организаций, страховых обществ, банков, организаций социальной сферы и т.д. Во многих из перечисленных случаев информация представляет большой интерес для криминальных элементов. Все преступления начинаются с утечки информации [2].
Таким образом, организации, заинтересованные в сохранении информации заботятся об информационной безопасности. Приходится грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, несанкционированного доступа, несанкционированного чтения и копирования. Поэтому проблема защиты информации является актуальной и обуславливает необходимость углубленного анализа защиты информации и комплексной организации методов и механизмов защиты. В корпорации Microsoft разработаны подсистемы для защиты информации при работе с операционной системой Windows (ОС Windows), однако многие ее пользователи даже не подозревают о наличии подсистем, защищающих их информацию и, особенно, персональные данные. Информирование и популяризации среди пользователей ОС Windows возможностей защиты в рамках вуза позволит частично внести вклад в ответах на технологические и информационные вызовы современному обществу и образованию [3]
Цель работы: проанализировать подсистемы защиты современной операционной системы Windows, охарактеризовать их и определить степень их применения пользователями.
Исходя из цели исследования, определяются следующие задачи:
— сравнить характеристики операционных систем;
— определить проблемы защиты информации на ОС Windows;
— провести сравнительный анализ подсистем защиты ОС Windows;
— выявить достоинства и недостатки подсистем защиты ОС Windows;
— провести анкетирование студентов на знание подсистем защиты ОС Windows.
Результаты. Для сравнения характеристик были взяты три наиболее известные операционные системы: Microsoft Windows, Linux, Mac OS [4, 5, 6].
Определим и охарактеризуем критерии для сравнения операционных систем:
1. Защищенность от вирусов – защищенность информации пользователей от хищения, повреждения и скачивания. Считается, что Windows это ОС наиболее уязвимая. Все продукты семейства Linux имеют очень мало изъянов. Mac OS наиболее безопасная ОС.
2. Удобство в использовании – простота и доступность в использовании операционной системы. Интерфейс Windows понятен. Работа за компьютером не вызывает сложностей. На Linux любой может подобрать интерфейс, исходя из рекомендаций других пользователей, с учетом своих знаний и вкусов. MacOS тоже удобная и простая система, в ней учитываются все мелочи.
3. Сложность установки ОС. Как показывает практика, поставить Windows может даже начинающий пользователь компьютера. Минус – придется искать некоторые программы для полноценной работы системы. Linux. Процесс установки десктопной версии мало отличается от вышеописанного. Процесс установки Mac OS можно сравнить с аналогичной операцией у Windows.
4. Стабильность – устойчивость к сбоям операционной системы. Устаревшие версии Windows часто выходили из строя. На современных вариантах ОС такого нет. Linux, пожалуй, самая стабильная система из всех троих. Mac OS. Сбои случаются примерно с той же периодичностью, что и у Windows.
5. Поддержка ПО – поддержка сторонних программных обеспечений. Так как ОС Windows самая распространенная, то и ПО чаще всего пишется именно под нее. Для Linux с каждым годом появляется огромное количество программ, совместимых с этой системой, и практически все они бесплатные. Для Mac OS программ достаточное количество. Минус – устанавливать их можно только из AppStore.
6. Популярность – распространенность среди пользователей. Самой распространенной остается ОС Windows, ее по разным оценкам используют около 85% пользователей, на втором месте MacOS и на третьем Linux.
7. Цена – стоимость операционной системы. ОС Windows может позволить большинство пользователей, средняя цена 5 тысяч рублей. Linux полностью бесплатная система. MacOS входит в стоимость компьютерной техники от Apple, но цена довольно высока.
Рассмотрим подробнее операционную систему Windows, т.к. в данной ОС наименьшая защищенность от вирусов и наибольшая популярность среди пользователей [6].
Проблемой данной исследовательской работы является малоизвестность большинства подсистем безопасности операционной системы Windows, а также недостаточная защищенность персональных данных пользователей этими подсистемами.
Для наглядного восприятия проблемы было построено «Древо проблем» (Рисунок 1). Из рисунка 1 видно, что подсистемы операционной системы Windows решают две главные проблемы:
— защита информации в сети;
— защита информации на персональных компьютерах.
Информацию в сети необходимо защищать от трех источников проблем:
— вирусы;
— посторонние пользователи;
— реклама.
На персональном компьютере так же представляют собой угрозу посторонние пользователи (злоумышленники) и вирусы.
Рисунок 1 – Древо проблем
Для решения данных проблем компания Microsoft создала несколько подсистем Windows, таких как:
1. центр безопасности Windows,
2. защитник Windows,
3. родительский контроль,
4. брандмауэр Windows,
5. пароль администратора.
Охарактеризуем каждую подсистему:
– центр безопасности Windows представляет собой комплекс программного обеспечения по защите компьютера от сетевых атак, организации регулярного обновления Windows и мониторинг состояния установленного антивирусного ПО;
— защитник Windows (антивирусная программа), созданный для того, чтобы удалять, помещать в карантин или предотвращать появление spyware-модулей (шпионских программ) в операционных системах Microsoft Windows;
— родительский контроль позволяет настроить параметры родительского контроля, включая доступ к веб-сайтам, временные ограничения для устройств, а также указать приложения, которые можно просматривать и приобретать;
— брандмауэр Windows создан, чтобы оградить ваше устройство от хакеров и вредоносных программ в локальных сетях и в Интернете;
— пароль администратора — это идентификация и аутентификация пользователя [7].
Для защиты информации на персональном компьютере используются следующие подсистемы: пароль администратора, родительский контроль, центр безопасности, защитник Windows.
Для защиты информации в сети используются следующие подсистемы: защитник Windows, брандмауэр Windows [7, 8].
Анкетирование. Нами было проведено анкетирование студентов на знание подсистем защиты операционной системы Windows. Опрос на тему «Проблемы защиты информации в ОС Windows» создан в Google формах, доступ к нему находиться по ссылке: https://docs.google.com/forms/d/14pvBjmgugF79kCtHT8bc985lbloj2mwSkEJcLT0Xw9Y/edit. В анкете имеется 9 вопросов:
1. Какую операционную систему вы используете?
2. Почему вы выбрали эту операционную систему?
3. Оцените по 10 бальной шкале защиту ОС Windows?
4. Сталкивались ли вы с проблемой защиты информации на ОС Windows?
5. Для чего нужен брандмауэр Windows?
