Преподаватель который помогает студентам и школьникам в учёбе.

Механизмы защиты операционных систем (Политика безопасности)

Содержание:

Введение

Целью написания данной курсовой работы является изучение методов защиты операционных систем.

В каждой главе раскрывается определенный метод защиты операционной системы. В чем суть данного метода, какой принцип действия, на какие виды делятся, какими достоинствами и недостатками обладают.

Нынешний век является веком компьютерных технологий. Практически в каждой отрасли применяется компьютерная техника, основой которой является операционная система. В операционных системах хранится множество информации, завладев которой человек может получить определенные преимущества, а значит очень важно выбрать правильные методы защиты. Потому эта тема очень важна для меня и для общества в целом.

Источниками, по которым написана данная курсовая работа, являются в основном учебными пособиями для учебных заведений, а потому они достаточно надежны.

Политика безопасности

Операционная система (ОС) есть специально организованная совокупность программ, которая управляет ресурсами системы (ЭВМ, вычислительной системы, других компонентов ИВС) с целью наиболее эффективного их использования и обеспечивает интерфейс пользователя с ресурсами.[1]

Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной операционной системе во многом зависит и общая безопасность информационной системы.

Операционную системы называют защищенной, если она предусматривает средства защиты от основных классов угроз. Защищенная операционная система обязательно должна содержать средства разграничения доступа пользователей к своим ресурсам, а также средства проверки подлинности пользователя, начинающего работу в операционной системой. Кроме того, защищенная операционная система должна содержать средства противодействия случайному или преднамеренному выводу операционной системы из строя.[5]

Организация эффективной и надежной защиты операционной системы невозможна с помощью одних только программно – аппаратных средств. Эти средства обязательно должны дополняться административными мерами защиты.[3]

К основным административным мерам защиты относятся следующие:

постоянный контроль корректности функционирования операционной системы и, в особенности, ее подсистемы защиты. При этом могут и должны использоваться средства аудита, встроенные в операционную систему, и, при необходимости, дополнительные средства аудита;
организация и поддержание адекватной политики безопасности. Политика безопасности должна постоянно корректироваться, оперативно реагируя на изменения в конфигурации операционной системы, установку и удаление и изменение конфигурации прикладных программных продуктов и расширений операционной системы, попытки злоумышленников преодолеть защиту операционной системы и т.д.;
инструктирование пользователей операционной системы о необходимости соблюдения мер безопасности при работе с операционной системой, контроль над соблюдением пользователями этих мер;
регулярное создание и обновление резервных копий программ и данных операционной системы;
постоянный контроль изменений в конфигурационных данных и политике безопасности операционной системы. Информацию об этих изменениях часто дублируют на неэлектронные носители информации, чтобы нарушителю, преодолевшему защиту операционной системы, было труднее замаскировать свои несанкционированные действия.[3]

В конкретных конфигурациях операционных систем могут потребоваться и другие административные меры защиты информации.[3]

Выбор и поддержание адекватной политики безопасности являются одной из наиболее важных задач администратора операционной системы. Если принятая в операционной системе политика безопасности неадекватна, это может привести к несанкционированному доступу злоумышленника к ресурсам системы и к снижению надежного функционирования ОС.[5]

Известно утверждение: чем лучше операционная система защищена, тем труднее с ней работать пользователям и администраторам. Это обусловлено следующими факторами:

Система защиты, не обладающая интеллектом, не всегда способна определить, является ли некоторое действие пользователя злонамеренным. Поэтому система защиты либо не пресекает некоторые виды несанкционированного доступа, либо запрещает некоторые вполне легальные действия пользователей. Чем выше защищенность системы, тем шире класс тех легальных действий пользователей, которые рассматриваются подсистемой защиты как несанкционированные.
Любая система, в которой предусмотрены функции защиты информации, требует от администраторов определенных усилий, направленных на поддержание адекватной политики безопасности. Чем больше в операционной системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты.
Подсистема защиты операционной системы, как и любой другой программный пакет, потребляет аппаратные ресурсы компьютера. Чем сложнее устроены защитные функции операционной системы, тем больше процессорного времени, оперативной памяти и других аппаратных ресурсов затрачивается на поддержание функционирования подсистемы защиты и тем меньше ресурсов остается на долю прикладных программ.
Поддержание слишком жесткой политики безопасности может негативно сказаться на надежности функционирования операционной системы. [5]

Адекватная политика безопасности определяется не только архитектурой ОС, но и ее конфигурацией, установленными прикладными программами и т.д. Формирование и поддержание адекватной политики безопасности ОС можно разделить на ряд этапов:

Анализ угроз. Администратор операционной системы рассматривает возможные угрозы безопасности данного экземпляра операционной системы. Среди возможных угроз выделяются наиболее опасные, защите о которых нужно уделять максимум средств.
Формирование требований к политике безопасности. Администратор определяет, какие средства и методы будут применяться для защиты от тех или иных угроз.
Формальное определение политики безопасности. Администратор определяет, как конкретно должны выполняться требования, сформулированные на предыдущем этапе. Формулируются необходимые требования к конфигурации ОС, а так же требования к конфигурации дополнительных пакетов защиты.
Претворение в жизнь политики безопасности. Задачей данного этапа является привидение конфигурации операционной системы и дополнительных пакетов защиты в соответствие с политикой безопасности.
Поддержание и коррекция политики безопасности. В задачу администратора на данном этапе входит контроль соблюдения политики безопасности и внесение в нее необходимых изменений по мере появления изменений в функционирования ОС.[5]

Для каждой конкретной конфигурации операционной системы формулируется свой индивидуальный профиль защиты, учитывающий индивидуальные особенности той или иной системы. При этом базовый профиль может использоваться в качестве шаблона, чтобы администратору безопасности было легче сформулировать необходимые требования к конфигурации защищаемой системы.[3]

Управление доступом

Самым основным защитным механизмом операционных систем является контроль доступа, в основе которого лежат понятия объект доступа, метод доступа к объекту и субъект доступа.

