Какому классу безопасности согласно оранжевой книге соответствует ос windows nt

Главная / Операционные системы / Основы операционных систем - фундаментальные принципы / Тест 15

Главная / Операционные системы /
Основы операционных систем — фундаментальные принципы / Тест 15

Основы операционных систем — фундаментальные принципы — тест 15

Упражнение 1:


Номер 1

Для решения проблемы информационной безопасности необходимо:

Ответ:

(1) применение законодательных мер 

(2) применение программно-технических мер 

(3) сочетание законодательных, организационных и программно-технических мер 


Номер 2

Предположим, что сетевой сервер затоплен мощным потоком запросов. К какой категории атак  относится это действие:

Ответ:

(1) атака типа отказ в обслуживании 

(2) попытка проникновения в систему под видом легального пользователя 

(3) попытка нарушить функционирование системы при помощи программ- «червей» 


Номер 3

Для чего может использоваться функция MD4?

Ответ:

(1) для шифрования с симметричным ключом 

(2) для шифрования с асимметричным ключом 

(3) для шифрования паролей в качестве односторонней функции 


Упражнение 2:


Номер 1

Конфиденциальная система обеспечивает:

Ответ:

(1) секретность данных пользователей 

(2) гарантию того, что авторизованным пользователям всегда будет доступна информация, которая им необходима 

(3) уверенность в том, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен 


Номер 2

Какому классу безопасности, согласно оранжевой книге, соответствует ОС Windows NT?

Ответ:

(1) B1 

(2) C2 

(3)


Номер 3

Применение электронной подписи предполагает:

Ответ:

(1) шифрование сообщения с помощью открытого ключа, а расшифровку — с помощью секретного 

(2) шифрование сообщения с помощью секретного ключа, а расшифровку — с помощью открытого 

(3) как шифрование, так и расшифровку с помощью открытого ключа 


Упражнение 3:


Номер 1

"Троянский конь" - это

Ответ:

(1) несанкционированный доступ к информации без изменения состояния системы 

(2) безобидная с виду программа, выполняющая нежелательные функции 

(3) несанкционированное изменение системы 


Номер 2

Какую информацию принято скрывать, когда применяются криптографические методы защиты?

Ответ:

(1) ключ, при помощи которого шифруется текст 

(2) алгоритм, которым шифруется текст 

(3) ключ и алгоритм вместе 


Номер 3

Среди несимметричных алгоритмов шифрования наиболее известен:

Ответ:

(1) TripleDES 

(2) RSA 

(3) MD5 


С 1983
по 1988 год Министерство обороны США и
Национальный комитет компьютерной
безопасности разработали систему
стандартов в области компьютерной
безопасности, которая включает более
десяти документов. Этот список возглавляют
«Критерии оценки безопасности
компьютерных систем», которые по
цвету обложки чаще называют «Оранжевой
книгой». В 1995 году Национальный центр
компьютерной безопасности США опубликовал
«Пояснения к критериям безопасности
компьютерных систем», объединившие
все имеющиеся на тот момент дополнения
и разъяснения к «Оранжевой книге».

Аналогом «Оранжевой
книги»  является
международный стандарт ISO/IEC15408

опубликованный в 2005 году. Это более
универсальный и совершенный стандарт,
но вопреки распространенному заблуждению,
он не заменял собой «Оранжевую книгу»
в силу разной юрисдикции документов –
«Оранжевая книга» используется
исключительно Министерством
Обороны США,
в то время как ISO/IEC15408 ратифицировали
множество стран, включая Россию.

«Критерии
оценки безопасности компьютерных
систем» Министерства обороны США
открыли путь к ранжированию информационных
систем по степени надежности. В «Оранжевой
книге» определяется четыре уровня
надежности (безопасности) — D, C, B и A.
Уровень D предназначен для систем,
признанных неудовлетворительными. В
настоящее время он пуст, и ситуация едва
ли когда-нибудь изменится. По мере
перехода от уровня C к A к надежности
систем предъявляются все более жесткие
требования. Уровни C и B подразделяются
на классы (C1, C2, B1, B2, B3) с постепенным
возрастанием надежности. Таким образом,
всего имеется шесть классов безопасности
— C1, C2, B1, B2, B3, A1. Чтобы система в результате
процедуры сертификации могла быть
отнесена к некоторому классу, ее политика
безопасности и гарантированность должны
удовлетворять приводимым ниже требованиям.

Уровень d

Данный
уровень предназначен для систем,
признанных неудовлетворительными.

Уровень c

Иначе —
произвольное управление доступом.