6. Для чего нужен родительский контроль в ОС Windows?
7. От чего защищает «защитник Windows»?
8. Какие подсистемы защиты в ОС Windowsвы используете?
9. Какой по вашему мнению не хватает защиты для полной безопасности информации в ОС Windows?
Опрос проводился нами в течении недели, в результате опроса выявлено, что большинство студентов на компьютерах и ноутбуках используют ОС Windows. Они выбрали ОС Windows потому что, считают ее наиболее удобной и простой в использовании.
56% из опрошенных студентов сталкивались с проблемой защиты в ОС Windows, соответственно 44% – не сталкивались.
С функциями брандмауэра Windows знакомы 67% студентов, соответственно 33% не знают для чего он нужен.
Каждый из опрошенных имеет представление о родительском контроле ОС Windows и его использовании.
О подсистеме «Защитник Windows» и его функционале знают лишь половина студентов.
Результаты оценки защиты ОС Windows по 10 бальной шкале представлены в виде диаграммы на рисунке 2.
Рисунок 2 – Результаты оценки защиты ОС Windows по 10 бальной шкале
Из диаграммы видно, что не всех пользователей операционной системы Windows устраивает защита информации. В то же время мы выяснили, что при этом студенты не знают и не используют полные возможности подсистем защиты ОС Windows.
Количество студентов, пользующихся подсистемами защиты ОС Windows представлено в виде диаграммы на рисунке 3.
Рисунок 3 – Популярность подсистемы ОС Windows среди опрошенных
На диаграмме видно, что большинство студентов используют подсистемы такие как: «Центр безопасности Windows», «Брандмауэр Windows», «Пароль администратора», а подсистемы защиты «Родительский контроль» и «Защитник Windows» – намного реже.
На вопрос «Какой, по вашему мнению, защиты не хватает на ОС Windows» 50 % студентов затруднились ответить, 45 % отметили, что защита достаточно хорошая и в дополнительных программах не нуждается и около 5% ответили, что нужно встроенное антивирусное программное обеспечение.
Таким образом, после проведения опроса студентов было выявлено, что большинство студентов используют ОС Windows, знают основные подсистемы защиты информации и используют большинство из них.
Заключение. В ходе выполнения исследования была достигнута поставленная цель (проанализированы подсистемы защиты современной операционной системы Windows и дано краткое их описание) и решены задачи:
— выполнено качественное сравнение характеристик популярных операционных систем;
— определены проблемы защиты информации на ОС Windows;
— проведен анализ подсистем защиты ОС Windows;
— проведено анкетирование студентов на знание подсистем защиты ОС Windows.
В первой части данной работы проведен сравнительный анализ наиболее известных операционных систем таких как, Linux, Windows, Mac OS.
Во второй части построено древо проблем и определенны две основные проблемы защиты информации на ОС Windows: защита информации в сети; защита информации на персональных компьютерах.
Приведено краткое описание основных подсистемы защиты ОС Windows.
В третьей части было проведено анкетирование студентов на знание и использование подсистем защиты ОС Windows и представлены результаты опроса.
Библиографическая ссылка
Агафонов В.Е., Субракова Н.Л. ПОДСИСТЕМЫ ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS // Международный студенческий научный вестник. – 2019. – № 1.
;
URL: https://eduherald.ru/ru/article/view?id=19467 (дата обращения: 05.02.2023).
Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)
Типовая архитектура подсистемы защиты операционной системы
Основные функции подсистемы защиты операционной системы: — Разграничение доступа — Идентификация и аутентификация — Аудит — Управление политикой безопасности — Криптографические функции — Сетевые функции
Основные определения Объект доступа — любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Метод доступа к объекту — операция, определенная для некоторого объекта. Субъект доступа — любая сущность, способная инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). Владелец — субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта.
Право доступа к объекту — право на выполнение доступа к объекту по некоторому методу или группе методов. Привилегия — право на доступ по некоторому методу или группе методов ко всем объектам операционной системы, поддерживающим данный метод доступа. Разграничение доступа субъектов к объектам — совокупность правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. Суперпользователь – субъект, имеющий возможность игнорировать правила разграничения доступа к объектам. Монитор ссылок — часть подсистемы защиты операционной системы, отвечающей за соблюдение правил разграничения доступа.
Требования к правилам разграничения доступа: 1. Правила разграничения доступа, принятые в операционной системе, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена операционная система. 2. Правила разграничения доступа не должны допускать разрушающие воздействия субъектов доступа, не обладающих соответствующими привилегиями, на операционную систему, выражающиеся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для обеспечения нормального функционирования операционной системы. 3. Любой объект доступа должен иметь владельца. Присутствие ничейных объектов — объектов, не имеющих владельца, недопустимо. 4. Присутствие недоступных объектов — объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, непозволительно. 5. Утечка конфиденциальной информации недопустима.
Типичные модели разграничения доступа
Наиболее типичные модели разграничения доступа — Избирательное разграничение доступа — Изолированная или замкнутая программная среда — Полномочное или мандатное разграничение доступа — Полномочное разграничение доступа с контролем информационных потоков
Избирательное разграничение доступа — Для любого объекта операционной системы существует владелец. — Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. — Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. — Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используется матрица доступа. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права, предоставленные группе субъектов для доступа к данному объекту, предоставляются каждому субъекту группы. Вместе с каждым объектом доступа хранятся его атрибуты защиты, описывающие, кто является владельцем объекта и каковы права доступа к данному объекту различных субъектов.
На практике используются два способа кодирования строки матрицы доступа. Вектор доступа (UNIX) — вектор фиксированной длины, разбитый на несколько подвекторов. — Каждый подвектор описывает права доступа к данному объекту некоторого субъекта. — С помощью вектора доступа можно описать права доступа к объекту только фиксированного числа субъектов, что накладывает существенные ограничения на систему разграничения доступа. Список доступа ( Windows NT) — список переменной длины, элементами которого являются структуры, содержащие: — идентификатор субъекта; — права, предоставленные этому субъекту на данный объект; — различные флаги и атрибуты. Фактически вектор доступа представляет собой список доступа фиксированной длины и является частным случаем списка доступа.
Изолированная или замкнутая программная среда представляет собой расширение модели избирательного разграничения доступа. — Для любого объекта операционной системы существует владелец. — Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. — Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно. — Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу. — Для каждого субъекта определен список программ, которые этот субъект может запускать.