Объектом доступа (или просто объектом) называют любой элемент операционной системы, доступ к которому пользователей и других субъектов может быть произвольно ограничен. Если правила, ограничивающие доступ субъектов к некоторому элементу операционной системы, определены жестко и не допускают изменения с течением времени, этот элемент ОС не будет считаться объектом. Возможность доступа к объектам ОС определяется не только архитектурой операционной системы, но и текущей политикой безопасности. Каждый объект имеет уникальное имя, отличающее его от других объектов в системе, и каждый из них может быть доступен через хорошо определенные и значимые операции.[5]

Методом доступа к объекту называется операция, определенная для объекта. Тип операции зависит от объектов. Например, для файлов могут быть определены метода доступа «чтение», «запись» и «добавление» (дописывание информации в конец файла).[3]

Субъектом доступа (или просто субъектом) называют любую сущность, способную инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). Обычно полагают, что множество субъектов доступа и множество объектов доступа не пересекаются.[5]

Иногда к субъектам доступа относят процессы, выполняемые в системе. Однако логичнее считать субъектом доступа именно пользователя, от имени которого выполняется процесс. Естественно, под субъектом доступа подразумевают не физического пользователя, работающего с компьютером, а «логического» пользователя, от имени которого выполняются процессы операционной системы.[5]

Итак, объект доступа – это то, к чему осуществляется доступ, субъект доступа – это тот, кто осуществляет доступ, и метод доступа – это то, как осуществляется доступ.[3]

Для объекта доступа может быть определен владелец – субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а так же за целостность и доступность объекта. Обычно владельцем объекта автоматически назначается субъект, создавший данный объект, в дальнейшем владелец объекта может быть изменен с использованием соответствующего метода доступа к объекту к объекту. На владельца, как правило, возлагается ответственность за корректное ограничение прав доступа к данному объекту других субъектов.[3]

Правом доступа к объекту называют право на выполнение доступа к объекту по некоторому методу или группе методов. В последнем случае право доступа дает субъекту возможность осуществлять доступ к объекту по любому методы из данной группы.[5]

Полномочиями субъекта доступа называют совокупность всех предоставленных ему прав и привилегий.[3]

Управлением доступом субъектов к объектам называют совокупность правил, определяющая для каждой тройки субъект-объект-право, разрешена ли реализация данного права данным субъектом в отношении данного объекта.[3]

Правила разграничения доступа

Правила разграничения доступа, действующие в операционной системе, устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор ссылок – часть подсистемы защиты операционной системы.[5]

Правила разграничения доступа должны удовлетворять следующим требованиям:

Правила разграничения доступа, принятые в операционной системе, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена эта ОС.
Правила разграничения доступа не должны допускать разрушающие воздействия субъектов доступа на ОС, выражающаяся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для нормальной работы операционной системы.
Любой объект доступа должен иметь владельца.
Недопустимо присутствие объектов, к которым не может обратиться ни один субъект доступа, ни по одному методу доступа.
Недопустима утечка конфиденциальной информации.[5]

Дискреционное управление доступом.

Дискреционное управление доступом (Discretionary Access Control, DAC) к объектам КС предполагает выполнение следующих требований:

Все субъекты и объекты операционной системы должны быть однозначно идентифицированы.
Для любого объекта ОС должен быть определен пользователь – владелец.
Владелец объекта должен обладать правом определения прав доступа к объекту со стороны любых субъектов ОС.
В операционной системе должен существовать привилегированный пользователь, обладающий правом полного доступа к любому объекту (или правом становиться владельцем любого объекта). Это не означает, что этот пользователь может игнорировать разграничение доступа к объектам.[4]

При создании объекта его владельцем назначается субъект, создавший данный объект. В дальнейшем субъект, обладающий необходимыми полномочиями, может назначить объекту нового владельца. При этом субъект, изменяющий владельца объекта, может назначить новым владельцем только себя. Такое ограничение вводится для того, чтобы владелец объекта не мог отдать «владение» объектом другому субъекту и тем самым снять с себя ответственность за некорректные действия с объектом.[5]

Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используется матрица доступа. Строки этой матрицы представляют собой объекты, столбцы – субъекты (или наоборот). В каждой ячейке матрицы доступа хранится совокупность прав доступа, предоставленных данному субъекту на данный момент.[3]

Поскольку матрица доступа обычно очень велика, она никогда не хранится в системе в явном виде. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права, предоставленные группе субъектов для доступа к некоторому объекту, тем самым автоматически предоставляются каждому субъекту группы.[3]

Вместе с каждым объектом доступа хранятся его атрибуты защиты – домен безопасности (protection domain), который определяет набор объектов и типов операций, которые могут производиться над каждым объектом операционной системы.[3]

Достоинства и недостатки дискреционного управления доступом.