Класс c1

Политика
безопасности и уровень гарантированности
для данного класса должны удовлетворять
следующим важнейшим требованиям:

  1. доверенная
    вычислительная база должна управлять
    доступом именованных пользователей к
    именованным объектам;

  2. пользователи
    должны идентифицировать себя, причем
    аутентификационная информация должна
    быть защищена от несанкционированного
    доступа;

  3. доверенная
    вычислительная база должна поддерживать
    область для собственного выполнения,
    защищенную от внешних воздействий;

  4. должны
    быть в наличии аппаратные или программные
    средства, позволяющие периодически
    проверять корректность функционирования
    аппаратных и микропрограммных компонентов
    доверенной вычислительной базы;

  5. защитные
    механизмы должны быть протестированы
    (нет способов обойти или разрушить
    средства защиты доверенной вычислительной
    базы);

  6. должны
    быть описаны подход к безопасности и
    его применение при реализации доверенной
    вычислительной базы.

Класс c2


дополнение к C1):

  1. права
    доступа должны гранулироваться с
    точностью до пользователя. Все объекты
    должны подвергаться контролю доступа.

  2. при
    выделении хранимого объекта из пула
    ресурсов доверенной вычислительной
    базы необходимо ликвидировать все
    следы его использования.

  3. каждый
    пользователь системы должен уникальным
    образом идентифицироваться. Каждое
    регистрируемое действие должно
    ассоциироваться с конкретным
    пользователем.

  4. доверенная
    вычислительная база должна создавать,
    поддерживать и защищать журнал
    регистрационной информации, относящейся
    к доступу к объектам, контролируемым
    базой.

  5. тестирование
    должно подтвердить отсутствие очевидных
    недостатков в механизмах изоляции
    ресурсов и защиты регистрационной
    информации.

Заявления разработчиков программного обеспечения о соответствии высокому классу безопасности зачастую противоречат действительности.

Вам наверняка приходилось слышать, что Microsoft Windows NT 4.0 или еще какая-либо известная ОС соответствует классу безопасности C2.

Заявления разработчиков программного обеспечения о соответствии высокому классу безопасности зачастую противоречат действительности.

Вам наверняка приходилось слышать, что Microsoft Windows NT 4.0 или еще какая-либо известная ОС соответствует классу безопасности C2. Однако эти утверждения зачастую не соответствуют истине: в большинстве случаев производители программного обеспечения либо опережают события, либо выдают желаемое за действительное.

Безопасным в США называют компьютерный продукт, прошедший программу оценки надежности продукта (Trusted Product Evaluation Program, TPEP) от имени и по поручению Национального центра компьютерной безопасности (National Computer Security Center, NCSC), подведомственного Агентству Национальной Безопасности. Каждый такой продукт относят к тому или иному классу безопасности.

Класс безопасности определяется набором требований и правил, изложенных в документе «Критерии оценки надежных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC), который по цвету обложки чаще называют «Оранжевой книгой». Существует семь классов безопасности: A1, B3, B2, B1, C2, C1, D (они приведены в порядке уменьшения требований, т. е. класс B3 выше класса B1 или C2). Помимо своих специфических требований более высокий класс включает в себя требования, предъявляемые к более низкому классу.

Кроме того, интерпретация «Оранжевой книги» для сетевых конфигураций (так называемая «Красная книга») описывает безопасную сетевую среду и сетевые компоненты.

В Таблице 1 представлен список безопасных компьютерных продуктов (Evaluated Product List, EPL) в соответствии с их классами безопасности (http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html). Для краткости здесь перечислены только последние версии. К сожалению, компьютерный продукт, успешно прошедший тестирование, появляется в списке с большой задержкой (до нескольких месяцев). Например, известно, что операционная система Novell NetWare 4.11 получила сертификат по классу C2 в начале октября 1997 г., но в список EPL ее еще на момент написания статьи не внесли. Следует отметить, что в настоящее время тестирование по классу C1 не проводится. Таким образом, вопреки распространенному мнению, C2 — самый низкий класс безопасности.