Полномочное или мандатное разграничение доступа — Для любого объекта операционной системы существует владелец. — Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. — Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. — Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект. — В множестве объектов доступа операционной системы выделяется подмножество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. — Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска.
Полномочное разграничение доступа с контролем информационных потоков — Для любого объекта операционной системы существует владелец. — Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. — Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно в каждый момент времени. — Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект. — В множестве объектов выделяется множество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен. — Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска. — Каждый процесс операционной системы имеет уровень конфиденциальности, равный максимуму из грифов секретности объектов, открытых процессом на протяжении своего существования. Уровень конфиденциальности фактически представляет собой гриф секретности информации, хранящейся в оперативной памяти процесса.
Сравнительный анализ приведенных моделей разграничения доступа Свойства модели Избирательное разграничение доступа Изолированная программная среда Защита от утечки информации Отсутствует Защищенность воздействий Полномочное доступа разграничение без контроля потоков с контролем потоков Отсутствует Имеется Низкая Высокая Низкая Сложность реализации Низкая Средняя Высокая Сложность администрирования Низкая Средняя Низкая Высокая Затраты ресурсов компьютера Низкие Высокие Использование программного обеспечения, разработанного для других систем Возможно Проблематично от разрушающих
Идентификация, аутентификация и авторизация субъектов доступа
Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер и т. д. ) и таким образом идентифицирует себя. Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация. Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта операционная система выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. Авторизация субъекта не относится напрямую к подсистеме защиты операционной системы. В процессе авторизации решаются чисто технические задачи, связанные с организацией начала работы в системе уже идентифицированного и аутентифицированного субъекта доступа.
Идентификация и аутентификация с помощью имени и пароля
— пароли пользователей не должны храниться в операционной системе в открытом виде — для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хеш-функций — в списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хеш-функции — в процедуре генерации образа пароля обязательно должен участвовать маркант — число или строка, генерируемая случайным образом и хранящаяся в открытом виде вместе с образом пароля.
Если для аутентификации пользователей используются пароли, существуют две основные угрозы для подсистемы аутентификации операционной системы кража пароля и подбор пароля. Для обеспечения надежной защиты от кражи паролей подсистема защиты операционной системы должна удовлетворять следующим требованиям: — пароль, вводимый пользователем, не отображается на экране компьютера — ввод пароля из командной строки недопустим Пользователи операционной системы должны быть проинструктированы о: — необходимости хранения пароля в тайне от других пользователей, включая администраторов операционной системы; — необходимости немедленной смены пароля после его компрометации; — необходимости регулярной смены пароля; — недопустимости записи пароля на бумагу или в файл.
Методы подбора паролей Тотальный перебор, оптимизированный по статистике встречаемости символо Тотальный перебор, оптимизированный с помощью словарей Подбор пароля с использованием знаний о пользователе Подбор образа пароля
Защита от компрометации паролей Ограничение срока действия пароля Ограничения на содержание пароля Блокировка терминала Блокировка пользователя Генерация паролей операционной системой Пароль и отзыв Разовый пароль
Аудит Процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами. Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами: — Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. — Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. — Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась.
Требования к аудиту — Только сама операционная система может добавлять записи в журнал аудита. — Ни один субъект доступа, в том числе и сама операционная система, не имеет возможности редактировать или удалять отдельные записи в журнале аудита. — Только пользователи-аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита. — Только пользователи-аудиторы могут очищать журнал аудита. — При переполнении журнала аудита операционная система аварийно завершает работу.
Политика аудита — это совокупность правил, определяющих то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обязательно регистрироваться следующие события: — попытки входа/выхода пользователей из системы; — попытки изменения списка пользователей; — попытки изменения политики безопасности, в том числе и политики аудита. При выборе оптимальной политики аудита следует учитывать ожидаемую скорость заполнения журнала аудита.
Принципы построения защищенной операционной системы
Введение.
Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями может быть успешно решена только на основе комплексной защиты информационных систем. Защищенные операционные системы относятся к базовым средствам многоуровневой комплексной защиты ИС.
Учебные вопросы (основная часть):
1.Проблемы обеспечения безопасности операционных систем.
Большинство программных средств защиты информации являются прикладными программами. Для их выполнения требуется поддержка операционной системы (ОС). Окружение, в котором функционирует ОС, называется доверенной вычислительной базой (ДВБ). ДВБ включает в себя полный набор элементов, обеспечивающих информационную безопасность: операционную систему, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды является защищенная операционная система. Без нее доверенная вычислительная база оказывается построенной на песке.
1.1. Угрозы безопасности операционной системы.
Организация эффективной и надежной защиты операционной системы невозможна без предварительного анализа возможных угроз ее безопасности. Угрозы безопасности операционной системы существенно зависят от условий эксплуатации системы, от того, какая информация хранится и обрабатывается в системе. Например, если операционная система используется для организации электронного документооборота, наиболее опасны угрозы, связанные с несанкционированным доступом (НСД) к файлам. Если же операционная система используется как платформа провайдера интернет-услуг, очень опасны атаки на сетевое программное обеспечение операционной системы.
Угрозы безопасности операционной системы можно классифицировать по различным аспектам их реализации.
Классификация угроз по цели атаки:
- несанкционированное чтение информации;
- несанкционированное изменение информации;
- несанкционированное уничтожение информации;
- полное или частичное разрушение операционной системы.
Классификация угроз по принципу воздействия на операционную систему:
- использование известных (легальных) каналов получения информации, например, угроза несанкционированного чтения файла, доступ пользователей к которому определен некорректно – разрешен доступ пользователю, которому, согласно политике безопасности, доступ должен быть запрещен;
- использование скрытых каналов получения информации, например, угроза использования злоумышленником недокументированных возможностей операционной системы;
- создание новых каналов получения информации с помощью программных закладок.
Классификация угроз по типу используемой злоумышленником уязвимости защиты:
- неадекватная политика безопасности, в том числе и ошибки администратора системы;
- ошибки и недокументированные возможности программного обеспечения операционной системы, в том числе и так называемые люки – случайно или преднамеренно встроенные
- в систему «служебные входы», позволяющие обходить систему защиты;
- ранее внедренная программная закладка.
Классификация угроз по характеру воздействия на ОС:
- активное воздействие – несанкционированные действия злоумышленника в системе;
- пассивное воздействие – несанкционированное наблюдение злоумышленника за процессами, происходящими в системе.
