Миргородская 7сессия / Операционные системы / %D0%9E%D0%A1_%D0%A1%D0%93%D0%A2%D0%A3%20v5
.pdf
ется запись, редактирование, изменение статуса, удаление или создание но-
вых объектов.
3. Доступность - Необходимо, чтобы свойства компьютерной систе-
мы были доступны авторизованным лицам.
4. Аутентичность - Компьютерная система должна иметь возможность проверять идентичность пользователя.
Выделяют следующие виды угроз для компьютерных систем в процес-
се предоставления информации (рис.57):
Источник Получатель информации информации
А) Нормальная передача
Б) Прерывание |
В) Перехват |
|
Г) Изменение |
|
д) Подделка |
|
|
|
Рис.57. Угрозы безопасности
1. Прерывание - Компоненты системы выходят из строя, становятся не-
доступными или непригодными. Это атака, целью которой является наруше-
ние доступности.
2. Перехват - Это атака, целью которой является нарушение конфиден-
циальности, в результате чего доступ к компонентам системы получают не-
санкционированные стороны.
181
3. Изменение - Несанкционированная сторона не только получает дос-
туп к системе, но и вмешивается в работу ее компонентов. Целью этой атаки является нарушение целостности.
Подделка - Несанкционированная сторона помещает в систему под-
дельные объекты. Целью этой атаки является нарушение аутентичности.
В основе многозадачности лежит способность системы предоставлять пользователям возможность совместного использования ресурсов. Объектом совместного использования является не только процессор, но и такие элемен-
ты, как память; устройства ввода-вывода, программы; данные. Возможность совместного использования ресурсов предполагает их защиту.
Компоненты компьютерной системы можно разделить на следующие категории: аппаратное обеспечение, программное обеспечение, данные, а
также линии связи и сети [3]. На рис. 58, а также в табл. 12 указан характер угроз, с которыми встречаются категории каждого вида. Рассмотрим их по порядку.
Пассивные угрозы |
Активные угрозы |
|
Извлечение |
Анализ |
|
|
содержимого |
трафика Имитация Воспроизве- |
Изменение |
Отказ в об- |
сообщения |
дение |
содержимого |
служивании |
|
|
сообщения |
|
Рис. 58. Угрозы безопасности активного и пассивного характера
Аппаратное обеспечение. Основная угроза для аппаратного обеспече-
ния компьютерной системы связана с его доступностью. Аппаратное обеспе-
чение больше всего подвержено атакам и менее всего поддается автоматиче-
скому управлению. В число угроз входят случайный и преднамеренный вы-
вод оборудования из строя, а также его кража. Распространенность персо-
нальных компьютеров, рабочих станций и все более широкое использование локальных сетей приводят к увеличению потенциальной возможности потерь
182
в этой области. Для устранения угрозы подобного рода нужны администра-
тивные меры по предотвращению физического доступа к системам.
Компоненты компьютерной системы и виды угроз для них Таблица 12.
|
Доступность |
Секретность |
Целостность/Аутентичность |
Аппаратное |
Оборудование может |
|
|
обеспечение |
быть похищено или |
|
|
|
выведено из строя (от- |
|
|
|
каз в обслуживании) |
|
|
Программное |
Удаление программ, |
Несанкциониро- |
Рабочая программа изменя- |
обеспечение |
отказ пользователям в |
ванное копирова- |
ется таким образом, что она |
|
доступе |
ние программ |
либо перестает работать, |
|
|
|
либо выполняет какое-то |
|
|
|
другое задание |
Данные |
Удаление файлов, от- |
Несанкциониро- |
Изменение имеющихся |
|
каз пользователям в |
ванное чтение дан- |
файлов или подделка новых |
|
доступе к ним |
ных. Анализ стати- |
|
|
|
стических данных |
|
Линии связи |
Разрушение или уда- |
Чтение сообщений. |
Изменение содержимого, |
|
ление сообщения. На- |
Наблюдение за тра- |
времени доставки (задерж- |
|
рушение работы линий |
фиком |
ка), порядка доставки со- |
|
передачи или сетей |
|
общений или их дублиро- |
|
|
|
вание. Подделка сообщений |
Программное обеспечение. Компьютерная система без программного обеспечения представляет собой бесполезный набор аппаратных устройств.
