- •Кафедра автоматизації і комп’ютерних систем
- •Классификация архитектурных типов процессоров.
- •Традиционно машинный уровень.
- •Команды обращения к процедурам
- •Процедуры
- •Управление циклами
- •Представление данных
- •Управление процессами
- •Типы адресации
- •Поиск и сортировка
- •Сортировка данных
- •Межпроцессорное взаимодействие.
- •Критические области.
- •Методы синхронизации с пассивным ожиданием.
- •Решение задачи производительности потребителя с помощью мониторов.
- •Разработка систем с помощью передачи сообщений.
- •Классические проблемы межпроцессорного взаимодействия.
- •Планировщик процессов
- •Планирования в системах реального времени.
- •Организация виртуальной памяти.
- •Стратегии замещения страниц.
- •Алгоритм «2-я попытка»
- •Алгоритм «часы»
- •Алгоритм nfu (редко используемая страница)
- •Методы ускорения работы со страницами
- •Способы ассемблирования
- •Связывание программ
- •Структура объектного модуля
- •Атака системы безопасности
- •Принципы проектирования систем безопасности.
- •Аутентификация пользователей
- •Механизм защиты
- •Технические механизмы защиты
- •Защита информации при передаче
- •Основные понятия криптографии:
- •Криптографический протокол
- •Гибридные криптосистемы
- •Цифровая подпись
- •Сертификаты
- •Алгоритм des
- •Принципы аутентификации управления доступом
- •Аутентификация с использованием односторонних функций
- •Аутентификация по принципу "запрос-ответ"
- •Аутентификация управления доступом в Unix
- •Супер-пользователь Root
- •Теневые пароли
- •Поддержка возможностей в Linux.
- •Аутентификация.
- •Идентификаторы безопасности.
- •Одалживание прав.
- •Управление доступом Windows xp.
- •Аудит. Общие принципы.
- •Локальная безопасность.
- •Сетевая безопасность
Одалживание прав.
Отдельные нити процесса могут исполняться с правами пользователей, которые отличаются от прав пользователя запустившего процесс. Этот подход называется одалживанием прав или инперсонацией. В этом случае нити могут исполнятся с меньшими правами. Процесс, для которого задается одалживание прав, получает отдельный маркер доступа, называемый маркером режима одалживание прав или маркером инперсонации.
Для получения маркера доступа некоторым пользователям необходимо осуществлять программный вход в систему для этого пользователя. Такой вход реализуется одной из функций Win api.
Управление доступом Windows xp.
При создании объекта Windows XP, который может быть использован более чем одним процессом, объекту присваивают дескриптор защиты, который состоит из следующих компонентов:
1.SID собственника объекта, при этом собственник всегда может изменять атрибуты безопасности объекта.
2. Список контроля доступа ACL, который определяет права доступа к объекту. Каждый элемент ACL включает:
а) тип записи ACL (Запретить, разрешить)
б) идентификатор безопасности (кому разрешать, кому запрещать)
в) набор прав доступа (чтение, запись контроль)
Фактически ACL представляет собой таблицы или связанные списки.
Аудит. Общие принципы.
Подсистемы аудита включают:
1. Средство определение политики аудита. Определив политику администратор задает перечень интересующих его событий.
2.Средство генерации сообщения аудита. Существуют специальные системные вызовы, которые используются как ядром, так и компонентами режима пользователей.
3. Средство хранения информации в журнале аудита.
Как правило, централизация в рамках отдельного компьютера или сети. При этом на узлах запускается отдельный фоновый процесс, который собирает всю информацию по сообщениям аудита.
Аккуратное несанкционированное проникновение предполагает доступ и замену информации в журнале аудита для скрытия следов проникновения. Для защиты журнала аудита, его могут сохранять на удаленном компьютере или на альтернативном носителе.
Локальная безопасность.
Локальная безопасность связана с вопросами конфиденциальной безопасности в рамках отдельного узла.
Наиболее распространенный метод – шифровка данных на файловых системах.
Кроме того есть такие подходы по конфиденциальности, например использование специальных библиотек , поддержка криптосистемы непосредственно в прикладных программах.
Управление доступом к файлам на локальном узле не защищает от физического хищения носителей информации. Так хищение жесткого диска и подключение его к узлу, где злоумышленник является привилегированным пользователем, осуществляя доступ к конфиденциальной информации. Особо остро эта проблема стоит для ноутбуков. Противодействие физического хищения носителей – шифрование файлов непосредственно в файловой системе. Это осуществляется на уровне драйвера файловой системы.
Механизмы шифрования поддерживают файловой системы Unix и Windows. Под Unix-ом наиболее распространены 2 шифр. системы. : CFS и TCFS.
CFS реализовываются на уровне пользователя для отдельных файлов и каталогов. Несколько снижает скорость для доступа к данным.
TCFS – работает в режиме ядра. Обеспечивает более быстрый доступ к шифрованным данным и более высокую степень защиты. Для настройки TCFS необходимо изменять перекомпиляции ядра.
TCFS – поддерживает динамически подключаемые модули шифрования. Линия Windows NT поддерживают шифровочную систему EFS. Для этого используется специальный драйвер файловую систему , управляющий над драйвером NTFS.
EFS –гибридная криптосистема с несколькими уровнями шифрования:
1. Шифрование данных файла. Использует симметричный алгоритм. Ключ шифрования файлов генерируется случайно при каждой попытки зашифровать файл.
2. Шифрование ключа шифрование файла. Используется алгоритм с открытым ключом RSA. Каждый пользователь имеет сгенерированную пару RSA ключей. Ключ шифрования файла шифруется открытым RSA ключом и хранит в заголовке файла. Предусмотрена возможность дешифрации файла т.н. агентом восстановления (доверенное лицо) в случае потери ключа пользователем. Для этого в заголовке файла сохраняются копии ключа шифрования файла, зашифрованные открытым ключом агента восстановления.
3. Открытым ключом пользователя хранится в виде сертификата в хранилище сертификатов в домашнем каталоге пользователя на локальном узле. В этом же хранилище находятся сертификаты агента восстановления данного пользователя.
4. Закрытый ключ пользователя шифруется симметричным алгоритмом RC4 c помощью ключа, который система генерирует случайно и периодически изменяется. Этот ключ называется мастер ключ. Результат шифровки мастер ключом хранится в домашнем каталоге пользователя на локальном узле.
5. Для шифрования мастер-ключа используют симметричный алгоритм RC4 с ключом, длина которого превышает длину матер ключа. При этом используется ХЕШ – функция SH1 c использованием идентификатора безопасности пользователя и его пароля.