Угрозы безопасности ОС можно также классифицировать по таким признакам, как способ действий злоумышленника, используемые средства атаки, объект атаки, способ воздействия на объект атаки, состояние атакуемого объекта ОС на момент атаки.
Операционная система может подвергнуться следующим типичным атакам:
- сканирование файловой системы. Злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать) все файлы подряд. Рано или поздно обнаруживается хотя бы одна ошибка администратора. В результате злоумышленник получает доступ к информации, который должен быть ему запрещен;
- подбор пароля. Существует несколько методов подбора паролей пользователей:
- тотальный перебор;
- тотальный перебор, оптимизированный по статистике встречаемости символов или с помощью словарей;
- подбор пароля с использованием знаний о пользователе (его имени, фамилии, даты рождения, номера телефона и т. д.);
- кража ключевой информации. Злоумышленник может подсмотреть пароль, набираемый пользователем, или восстановить набираемый пользователем пароль по движениям его рук на клавиатуре. Носитель с ключевой информацией (смарткарта, Touch Memory и т. д.) может быть просто украден;
- сборка мусора. Во многих операционных системах информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная (так называемый мусор). Злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты;
- превышение полномочий. Злоумышленник, используя ошибки в программном обеспечении ОС или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени другого пользователя;
- программные закладки. Программные закладки, внедряемые в операционные системы, не имеют существенных отличий от других классов программных закладок;
- жадные программы – это программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы не могут выполняться или выполняются крайне медленно. Запуск жадной программы может привести к краху операционной системы.
1.2. Понятие защищенной операционной системы.
Операционную систему называют защищенной, если она предусматривает средства защиты от основных классов угроз. Защищенная операционная система обязательно должна содержать средства разграничения доступа пользователей к своим ресурсам, а также средства проверки подлинности пользователя, начинающего работу с операционной системой. Кроме того, защищенная операционная система должна содержать средства противодействия случайному или преднамеренному выводу операционной системы из строя.
Если операционная система предусматривает защиту не от всех основных классов угроз, а только от некоторых, такую ОС называют частично защищенной.
Подходы к построению защищенных операционных систем
Существует два основных подхода к созданию защищенных операционных систем – фрагментарный и комплексный. При фрагментарном подходе вначале организуется защита от одной угрозы, затем от другой.
Примером фрагментарного подхода может служить ситуация, когда за основу берется незащищенная операционная система (например, Windows 98), на нее устанавливают антивирусный пакет, систему шифрования, систему регистрации действий пользователей и т. д.
При применении фрагментарного подхода подсистема защиты операционной системы представляет собой набор разрозненных программных продуктов, как правило, от разных производителей. Эти программные средства работают независимо друг от друга, при этом практически невозможно организовать их тесное взаимодействие. Кроме того, отдельные элементы такой подсистемы защиты могут некорректно работать в присутствии друг друга, что приводит к резкому снижению надежности системы.
При комплексном подходе защитные функции вносятся в операционную систему на этапе проектирования архитектуры операционной системы и являются ее неотъемлемой частью. Отдельные элементы подсистемы защиты, созданной на основе комплексного подхода, тесно взаимодействуют друг с другом при решении различных задач, связанных с организацией защиты информации, поэтому конфликты между ее отдельными компонентами практически невозможны. Подсистема защиты, созданная на основе комплексного подхода, может быть устроена так, что при фатальных сбоях в функционировании ее ключевых элементов она вызывает крах операционной системы, что не позволяет злоумышленнику отключать защитные функции системы. При фрагментарном подходе такая организация подсистемы защиты невозможна.
Как правило, подсистему защиты операционной системы, созданную на основе комплексного подхода, проектируют так, чтобы отдельные ее элементы были заменяемы. Соответствующие программные модули могут быть заменены другими модулями.
Административные меры защиты.
Программно-аппаратные средства защиты операционной системы обязательно должны дополняться административными мерами защиты. Без постоянной квалифицированной поддержки со стороны администратора даже надежная программно-аппаратная защита может давать сбои. Перечислим основные административные меры защиты.
- Постоянный контроль корректности функционирования операционной системы, особенно ее подсистемы защиты. Такой контроль удобно организовать, если операционная система поддерживает автоматическую регистрацию наиболее важных событий (event logging) в специальном журнале.
- Организация и поддержание адекватной политики безопасности. Политика безопасности ОС должна постоянно корректироваться, оперативно реагируя на попытки злоумышленников преодолеть защиту операционной системы, а также на изменения в конфигурации операционной системы, установку и удаление прикладных программ.
- Осведомление пользователей операционной системы о необходимости соблюдения мер безопасности при работе с ОС и контроль за соблюдением этих мер.
- Регулярное создание и обновление резервных копий программ и данных ОС.
- Постоянный контроль изменений в конфигурационных данных и политике безопасности ОС.
Адекватная политика безопасности.
Выбор и поддержание адекватной политики безопасности являются одной из наиболее важных задач администратора операционной системы. Если принятая в ОС политика безопасности неадекватна, это может привести к несанкционированному доступу злоумышленника к ресурсам системы и к снижению надежности функционирования ОС.
Известно утверждение: чем лучше защищена ОС, тем труднее с ней работать пользователям и администраторам. Это обусловлено следующими факторами:
- система защиты не всегда способна определить, является ли некоторое действие пользователя злонамеренным. Поэтому система защиты либо не пресекает некоторых видов несанкционированного доступа, либо запрещает некоторые вполне легальные действия пользователей. Чем выше защищенность системы, тем шире класс тех легальных действий пользователей, которые рассматриваются подсистемой защиты как несанкционированные;
- любая система, в которой предусмотрены функции защиты информации, требует от администраторов определенных усилий, направленных на поддержание адекватной политики безопасности. Чем больше в операционной системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты;
- подсистема защиты операционной системы, как и любой другой программный пакет, потребляет аппаратные ресурсы компьютера. Чем сложнее устроены защитные функции операционной системы, тем больше ресурсов компьютера (процессорного времени, оперативной памяти и др.) затрачивается на поддержание функционирования подсистемы защиты и тем меньше ресурсов остается на долю прикладных программ;
- поддержание слишком жесткой политики безопасности может негативно сказаться на надежности функционирования операционной системы. Чрезмерно жесткая политика безопасности может привести к трудно выявляемым ошибкам и сбоям в процессе функционирования операционной системы и даже к краху ОС.