К достоинствам дискреционного управления доступом к объектам операционной системы относятся относительно простая реализация (проверка прав доступа субъекта к объекту производится в момент открытия этого объекта в процессе субъекта) и хорошая изученность (в наиболее распространенных операционных системах универсального назначения применяется разграничение доступа на основе дискреционного управления).[4]

К недостаткам дискреционного управления доступом к объектам ОС относится, прежде всего, статичность разграничения доступа — права доступа к уже открытому субъектом объекту в дальнейшем не изменяются, независимо от изменения состояния операционной системы.[4]

При использовании дискреционного управления доступом к объектам ОС не существует возможности проверки, не приведет ли разрешение доступа к объекту для некоторого субъекта к нарушению безопасности информации в ОС (например, владелец файла с конфиденциальной информацией, дав разрешение на его чтение другому пользователю, делает этого пользователя фактически владельцем защищаемой информации). Иначе говоря, дискреционное управление доступом к объектам операционной системы не обеспечивает защиты от утечки конфиденциальной информации. Дискреционное управление доступом к объектам ОС не позволяет обеспечить надежную защиту от проникновения в ОС вредоносных программ. [4]

Изолированная программная среда.

Изолированная, или замкнутая программная среда представляет собой расширение модели дискреционного управления доступом.[3] При использовании изолированной программной среды права субъекта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью которого субъект обращается к объекту.[5] Здесь правила управления доступом формулируются следующим образом:

Для любого объекта системы существует владелец.
Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
Для каждой четверки субъект-объект-право-процесс возможность доступа определена однозначно.
Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу.
Для каждого субъекта определен список процессов, которые данный субъект может порождать.[3]

Изолированная программная среда существенно повышает защищенность операционной системы от разрушающих программных воздействий, включая программные закладки и компьютерные вирусы. Кроме того, при использовании данной модели повышается защищенность целостности данных, хранящихся в системе. Изолированная программная среда не защищает от утечки конфиденциальной информации. [5]

Полномочное разграничение доступа.

Полномочное, или мандатное, разграничение доступа (mandatory access control) обычно применяется в совокупности с избирательным разграничением доступа.[5]

Данная модель управления доступом в основном предназначена для предотвращения утечки конфиденциальной информации из защищаемой системы. Основная идея мандатного управления доступом заключается в том, что объектам системы присваивается мандатные метки, формально описывающие секретность информации, содержащейся в данном объекте в данный момент. При каждой передаче информации от объекта к объекту вместе с информацией передается мандатная метка. При передаче информации, которая отнесена к определенной иерархической категории (т.е. соответствующему объекту присвоена соответствующая мандатная метка) объект - приемник также должен быть отнесен к данной иерархической категории либо операция копирования должна быть запрещена.[3]

Правила разграничения доступа в данной модели формируются следующим образом:

Все субъекты и объекты операционной системы должны быть однозначно идентифицированы.
Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту.
Должен существовать линейно упорядоченный набор меток конфиденциальности и соответствующих им степеней допуска (нулевая метка или степень соответствуют открытому объекту и степени допуска к работе только с открытыми объектами).
Каждому объекту ОС должна быть присвоена метка конфиденциальности.
Каждому субъекту операционной системы должна быть присвоена степень допуска.
В процессе своего существования каждый субъект должен иметь свой уровень конфиденциальности, равный максимуму из меток конфиденциальности объектов, к которым данный субъект получил доступ.
В ОС должен существовать привилегированный пользователь, имеющий полномочия на удаление любого объекта системы.
Понизить метку конфиденциальности объекта может только субъект, имеющий доступ к данному объекту и обладающий специальной привилегией.
Право на чтение информации из объекта получает только тот субъект, чья степень допуска не больше метки конфиденциальности данного объекта. Это так называемое правило NRU (not read up – не читать выше).
Право на запись информации в объект получает только тот субъект, чей уровень конфиденциальности не меньше метки конфиденциальности данного объекта. Так называемое правило NWD (not write down – не записывать ниже).[4]

Если линейная шкала грифов секретности дополнена неиерархическими категориями, правила NRU и NWD видоизменяются очевидным образом. Иногда в этом случае употребляются вместо NRU и NWD формулировки NRI (not read in) и NWO (not write out).[3]

Достоинства и недостатки полномочного управления доступом

Достоинствами мандатного управления доступом к объектам операционной системы являются:

Более высокая надежность работы самой операционной системы, так как при разграничении доступа к объектам контролируется и состояние самой системы, а не только соблюдение установленных правил.
Большая простота определения правил разграничения доступом по сравнению с дискреционным управлением (эти правила более ясны для разработчиков и пользователей ОС). [4]

Недостатки мандатного управления доступом к объектам операционной системы:

Сложность программной реализации, которая увеличивает вероятность внесения ошибок и появления каналов утечки конфиденциальной информации.
Снижение эффективности работы ОС, так как проверка прав доступа субъекта к объекту выполняется не только при открытии объекта в процессе субъекта, но и перед выполнением любой операции чтения из объекта или записи в объект.
Создание дополнительных неудобств работе пользователей операционной системы, связанных с невозможностью изменения информации в не конфиденциальном объекте, если тот же самый процесс использует информацию из конфиденциального объекта (его уровень конфиденциальности больше нуля). [4]

Для устранения последнего недостатка необходимо разработать программное обеспечение операционной системы с учетом особенностей мандатного управления доступом к объектам ОС.

