- •11.1. Загрози безпеці операційних систем
- •11.1.11 Сканування файлової системи
- •11.1.2. Викрадення ключовоїінформації
- •11.1.3. Добирання паролів
- •11.1.4. Збирання сміття
- •11.1.5. Перевищення повноважень
- •11.1.6. Програмні закладки
- •11.1.7. «Жадібні» програми
- •11.2. Поняття захищеної операційної системи
- •11.2.1. Підходи до побудови захищених операційних систем
- •11.2.2. Принципи створення захищених систем
- •11.2.3. Адміністративні заходи захисту
- •11.2.4. Політика безпеки
- •11.3. Типова архітектура комплексу Засобів захисту операційних систем
- •11.3.1. Основні функції k33
- •11.3.2. Розмежування доступу
- •11.3.3. Ідентифікація, автентифікація й авторизація
- •11.3.4. Аудит
11.2.4. Політика безпеки
Адекватна політика безпеки в операційній системі — це така політика безпеки яка забезпечує^захист від визначеної множини загроз із достатнім ступенел надійності [91]. Вибір і підтримка адекватної політики безпеки — одна з най важливіших задач адміністратора ОС.
Не слід вважати адекватною політику безпеки, яка забезпечує максимальниі рівень захисту. Як правило, високий рівень захисту системи обмежує ЇІ функ ціональність і ускладнює роботу користувачів. На підтвердження цього наведем( кілька прикладів.
Для роботи в захищеній системі користувач зобов'язаний пройти авториза цію, тобто отримати в системі певні повноваження за результатами іденти фікації та автентифікації. Чим жорсткіша політика, що регламентує правилс автентифікації (наприклад, обмеження щодо складності паролів, частота заміни паролів, кількість дозволених невдалих спроб введення пароля тощо), тим менша ймовірність, що невповноважений користувач отримає доступ до системи. Але за таких умов уповноваженому користувачу також доведеться докладати більше зусиль, щоб підтвердити свої повноваження в системі.
Система розмежування доступу обмежує можливості користувачів зі створення файлів у певних каталогах. Якщо реалізовано принцип мінімуму повноважень, створювати файли і підкаталоги дозволено лише в певних, чітко визначених каталогах файлової системи. Але переважна більшість сучасних програм створюють під час роботи тимчасові файли. Часто деякі програми створюють відразу кілька різних файлів у різних каталогах (типовий приклад — програми з пакета Microsoft Office). Якщо програма спробує створити тимчасовий файл у каталозі, де поточному користувачу заборонено створювати файли, то ця операція буде неуспішною. Результат здійснення такої спроби може бути різним: за наявності окремих некритичних помилок робота програми може тривати, хоча й з меншою функціональністю (наприклад, недоступною може бути функція відкоту), а може завершитися з помилкою. Іноді повідомлення про помилку досить складно правильно інтерпретувати (наприклад, може з'явитися повідомлення на кшталт «немає вільного місця на диску C:» за наявності кількох вільних гігабайтів).
Будь-яка система захисту використовує апаратні ресурси комп'ютера, причому чим складніші функції та ретельніші перевірки вона виконує, тим більшу частину ресурсів займає. Дії системи захисту можуть помітно вповільнити роботу ОС, передусім це стосується тих функцій, швидкість виконання яких складає уявлення користувачів щодо швидкодії системи (наприклад, відкривання файЬЙв, запуск програм).
Система захисту вимагає від адміністраторів ОС додаткових знань, умінь і значних витрат часу на підтримку адекватної політики безпеки. Чим більше функцій захисту, тим більше часу мусять витрачати адміністратори. Коли помилки адміністрування стають більш імовірнимиі критичними, наслідки можуть бути абсолютно неочікуваними. Наприклад, в ОС Windows є псевдо користувач SYSTEM, від імені якого виконуються системні процеси.
Якщо у SYSTEM «забрати» привілей «запускати процеси від імені іншого користувача», то після завершення поточного сеансу роботи в системі жодний користувач не зможе більше зайти в систему, оскільки саме цей привілей використовується під час авторизації. Можна також необачно «забрати» у того самого SYSTEM права доступу до програмних файлів ОС. Система тоді не зможе завантажитись. Можна припуститися й не такої критичної помилки, але й тоді результат буде не набагато кращим: у процесі функціонування системи виникатимуть непередбачені помилки і збої, причини яких дуже складно виявити.
Єдиної адекватної політики безпеки на всі існуючі випадки немає й бути не може. Адекватна політика безпеки визначається задачами тієї інформаційної системи, яка побудована із застосуванням конкретної ОС, а також діючими загрозами безпеці інформації у конкретній ІКС. Одна й та сама серверна ОС може забезпечувати функціонування веб-сервера, сервера баз даних і сервера електронного документообігу, а одна й та сама клієнтська ОС — домашнього комп'ютера і робочої станції у корпоративному середовищі. В усіх цих випадках загрози інформації та задачі захисту різні. Адекватна політика безпеки може також залежати від версїї застосованої ОС, її конфігурації, встановленого прикладного ПЗ.
Далі наведено п'ять основних етапів визначення адекватної політики безпеки та її підтримки.
Аналіз загроз. Вивчаються можливі загрози безпеці конкретного екземпляра ОС. Будується модель загроз. Визначаються ймовірності реалізації окремих загроз і можливі втрати у випадках їх реалізації. Оцінюються ризики. Визначаються пріоритети у захисті від конкретних загроз.
Формування вимог до політики безпеки. На цьому етапі визначаються засоби і методи захисту від кожної окремої загрози. Водночас проводиться аналіз можливих побічних ефектів застосування обраних засобів і методів захисту. Як правило, неминучим є компроміс між вадами захисту від певних загроз і ускладненням роботи користувачів у системі. Результатом проведених на цьому етапі робіт є формування набору вимог до реалізації політики безпеки у вигляді переліку методів і засобів захисту, які мають бути реалізованими.
Формальне визначення політики безпеки. На цьому етапі здійснюється чітке визначення засобів, які реалізовуватимуть сформульовані на попередньому етапі вимоги. Зокрема, з'ясовується, чи можна домогтися виконання зазначених вимог лише штатними засобами ОС, чи потрібно встановлювати спеціальне ПЗ. Формулюються вимоги до конфігурації ОС і всіх додаткових програм,
, що реалізують функції захисту, якщо такі встановлено. Результатом робіт на цьому етапі є детальний перелік конфігураційних настроювань ОС і додаткових програм. Мають бути передбачені різні нештатні ситуації та відповідні настроювання ОС у разі виникнення таких ситуацій.
♦ Втілення політики безпеки. На цьому етапі виконуються настроювання ОС і додаткових програм, які реалізують функції захисту відповідно до формалізованої політики безпеки, розробленої на попередньому етапі.
♦ Підтримка і корекція політики безпеки. На цьому етапі здійснюється ретельний контроль за дотриманням формальної політики безпеки, який передбачає перевірку настроювань засобів захисту, що входять до складу ОС. Контроль можна виконувати за допомогою спеціального ПЗ. Окремою задачею на цьому етапі є відстеження повідомлень про появу нових загроз (наприклад, про розповсюдження в Інтернеті небезпечних вірусів), а також виявлення раніше невідомих уразливостейта розроблення виправлень для ОС і прикладного ПЗ. У таких випадках може виникнути потреба в корекції політики безпеки, яку також слід здійснювати після будь-яких змінень у самій системі. Таку корекцію здійснюють, наприклад, після встановлення нового програмного продукту задля його нормального функціонування (розширення повноважень) або з метою виключення шляхів несанкціонованого доступу, які можуть з'явитися.