Оптимальная адекватная политика безопасности – это такая политика безопасности, которая не только не позволяет злоумышленникам выполнять несанкционированные действия, но и не приводит к описанным выше негативным эффектам.
Адекватная политика безопасности определяется не только архитектурой ОС, но и ее конфигурацией, установленными прикладными программами и т. д. Формирование и поддержание адекватной политики безопасности ОС можно разделить на ряд этапов.
- Анализ угроз. Администратор операционной системы рассматривает возможные угрозы безопасности данного экземпляра ОС. Среди возможных угроз выделяются наиболее опасные, защите от которых нужно уделять максимум средств.
- Формирование требований к политике безопасности. Администратор определяет, какие средства и методы будут применяться для защиты от тех или иных угроз. Например, защиту от несанкционированного доступа к некоторому объекту ОС можно решать либо средствами разграничения доступа, либо криптографическими средствами, либо используя некоторую комбинацию этих средств.
- Формальное определение политики безопасности. Администратор определяет, как конкретно должны выполняться требования, сформулированные на предыдущем этапе. Формулируются необходимые требования к конфигурации ОС, а также требования к конфигурации дополнительных пакетов защиты, если установка таких пакетов необходима. Результатом данного этапа является развернутый перечень настроек конфигурации ОС и дополнительных пакетов защиты с указанием того, в каких ситуациях какие настройки должны быть установлены.
- Претворение в жизнь политики безопасности. Задачей данного этапа является приведение конфигурации ОС и дополнительных пакетов защиты в соответствие с политикой безопасности, формально определенной на предыдущем этапе.
- Поддержание и коррекция политики безопасности. В задачу администратора на данном этапе входят контроль соблюдения политики безопасности и внесение в нее необходимых изменений по мере появления изменений в функционировании ОС.
Специальных стандартов защищенности операционных систем не существует. Для оценки защищенности операционных систем используются стандарты, разработанные для компьютерных систем вообще. Как правило, сертификация операционной системы по некоторому классу защиты сопровождается составлением требований к адекватной политике безопасности, при безусловном выполнении которой защищенность конкретного экземпляра операционной системы будет соответствовать требованиям соответствующего класса защиты.
Определяя адекватную политику безопасности, администратор операционной системы должен в первую очередь ориентироваться на защиту ОС от конкретных угроз ее безопасности .
- Архитектура подсистемы защиты операционной системы.
2.1. Основные функции подсистемы защиты операционной системы
Подсистема защиты ОС выполняет следующие основные функции:
- Идентификация и аутентификация. Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, кем он себя заявляет.
- Разграничение доступа. Каждый пользователь системы имеет доступ только к тем объектам ОС, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.
- Аудит. Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы.
- Управление политикой безопасности. Политика безопасности должна постоянно поддерживаться в адекватном состоянии, то есть должна гибко реагировать на изменения условий функционирования ОС. Управление политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему.
- Криптографические функции. Защита информации немыслима без использования криптографических средств защиты. Шифрование используется в ОС при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.
- Сетевые функции. Современные ОС, как правило, работают не изолированно, а в составе локальных и/или глобальных компьютерных сетей. ОС компьютеров, входящих в одну сеть, взаимодействуют между собой для решения различных задач, в том числе имеющих прямое отношение к защите информации.
Подсистема защиты обычно не представляет собой единый программный модуль. Как правило, каждая из перечисленных функций подсистемы защиты решается одним или несколькими программными модулями. Некоторые функции встраиваются непосредственно в ядро ОС. Между различными модулями подсистемы защиты должен существовать четко определенный интерфейс, используемый при взаимодействии модулей для решения общих задач.
2.2. Идентификация, аутентификация и авторизация субъектов доступа.
В защищенной ОС любой пользователь (субъект доступа), перед тем как начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию.
Идентификация субъекта доступа заключается в том, что пользователь (субъект) сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер) и таким образом идентифицирует себя.
Для того чтобы установить, что пользователь именно тот, за кого себя выдает, в информационных системах предусмотрена процедура аутентификации, задача которой – предотвращение доступа к системе нежелательных лиц.
Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе, помимо идентифицирующей информации, еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.
Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта ОС выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе.
Авторизация субъекта не относится напрямую к подсистеме защиты операционной системы. В процессе авторизации решаются технические задачи, связанные с организацией начала работы в системе уже идентифицированного и аутентифицированного субъекта доступа.
С точки зрения обеспечения безопасности ОС, процедуры идентификации и аутентификации являются весьма ответственными. Действительно, если злоумышленник сумел войти в систему от имени другого пользователя, он легко получает доступ ко всем объектам ОС, к которым имеет доступ этот пользователь. Если при этом подсистема аудита генерирует сообщения о событиях, потенциально опасных для безопасности ОС, то в журнал аудита записывается не имя злоумышленника, а имя пользователя, от имени которого злоумышленник работает в системе.
Наиболее распространенными методами идентификации и аутентификации являются следующие:
- идентификация и аутентификация с помощью имени и пароля;
- идентификация и аутентификация с помощью внешних носителей ключевой информации;
- идентификация и аутентификация с помощью биометрических характеристик пользователей.
2.3. Разграничение доступа к объектам операционной системы.
Основными понятиями процесса разграничения доступа к объектам операционной системы являются объект доступа, метод доступа к объекту и субъект доступа.
Объектом доступа (или просто объектом) называют любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Возможность доступа к объектам ОС определяется не только архитектурой операционной системы, но и текущей политикой безопасности. Под объектами доступа понимают, как ресурсы оборудования, так и программные ресурсы. В качестве примера ресурсов оборудования можно привести процессор, принтер, жесткие диски и ленты. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и может быть доступен через хорошо определенные и значимые операции.
Методом доступа к объекту называется операция, определенная для объекта. Тип операции зависит от объектов. Например, процессор может только выполнять команды, сегменты памяти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а для файлов могут быть определены методы доступа «чтение», «запись » и «добавление» (дописывание информации в конец файла).
Субъектом доступа называют любую сущность, способную инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). Обычно полагают, что множество субъектов доступа и множество объектов доступа не пересекаются.
Иногда к субъектам доступа относят процессы, выполняющиеся в системе. Однако логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом доступа подразумевают не физического пользователя, работающего с компьютером, а «логического», от имени которого выполняются процессы операционной системы.
Таким образом, объект доступа – это то, к чему осуществляется доступ, субъект доступа – это тот, кто осуществляет доступ, и метод доступа – это то, как осуществляется доступ.