Именно операционная система, утилиты и приложения делают компьютер-
ную систему пригодной для использования отдельными лицами и организа-
циями. Рассмотрим несколько различных угроз этой части компьютерной системы. Основную опасность для программного обеспечения представляет атака на доступность. Программы, особенно прикладные, чрезвычайно легко удалить. Кроме того, программное обеспечение может быть изменено или повреждено, в результате чего оно станет непригодным для работы. Акку-
ратное управление настройкой конфигурации программ, включающее хране-
ние резервных копий новейших версий, поможет повысить надежность их работы. Сложнее решить проблему, когда изменение программы приводит к тому, что она продолжает работать, но при этом ведет себя не так, как рань-
ше. Эта категория атак связана с компьютерными вирусами. Упомянем также о проблеме секретности программ. Несмотря на существование (определен-
183
ных мер защиты, в целом проблема несанкционированного копирования про-
граммного обеспечения остается неразрешенной.
Данные. Ответственность за безопасность аппаратного и программно-
го обеспечения обычно возлагается на профессионалов вычислительного центра или на пользователей персонального компьютера. Безопасность дан-
ных является более обширной проблемой, включающей в себя безопасность файлов и других видов данных, управляемых отдельными лицами, группами и деловыми организациями. Безопасность данных охватывает широкий круг вопросов, включающий в себя доступность, секретность и целостность. Ко-
гда речь идет о доступности, подразумевается защита от случайной либо преднамеренной порчи файлов с данными. Очевидно, что для соблюдения секретности необходимо заботиться о предотвращении несанкционированно-
го чтения файлов данных или баз данных. В этой области было проведено больше исследований и затрачено больше усилий, чем в любой другой об-
ласти компьютерной безопасности. Не столь очевидной угрозой для секрет-
ности является анализ данных, заключающийся в использовании так назы-
ваемых статистических баз данных, предоставляющих краткую или совокуп-
ную информацию. Совокупная информация обычно не представляет угрозы вмешательства в частную жизнь отдельных лиц. Однако в результате все бо-
лее широкого использования статистических баз данных возрастает потенци-
альный риск раскрытия хранящейся в ней информации личного характера.
По сути, в ходе тщательного анализа могут быть получены сведения цельных лицах, занесенных в базу данных. Это можно пояснить на таком простом примере: если в одной таблице записан суммарный доход респондентов А, В,
С и D, а в другой — суммарный доход респондентов А, В, С, D и Е, разность этих величин составит доход респондента Е. Проблема обостряется в связи с комбинированием наборов данных. Во многих случаях в процессе составле-
ния необходимых совокупностей нужно извлекать отдельные составляющие,
сопоставляя несколько различных наборов данных на уровнях агрегирова-
ния, подходящих для задачи. Таким образом, на различных этапах обработки
184
наборов данных становятся доступными отдельные составляющие базы дан-
ных, являющиеся закрытыми. Наконец, в большинстве систем основной за-
дачей является сохранение целостности данных. Изменение файлов данных может иметь различные последствия – от незначительных до сокрушитель-
ных.
Линии связи и сети. Прослушивание или отслеживание передаваемой информации по своему характеру являются пассивными атаками. Цель ата-
кующего, состоит в получении этой информации. К данному виду атак отно-
сятся извлечение содержимого сообщения и анализ трафика.
Другой вид пассивной атаки, анализ трафика (traffic analysis), является более сложным. Предположим, что у нас есть возможность скрыть содержи-
мое передаваемой информации, так что оппоненты, даже перехватив сооб-
щение, не могут извлечь из него информацию. Общепринятым методом мас-
кировки содержимого является его шифровка. Однако оппонент может полу-
чить представление о характере сообщений, несмотря на то что они зашиф-
рованы. Он может определить местоположение и параметры узлов, обмени-
вающихся информацией, а также собрать сведения о частоте передачи сооб-
щений и об их размере. Полученные сведения могут дать представление о характере передаваемой информации.
Пассивные атаки очень трудно выявить, так как они не влекут за собой никаких изменений данных. Однако предотвратить эти атаки вполне воз-
можно. Таким образом, внимание следует сосредоточить не на выявлении пассивных атак, а на их предотвращении.
Другой категорией атак являются активные атаки. Они предполагают некоторое изменение потока данных или создание поддельного потока и подразделяются на четыре категории: имитация, воспроизведение, изменение сообщений и отказ от обслуживания.