Из-за отмеченных недостатков мандатного управления доступом в реальных операционных системах множество объектов, к которым применяется мандатное управление, является подмножеством множества объектов, доступ к которым осуществляется на основе дискреционного управления.[4]

Разграничение доступа является самым важным методом защиты операционной системы. Из выше изложенного видно, что этот метод имеет разные формы реализации, которые в свою очередь обладают рядом достоинств и недостатков.

Идентификация, аутентификация и авторизация субъектов доступа.

В защищенной операционной системе любой субъект доступа, перед тем как начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию.[3]

Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.[3]

Для того чтобы установить, что пользователь именно тот, за кого себя выдает, в информационных системах предусмотрена процедура аутентификации, задача которой – предотвращение доступа к системе нежелательных лиц.[5]

Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.[3]

Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта операционная система выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе – загружает индивидуальные настройки пользователя, запускает программу – оболочку и т.п.[5]

С точки зрения обеспечения безопасности операционной системы, процедуры идентификации и аутентификации являются весьма ответственными. Действительно, если злоумышленник сумел войти в систему от имени другого пользователя, он легко получает доступ ко всем объектам ОС, к которым имеет доступ этот пользователь.[3]

Наиболее распространенными методами идентификации и аутентификации являются следующие:

Идентификация и аутентификация с помощью имени и пароля.
Аутентификация и идентификация с использованием внешних носителей информации.
Биометрическая аутентификация и идентификация.[5]

Также возможно использование комбинаций двух или даже всех трех схем аутентификации в одной системе.[3]

Идентификация и аутентификация с помощью имени и пароля.

Данная процедура применяется для идентификации и аутентификации пользователей в большинстве современных компьютерных систем. В этом случае для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль — текстовую строку, известную только ему. Имя пользователя, как правило, назначается ему администратором системы.[3]

Процедура идентификации и аутентификации с использованием пароля предельно проста. Пользователь вводит с клавиатуры имя и пароль, операционная система ищет в списке пользователей запись, относящуюся к данному пользователю, и сравнивает пароль, хранящийся в списке пользователей, с паролем, введенным пользователем. Если запись, относящаяся к входящему в систему пользователю, присутствует в списке пользователей и соответствующий ей пароль совпадает с введенным, считается, что идентификация и аутентификация прошли успешно и начинается авторизация пользователя. В противном случае пользователь получает отказ в доступе и не может работать с операционной системой до тех пор, пока он не будет успешно идентифицирован и аутентифицирован.[3]

Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых паролей с одновременным согласованием средств его использования и обработки. [5]

В схеме простой аутентификации передача пароля, и идентификаторы пользователя может производиться следующими способами:

В незашифрованном виде.
В защищенном виде.[5]

Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как подвержен многочисленным атакам и легко компрометируется.[5]

Схемы организации простой аутентификации отличаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенным способом является хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа ОС). Система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. При этом способе не используются криптографические механизмы, такие как шифрование или однонаправленные функции.[5]

Очевидным недостатком этого способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам, и в частности, к файлу паролей. Для обеспечения надежной защиты ОС пароль каждого пользователя должен быть известен только этому пользователю и никому другому, в том числе и администраторам системы. На первый взгляд то, что администратор знает пароль некоторого пользователя, не отражается негативно на безопасности системы, поскольку администратор, войдя в систему от имени обычного пользователя, получает права меньшие, чем те, которые он получит, зайдя в систему от своего имени. Однако, входя в систему от имени другого пользователя, администратор получает возможность обходить систему аудита, а также совершать действия, компрометирующие этого пользователя, что недопустимо в защищенной системе. Таким образом, пароли пользователей не должны храниться в ОС в открытом виде. [3]

Системы простой аутентификации на основе многоразовых паролей имеют пониженную стойкость, поскольку выбор аутентифицирующей информации происходит из относительно небольшого числа слов. Срок действия многоразового пароля должен быть определен в политике безопасности организации. Пароли должны регулярно изменяться, быть трудными для угадывания и не присутствовать в словаре.[5]

Схемы аутентификации, основанные на традиционных многоразовых паролях, не обладают достаточной безопасностью. Такие пароли можно перехватить, разгадать, подсмотреть или просто украсть. Более надежными являются процедуры аутентификации на основе одноразовых паролей.[5]

Суть схемы одноразовых паролей — использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если его перехватили, он будет бесполезен. Динамический механизм задания пароля — один из лучших способов защиты процесса аутентификации от угроз извне. Обычно системы аутентификации с одноразовыми паролями используются для проверки удаленных пользователей.[5]

Генерация одноразовых паролей может осуществляться аппаратным или программным способом. Некоторые аппаратные средства доступа на основе одноразовых паролей реализуются в виде миниатюрных устройств со встроенным микропроцессором, внешне похожих на платежные пластиковые карточки. Такие карты, обычно называемые ключами, могут иметь клавиатуру и небольшое дисплейное окно.[5]

Схема аутентификации с использованием временной синхронизации базируется на алгоритме генерации случайных чисел через определенный интервал времени. Этот интервал устанавливается и может быть изменен администратором сети. [5]

Схема аутентификации использует два параметра:

