- •11.1. Загрози безпеці операційних систем
- •11.1.11 Сканування файлової системи
- •11.1.2. Викрадення ключовоїінформації
- •11.1.3. Добирання паролів
- •11.1.4. Збирання сміття
- •11.1.5. Перевищення повноважень
- •11.1.6. Програмні закладки
- •11.1.7. «Жадібні» програми
- •11.2. Поняття захищеної операційної системи
- •11.2.1. Підходи до побудови захищених операційних систем
- •11.2.2. Принципи створення захищених систем
- •11.2.3. Адміністративні заходи захисту
- •11.2.4. Політика безпеки
- •11.3. Типова архітектура комплексу Засобів захисту операційних систем
- •11.3.1. Основні функції k33
- •11.3.2. Розмежування доступу
- •11.3.3. Ідентифікація, автентифікація й авторизація
- •11.3.4. Аудит
11.2.2. Принципи створення захищених систем
В основу технології створення захищених систем, за думкою фахівців, покладено такі п'ять принципів [97].
♦ Принцип інтегрованості. Засоби захисту слід вбудовувати в систему таким чином, щоб вони мали змогу контролювати всі без винятку механізми взаємодії. Найпростіший метод реалізаціїцього принципу під час створення ОС — максимальне обмеження кількості механізмів взаємодії та інтеграція засобів захисту безпосередньо в ці механізми.
Принцип інваріантності. Засоби захисту мають бути не залежними від особливостей реалізації утиліт і прикладних програм, а також від логіки їх функціонування, крім того, вони мають бути універсальними для взаємодій усіх типів. Інваріантності засобів захисту для ОС можна досягти шляхом застосування суворо регламентованої парадигми функціонування програм, що обмежує способи їх взаємодій.
Принцип уніфікації. Має існувати однозначна відповідність між взаємодіями суб'єктів і об'єктів, що контролюються, та операціями доступу, керування якими описано в моделях безпеки. Це дає змогу зробити засоби захисту універсальними і використовувати їх без змін для реалізації різних моделей безпеки та для контролю доступу до об'єктів, що мають різну природу. Під час створення ОС дотримання цього принципу приводить до необхідності розроблення універсального інтерфейсу доступу (що об'єднує всі способи взаємодій між суб'єктами й об'єктами), всі функції якого однозначно відображаються на множину операцій, що описує модель безпеки.
♦ Принцип адекватності. Для забезпечення реальної здатності протидіяти атакам необхідно виключити всі чинники, що спричиняють виникнення вразливостей, адже саме на їх використанні базуються механізми реалізації атак. За даними досліджень [96, 98] основною причиною появи вразливостей є непослідовність у реалізації контролю доступу. Наявні системи містять привілейовані засоби та служби, які передають користувачам частину своїх повноважень, оминаючи засоби контролю. Найочевидніший приклад — механізм SUID/SGID у системі UNIX. Будь-яка програмна помилка в таких засобах призводить до появи вразливостей. Відтак переважну більшість причин появи вразливостей можна усунути, реалізувавши в системі контроль доступу на основі універсального інтерфейсу та єдиного механізму взаємодії. Також необхідно мінімізувати об'єм довіреного коду самих засобів захисту задля зменшення ймовірності появи в них помилок.
♦ Принцип коректності. Засоби захисту мають реалізовувати керування доступом відповідно до формальних моделей. За наявності несуперечливої моделі безпеки можна формально обґрунтувати безпеку системи та отримати об'єктивний критерій оцінювання коректності її роботи. На основі такої моделі можна створювати вичерШп тести, що перевіряють правильність роботи засобів захисту в усіх режимах і за будь-яких обставин.
11.2.3. Адміністративні заходи захисту
Як уже зазначалося, захистити належним чином будь-яку обчислювальну систему не можна лише за допомогою програмно-апаратних засобів. Дію таких засобів мають підсилювати адміністративні заходи захисту. Повною мірою це стосується й операційних систем. Щоб організувати надійний та ефективний захист ОС, недостатньо лише програмно-апаратних засобів захисту (складові K33), слід також вживати адекватних адміністративних заходів, без яких жодний програмно-апаратний захист неефективний.
Розрізняють такі основні адміністративні заходи захисту ОС. Постійний контроль коректності функціонування ОС (зокрема, її підсистеми захисту). Для повноти контролю необхідно здійснювати такі заходи:
♦ реєстрація подій у системі (Event Logging);
♦ контроль цілісності файлів, зокрема тих, що містять програмний код компонентів ОС;
♦ тестування компонентів ОС на коректність функціонування.
Усі ці заходи неможливі без наявності спеціалізованих компонентів K33 ОС, що реалізують необхідні функції.
Організація й підтримка адекватної політики безпеки. Запроваджена в ОС політика безпеки фактично визначає:
які користувачі мають доступ і до яких компонентів ОС;
які користувачі мають доступ і до яких об'єктів, що знаходяться під керуванням ОС (наприклад, до файлів на диску, зовнішніх носіїв, пристроїв введення-виведення тощо);
яким чином користувачі ОС ідентифікують себе і які вимоги висунуто до їхніх атрибутів доступу;
які події потрібно реєструвати в системних журналах.
Політика безпеки має постійно коригуватися з урахуванням змін у конфігурації ОС, настроюваннях встановлених прикладних програм, спроб порушників подолати захист ОС, поточних загроз (епідемій небезпечних вірусів).
Навчання користувачів. Окрім суто технічних питань щодо функціонування ОС, користувачі мають знати про необхідність дотримання заходів безпеки під час роботи з ОС. Необхідною складовою є також контроль за дотриманням цих заходів.
Створення резервних копій. Регулярне створення й оновлення резервних копій програм і даних ОС дає змогу за мінімальних втрат відновити ОС після збоїв і відмов компонентів системи.
Постійний контроль за зміненням конфігураційних даних і політики безпеки ОС. Фактично йдеться про контроль настроювань засобів захисту та інших компонентів ОС. Ці дані належать до так званої технологічної інформації K33, яка, безумовно, підлягає захисту. Зміни в цій інформації вказують засобам захисту ОС на змінення політики безпеки. У разі правильного настроювання підсистеми реєстрації подій такі зміни в системі не можуть залишитися непоміченими. Але часто порушник, який змінює технологічні дані, намага-ється «замести сліди» шляхом знищення відповідних записів у журналах реєстрації. Тому необхідно здійснювати постійний контроль за змінами, що відбуваються у системі. Окрім того, слід організувати автоматичне сцовіщення адміністраторів про критичні з точки зору безпеки зміни в системі й такий спосіб зберігання даних реєстрації, який би був стійким до компрометації конкретної системи (наприклад, віддзеркалювати журнали реєстрації на інші комп'ютери або друкувати на принтері записи про найважливіші події).