Имитация имеет место, когда какой-то объект выдает себя за другой объект. Атака с имитацией обычно предпринимается вместе с активными атаками других видов. Например, может перехватываться, а затем воспроиз-
185
водиться последовательность сообщений, передаваемых в процессе аутенти-
фикации, в результате чего авторизированные стороны с небольшими приви-
легиями получают дополнительные привилегии, выдавая себя за объект, об-
ладающий ими.
Воспроизведение включает в себя пассивный перехват элементов дан-
ных с их последующей повторной передачей, чтобы произвести неавторизи-
рованный доступ.
Под изменением сообщений подразумевается изменение какой-то час-
ти первоначального законного сообщения, удаление сообщений или измене-
ние порядка их получения. Все это делается с целью получить несанкциони-
рованный доступ. Например, сообщение: "Позволить Ивану Сидорову читать конфиденциальные файлы" может быть изменено на такое: "Позволить Си-
дору Иванову читать конфиденциальные файлы".
Отказ от обслуживания препятствует нормальному использованию средств связи или управлению ими либо сдерживает их. Цель этой атаки мо-
жет быть вполне конкретной; например, объект может подавлять все сооб-
щения, предназначенные конкретному адресату (например, службе аудита безопасности). Другим видом отказа от обслуживания является подрыв рабо-
ты всей сети, который достигается посредством вывода ее из строя либо пе-
регрузки сообщениями в целях снижения ее производительности.
Активные атаки обладают характеристиками, противоположными ха-
рактеристикам пассивных атак. Хотя пассивные атаки трудно выявить, их можно предотвратить с помощью специально разработанных мер. С другой стороны, активные атаки очень трудно полностью предотвратить, потому что для этого понадобилось бы обеспечить постоянную физическую защиту всех средств связи. Целесообразнее сосредоточить усилия на выявлении этих атак и устранении их последствий. Благодаря тому, что выявление производит сдерживающий эффект, оно также может способствовать и предупреждению.
Возможность совместного использования ресурсов предполагает их защиту. ОС может обеспечивать шесть степеней защиты:
186
1.Отсутствие защиты - процедуры выполняются во времени раздельно.
2.Изоляция - каждый процесс работает отдельно от других процессов,
не используя совместно с ними никаких ресурсов и не обмениваясь инфор-
мацией.
3. Полное разделение или полное его отсутствие - Владелец объекта
(например, файла или сегмента памяти) объявляет его открытым либо закры-
тым. В первом случае доступ к объекту может получить любой процесс; во втором — доступ к этому объекту предоставляется только его владельцу.
4.Совместное использование с ограничением доступа - Операционная система проверяет дозволенность доступа каждого отдельного пользователя
ккаждому отдельному объекту.
5.Совместное использование с помощью динамических возможно-
стей - расширяет концепцию контроля доступа, позволяя динамически соз-
давать права совместного использования объектов.
6. Ограниченное использование объекта - ограничивается не столько доступ к объекту, сколько его использование. Защита памяти: Разделение пространства памяти между различными процессами легко осуществляется при использовании схемы виртуальной памяти. Эффективным средством управления основной памятью является сегментная или страничная органи-
зация памяти, либо комбинированный вариант, в котором сочетаются оба ви-
да организации. Если нужно обеспечить полную изоляцию, то операционной системе достаточно просто убедиться, что каждый сегмент или каждая стра-
ница доступна только тому процессу, которому она предоставлена. Если со-
вместное использование разрешено, то один и тот же сегмент или страница может появиться в нескольких таблицах.
Зловредное программное обеспечение. Вероятно, наиболее изощрен-
ные угрозы для компьютерных систем представляют программы, исследую-
щие их уязвимые места [3]. Общее название угроз такого вида — зловред-
ные программы (malicious software или malware). Зловредные программы —
187
это программы, которые предназначены для того, чтобы причинить вред или использовать ресурсы компьютера, выбранного в качестве мишени. Они час-
то маскируются в легальных программах или выдаются за них. В некоторых случаях они распространяются сами по себе, переходя на другие компьютеры по электронной почте или через зараженные файлы или дискеты.
На рис. 59 представлена общая систематизирующая схема зловредных программ. Угрозы этого вида можно разделить на две категории: те, которые используют программу-носитель, и те, которые являются независимыми. К
первой категории в основном относятся фрагменты программ, которые не могут существовать независимо от программы-носителя, в роли которой мо-
жет выступать приложение, утилита или системная программа. Ко второй ка-
тегории относятся отдельные независимые программы, которые могут пла-
нироваться и запускаться операционной системой.