Секретный ключ, представляющий собой уникальное 64- битное число, назначаемое каждому пользователю и хранящееся в базе данных аутентификационного сервера и в аппаратном ключе пользователя.
Значение текущего времени. [5]

Когда удаленный пользователь делает попытку логического входа в сеть, ему предлагается ввести его персональный идентификационный номер PIN, состоящий из четырех десятичных цифр, и шесть цифр случайного числа, отображаемого в этот момент на дисплее аппаратного ключа. Используя введенный пользователем PIN-код, сервер, извлекает из БД секретный ключ пользователя и выполняет алгоритм генерации случайного числа, используя в качестве параметров извлеченный секретный ключ и значение текущего времени. Затем сервер проверяет, совпадают ли сгенерированное число и число, введенное пользователем. Если эти числа совпадают, то сервер разрешает пользователю осуществить логический вход в систему. При использовании этой схемы аутентификации требуется жесткая временная синхронизация аппаратного ключа и сервера. [5]

Со схемой аутентификации, основанной на временной синхронизации, связана еще одна проблема. Генерируемое аппаратным ключом случайное число является достоверным паролем в течение небольшого конечного промежутка времени. Поэтому возможна кратковременная ситуация, когда можно перехватить PIN-код и случайное число, чтобы использовать их для доступа в сеть. Это — уязвимое место схемы.[5]

Для системы парольной аутентификации существуют две основные угрозы — компрометация пароля и подбор пароля.

Для обеспечения надежной защиты от компрометации паролей подсистема защиты должна удовлетворять следующим требованиям:

Пароль, вводимый пользователем, не отображается на экране компьютера.
Ввод пароля из командной строки недопустим. [3]

Кроме того, пользователи должны быть проинструктированы о:

необходимости хранения пароля втайне от других пользователей, включая администраторов системы;
необходимости немедленной смены пароля после его компрометации;
необходимости регулярной смены пароля;
недопустимости записи пароля на бумагу или в файл (кроме случаев, когда угроза компрометации пароля неактуальна, например, если речь идет о доступе пользователя в Интернет с домашнего компьютера).[3]

Аутентификация с использованием внешних носителей.

При использовании данной схемы аутентификации аутентификационная информация хранится на внешнем носителе информации, который может представлять собой:

магнитные диски, не требующие установки на компьютере пользователя операционной системы никаких дополнительных аппаратных средств, но наиболее уязвимые с точки зрения копирования хранящейся на них ключевой информации;
элементы Touch Memory , включающие в себя энергонезависимую память в виде постоянного запоминающего устройства (ПЗУ) с уникальным для каждого изделия серийным номером и (в более дорогих вариантах) оперативного запоминающего устройства (ОЗУ) для хранения идентифицирующей пользователя информации, а также встроенный элемент питания со сроком службы до 10 лет
пластиковые карты с магнитной полосой, на которой помимо ключевой информации могут размещаться и дополнительные реквизиты пользователя (его фамилия, имя, отчество, фотография, название организации и ее подразделения и т.п.); подобные карты наиболее дешевы, но и наименее защищены от копирования и подделки;
карты со штрих кодом, покрытым непрозрачным составом, считывание информации с которых происходит в инфракрасных лучах; эти карты также относительно дешевы, но уязвимы для подделки;
смарт-карты, носителем ключевой информации в которых является специальная бескорпусная микросхема, включающая в себя только память для хранения ключевой информации (простые смарт-карты) или микропроцессор (интеллектуальные карты), позволяющий реализовывать достаточно сложные процедуры аутентификации;
маркеры eToken (USB-брелки), представляющие собой подключаемое к USB-порту компьютера устройство, которое включает в себя аналогичную смарт-карте микросхему с процессором и защищенной от несанкционированного доступа памятью (в отличие от пластиковых карт не требуется установка устройства их чтения с кабелем для подключения этого устройства к компьютеру).[4]

С помощью только программных средств нельзя обеспечить надежную защиту информации от несанкционированного доступа к ней в операционной системе.[4]

Описываемый механизм аутентификации, как правило, используется в совокупности с паролем. При этом пользователь, входя в систему, должен не только «предъявить» компьютеру носитель ключевой информации, но и ввести соответствующий этому носителю пароль.[3]

Формат хранения аутентификационной информации на носителе не должен позволять воспользоваться этой информацией случайному обладателю данного носителя.

Основной угрозой при использовании описываемого механизма аутентификации является угроза кражи носителя аутентификационных данных с последующим его копированием и подбором пароля на доступ к ключу. Если аутентификационные данные выбираются случайно и формат их хранения на носителе не содержит проверочных полей (контрольных сумм и т.д.), офлайн-подбор пароля на доступ к носителю аутентификационных данных невозможен — нарушитель просто не сможет сформулировать критерий, позволяющий отличать правильно расшифрованные аутентификационные данные от неправильно расшифрованных, и, следовательно, правильный пароль от неправильного.[3]

Во многих реализациях аутентификации с использованием внешних носителей применяются следующие дополнительные меры защиты:

Защита ключевого носителя от копирования.
Блокировка или уничтожение аутентификационной информации после определенного количества неудачных попыток ввода пароля на доступ к ключу. [3]

При технически грамотной реализации механизма хранения аутентификационных данных эти меры никак не влияют на стойкость реализуемой системы аутентификации, но они существенно повышают привлекательность данной системы для потенциальных заказчиков и потому применяются очень широко.[3]

Биометрическая аутентификация.