ТАБЛИЦА 1 — ПРОГРАММНЫЕ ПРОДУКТЫ ПО КЛАССАМ БЕЗОПАСНОСТИ

Опеpационные системы

Сетевые компоненты

Пpиложения

Класс A1 не существуют в настоящее время MLS LAN (Boeing) Gemini Trusted Network Processor (Gemini
Computers)
не существуют в настоящее время
Класс B3 XTS-300 STOP 4.1a (Wang Federal) не существуют в настоящее время не существуют в настоящее время
Класс B2 Trusted XENIX 4.0 (Trusted Information Systems) VSLAN/VSLANE 6.1 (General Kinetics) не существуют в настоящее время
Класс B1 UTS/MLS, Version 2.1.5+ (Amdahl)
SEVMS VAX and Alpha Version 6.1 (Digital Equipment)
ULTRIX MLS+ Version 2.1 on VAX Station 3100 (Digital Equipment)
CX/SX 6.2.1 (Harris Computer Systems)
HP-UX BLS Release 9.0.9+ (Hewlett-Packard)
Trusted IRIX/B Release 4.0.5EPL (Silicon Graphics)
OS 1100/2200 Release SB4R7 (Unisys)
Trusted UNICOS 8.0 (Cray Reseach)
CX/SX with LAN/SX 6.2.1 (Harris Computer Systems)
INFORMIX-OnLine/Secure 5.0 (Informix Software)
Trusted Oracle7 (Oracle)
Secure SQL Server version 11.0.6 (Sybase)
Класс C2 AOS/VS II, Release 3.10 (Data General)
OpenVMS VAX and Alpha Version 6.1 (Digital Equipment)
AS/400 with OS/400 V3R0M5 (IBM)
Windows NT Version 3.5 (Microsoft)
Guardian-90 w/Safeguard S00.01 (Tandem Computers)
не существуют в настоящее время INFORMIX-OnLine/Secure 5.0 (Informix Software)
Oracle7 (Oracle)
SQL Server version 11.0.6 (Sybase)

Необходимо иметь в виду, что тестируются не операционные системы или программные продукты как таковые, а программно-аппаратная конфигурация. Например, Microsoft Windows NT 3.5 имеет класс C2, лишь когда эту ОС (обязательно с Service Pack 3) устанавливают на компьютеры Compaq Proliant 2000 и 4000 (Pentium) или DECpc AXP/150 (Alpha).

Сертификат будет не действителен, не только если NT установить на другой тип компьютеров (пусть даже это Proliant 6000), но и если SCSI-контроллер производства Compaq (именно такой стоял в сертифицированной машине) заменить на другую модель. Более того, чтобы обеспечить уровень безопасности C2, необходимо строго следовать инструкциям, содержащимся в документе Microsoft «Установки для соответствия защиты уровню C2». Так, если отключена система аудита или на винчестере присутствует MS-DOS, то ни о каком уровне C2 не может быть и речи.

Формально процедуры тестирования и сертификации бесплатны, но косвенные затраты по подготовке необходимых документов и проведению тестов выливаются в весьма круглую сумму. Не всякая компьютерная компания может себе это позволить. Сам же процесс сертификации длится порядка двух лет, что также не добавляет энтузиазма разработчикам ПО. Довольно часто продукт получает сертификат к тому времени, когда он уже устарел или устарела программно-аппаратная конфигурация, на которой продукт испытывался. Но и получение сертификата безопасности не гарантирует отсутствия «дыр», что Национальный центр компьютерной безопасности честно признает. Известны многочисленные случаи, когда в системах, имеющих сертификат, безопасность не соответствовала заявленной.

В связи с вышеизложенным большинство компьютерных компаний предпочитают не тестировать свои продукты, тем более что сертификат важен только при использовании в военных и государственных учреждениях (и то не всех). Обычно речь идет о так называемой совместимости с тем или иным классом безопасности, т. е. процедура тестирования не проводится, но, как говорится, «фирма гарантирует». Зачастую коммерческие организации этим вполне и удовлетворяются.

Если взглянуть на Таблицу 1, то обращает внимание отсутствие операционных систем и приложений, которые удовлетворяли бы требованиям класса A1. Самой безопасной ОС является XTS-300 STOP 4.1a компании Wang Federal, соответствующая классу B3. STOP 4.1a — не просто операционная система, а полный пакет, включающий помимо самой ОС еще и аппаратное обеспечение на основе процессора Intel 486. Данная ОС принадлежит к UNIX-подобным операционным системам, но удовлетворяет экстремально высоким требованиям к безопасности. Но даже с этой ОС не обошлось без ошибок. Например, в сообщении DDN от 23 июня 1995 г. говорится о проблемах в версии STOP 4.0.3.