Зловредное программное обеспечение
|
|
|
Независимое |
||
Нуждается |
|
|
|||
в программе - носителе |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Люки |
Логические |
Троянские |
Вирусы |
|
Черви |
|
Зомби |
|
бомбы |
кони |
|
|
|
|
|
|
|
|
|
|
|
Размножаются
Рис. 59. Систематизация зловредных программ Опасные программы разделяются на такие, которые не воспроизводят
себя, и такие, которые делают это. К программному обеспечению первого вида относятся фрагменты программ, которые должны активизироваться во время определенных действий главной программы. В программное обеспе-
чение второго вида входят либо фрагменты программ (вирусы), либо незави-
симые программы (черви), способные при запуске создавать одну или не-
188
сколько копий самих себя; эти копии позже активизируются в этой же или в какой-то другой системе.
Хотя представленная на рис. 59 систематика полезна для усвоения об-
суждаемой информации, она не дает полной картины. В частности, логиче-
ские бомбы или троянские кони также могут быть составной частью вирусов или червей.
5.2. Безопасность операционной системы WINDOWS
Операционная система Windows XP предоставляет средства единооб-
разного контроля доступа к процессам, потокам, файлам, семафорам, окнам и другим объектам. Контролем доступа управляют два элемента: маркер досту-
па, который связан с каждым процессом, и дескриптор защиты, связанный с каждым объектом, для которого возможно межпроцессное взаимодействие [3].
Схема контроля доступа.
При входе пользователя система Windows XP использует для его аутен-
тификации схему имя/пароль. Если пользователь успешно зарегистрирован,
для него создается процесс, с которым ассоциируется маркер доступа. Этот маркер доступа, детали которого будут описаны далее, содержит идентифи-
катор защиты (security ID — SID), по которому система безопасности иден-
тифицирует данного пользователя. Когда начальный пользовательский про-
цесс порождает какие-нибудь другие процессы, новый объект-процесс насле-
дует тот же маркер доступа.
Маркер доступа имеет два предназначения.
1. Благодаря ему вся информация по безопасности хранится вместе, что способствует ускорению подтверждения доступа. Когда какой-нибудь свя-
занный с пользователем процесс пытается получить доступ, подсистема безо-
пасности может использовать связанный с процессом маркер, чтобы опреде-
189
лить привилегии доступа, которыми обладает данный пользователь.
2.Наличие маркера доступа позволяет процессу в определенных рам-
ках изменять свои характеристики безопасности, не влияя при этом на ра-
боту других процессов, запущенных от имени данного пользователя.
Основное значение второго пункта состоит в том, что маркер доступа должен иметь дело с привилегиями, которые могут быть связаны с пользова-
телем. Маркер доступа указывает, какие привилегии разрешено иметь поль-
зователю. Как правило, для каждой из этих привилегий маркер инициализи-
руется состоянием запрета. Впоследствии, если одному из процессов пользо-
вателя нужно выполнить привилегированную операцию, этот процесс может включить соответствующую привилегию и попытаться получить доступ.
Иногда нежелательно хранить всю информацию по безопасности, касаю-
щуюся пользователя, в одном месте системы, потому что в этом случае пре-
доставление привилегии одному процессу приводит к тому, что данная при-
вилегия предоставляется всем остальным процессам.
С каждым объектом, для которого возможен межпроцессный доступ,
связан дескриптор защиты. Основным компонентом дескриптора защиты яв-
ляется список контроля доступа, в котором права доступа к данному объекту указываются для различных пользователей и для различных групп пользова-
телей. Когда процесс пытается получить доступ к этому объекту, идентифи-
катор защиты этого процесса сравнивается со списком управления доступом объекта и определяется, разрешен ли доступ.
Когда приложение открывает ссылку на подлежащий защите объект, Windows XP проверяет, предоставляет ли дескриптор защиты объекта доступ поль-
зователю, которому принадлежит приложение. Если проверка проходит, система
Windows XPпомещаетпредоставленные врезультате права доступа вкэш.
Важным аспектом безопасности операционной системы Windows XP
является концепция заимствования прав, упрощающая использование безо-
пасности в среде клиент/сервер. Если клиент и сервер общаются между собой с помощью вызова удаленных процедур, сервер может временно принять па-
190