Для объекта доступа может быть определен владелец – субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта.
Обычно владельцем объекта автоматически назначается субъект, создавший данный объект; в дальнейшем владелец объекта может быть изменен с использованием соответствующего метода доступа к объекту. На владельца, как правило, возлагается ответственность за корректное ограничение прав доступа к данному объекту других субъектов.
Правом доступа к объекту называют право на получение доступа к объекту по некоторому методу или группе методов. Например, если пользователь имеет возможность читать файл, говорят, что он имеет право на чтение этого файла. Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объектам ОС, поддерживающим данный метод доступа.
Разграничением доступа субъектов к объектам является совокупность правил, определяющая для каждой тройки субъект–объект–метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. При избирательном разграничении доступа возможность доступа определена однозначно для каждой тройки субъект–объект–метод, при полномочном разграничении доступа ситуация несколько сложнее.
Субъекта доступа называют суперпользователем, если он имеет возможность игнорировать правила разграничения доступа к объектам.
Правила разграничения доступа
Правила разграничения доступа, действующие в операционной системе, устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок – часть подсистемы защиты операционной системы.
Правила разграничения доступа должны удовлетворять следующим требованиям:
- Правила разграничения доступа, принятые в операционной системе, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена эта ОС.
Иными словами, если согласно правилам организации, доступ пользователя к некоторой информации считается несанкционированным, этот доступ должен быть ему запрещен.
- Правила разграничения доступа не должны допускать разрушающие воздействия субъектов доступа на ОС, выражающиеся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для нормальной работы ОС.
- Любой объект доступа должен иметь владельца. Недопустимо присутствие ничейных объектов – объектов, не имеющих владельца.
- Недопустимо присутствие недоступных объектов – объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа.
- Недопустима утечка конфиденциальной информации.
Основные модели разграничения доступа
Существуют две основные модели разграничения доступа:
- избирательное (дискреционное) разграничение доступа;
- полномочное (мандатное) разграничение доступа.
При избирательном разграничении доступа (Discretionary Access Control) определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов.
Большинство операционных систем реализуют именно избирательное разграничение доступа.
Полномочное разграничение доступа заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда эту модель называют моделью многоуровневой безопасности, предназначенной для хранения секретов.
Избирательное разграничение доступа.
Система правил избирательного разграничения доступа формулируется следующим образом.
- Для любого объекта операционной системы существует владелец.
- Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
- Для каждой тройки субъект–объект–метод возможность доступа определена однозначно.
- Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Этот привилегированный пользователь не может игнорировать разграничение доступа к объектам. Например, в ОС типа Windows администратор для обращения к чужому объекту (принадлежащему другому субъекту) должен вначале объявить себя владельцем этого объекта, используя привилегию администратора объявлять себя владельцем любого объекта, затем дать себе необходимые права, и только после этого администратор может обратиться к объекту. Последнее требование введено для реализации механизма удаления потенциально недоступных объектов.
При создании объекта его владельцем назначается субъект, создавший данный объект. В дальнейшем субъект, обладающий необходимыми правами, может назначить объекту нового владельца.
При этом субъект, изменяющий владельца объекта, может назначить новым владельцем объекта только себя. Такое ограничение вводится для того, чтобы владелец объекта не мог отдать владение объектом другому субъекту и тем самым снять с себя ответственность за некорректные действия с объектом.
Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используются такие понятия, как матрица доступа и домен безопасности.
С концептуальной точки зрения текущее состояние прав доступа при избирательном разграничении доступа описывается матрицей, в строках которой перечислены субъекты доступа, в столбцах – объекты доступа, а в ячейках – операции, которые субъект может выполнить над объектом.
Домен безопасности определяет набор объектов и типов операций, которые могут производиться над каждым объектом операционной системы.
В ГОСТ Р ИСО/МЭК ТО 19791-2008 дано следующее определение: Домен безопасности (security domain) — часть автоматизированной системы, которая реализует одни и те же политики безопасности.
Термин домен (Domain) часто связывают с Microsoft, когда люди слышат этот термин, они представляют себе группу компьютеров и устройств в сетевом сегменте, управляемых сервером, на котором запущена служба каталогов Active Directory корпорации Microsoft для операционных систем семейства Windows Server, называемом контроллером домена.
В действительности, домен – это просто набор ресурсов, доступных субъекту. Помните, что субъект может быть пользователем, процессом или приложением. В рамках операционной системы, процесс имеет домен, который является набором системных ресурсов, доступных процессу для выполнения им своих задач. Этими ресурсами могут быть сегменты памяти, пространство на жестком диске, службы операционной системы и другие процессы. В сетевой среде, домен является набором доступных физических и логических ресурсов, которыми могут быть маршрутизаторы, файловые серверы, службы FTP, веб-серверы и т.д.
Термин домен безопасности (security domain) основывается на определении домена, добавляя к нему факт, что ресурсы в рамках этой логической структуры (домена) работают c одной и той же политикой безопасности и управляются одной группой. Таким образом, администратор может поместить компьютеры, учетные записи и сетевые ресурсы сотрудников бухгалтерии в Домен 1, а компьютеры, учетные записи и сетевые ресурсы руководства в Домен 2. Все эти элементы попадут в эти два контейнера, поскольку они (элементы) не только выполняют однотипные задачи, но также, что более важно, имеют один и тот же уровень доверия. Общий уровень доверия позволяет управлять этими элементами одной (отдельной) политикой безопасности.
Возможность выполнять операции над объектом есть право доступа, представляющее собой упорядоченную пару <object-name, rights-set>. Таким образом, домен есть набор прав доступа. Hапример, если домен D имеет право доступа <file F, {read, write}>, это означает, что процесс, выполняемый в домене D, может читать или писать в файл F, но не может выполнять других операций над этим объектом.
Пример доменов показан в табл. 2.1.
Связь конкретных субъектов, функционирующих в операционных системах, может быть организована следующим образом:
- каждый пользователь может быть доменом. В этом случае набор объектов, к которым может быть организован доступ, зависит от идентификации пользователя;
- каждый процесс может быть доменом. В этом случае набор доступных объектов определяется идентификацией процесса;
- каждая процедура может быть доменом. В этом случае набор доступных объектов соответствует локальным переменным, определенным внутри процедуры. Заметим, что, когда процедура выполнена, происходит смена домена.