Каждый человек обладает своим неповторимым набором биометрических характеристик, которые могут применяться при аутентификации:

отпечатки пальцев;
геометрическая форма руки;
узор радужной оболочки глаза;
рисунок сетчатки глаза;
геометрическая форма и размеры лица;
тембр голоса;
геометрическая форма и размеры уха и др.[4]

Основные достоинства аутентификации пользователей по их биометрическим характеристикам:

Трудность фальсификации этих признаков.
Высокая достоверность аутентификации из-за уникальности таких признаков.
Неотделимость биометрических признаков от личности пользователя.[4]

Таким образом, механизм аутентификации пользователя на основе биометрических характеристик создает практически непреодолимую защиту на этапе аутентификации.

С другой стороны, практическая реализация данного механизма аутентификации неизбежно создает ряд проблем, основные из них:

поскольку псевдопользователи не являются людьми, и, следовательно, не имеют биометрических характеристик, для их аутентификации должен поддерживаться альтернативный механизм. При этом система должна гарантировать, что этот альтернативный механизм не будет применяться для аутентификации обычных пользователей;
при двух последовательных входах в систему одного и того же человека его биометрические характеристики никогда в точности не совпадают. Поэтому в процессе аутентификации приходится использовать математический аппарат теории распознавания образов, при этом приходится мириться с неизбежностью ошибок как первого рода (успешный вход от чужого имени), так и второго рода (отказ в доступе легальному пользователю);
большинство биометрических характеристик человека постепенно меняются со временем, что заставляет регулярно корректировать эталонный образ аутентифицирующей информации;
биометрические характеристики человека могут испытывать резкие кратковременные изменения. Например, если пользователь оцарапал палец, система аутентификации, основанная на отпечатках пальцев, не сможет его аутентифицировать до тех пор, пока царапина не заживет;
аутентификация пользователя на основе биометрических характеристик требует применения дорогостоящей аппаратуры, что приводит к большим затратам финансовых средств на создание системы аутентификации и вычислительных ресурсов компьютера на ее поддержание.[3]

Раньше перечисленные недостатки делали биометрическую аутентификацию крайне неудобной для практического использования. Сейчас в данной области наблюдается большой прогресс и, вероятно, в ближайшее время, по мере повышения надежности и снижения стоимости устройств биометрической аутентификации, доля биометрических систем среди всех систем аутентификации заметно вырастет.[3]

Наиболее распространенными являются программно-аппаратные средства аутентификации пользователей по их отпечаткам пальцев. Для считывания этих отпечатков обычно применяются оснащенные специальными сканерами клавиатуры и мыши. Наличие достаточно больших банков данных с отпечатками пальцев граждан является основной причиной достаточно широкого применения подобных средств аутентификации в государственных структурах, а также в крупных коммерческих организациях. Недостатком таких средств является потенциальная возможность применения отпечатков пальцев пользователей для контроля над их частной жизнью.[4]

Метод аутентификации и идентификации является не менее важным методом защиты операционных систем. Как видно существуют различные виды аутентификации и идентификации, комбинирование этих видов дает наиболее высокое обеспечение безопасности ОС.

Аудит и система обнаружения вторжений

Аудит

Процедура аудита применительно к защищенным компьютерным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами. [3]

Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами:

Обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения.
Подсистема защиты операционной системы может не отличить случайные ошибки пользователей от злонамеренных действий. Администратор, просматривая журнал аудита, сможет установить, что произошло при вводе пользователем неправильного пароля – ошибка легального пользователя или атака злоумышленника.
Администраторы операционных систем должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как ОС функционировала в недавнем прошлом. Такую возможность обеспечивает журнал аудита.
Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснит, когда была начата атака и каким образом она осуществлялась. Журнал аудита может содержать всю необходимую информацию.[5]

Некоторые эксперты по компьютерной безопасности полагают, что привилегия работать с подсистемой аудита не должна предоставляться администраторам операционной системы. Другими словами, множества администраторов и множество аудиторов не должны пересекаться. При этом создается ситуация, когда администратор не может выполнять несанкционированные действия без того, чтобы это тут же стало известно аудиторам, что повышает защищенность системы от несанкционированных действий администраторов.[3]

К числу событий, которые могут представлять опасность для операционной системы, обычно относятся следующие:

вход или выход из системы;
операции с файлами (открыть, закрыть, переименовать, удалить);
обращение к удаленной системе;
смена привилегий или иных атрибутов безопасности.[5]

Подсистема аудита операционной системы должна удовлетворять следующим требованиям:

Добавлять записи в журнал аудита может только операционная система. Если предоставлять это право какому-то физическому пользователю, этот пользователь получит возможность компрометировать других пользователей, добавляя в журнал аудита соответствующие записи.
Редактировать или удалять отдельные записи в журнале аудита не может ни один субъект доступа, в том числе и сама операционная система.
Только пользователи – аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита.
Только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Система аудита должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.[3]
При переполнении журнала аудита ОС аварийно завершает работу. После перезагрузки работать с системой могут только аудиторы. Операционная система переходит к обычному режиму работы только после очистки журнала аудита.[5]