Среди компьютерных специалистов бытует мнение о невысокой защищенности ОС UNIX. Список EPL говорит об обратном. Самые безопасные ОС принадлежат именно к семейству UNIX. Правда, эти версии UNIX дополнены мощными системами аудита и средствами разграничения полномочий не только на уровне пользователей, но и на уровне компонентов ОС.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Все, о чем говорилось в этой статье, не имеет ровным счетом никакого отношения к российской действительности. Тестирование и сертификацию средств вычислительной техники и автоматизированных систем в России осуществляет Гостехкомиссия при Президенте РФ, и совсем по иным правилам, нежели Национальный центр компьютерной безопасности США. Российские классы защищенности имеют весьма отдаленное отношение к американским классам безопасности. Более того, ни одна компьютерная система, уже имеющая американский сертификат, не пройдет тестирования в Гостехкомиссии без удовлетворения ряду специфических требований.

Вдобавок американские критерии не действуют и в Европе, где имеется свой аналог «Оранжевой книги» под названием «Критерии оценки безопасности информационной технологии» (Information Technology Security Evaluation Criteria, ITSEC). В отличие от «Оранжевой книги» в ITSEC делается упор на понятиях «целостность» и «доступность».

Когда при покупке компьютерного продукта вам сообщают, что он соответствует американскому классу безопасности, помните, что в общем случае это ничего не значит. Если продукт новый, то, скорее всего, он не имеет американского сертификата, а если имеет, то в России этот сертификат не действует.


Константин Пьянзин — обозреватель LAN, с ним можно связаться
по адресу: koka@osp.ru.

Разграничение классов информационной безопасности позволяет отличать друг от друга системы, обеспечивающие разную степень защищенности информации и информационной инфраструктуры, лучше знать возможности классифицируемых систем и выполняемые ими требования. Это гарантирует более обоснованный выбор и более качественное управление системой информационной безопасности.

Классы информационной безопасности определены в нескольких общеизвестных стандартах. Наиболее известна классификация, данная в стандарте министерства обороны США «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC). Стандарт TCSEC также именуется «Оранжевой книгой». В «Оранжевой книге» определены четыре уровня безопасности – D, C, B и A. Уровень D признан неудовлетворительным. Уровни С и В подразделяются на классы (C1, С2, B1, В2 и ВЗ). Таким образом, всего в стандарте определено шесть классов информационной безопасности – C1, C2, B1, B2, B3 и A1.

В таблице, приведенной ниже, отражены основные требования «Оранжевой книги», предъявляемые к уровням и классам информационной безопасности.

Уровень B — Принудительное управление доступом

Класс B1 (в дополнение к требованиям к C2):

доверенная вычислительная база управляет метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;

доверенная вычислительная база обеспечивает реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;

доверенная вычислительная база обеспечивает взаимную изоляцию процессов путем разделения их адресных пространств;

специалисты тщательно анализируют и тестируют архитектуру и исходный код системы;

существует неформальная или формальная модель политики безопасности, поддерживаемая доверенной вычислительной базой.

Класс B2 (в дополнение к требованиям к B1):

все ресурсы системы, прямо или косвенно доступные субъектам, снабжаются метками секретности;

в доверенной вычислительной базе поддерживается доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации;

предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;

доверенная вычислительная база внутренне структурирована на хорошо определенные, относительно независимые модули;

системный архитектор тщательно анализирует возможность организации тайных каналов обмена с памятью и оценивает максимальную пропускную способность каждого выявленного канала;

продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения;

модель политики безопасности является формальной; для доверенной вычислительной базы существуют описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс;

в процессе разработки и сопровождения доверенной вычислительной базы используется система управления конфигурациями, обеспечивающая контроль изменений в спецификациях верхнего уровня, архитектурных данных, исходных текстах, работающей версии объектного кода, тестовых данных и документации;

тесты подтверждают действенность мер по уменьшению пропускной способности тайных каналов передачи информации.

Класс B3 (в дополнение к требованиям к B2):

для произвольного управления доступом используются списки управления доступом с указанием разрешенных режимов;

предусмотрена возможность регистрации появления и накопления событий, несущих угрозу нарушения политики безопасности системы. Администратор безопасности немедленно получает сообщения о попытках нарушения политики безопасности; система, в случае продолжения таких попыток сразу их пресекает;

доверенная вычислительная база спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой;

анализируется и выявляется возможность временных тайных каналов;

существует роль администратора безопасности, получить которую можно только после выполнения явных, протоколируемых действий;

имеются процедуры и/или механизмы, позволяющие без ослабления защиты произвести восстановление после сбоя;

продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения.

Таб. Классы информационной безопасности, определённые в «Оранжевой книге»

Еще один стандарт, описывающий классы информационной безопасности, – «Европейские критерии» (Information Technology Security Evaluation Criteria, ITSEC), выдвинутые рядом западноевропейских государств. Данный стандарт, вышедший в 1991 году, содержит согласованные критерии оценки безопасности информационных технологий, выработанные в ходе общеевропейской интеграции. «Европейские критерии» описывают классы функциональности систем информационной безопасности, характерных для правительственных и коммерческих структур. Некоторые из этих классов соответствуют классам информационной безопасности «Оранжевой книги».