Рассмотрим стандартную двухрежимную модель выполнения ОС. Когда процесс выполняется в режиме ядра (Kernel Mode), он может вызывать привилегированные инструкции и иметь полный контроль над компьютерной системой. С другой стороны, если процесс выполняется в пользовательском режиме (User Domain), он может вызывать только непривилегированные инструкции. Следовательно, он может выполняться лишь внутри предопределенного пространства памяти. Наличие этих двух режимов позволяет защитить ОС (Kernel Domain) от пользовательских процессов (выполняющихся в режиме User Domain). В мультипрограммных системах двух доменов недостаточно, так как появляется необходимость защиты пользователей друг от друга.
В ОС UNIX домен безопасности связан с пользователем. Каждый пользователь обычно работает со своим набором объектов.
Модель безопасности, специфицированная выше (см. табл. 2.1), имеет вид матрицы и называется матрицей доступа. Столбцы этой матрицы представляют собой объекты, строки – субъекты. В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект. Поскольку реальная матрица доступа очень велика (типичный объем матрицы для современной операционной системы составляет несколько десятков мегабайтов), ее никогда не хранят в системе в явном виде. В общем случае эта матрица будет разреженной, то есть большинство ее клеток будут пустыми. Матрицу доступа можно разложить по столбцам, в результате чего получаются списки прав доступа ACL (Access Control List).
Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.
Списки контроля доступа являются основой систем с избирательным управлением доступа.
В результате разложения матрицы по строкам получаются мандаты возможностей (Capability List или Capability Tickets).
Список прав доступа ACL. Каждая колонка в матрице может быть реализована как список доступа для одного объекта. Очевидно, что пустые клетки могут не учитываться. В результате для каждого объекта имеем список упорядоченных пар <domain, rights-set>, который определяет все домены с непустыми наборами прав для данного объекта.
Элементами списка прав доступа ACL могут быть процессы, пользователи или группы пользователей. При реализации широко применяется предоставление доступа по умолчанию для пользователей, права которых не указаны. Например, в ОС UNIX все субъекты-пользователи разделены на три группы (владелец, группа и остальные) и для членов каждой группы контролируются операции чтения, записи и исполнения (rwx). В итоге имеем ACL – 9-битный код, который является атрибутом разнообразных объектов UNIX.
Мандаты возможностей. Как отмечалось выше, если матрицу доступа хранить по строкам, то есть если каждый субъект хранит список объектов и для каждого объекта – список допустимых операций, то такой способ хранения называется мандатами возможностей, или перечнями возможностей. Каждый пользователь обладает несколькими мандатами и может иметь право передавать их другим. Мандаты могут быть рассеяны по системе и вследствие этого представлять большую угрозу для безопасности, чем списки контроля доступа. Их хранение должно быть тщательно продумано. Примерами систем, использующих перечни возможностей, являются Hydra, Cambridge CAP System.
Избирательное разграничение доступа является наиболее распространенным способом разграничения доступа. Это обусловлено его сравнительной простотой реализации и необременительностью правил такого разграничения доступа для пользователей. Главное достоинство избирательного разграничения доступа – гибкость; основные недостатки – рассредоточенность управления и сложность централизованного контроля.
Вместе с тем защищенность операционной системы, подсистема защиты которой реализует только избирательное разграничение доступа, в некоторых случаях может оказаться недостаточной.
В частности, в США запрещено хранить информацию, содержащую государственную тайну, в компьютерных системах, поддерживающих только избирательное разграничение доступа.
Расширением модели избирательного разграничения доступа является изолированная (или замкнутая) программная среда. Изолированная программная среда. При использовании изолированной программной среды права субъекта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью которого субъект обращается к объекту. Можно, например, разрешить обращаться к файлам с расширением .doc только программам Word, Word Viewer и WPview.
Система правил разграничения доступа для модели изолированной программной среды формулируется следующим образом:
- Для любого объекта операционной системы существует владелец.
- Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
- Для каждой четверки субъект–объект–метод–процесс возможность доступа определена однозначно.
- Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу.
- Для каждого субъекта определен список программ, которые этот субъект может запускать.
Изолированная программная среда существенно повышает защищенность операционной системы от разрушающих программных воздействий, включая программные закладки и компьютерные вирусы. Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе. В то же время изолированная программная среда создает определенные сложности в администрировании операционной системы. Например, при установке нового программного продукта администратор должен изменить списки разрешенных программ для пользователей, которые должны иметь возможность работать с этим программным продуктом. Изолированная программная среда не защищает от утечки конфиденциальной информации.
Полномочное разграничение доступа с контролем информационных потоков
Полномочное, или мандатное, разграничение доступа (Mandatory Access Control) обычно применяется в совокупности с избирательным разграничением доступа. Рассмотрим именно такой случай.
Правила разграничения доступа в данной модели формулируются следующим образом:
- Для любого объекта операционной системы существует владелец.
- Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
- Для каждой четверки субъект–объект–метод–процесс возможность доступа определена однозначно в каждый момент времени. При изменении состояния процесса со временем возможность предоставления доступа также может измениться. Вместе с тем в каждый момент времени возможность доступа определена однозначно. Поскольку права процесса на доступ к объекту меняются с течением времени, они должны проверяться не только при открытии объекта, но и перед выполнением над объектом таких операций, как чтение и запись.
- Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект.
- В множестве объектов выделяется множество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен. Если объект не является объектом полномочного разграничения доступа или несекретен, администратор может обратиться к нему по любому методу, как и в предыдущей модели разграничения доступа.
- Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска. Обычно ненулевое значение допуска назначается только субъектам-пользователям и не назначается субъектам, от имени которых выполняются системные процессы.
- Доступ субъекта к объекту должен быть запрещен независимо от состояния матрицы доступа, если:
– объект является объектом полномочного разграничения доступа;
– гриф секретности объекта строго выше уровня допуска
субъекта, обращающегося к нему;
– субъект открывает объект в режиме, допускающем чтение информации.
Это правило называют правилом NRU (Not Read Up – не читать выше).
- Каждый процесс операционной системы имеет уровень конфиденциальности, равный максимуму из грифов секретности объектов, открытых процессом на протяжении своего существования. Уровень конфиденциальности фактически представляет собой гриф секретности информации, хранящейся в оперативной памяти процесса.
- Доступ субъекта к объекту должен быть запрещен независимо от состояния матрицы доступа, если:
– объект является объектом полномочного разграничения доступа;
– гриф секретности объекта строго ниже уровня конфиденциальности процесса, обращающегося к нему;
– субъект собирается записывать в объект информацию.
