Операционные системы : Безопасность _ОС

при проектировании и программировании ОС, а также недокументированные возможности установленного

программного обеспечения. Сюда следует отнести и так называемые "люки" - специально или непреднамеренно встроенные в систему "служебные входы", позволяющие миновать систему безопасности. 2. Неправильная политика безопасности. Чаще всего под этим понятием подразумевают ошибки системного администратора.

воздействия
1. Использование легальных каналов доступа к информации - доступ

к файлу со стороны пользователя, не имеющего права на его чтение. Данная ситуация возможна при неправильной установке прав доступа пользователей. То есть, в том случае, если пользователь получает права, которых, согласно политике безопасности иметь не должен. 2. Использование скрытых каналов доступа к информации - ситуация возможна, когда злоумышленник использует недокументированные возможности операционной системы. 3. Создание новых каналов получения информации - использование специализированного ПО, заранее установленного в систему.

Пассивное воздействие - наблюдение атакующего за процессами, происходящими в системе. 2.

Активное воздействие - непосредственное воздействие злоумышленника на процессы, происходящие в операционной системе (удаление файлов, изменение прав доступа и т.д.).

по отношению к операционной системе - полное разрушение, либо уничтожение

отдельных частей. 2. Несанкционированное чтение информации. 3. Несанкционированное изменение информации. 4. Несанкционированное уничтожение информации.

субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный

номер и т.д.) и таким образом идентифицирует себя.
Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.

паролей в списке пользователей используют одну из известных криптографически стойких

хеш-функций – легко вычисляемую функцию F, для которой обратная функция (возможно, неоднозначная) не может быть вычислена за приемлемое время.
В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хеш-функции.

участвовать маркант - число или строка, генерируемая случайным образом и

хранящаяся в открытом виде вместе с образом пароля. Это необходимо для того, чтобы одинаковым паролям соответствовали разные образы

оптимизированный по статистике встречаемости символов.
3. Тотальный перебор. оптимизированный с помощью

словарей.
4. Подбор пароля с использованием знаний о пользователе.
5. Подбор образа пароля.

и аутентифицирующая информация пользователя, хранится на внешнем носителе информации, который

может представлять собой электронный USB-ключ, пластиковую смарт-карту и т.д.
При входе в систему пользователь подключает к компьютеру носитель ключевой информации, и операционная система считывает с него идентификатор пользователя и соответствующий ему ключ.

человек обладает своим неповторимым набором биометрических характеристик, к которым относятся:
-

отпечатки пальцев,
- рисунок сетчатки,
- рукописный и клавиатурный почерк и т.д.
Эти характеристики могут быть использованы для аутентификации пользователя.

к которому пользователей и других субъектов доступа может быть произвольно

ограничен.
Если правила, ограничивающие доступ субъектов к некоторому элементу операционной системы, определены жестко и не допускают изменения с течением вре­мени, этот элемент операционной системы мы не будем считать объектом.

операция, определенная для некоторого объекта. Например, для файлов могут быть

определены методы доступа "чтение", "запись" и "добавление" (дописывание информации в конец файла).

операций над объектами (обращаться к объектам по некоторым методам доступа).

Например, пользователи являются субъектами доступа.

тройки субъект-метод-объект, разрешен ли доступ данного субъекта к данному объекту

по данному методу.

дискреционного разграничения доступа (discretionary access control) формулируется следующим образом.
1. Для

любого объекта операционной системы существует владелец.
2. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
3. Для каждой тройки субъект-метод-объект возможность доступа определена однозначно.

владелец объекта должен определить права доступа различных субъектов к этому

объекту. Если владелец объекта не сделал этого, то либо новому объекту назначаются атрибуты защиты по умолчанию, либо новый объект наследует атрибуты защиты от родительского объекта (каталога, контейнера и т.д.).
Избирательное разграничение доступа является наиболее распро­страненным механизмом разграничения доступа. Это обусловлено сравнительной простотой реализации этой модели.

следующим образом.
1. Для любого объекта операционной системы существует владелец.
2. Владелец объекта

может произвольно ограничивать доступ других субъектов к данному объекту.
3. Для каждой четверки
субъект-метод-процесс-объект
возможность доступа определена однозначно.
4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу.
5. Для каждого субъекта определен список программ, которые этот субъект может запускать.

повышает защищенность операционной системы от разрушающих программных воздействий, включая программные

закладки и компьютерные вирусы.
Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе.

