Лекция "Основные средства защиты, встроенные в ОС."
Оценка 4.7

Лекция "Основные средства защиты, встроенные в ОС."

Оценка 4.7
Лекции
docx
информатика
Взрослым
11.03.2017
Лекция "Основные средства защиты, встроенные в ОС."
Средства защиты, встроенные в ОС, занимают осо¬бое место в системе безопасности. Их основной задачей является защита ин¬формации, определяющей конфигурацию системы, и затем – пользовательских данных. Такой подход пред¬ставляется естественным, поскольку возможность из¬менять конфигурацию делает механизмы защиты бес¬смысленными. Проблема защиты информации в компьютерных сис¬темах напрямую связана с решением двух главных вопросов: • обеспечение сохранности информации, • контроль доступа к информации (обеспечение кон¬фиденциальности).
билет 13 тема 3.docx
билет 13 тема 3 110 Основные средства защиты, встроенные в ОС. Средства   защиты,   встроенные   в   ОС,   занимают   особое   место   в   системе   безопасности.   Их основной задачей является защита информации, определяющей конфигурацию системы, и затем – пользовательских данных. Такой подход представляется естественным, поскольку возможность изменять конфигурацию делает механизмы защиты бессмысленными. Проблема защиты информации в компьютерных системах напрямую связана с решением двух главных вопросов:  обеспечение сохранности информации,  контроль доступа к информации (обеспечение конфиденциальности). Системные средства аутентификации пользователей.  Первое, что должна проверить операционная   система   в   том   случае,   если   она   обладает   хотя   бы   минимальными   средствами защиты, – это следует ли ей взаимодействовать с субъектом, который пытается получить доступ к каким­либо   информационным   ресурсам.   Для   этого   существует   список   именованных пользователей, в соответствии с которым может быть построена система разграничения доступа. Под  идентификацией  понимается   определение   тождественности   пользователя   или пользовательского   процесса,   необходимое   для   управления   доступом.   После   идентификации обычно   производится   аутентификация.   Под  аутентификацией  пользователя   (субъекта) понимается установление его подлинности. При входе в систему пользователь должен предъявить идентифицирующую   информацию,   определяющую   законность   входа   и   права   на   доступ.   Эта информация   проверяется,   определяются   полномочия   пользователя   (аутентификация),   и пользователю   разрешается   доступ   к   различным   объектам   системы   (авторизация).   Под авторизацией  (санкционированием)   подразумевается   предоставление   разрешения   доступа   к ресурсу системы. Разграничение   доступа  пользователей   к  ресурсам.  Управление   доступом   может   быть достигнуто при использовании дискреционного или мандатного управления доступом Дискреционное управление доступом – наиболее общий тип управления доступом. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут   осуществить   другие   пользователи   (или   программы,   выполняемые   от   их   имени)   к информации, находящейся в ведении данного пользователя.  Дискреционное управление доступом отличается   от   мандатной   защиты   тем,   что   оно   реализует   решения   по   управлению   доступом, принятые пользователем. Мандатное   управление   доступом  реализуется   на   основе   результатов   сравнения   уровня допуска пользователя и степени конфиденциальности информации. Существуют   механизмы   управления   доступом,   поддерживающие   степень   детализации управления доступом на уровне следующих категорий:  владелец информации;  заданная группа пользователей;  все другие авторизованные пользователи. Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей и определять особые права доступа для указанной группы людей или всех остальных пользователей. В общем случае существуют следующие права доступа:  доступ по чтению;  доступ по записи;  дополнительные права доступа (только модификацию или только добавление);  доступ для выполнения всех операций. Управление   доступом   пользователя   может   осуществляться   на   уровне   каталогов   или   на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех файлов в каталоге становятся одинаковыми. Например, пользователь, имеющий доступ по чтению к каталогу, может читать (и, возможно, копировать) любой файл в этом каталоге. Права доступа к каталогу могут также обеспечить явный запрет доступа, который предотвращает любой доступ пользователя к файлам в каталоге. Разделяемые  файлы   позволяют   осуществлять   параллельный   доступ   к   файлу   нескольких пользователей одновременно. Блокированный файл будет разрешать доступ к себе только одному пользователю   в   данный   момент.   Если   файл   доступен   только   по   чтению,   назначение   его разделяемым позволяет группе пользователей параллельно читать его. Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на   доступ   или,   другими   словами,   легально   обходить   управление   доступом,   чтобы   выполнить какую­либо функцию, получить доступ к файлу, и т.д. Механизм привилегий должен включать концепцию минимальных привилегий (принцип, согласно которому каждому субъекту в системе предоставляется наиболее ограниченное множество привилегий, необходимых для выполнения задачи). Принцип минимальных привилегий должен применяться, например, при выполнении функции резервного   копирования.   Пользователь,   который   авторизован   выполнять   функцию   резервного копирования, должен иметь доступ по чтению ко всем файлам, чтобы копировать их на резервные носители информации. Однако пользователю нельзя предоставлять доступ по чтению ко всем файлам через механизм управления доступом. Средство   проверки   корректности   конфигурации   ОС.  Операционная   система   имеет большое количество настроек и конфигурационных файлов, что позволяет адаптировать ОС для нужд   конкретных   пользователей   информационной   системы.   