Это правило разграничения доступа предотвращает утечку секретной информации. Это так называемое правило NWD (Not Write Down – не записывать ниже).
- Понизить гриф секретности объекта полномочного разграничения доступа может только субъект, который:
– имеет доступ к объекту согласно правилу 7;
– обладает специальной привилегией, позволяющей ему понижать грифы секретности объектов.
При использовании данной модели разграничения доступа существенно страдает производительность операционной системы, поскольку права доступа к объекту должны проверяться не только при открытии объекта, но и при каждой операции чтения/записи.
Кроме того, данная модель разграничения доступа создает пользователям определенные неудобства, связанные с тем, что если уровень конфиденциальности процесса строго выше нуля, то вся информация в памяти процесса фактически является секретной и не может быть записана в несекретный объект.
Если процесс одновременно работает с двумя объектами, только один из которых является секретным, процесс не может записывать информацию из памяти во второй объект. Эта проблема решается посредством использования специального программного интерфейса API для работы с памятью. Области памяти, выделяемые процессам, могут быть описаны как объекты полномочного разграничения доступа, после чего им могут назначаться грифы секретности.
При чтении секретного файла процесс должен считать содержимое такого файла в секретную область памяти, используя для этого функции операционной системы, гарантирующие невозможность утечки информации. Для работы с секретной областью памяти процесс также должен использовать специальные функции. Поскольку утечка информации из секретных областей памяти в память процесса невозможна, считывание процессом секретной информации в секретные области памяти не отражается на уровне конфиденциальности процесса. Если же процесс считывает секретную информацию в область памяти, не описанную как объект полномочного разграничения доступа, повышается уровень конфиденциальности процесса.
Из вышеизложенного следует, что пользователи операционных систем, реализующих данную модель разграничения доступа, вынуждены использовать программное обеспечение, разработанное с учетом этой модели. В противном случае пользователи будут испытывать серьезные проблемы в процессе работы с объектами операционной системы, имеющими ненулевой гриф секретности.
Определенные проблемы вызывает также вопрос о назначении грифов секретности создаваемым объектам. Если пользователь создает новый объект с помощью процесса, имеющего ненулевой уровень конфиденциальности, пользователь вынужден присвоить новому объекту гриф секретности не ниже уровня конфиденциальности процесса. Во многих ситуациях это неудобно.
Сравнительный анализ моделей разграничения доступа
Каждая из рассмотренных моделей разграничения доступа имеет свои достоинства и недостатки. Таблица 2.2 позволяет провести их сравнительный анализ.
Как видно из табл. 2.2, в большинстве ситуаций применение избирательного разграничения доступа наиболее эффективно.
Изолированную программную среду целесообразно использовать в случаях, когда важно обеспечить целостность программ и данных операционной системы. Полномочное разграничение доступа с контролем информационных потоков следует применять в теx случаях, когда для организации чрезвычайно важно обеспечение защищенности системы от несанкционированной утечки информации. В остальных ситуациях применение этой модели нецелесообразно из-за резкого ухудшения эксплуатационных качеств операционной системы.
2.4. Аудит
Процедура аудита применительно к ОС заключается в регистрации в специальном журнале, называемом журналом аудита, или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения журнала аудита, называются аудиторами.
Необходимость включения в защищенную операционную систему функций аудита обусловлена следующими обстоятельствами:
- обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения;
- подсистема защиты ОС может не отличить случайные ошибки пользователей от злонамеренных действий. Администратор, просматривая журнал аудита, сможет установить, что произошло при вводе пользователем неправильного пароля – ошибка легального пользователя или атака злоумышленника. Если пользователь пытался угадать пароль 20–30 раз – это явная попытка подбора пароля;
- администраторы ОС должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как ОС функционировала в недавнем прошлом. Такую возможность обеспечивает журнал аудита;
- если администратор ОС обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. Журнал аудита может содержать всю необходимую информацию.
К числу событий, которые могут представлять опасность для операционной системы, обычно относят следующие:
- вход или выход из системы;
- операции с файлами (открыть, закрыть, переименовать, удалить);
- обращение к удаленной системе;
- смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).
Если фиксировать в журнале аудита все события, объем регистрационной информации будет расти слишком быстро, что затруднит ее эффективный анализ. Необходимо предусмотреть выборочное протоколирование как в отношении пользователей, так и в отношении событий.
Требования к аудиту
Подсистема аудита операционной системы должна удовлетворять следующим требованиям:
- Добавлять записи в журнал аудита может только операционная система. Если предоставить это право какому-то физическому пользователю, этот пользователь получит возможность компрометировать других пользователей, добавляя в журнал аудита соответствующие записи.
- Редактировать или удалять отдельные записи в журнале аудита не может ни один субъект доступа, в том числе и сама ОС.
- Просматривать журнал аудита могут только пользователи, обладающие соответствующей привилегией.
- Очищать журнал аудита могут только пользователи-аудиторы. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Операционная система должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.
- При переполнении журнала аудита ОС аварийно завершает работу («зависает»). После перезагрузки работать с системой могут только аудиторы. Операционная система переходит к обычному режиму работы только после очистки журнала аудита.
Для ограничения доступа к журналу аудита должны применяться специальные средства защиты.
Политика аудита.
Политика аудита – это совокупность правил, определяющих то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обязательно регистрироваться следующие события:
- попытки входа/выхода пользователей из системы;
- попытки изменения списка пользователей;
- попытки изменения политики безопасности, в том числе и политики аудита.
Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов. При выборе оптимальной политики аудита следует учитывать ожидаемую скорость заполнения журнала аудита. Политика аудита должна оперативно реагировать на изменения в конфигурации операционной системы, в характере хранимой и обрабатываемой информации, а особенно на выявленные попытки атаки операционной системы.
В некоторых ОС подсистема аудита, помимо записи информации о зарегистрированных событиях в специальный журнал, предусматривает возможность интерактивного оповещения аудиторов об этих событиях.
Задание для самостоятельной работы:
1. Шаньгин В. Ф. Информационная безопасность. – М.: ДМК Пресс, 2014. , стр. 165-188
2. Владимир Карпов, Константин Коньков. Лекция 15. Основные понятия информационной безопасности. Адрес:
http://www.intuit.ru/studies/courses/2192/31/lecture/996