По аналогии с «Оранжевой книгой» были построены вышедшие чуть позже «Руководящие документы» Гостехкомиссии при президенте России. «Документы» устанавливают семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. В некоторых вопросах «Руководящие документы» отклоняются от американского стандарта – например, они отдельно определяют классы межсетевых экранов.

В январе 1981 года в соответствии с директивой министра обороны США N 5215.1 с целью определения пригодности предлагаемых различными разработчиками компьютерных систем был создан Центр компьютерной безопасности министерства обороны США.

Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр компьютерной безопасности (National Computer Security Center; NCSC).

Оценивание компьютерных систем осуществлялось и осуществляется на основании стандарта, известного как Критерии оценки пригодности компьютерных систем министерства обороны (Department of Defence Trusted Computer System Evaluation Criteria;TCSEC), установленного в 1983 году директивой министра обороны N5200.28-STD. TCSEC известен также под названием «Оранжевая книга» по цвету обложки книги. TCSEC определяет средства, которые должны быть включены в компьютерную систему для того, чтобы такая система была безопасной в отношении обработки критической информации.

Требования TCSEC, предъявляемые к компьютерной системе (продукту) в процессе оценивания, условно можно разделить на четыре типа — требования проведения последовательной политики безопасности (security policy), требования ведения учета использования продукта (accounts), требования доверия к продукту (assurance) и требования к документации на продукт.

Согласно TCSEC, для оценивания компьютерных систем выделено четыре основных группы безопасности, которые в свою очередь делятся на классы безопасности:

— группа Д — Minimal Protection (минимальная защита) — объединяет компьютерные системы, не удовлетворяющие требованиям безопасности высших классов. В данном случае группа и класс совпадают;

— группа С — Discretionary Protection (избирательная защита) — объединяет системы, обеспечивающие набор средств защиты, применяемых пользователем, включая средства общего контроля и учета субъектов и их действий. Эта группа имеет два класса:

1) класс С1 — Discretionary Security Protection (избирательная защита безопасности) — объединяет системы с разделением пользователей и данных;

2) класс С2 — Controlled Access Protection (защита контролируемого доступа) — объединяет системы, обеспечивающие более тонкие средства защиты по сравнению с системами класса С1, делающие пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и контроля за событиями, затрагивающими безопасность системы и изоляцию данных.

Примечание: Компьютерные системы, которые могут быть использованы для нужд министерства обороны США, должны как минимум иметь рейтинг безопасности С2.

— группа В — Mandatory Protection (полномочная защита) — имеет три класса:

1) класс В1 — Labeled Security Protection (меточная защита безопасности) — объединяет системы, удовлетворяющие всем требованиям класса С2, дополнительно реализующие заранее определенную модель безопасности, поддерживающие метки субъектов и объектов, полный контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при тестировании недостатки должны быть устранены;

2) класс В2 — Structured Protection (структурированная защита) — объединяет системы, в которых реализована четко определенная и задокументированная формализованная модель обеспечения безопасности, а меточный механизм разделения и контроля доступа, реализованный в системах класса В1, распространен на всех пользователей, все данные и все виды доступа. По сравнению с классом В1 ужесточены требования по идентификации пользователей, контролю за исполнением команд управления, усилена поддержка администратора и операторов системы. Должны быть проанализированы и перекрыты все возможности обхода защиты. Системы класса В2 считаются «относительно неуязвимыми» для несанкционированного доступа;

3) класс В3 — Security Domains (области безопасности) — объединяет системы, имеющие специальные комплексы безопасности. В системах этого класса должен быть механизм регистрации всех видов доступа любого субъекта к любому объекту. Должна быть полностью исключена возможность несанкционированного доступа. Система безопасности должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог в любой момент протестировать механизм безопасности. Системы этого класса должны иметь средства поддержки администратора безопасности; механизм контроля должен быть распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность; должны быть средства восстановления системы. Системы этого класса считаются устойчивыми к несанкционированному доступу.