Однако   это   создает   опасность появления   слабых   мест,   поэтому   для   проверки   целостности   и   корректности   текущей конфигурации в ОС должна быть предусмотрена специальная утилита. Инструмент   системного   аудита.  Вопросы   информационной   безопасности   не   могут успешно решаться, если нет средств контроля за происходящими событиями, поскольку только имея хронологическую запись всех производимых пользователями действий, можно оперативно выявлять   случаи   нарушения   режима   информационной   безопасности,   определять   причины нарушения, а также находить и устранять потенциально слабые места в системе безопасности. Кроме того, наличие аудита в системе играет роль сдерживающего фактора: зная, что действия фиксируются, многие злоумышленники не рискуют совершать заведомо наказуемых действий. Сетевые средства защиты.  Защита информации на сетевом уровне имеет определенную специфику. Если на системном уровне проникнуть в систему можно было лишь в результате раскрытия   пользовательского   пароля,   то   в   случае   распределенной   конфигурации   становится возможен   перехват   пользовательских   имени   и   пароля   техническими   средствами.   Например, стандартный сетевой сервис telnet пересылает пользовательское имя и пароль в открытом виде. Это   заставляет   вновь   рассматривать   задачу   аутентификации   пользователей,   но   уже   в   рас­ пределенном машин­клиентов. Ядро безопасности ОС аутентификацию включая случае,         и   Ядро   безопасности   (ЯБ)   ОС  –   набор   программ,   управляющих   частями   системы, ответственными   за   безопасность.   ЯБ   реализует   политику   обеспечения   безопасности   системы. Полномочия   ядра  ассоциируются   с   процессами.   Они   позволяют   процессу   выполнить определенные действия, если процесс обладает необходимой привилегией. Полномочия   подсистем  ассоциируются   с   пользователями.   Они   позволяют   пользователю выполнять определенное действие посредством команд, отнесенных к подсистеме. Подсистема   –  набор   файлов,   устройств   и   команд,   служащих   определенной   цели. Полномочия ядра заносятся в “множество полномочий”, ассоциированное с каждым процессом. Полномочия устанавливаются по умолчанию, пользователь может их и переустановить. Кроме того, ЯБ предоставляет полный “след” действий – журнал учета. Журнал содержит записи   о   каждой   попытке   доступа   субъекта   к   субъекту   (успешные   и   неудачные),   о   каждом изменении   субъекта,   объекта,   характеристик   системы.   Подсистема   учета   управляется специальным администратором учета. Администратор учета управляет собранной информацией, которая   помогает   администратору   выяснить,   что   случилось   с   системой,   когда   и   кто  в   этом участвовал. Одна   из   важных   функций   ЯБ   –   локализация   потенциальных   проблем,   связанных   с безопасностью. Ограничительный механизм состоит из:  парольных ограничений;  ограничений на использование терминалов;  входных ограничений. Администратор опознавания может позволять пользователям самостоятельно вводить пароли или использовать сгенерированные пароли. Пароль может подвергаться проверке на очевидность. Определяются следующие состояния паролей:  пароль корректен;  пароль просрочен (пользователь может войти в систему и изменить пароль, если у него есть на это полномочие);  пароль закрыт (пользователь заблокирован, необходима помощь администратора). Пользователи   часто   не   подчиняются   принудительной   периодической   смене   паролей, восстанавливая   предыдущее   значение.   Чтобы   препятствовать   этому,   кроме   максимального, устанавливается еще и минимальное время действия паролей. Поддерживается возможность генерировать отчеты о различных аспектах функционирования системы: пароли, терминалы, входы. Ни одна ОС не является абсолютно безопасной. Возможны следующие пути вторжения:   некто  может  узнать  пароль   другого   пользователя   или   получить   доступ   к  терминалу,   с которого в систему вошел другой пользователь;  пользователь с полномочиями злоупотребляет своими привилегиями;  хорошо осведомленный пользователь получил неконтролируемый доступ непосредственно к компьютеру. Опасно предоставлять оборудование для открытого доступа пользователям. Любые средства защиты   системы   будут   бесполезны,   если   оборудование,   носители   сохраненных   версий   и дистрибутивы не защищены. Подсистема учета ОС регистрирует происходящие в системе события, важные с точки зрения безопасности,   в   журнале   учета,   который   впоследствии   можно   анализировать.   Учет   позволяет анализировать   собранную   информацию,   выявляя   способы   доступа   к   объектам   и   действия конкретных пользователей. Подсистема учета с большой степенью надежности гарантирует, что попытки обойти механизм защиты и контроля полномочий будут учтены. Сетевые серверы – это ворота, через которые внешний мир получает доступ к информации на компьютере. Поэтому ЯБ должно:  определить, какую информацию/действие запрашивает клиент;  решить, имеет ли клиент право на информацию, которую запрашивает сервис;  передать требуемую информацию/выполнить действие. Ошибки в сервере и “черные ходы” могут подвергнуть опасности защиту всего компьютера, открывая систему любому пользователю в сети, осведомленному об изъяне. Даже относительно безобидная программа может привести к разрушению всей системы.

Лекция "Основные средства защиты, встроенные в ОС."

Лекция "Основные средства защиты, встроенные в ОС."

Лекция "Основные средства защиты, встроенные в ОС."

Лекция "Основные средства защиты, встроенные в ОС."

Лекция "Основные средства защиты, встроенные в ОС."

Лекция "Основные средства защиты, встроенные в ОС."
Материалы на данной страницы взяты из открытых истончиков либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
11.03.2017