Если фиксировать в журнале аудита все события, объем регистрационной информации, будет расти слишком быстро, что затруднит ее эффективный анализ. Необходимо предусмотреть выборочное протоколирование в отношении, как пользователей, так и событий.[5]

Политика аудита — это совокупность правил, определяющая то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обязательно регистрироваться следующие события:

попытки входа/выхода пользователей из системы;
попытки изменения списка пользователей;
попытки изменения политики безопасности, в том числе и политики аудита.[5]

При определении политики аудита не следует ограничиваться регистрацией событий только из перечисленных классов. Окончательный выбор того, какие события должны регистрироваться в журнале аудита, возлагается на самих аудиторов. При этом политика аудита в значительной степени определяется спецификой информации, хранимой и обрабатываемой в операционной системе. [3]

Политику аудита не следует рассматривать как нечто неизменное, заданное раз и навсегда. Политика аудита должна оперативно реагировать на изменения в конфигурации операционной системы, в характере хранимой и обрабатываемой информации, и, особенно, на выявленные попытки атаковать защищаемую операционную систему. [3]

В некоторых конфигурациях операционных систем подсистема аудита помимо записи информации о зарегистрированных событиях в специальный журнал предусматривает возможность интерактивного оповещения аудиторов об этих событиях.[3]

Системы обнаружения вторжений.

Логическим развитием концепции аудита является система обнаружения вторжений (СОВ), или intrusion detection system (IDS) – множество различных программных и аппаратных средств, занимающихся анализом использования вверенных им ресурсов и, в случае обнаружения каких – либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин.[6]

Системы обнаружения вторжений обладают двумя характеристическими отличиями от обычных систем аудита:

система обнаружения вторжений не просто регистрирует отдельные события, происходящие в системе, но и анализирует их в совокупности, пытаясь обнаружить в последовательности зафиксированных событий признаки атаки;
система обнаружения вторжений может оперативно реагировать на обнаруженные атаки, самостоятельно блокируя соответствующие функции системы до того, как нарушитель успел им воспользоваться.[3]

Типичная архитектура системы обнаружения вторжений включает в себя следующие основные элементы:

сенсоры, обеспечивающие сбор информации для последующего анализа;
анализаторы, осуществляющие анализ полученной сенсорами информации;
хранилище (как правило, базу данных), в которое помещаются результаты работы анализатора;
консоль управления, обеспечивающую взаимодействие администратора безопасности с системой обнаружения вторжений. [3]

Существует большое число различных классификаций систем обнаружения атак, однако самой распространенной является классификация по принципу реализации:

Host – based – обнаруживающие атаки, направленные на конкретный узел сети;
Network – based – обнаруживающие атаки, направленные на всю сеть или сегмент сети.[6]

Системы обнаружения атак, контролирующие отдельный компьютер, как правило, собирают и анализируют информацию из журналов регистрации операционной системы и различных приложений.[6]

Система проводит аудит системных журналов на предмет «неправильного поведения», например множественных попыток подключения к сети или попыток изменения атрибутов файлов. Таким образом, основная задача «агента» централизованной СОВ – отслеживать внутренние процессы и сообщать о критических событиях.[6]

Системы обнаружения атак уровня сети собирают информацию из самой сети, то есть из сетевого трафика.[6]

Так же системы обнаружения атак классифицируются по способам реагирования. Различают статические и динамические СОВ.

Статические средства делают «снимки» среды и осуществляют анализ, разыскивая уязвимое программное обеспечение, ошибки в конфигурациях и т.д.[6]

Динамические СОВ осуществляют мониторинг в реальном времени всех действий, происходящих в системе, просматривая файлы аудита или сетевые пакеты, передаваемые за определенный промежуток времени. Динамические системы обнаружения атак реализуют анализ в реальном времени и позволяют постоянно следить за безопасностью системы.[6]

По набору используемых сенсоров системы обнаружения вторжений классифицируются:

узловые, или хостовые (host IDS, HIDS) — берут информацию от подсистемы аудита защищаемой операционной системы или системы управления базами данных, а также дополнительных защитных подсистем (контроля целостности, антивирусного мониторинга и т.п.);
сетевые (network IDS, NIDS) — анализируют сетевой трафик;
гибридные или смешанные. [3]

Сетевые СОВ (network intrusion detection system, NIDS) контролируют пакеты в сетевом окружении и обнаруживают попытки злоумышленника проникнуть внутрь защищаемой системы или реализовать атаку.[6]

Сенсоры NIDS представляют собой программные или программно-аппаратные снифферы, осуществляющие перехват сетевого трафика одного компьютера или целого сегмента локальной сети и делятся на пять основных типов:

сенсоры журналов;
сенсоры признаков;
сенсоры системных вызовов;
сенсоры поведения приложений;
сенсоры целостности файлов.[3]

Среди преимуществ использования NIDS можно выделить следующие моменты:

NIDS можно полностью скрыть в сети таким образом, что злоумышленник не будет знать о том, что за ним ведется наблюдение;
Одна система NIDS может использоваться для мониторинга трафика с большим числом потенциальных систем – целей;
NIDS может осуществлять перехват содержимого всех пакетов, направляющихся на систему – цель.[6]

Среди недостатков данной системы необходимо отметить:

NIDS может только выдавать сигнал тревоги;
NIDS может упустить нужный интересуемый трафик из-за использования широкой полосы пропускания или альтернативных маршрутов;
NIDS не может определить, была ли атака успешной;
NIDS не может просматривать зашифрованный трафик.[6]