— группа А — Verified Protection (проверяемая защита) — объединяет системы, характерные тем, что для проверки реализованных в системе средств защиты обрабатываемой или хранимой информации применяются формальные методы. Обязательным требованием является полная документированность всех аспектов проектирования, разработки и исполнения систем. Выделен единственный класс:

1) класс А1 — Verified Desing (проверяемая разработка) — объединяющий системы, функционально эквивалентные системам класса В3 и не требующие каких-либо дополнительных средств. Отличительной чертой систем этого класса является анализ формальных спецификаций проекта системы и технологии исполнения, дающий в результате высокую степень гарантированности корректного исполнения системы. Кроме этого, системы должны иметь мощные средства управления конфигурацией и средства поддержки администратора безопасности.

Основное содержание требований по классам безопасности TCSEC приведено в таблице 1.

Таблица 1. Классы безопасности в «Оранжевой книге»

Требования

К л а с с ы

С1

C2

B1

B2

B3

A1

1 Требования к политике безопасности

1.1 Произвольное управление доступом

+

+

=

=

+

=

1.2 Повторное использование объектов

+

=

=

=

=

1.3 Метки безопасности

+

+

=

=

1.4 Целостность меток безопасности

+

+

=

=

1.5 Принудительное управление доступом

+

+

=

=

2 Требования к подотчетности

2.1 Идентификация и аутентификация

+

+

+

=

=

=

2.2 Предоставление надежного пути

+

+

=

2.3 Аудит

+

+

+

+

=

3 Требования к гарантированности

3.1 Операционная гарантированность

3.1.1 Архитектура системы

+

+

+

+

+

=

3.1.2 Целостность системы

+

=

=

=

=

=

3.1.3 Анализ тайных каналов передачи информации

+

+

+

3.1.4 Надежное администрирование

+

+

=

3.1.5 Надежное восстановление

+

=

3.2 Технологическая гарантированность

3.2.1 Тестирование

+

+

+

+

+

+

3.2.2 Верификация спецификаций архитектуры

+

+

+

+

3.2.3 Конфигурационное управление

+

=

+

3.2.4 Надежное распространение

+

4 Требования к документации

4.1 Руководство пользователя по средствам безопасности

+

=

=

=

=

=

4.2 Руководство администратора по средствам безопасности

+

+

+

+

+

+

4.2 Тестовая документация

+

=

=

+

=

+

4.4 Описание архитектуры

+

=

+

+

+

+

Обозначения:

«-» — нет требований к данному классу «+» — новые или дополнительные требования «=» — требования совпадают с требованиями предыдущего класса

Операционная система Windows NT была разработана так, чтобы соответствовать уровню С2 требований безопасности Министерства обороны США – Оранжевой книги. Этот стандарт требует наличия у операционных систем определенных свойств, позволяющих относить данные системы к достаточно надежным для выполнения военных задач определенного рода. Хотя при разработке операционной системы Windows 2000 не ставилось особой цели соответствия требованиям уровня С2, она унаследовала множество свойств безопасности от NT, включая следующие.

1. Безопасная регистрация в системе с мерами предосторожности против попыток применения фальшивой программы регистрации.

2. Дискреционное управление доступом.

3. Управление привилегированным доступом.

4. Защита адресного пространства для каждого процесса.

5. Обнуление страниц перед выделением их процессу.

6. Аудит безопасности.

Рассмотрим кратко эти аспекты (ни один из них не встречается в Windows 98). Безопасная регистрация означает, что системный администратор может потребовать от всех пользователей наличия пароля для входа в систему. Программа, имитирующая регистрацию в системе, использовалась ранее на некоторых системах злоумышленниками с целью выведать пароль пользователя. Такая программа запускалась в надежде, что пользователь сядет за компьютер и введет свое имя и пароль. Имя и пароль записывались на диск, после чего пользователю сообщалось, что в регистрации ему отказано. В операционной системе Windows 2000 подобный обман пользователя невозможен, так как пользователь для входа в систему должен нажать комбинацию клавиш CTRL+ALT+DEL. Эта комбинация клавиш всегда перехватывается драйвером клавиатуры, который вызывает при этом настоящую программу регистрации. Пользовательский процесс не может сам перехватить эту комбинацию клавиш или отменить ее обработку драйвером.

Дискреционное управление доступом позволяет владельцу файла или другого объекта указать, кто может пользоваться объектом и каким образом.

Средства управления привилегированным доступом позволяют системному администратору (суперпользователю) получать доступ к объекту, несмотря на установленные его владельцем разрешения доступа.

Под защитой адресного пространства имеется в виду лишь то, что у каждого процесса есть собственное защищенное виртуальное адресное пространство, недоступное для любого неавторизованного процесса.

Обнуление страниц перед выделением их процессу означает, что при увеличении стека выделяемые для него страницы заранее обнуляются, так что процесс не может обнаружить в них информации, помещенной предыдущим владельцем страницы памяти.