1. Для любого объекта операционной системы существует владелец.
2. Владелец объекта может произвольно

ограничивать доступ других субъектов к данному объекту.
3. Для каждой тройки субъект-метод-объект возможность доступа определена однозначно.
4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект.

5. В множестве объектов доступа операционной системы выделяется подмножество объектов полномочного

разграничения доступа.
Каждый объект полномочного разграничения доступа имеет гриф секретности (ГСО). Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен.
Если объект не является объектом полномочного разграничения доступа или если объект несекретен, администратор может обратиться к нему по любому методу, как и в предыдущей модели разграничения доступа.

6. Каждый субъект доступа имеет уровень допуска (УДС). Чем выше числовое

значение уровня допуска, тем больший допуск имеет субъект.
Нулевое значение уровня допуска означает, что субъект не имеет допуска.
Обычно ненулевое значение допуска назначается только субъектам-пользователям и не назначается субъектам, от имени которых выполняются системные процессы.

7. Если субъект открывает объект в режиме, допускающем чтение и:
- объект

является объектом полномочного разграничения доступа (ОПРД)
- гриф секретности объекта (ГС) строго выше уровня допуска субъекта (УД), обращающегося к нему,
то доступ субъекта к объекту запрещен независимо от состояния матрицы доступа.

1, 2 - аналогичны полномочному разграничению доступа без контроля информационных

потоков.
3. Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно в каждый момент времени.
При изменении состояния процесса со временем возможность предоставления доступа также может измениться, т.е. если в некоторый момент времени к некоторому объекту разрешен доступ некоторого субъекта посредством некоторого процесса, это не означает, что в другой момент времени доступ тоже будет разрешен.
Вместе с тем в каждый момент времени возможность доступа определена однозначно - никаких случайных величин здесь нет. Поскольку права процесса на доступ к объекту меняются с течением времени, они должны проверяться не только при открытии объекта, но и перед выполнением над объектом таких операций, как чтение и запись.

4, 5, 6, 7 аналогичны полномочному разграничению доступа без контроля

информационных потоков.
8. Каждый процесс операционной системы имеет уровень конфиденциальности (УКП), равный максимуму из грифов секретности объектов, открытых процессом на протяжении своего существования.
Уровень конфиденциальности фактически представляет собой гриф секретности информации, хранящейся в оперативной памяти процесса.

9. Если субъект открывает объект в режиме, допускающем запись и:
- объект

является объектом полномочного разграничения доступа (ОПРД)
- гриф секретности объекта строго ниже уровня конфиденциальности процесса, обращающегося к нему, ,
то доступ субъекта к объекту запрещен независимо от состояния матрицы доступа.

гриф секретности объекта полномочного разграничения доступа может только субъект, который:
- имеет

доступ к объекту согласно правилу 7;
- обладает специальной привилегией, позволяющей ему понижать грифы секретности объектов.
При использовании данной модели разграничения доступа существенно страдает производительность операционной системы, поскольку права доступа к объекту должны проверяться не только при открытии объекта, но и при каждой операции чтения/записи.

системы от несанкционированной утечки информации, без полномочного разграничения доступа с

контролем информационных потоков просто не обойтись.
В остальных ситуациях применение этой модели нецелесообразно из-за резкого ухудшения эксплуатационных качеств операционной системы.
Что касается изолированной программной среды, то ее целесообразно использовать в случаях, когда очень важно обеспечивать целостность программ и данных операционной системы.
В остальных ситуациях простое избирательное разграничение доступа наиболее эффективно.

в регистрации в специальном журнале, называемом журналом аудита или журналом

безопасности, событий, которые могут представлять опасность для операционной системы.
Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами.

требованиям:
1. Только сама операционная система может добавлять записи в журнал аудита.

2. Ни один субъект доступа, в том числе и сама операционная система, не имеет возможности редактировать или удалять отдельные записи в журнале аудита.
3. Только пользователи-аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита.
4. Только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Операционная система должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.
5. При переполнении журнала аудита операционная система аварийно завершает работу ("зависает"). После перезагрузки работать с системой могут только аудиторы. Операционная система переходит к обычному режиму работы только после очистки журнала аудита.

журнале аудита должны обязательно регистрироваться следующие события:
- попытки входа/выхода пользователей из

системы;
- попытки изменения списка пользователей;
- попытки изменения политики безопасности, в том числе и политики аудита.
Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов с учетом специфики обрабатываемой информации.