Тема 2-1 Принципы построения защиты информации в операционных системах

Понятие безопасности ОС. Классификация угроз ОС.

Когда дефект влияет на безопасность, мы называем его уязвимостью (vulnerability).

Основные проблемы обеспечения недоступности файлов для чтения и изменения со стороны лиц, не обладающих соответствующими полномочиями, куда включаются технические, административные, правовые и политические вопросы, с одной стороны, и специфические механизмы операционной системы, использующиеся для обеспечения безопасности, — с другой. Во избежание недоразумений для ссылки на проблемы общего плана будет использоваться термин безопасность (security), а для ссылки на специфические механизмы операционной системы, используемые для защиты информации, имеющейся на компьютере, будет использоваться термин защитные механизмы (protection mechanisms).

Во многих работах, посвященных безопасности, безопасность информационных систем разбита на три компонента: конфиденциальность, целостность и доступность. Вместе все три компонента часто называют CIA (Confidentiality, Integrity, Availability). Они показаны в табл. и составляют основу свойств безопасности, которыми мы должны защититься от взломщиков и шпионов, по аналогии с задачами другого CIA (ЦРУ, центрального разведывательного управления США).

Таблица 21-1. Задачи и угрозы безопасности

Первое свойство — конфиденциальность (confidentiality) — направлено на сохранение секретности данных. Точнее говоря, если владелец неких данных решил, что эти данные могут быть доступны строго определенному кругу лиц, система должна гарантировать невозможность допуска к данным лиц, не имеющих на это права. Как минимум владелец должен иметь возможность определить, кто и что может просматривать, а система должна обеспечить выполнение этих требований, касающихся в идеале отдельных файлов.

Второе свойство — целостность (integrity) — означает, что пользователи, не обладающие необходимыми правами, не должны иметь возможности изменять какие-либо данные без разрешения их владельцев. В этом контексте изменение данных включает в себя не только внесение в них изменений, но и их удаление или добавление в них ложных данных. Если система не может гарантировать, что заложенные в нее данные не будут подвергаться изменениям, пока владелец не решит их изменить, то она утратит свою роль хранилища данных.

Третье свойство — доступность (availability) — означает, что никто не может нарушить работу системы и вывести ее из строя. Атаки, вызывающие отказ от обслуживания (denial of service, (DOS)), приобретают все более распространенный характер. Например, если компьютер работает в роли интернет-сервера, то постоянное забрасывание его запросами может лишить его работоспособности, отвлекая все рабочее время его центрального процессора на изучение и отклонение входящих запросов. Если на обработку входящего запроса на чтение веб-страницы уходит, скажем, 100 мкс, то любой, кто сможет отправлять 10 000 запросов в секунду, способен вывести сервер из строя.

Когда Трейси обнаруживает уязвимость в программе Камиллы, она должна снабдить эту программу такими байтами, которые заставят дефект сработать. Вводимые данные, позволяющие воспользоваться дефектом, обычно называются вредоносным кодом (exploit). Зачастую удачно подобранный вредоносный код позволяет взломщикам получить полный контроль над компьютером.

Взломщики, воспользовавшись вирусом или червем, могут запускать вредоносный код сами, или же он может запускаться в автоматическом режиме. Разница между вирусом и червем не всегда понятна. Многие соглашаются с тем, что вирусу для распространения нужны хотя бы какие-нибудь пользовательские действия. Например, чтобы инфицировать машину, пользователь должен щелкнуть кнопкой мыши на вложении в электронное письмо. В то же время черви попадают в систему без посторонней помощи. Они будут распространяться независимо от действий пользователя. Возможно также, что пользователь сам охотно устанавливает у себя код, применяемый взломщиком. Например, взломщик может переупаковать популярную, но дорогостоящую программу (вроде игры или текстового процессора) и предложить ее бесплатно через Интернет.

Рис 22-1. Монитор обращений.

Рис. 22-2. Использование списков управления доступом для управления доступом к файлам.

Безопасность данных вычислительной системы обеспечивается средствами отказоустойчивости ОС, направленными на защиту от сбоев и отказов аппаратуры и ошибок программного обеспечения, а также средствами защиты от несанкционированного доступа (получение доступа к информации лицом, не имеющим разрешения на доступ к этой информации). В последнем случае ОС защищает данные от ошибочного или злонамеренного поведения пользователей системы.

Первым рубежом обороны при защите данных от несанкционированного доступа является процедура логического входа (если не нажимали никаких кнопок и загрузка пошла своим чередом, то компьютер покажет Экран блокировки. Нажмите Esc или Enter на клавиатуре, откроется экран ввода пароля к учетной записи. Этот вид входа возможен на любом компьютере, то есть по почтовому адресу аккаунта и паролю – процедура логического входа (стартовая) предназначена для приведения устройства в исходное состояние перед началом очередной операции. Выполняет «открытие» (open) устройства). Операционная система должна убедиться, что в систему пытается войти пользователь, вход которого разрешен администратором. Функции защиты ОС вообще очень тесно связаны с функциями администрирования, так как именно администратор определяет права доступа пользователей (осуществляется контроль операционной системой над действиями пользователей – как на локальном компьютере, так и в сети) при их обращении к разным ресурсам системы – файлам, каталогам, принтерам, сканерам и т.п. Кроме того, администратор ограничивает возможности пользователей в выполнении тех или иных системных действий. Например, пользователю может быть запрещено выполнять процедуру завершения работы ОС, устанавливать системное время, завершать чужие процессы, создавать учетные записи пользователей, изменять права доступа к некоторым каталогам и файлам. Администратор может также урезать возможности пользовательского интерфейса, убрав, например, некоторые пункты из меню операционной системы (меню Пуск или главное меню – основной элемент рабочего стол; при нажатии кнопки Пуск на панели задач откроется доступ ко всем компонентам операционной системы, в том числе к установленным на компьютере программам), выводимого на дисплей пользователя.

Важным средством защиты данных является функции аудита ОС, заключающиеся в фиксации всех событий, от которых зависит безопасность системы. Например, попытки удачного и неудачного логического входа в систему, операции доступа к некоторым каталогам и файлам, использование принтеров и т.п. список событий, которые необходимо отслеживать, определяет администратор ОС.

Вторым рубежом защиты - поддержка отказоустойчивости реализуется операционной системой, как правило, на основе резервирования (резервная копия всего системного диска или раздела, т.е. архивация – процедура сжатия и сохранения файлов и/или папок в файле специального формата). Чаще всего в функции ОС входит поддержание нескольких копий данных на разных дисках или разных дисковых накопителях. Резервируются также принтеры и другие устройства ввода-вывода. При отказе одного из избыточных устройств операционная система должна быстро и прозрачным для пользователя образом произвести реконфигурацию системы и продолжить работу с резервным устройством. Особым случаем обеспечения отказоустойчивости является использование нескольких процессоров, то есть мультипроцессирование, когда система продолжает работу при отказе одного из процессоров, хотя и с меньшей производительностью. Необходимо отметить, что многие ОС используют мультипроцессорную конфигурацию компьютера только для ускорения работы и при отказе одного из процессоров прекращают работу.

Поддержка отказоустойчивости также входит в обязанности системного администратора. В состав ОС обычно входят утилиты, позволяющие администратору выполнять регулярные операции резервного копирования для обеспечения быстрого восстановления важных данных (утилита операционной системы, позволяющая восстановить конфигурацию ее в случае сбоя).