Аудит безопасности следует понимать как регистрацию системой в журнале определенных событий, относящихся к безопасности. Впоследствии этот журнал может просматривать системный администратор.

Рассмотрим основные понятия безопасности операционной системы Windows 2000.

У каждого пользователя (и группы) операционной системы Windows 2000 есть идентификатор безопасности SID (Security IDentifier), по которому операционная система отличает его от других пользователей. Идентификаторы безопасности представляют собой двоичные числа с коротким заголовком, за которым следует длинный случайный компонент. Каждый SID должен быть уникален в пределах всей планеты. Когда пользователь запускает процесс, этот процесс и его потоки работают под идентификатором пользователя. Большая часть системы безопасности спроектирована так, чтобы гарантировать предоставление доступа к каждому объекту только потокам с авторизованными идентификаторами безопасности.

У каждого процесса есть маркер доступа, в котором указывается SID и другие свойства. Как правило, он назначается при регистрации в системе процедурой winlogon. Структура маркера доступа показана на рис. 5.

Рис. 5. Структура маркера доступа

Заголовок маркера содержит некоторую административную информацию. По значению поля срока действия можно определить, когда маркер перестанет быть действительным, но в настоящее время это поле не используется. Поле Groups (группы) указывает группы, к которым принадлежит процесс. Поле DACL (DACL, Discretionary Access Control List — список разграничительного контроля доступа) представляет собой список управления доступом, назначаемый объектам, созданным процессом, если не определены другие списки ACL. Идентификатор безопасности пользователя указывает пользователя, владеющего процессом. Ограниченные идентификаторы SID позволяют ненадежным процессам принимать участие в заданиях вместе с надежными процессами, но с меньшими полномочиями и меньшими возможностями причинения ущерба.

Наконец, перечисленные в маркере привилегии (если они перечислены) дают процессу особые полномочия, такие как право выключать компьютер или получать доступ к файлам, к которым в противном случае в этом доступе процессу было бы отказано. Привилегии позволяют разбить полномочия системного администратора на отдельные права, которые могут предоставляться процессам по отдельности. Таким образом, пользователю может быть предоставлена часть полномочий суперпользователя, но не все его полномочия. Итак, маркер доступа содержит информацию о том, кто владеет процессом и какие умолчания и полномочия ассоциированы с ним.

Когда пользователь регистрируется в системе, процесс winlogon назначает маркер доступа начальному процессу. Последующие процессы, как правило, наследуют этот маркер. Маркер доступа процесса изначально применяется ко всем потокам процесса. Однако поток во время исполнения может получить другой маркер доступа. В этом случае маркер доступа потока перекрывает маркер доступа процесса. В частности, клиентский поток может передать свой маркер доступа серверному потоку, чтобы сервер мог получить доступ к защищенным файлам и другим объектам клиента. Такой механизм называется перевоплощением.

Другим основным понятием является дескриптор защиты. У каждого объекта есть ассоциированный с ним дескриптор защиты, содержащий список пользователей и групп, имеющих доступ к данному объекту. Дескриптор защиты состоит из заголовка, за которым следует список DACL с одним или несколькими элементами АСЕ (Access Control Entry — элемент списка контроля доступа ACL). Два основных типа элементов списка — это разрешение и запрет доступа. Разрешающий элемент содержит SID пользователя или группы и битовый массив, определяющий набор операций, которые процессы с данным идентификатором SID могут выполнять с определенным объектом. Запрещающий элемент работает анало-гично, но совпадение идентификаторов означает, что обращающийся процесс не может выполнять перечисленные операции. Например,
у Иды есть файл, дескриптор защиты которого указывает, что у всех пользователей есть доступ для чтения этого файла, Элвису запрещен всякий доступ, а у самой Иды есть все виды доступа. Этот простой пример показан на рис. 6. Идентификатор защиты Everyone (все) соответствует множеству всех пользователей, но его действие может перекрываться любым элементом списка, в котором явно указано нечто иное.

Рис. 6. Пример дескриптора защиты для файла

Кроме списка DACL, у дескриптора защиты есть также список SACL (System Access Control List — системный список контроля доступа), который похож на DACL, только вместо пользователей и групп, имеющих доступ к объекту, в нем перечисляются операции с этим объектом, регистрируемые в специальном журнале. На рис. 6 все действия, которые Мэрилин выполнит с этим файлом, будут регистрироваться в журнале.
В операционной системе Windows 2000 также предоставляются дополнительные возможности аудита для регистрации доступа к объектам.

Реализация защиты

Защита в автономной системе Windows 2000 реализуется при помощи нескольких компонентов, большую часть которых мы уже рассмотрели.