Большинство IDS могут анализировать не только информацию, полученную непосредственно с сенсоров в реальном времени, но и работать с журналами, содержащими ранее собранную информацию. Это позволяет проводить при необходимости повторный «разбор полетов» для различных инцидентов, связанных с информационной безопасностью, например, проверять, способна ли перенастроенная система обнаружения вторжений обнаружить атаку, ранее прошедшую незамеченной.[3]

Анализаторы IDS анализируют собранную сенсорами информацию на предмет сходства с типичными атаками нарушителей. Современные системы обнаружения вторжений довольно надежно детектируют сканирование портов, с которого начинается большинство сетевых атак, а также попытки программных закладок, проникших внутрь защищаемой сети.[3]

Правила, реализуемые анализаторами IDS, бывают двух видов — сигнатурные и эвристические. В первом случае в анализируемом потоке информации ищутся так называемые сигнатуры или сценарии атак — четкие и недвусмысленные признаки определенных атак.[3]

Эвристические правила позволяют выявлять аномальную активность в защищаемой системе. Обычно в ходе функционирования системы активность отдельных ее компонент примерно одинакова и слабо меняется со временем. Если какая-то характеристика какой – то компоненты системы резко изменилась, это воспринимается как сигнал тревоги.[3]

Несмотря на свою высокую эффективность, системы обнаружения вторжений не являются панацеей, гарантированно пресекающей все атаки злоумышленников. Это обусловлено следующими факторами:

Как и любое программное или программно-аппаратное средство обеспечения информационной безопасности, система обнаружения вторжений не обладает полноценным интеллектом и потому не всегда способна принимать адекватные решения в сложных ситуациях. Любая система обнаружения вторжений может быть обманута достаточно квалифицированным и удачливым злоумышленником.
Как и любое программное или программно-аппаратное средство обеспечения информационной безопасности, система обнаружения вторжений нуждается в постоянном сопровождении администратора безопасности. Журналы, создаваемые системой обнаружения вторжений, должны регулярно просматриваться и анализироваться человеком, обладающим, в отличие от системы обнаружения вторжений, полноценным интеллектом. Настройки системы обнаружения вторжений должны регулярно корректироваться, не допуская, с одной стороны, фактов незамеченных вторжений злоумышленников в защищаемую систему, а с другой стороны, чрезмерного количества ложных тревог, затрудняющих функционирование защищаемой системы.
Возможности системы обнаружения вторжений по автоматической реакции на зафиксированные угрозы весьма ограниченны. «Чрезмерно активная» конфигурация системы обнаружения вторжений может приводить к тому, что нарушитель сможет спровоцировать систему обнаружения вторжений на несанкционированные действия, в лучшем случае парализующие работу защищаемой системы, а в худшем — негативно воздействующие на другие системы, не имеющие никакого отношения ни к защищаемой системе, ни к нарушителю.
Ни одна система обнаружения вторжений не способна обнаруживать абсолютно любые атаки, для любой системы обнаружения вторжений существуют области защищаемой системы, находящиеся вне пределов видимости ее сенсоров.
Как и любой программный продукт, система обнаружения вторжений может иметь уязвимости, позволяющие нарушителю получать несанкционированный доступ к ресурсам компьютера, на котором установлено данное программное обеспечение.[3]

Методы аудита и система обнаружения вторжения являются неотъемлемой частью обеспечения защиты операционных систем. Благодаря методам аудита ведется учет различного вида несанкционированных попыток доступа к системе. Системы обнаружения вторжений, в свою очередь, помогает предотвратить эти попытки

Заключение

Итак, в ходе написания курсовой работы были изучены методы защиты операционной системы, такие как, управление доступом, аутентификация и идентификация, аудит и система обнаружения вторжения.

Узнали, что управление доступом делится на дискреционное и полномочное, каждое из которых имеет как преимущества, так и недостатки.

Так же были изучены методы аутентификации и идентификации. Различают парольную аутентификацию и индентификацию, с использованием внешних носителей и биометрическую. Как оказалось, для обеспечения наибольшей безопасности, все три вида лучше совмещать.

Познакомились с методами аудитом, благодаря которым ведется учет попыток несанкционированного доступа к системе и системой обнаружения вторжений, которые помогают предотвратить эти попытки.

В заключении хочется сказать, что защита операционных систем очень важная часть защиты информации и правильный выбор методов защиты обеспечит надежную охрану от несанкционированного доступа и хищения информации.

Список литературы

Безбогов А.А. Безопасность операционных систем: учеьное пособие / Безбогов А.А., Яковлев А.В., Мартемьянов Ю.Ф. – М.: Издательство Машиностроение-1 , 2007. – 220с.
Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2011. – 320 с.
Проскурин В. Г. Защита в операционных системах. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2014. – 192 с.
Хорев П.Б. Методы и средства защиты информации в компьютерных системах Учеб. пособие для студ. высш. учеб. заведений. — М.: Академия, 2005. — 256 с
Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. – М.: ДМК Пресс, 2008. – 544 с.
Шелухин О.И. Обнаружение вторжений в компьютерные сети (сетевые аномалии) Учеб. пособие для студ. высш. учеб. заведений./ Шелухин О.И., Сакалема Д.Ж., Филинова А.С. — М.: Академия, 2005. — 256 с.