Регистрацией в системе управляет программа winlogon, а аутентификацией занимаются lsass и msgina.dll. Результатом успешной регистрации в системе является новая оболочка с ассоциированным с ней маркером доступа. Этот процесс использует в реестре ключи SECURITY и SAM. Первый ключ определяет общую политику безопасности, а второй ключ содержит информацию о защите для индивидуальных пользователей.

Как только пользователь регистрируется в системе, выполняется операция защиты при открытии объекта. Для каждого вызова OpenХХХ требуется имя открываемого объекта и набор прав доступа к нему. Во время обработки процедуры открытия объекта менеджер безопасности проверяет наличие у вызывающего процесса соответствующих прав доступа. Для этого он просматривает все маркеры доступа вызывающего процесса, а также список DACL, ассоциированный с объектом. Он просматривает по очереди элементы списка ACL. Как только он находит запись, соответствующую идентификатору SID вызывающего процесса или одной из его групп, поиск прав доступа считается законченным. Если вызывающий процесс обладает необходимыми правами, объект открывается, в противном случае в открытии объекта отказывается.

Помимо разрешающих записей, списки DACL могут также содержать запрещающие записи. Поскольку менеджер безопасности прекращает поиск, наткнувшись на первую запись с указанным идентификатором, запрещающие записи помещаются в начало списка DACL, чтобы пользователь, которому строго запрещен доступ к какому-либо объекту, не смог получить его как член какой-либо группы, которой этот доступ предоставлен.

После того как объект открыт, дескриптор объекта возвращается вызывающему процессу. При последующих обращениях проверяется только, входит ли данная операция в число операций, разрешенных в момент открытия объекта, чтобы, например, не допустить записи в файл, открытый для чтения.

Защита в Unix-системах

Основные положения

В настоящее время операционная система UNIX (особенно ее модификации семейства Linux) широко используется в различных областях, в том числе в организациях, где безопасность информации стоит на одном из первых мест.

Средства защиты UNIX включают как базовые механизмы, так и расширения средств безопасности. Одним из самых важных моментов обеспечения безопасности UNIX является ее правильная конфигурация и настройка. Очевидно, чтобы правильно настроить систему, администратор должен четко представлять все требования, которые должны быть описаны в априорно заданной политике безопасности. Следующим аспектом обеспечения безопасности является выявление некорректно работающих программ, которые при некоторых нештатных ситуациях выполняют ряд дополнительных незапланированных действий и могут привести к нарушению безопасности.

В надежной системе административные задачи распадаются на несколько логических ролей. Каждая роль ответственна за сопровождение одного аспекта системы. Идея о специфических административных ролях и соответствующих им задачах и обязанностях является основной для построения надежной защиты в UNIX-системе. В UNIX любая логическая роль может быть назначена одному и тому же пользователю или различным членам некоторой административной группы пользователей. С каждой расширенной ролью связана своя авторизация. Эта связь позволяет администратору вести полную регистрацию административных действий.

Существуют, например, следующие администраторы:

 администратор системных утилит;

 администратор системных команд;

администратор системных файлов;

администратор учета пользователей и терминалов;

администратор службы аутентификации;

администратор почты;

администратор сети;

администратор печати;

администратор аудита и др.

При введении дополнительных компонент системы (СУБД, различных видов сервиса и т.д.) в системе появляются соответствующие администраторы.

Все администраторы вместе выполняют функции суперпользователя. При этом, используя предлагаемую политику безопасности, суперпользователь может вообще отсутствовать в системе (пароль суперпользователя вводится определенными лицами, и кроме них его никто не знает). Такая схема позволяет четко разделить обязанности и ответственность между людьми, которые администрируют и поддерживают работу системы.

Статьи к прочтению:

  • Проблемы использования информационных технологий
  • Проблемы защиты компьютерных сетей

Решение проблемы

Похожие статьи:

  • Принцип обеспечения безопасности вычислений

    Обеспечение безопасности при выполнении вычислений является желаемым свойством для любой многопользовательской системы. Правила безопасности определяют…

  • Классы безопасности компьютерных систем

    “Оранжевая книга” предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально…

Like this post? Please share to your friends:
  • Какой фотошоп лучше скачать для windows 10 бесплатно на русском языке
  • Какую раскладку клавиатуры вы хотите использовать windows 10 при установке
  • Какой фотошоп лучше скачать для windows 10 64 bit
  • Какую раскладку английского выбрать для клавиатуры при установке windows 10
  • Какой фотошоп лучше скачать для windows 10 2021