Технології захисту інформації - копия

"mysql". Навіть, якщо Apache та MySQL разом обслуговують webсторінки, зловмисник, отримавши контроль над Apache, не буде мати повноважень, які дозволяють використати цю вразливість для отримання контролю над сервером баз даних, тому що він "належить" іншому користувачу. Крім того, такі облікові записи конфігуруються без можливості доступу до командного рядка, а отже, не зможуть подати довільну команду серверу Linux.

За своєю архітектурою Linux є модульною, а не монолітною системою. Linux – це ОС, сконструйована, в основному, за модульним принципом, від ядра до застосувань. У Linux практично немає нероздільних зв’язків між компонентами. Немає й єдиного web-навігатора, який використовується системою або програмами електронної пошти. Отже, "дірка" у web-навігаторі не обов’язково небезпечна для інших застосувань.

Ядро Linux підтримує модульні драйвери, але значною мірою є монолітним ядром, бо сервіси в цьому ядрі взаємозалежні. Усі негативні наслідки монолітності мінімізуються тим, що ядро Linux, наскільки це можливо, розроблено як найменша частина системи. Розробники Linux фанатично притримуються такого принципу: "Якщо задача може бути вирішена за межами ядра, вона має бути виконана поза ним". Це значить, що в Linux майже кожна корисна функція ("корисна" – значить "для кінцевого користувача") не має доступу до вразливих частин

Linux.

Сервери Linux ідеально підходять для віддаленого адміністру-

вання. Сервер Linux можна, а часто і треба, інсталювати без монітора та адмініструвати віддалено, оскільки при такому стилі адміністрування він не піддається таким загрозам як при локальному адмініструванні.

Можливо, це одна з найголовніших відмінностей Linux від Windows, тому, що цей фактор зводить нанівець багато критичних вразливостей, загальних для Linux та Windows, наприклад, вразливості web-навігаторів Mozilla та Інтернет Explorer.

Розглянемо детальніше методи забезпечення безпеки у Linux. Забезпечення безпеки в Linux. Якщо коротко, то структурна

схема системи безпеки Linux має такий вигляд у взаємодії з іншими підсистемами (SELinux, рис. 13.10).

461

символів. Символи, які використовуються у паролях, беруться з набору

з52 літер алфавіту, цифр та (/). Разом виходить 64 символи.

Зтретього поля починається інформація про час життя паролю. Це – кількість днів з 1 січня 1970 року до дня зміни цього пароля.

Четверте поле вказує на кількість днів, яка повинна пройти, перш ніж можна буде змінювати пароль. Поки з дня останньої зміни пароля не пройде стільки днів, скільки вказано у цьому полі, знову змінювати пароль не можна.

П’яте поле задає максимальну кількість днів, протягом яких можна використовувати пароль, після чого він має бути зміненим. Якщо тут стоїть додатна величина, то при спробі користувача зайти до системи після цього терміну призведе до того, що команду password буде запущено у режимі обов’язкової зміни пароля.

Значення з шостого поля визначає, за скільки днів до закінчення терміну дії пароля слід попереджати користувача про це.

Сьоме поле задає число днів, починаючи з дня обов’язкової зміни пароля, коли цей обліковий запис блокується. Іншими словами, якщо після цієї кількості днів користувач не зайде до системи і не змінить свій пароль, то його обліковий запис буде заблоковано.

У передостанньому полі вказано дату блокування облікового запису. Останнє поле зарезервовано і поки що не використовується.

У файлі etc/groups описано групи користувачів. Структура цього файла подібна до файла паролів. Далі наведено приклади записів:

root::0:

wheel::10:

bin::1:bin,daemon

daemon::2:bin,daemon

sys::3:bin,adm

adm::4:adm,daemon

Перше поле – ідентифікатор групи. Він повинен бути унікальним. Друге поле – пароль. Як правило, паролі для груп не

використовуються, отже, це поле практично завжди порожнє. Однак можна увести паролі і для групи.

Третє поле – ідентифікатор групи, gid. Він також має бути унікальним, хоча це і необов’язково.

Четверте поле – список користувачів, що входять до цієї групи. Імена користувачів пишуться через кому без пробілів.

464

Зліва з’явилося число, яке вказує номер індексного дескриптора файла, в якому записано всю важливу інформацію про файл, в тому числі (в останніх версіях) підтримуються списки контролю доступу, чого раніше в Linux не було.

Списки контролю доступу розширюють можливість тріад доступу. Їх використовують, коли деяким користувачам треба надати доступ до файлу без зміни групових налаштувань.

Раніше в Linux підтримувався контроль доступу на рівні тріад.

Як можна спостерігати, після індексного дескриптора йде мітка звичайного файла, потім тріади дозволів: 1-а тріада – дозволи для власника файла; друга – для його групи; третя – для усіх решти. Значення "r" – дозвіл на читання; "w" – на запис; "x" – на виконання; "–" – дозволу на цю операцію немає.

Дозволи для каталогів трактуються інакше, ніж для файлів: дозвіл на читання – дозволяється продивлятися вміст каталогу, тобто отримати список файлів, що містяться у цьому каталозі, однак самі файли можуть бути недоступними для читання; дозвіл на запис для каталогу значить, що туди можна записувати файли або створювати нові, однак зміна існуючих файлів може виявитися недоступною; наявність права на виконання дозволяє зайти в цей каталог за допомогою команди cd. Можна читати список файлів з каталогу або записувати туди нові файли, але зайти в нього без дозволу на виконання не можна.

Детальніше з властивостями операційної системи Linux можна ознайомитися, наприклад, у [62].

Контрольні запитання

1.Формальні моделі доступу до інформації. Дискреційний та мандатний доступ до даних в інформаційних системах.

2.Основи захищеності сучасних операційних систем.

3.Підсистема захисту в ОС Windows. Основні послуги та механізми захисту.

4.Підсистема захисту в ОС Linux. Основні переваги і недоліки.

5.Порівняння архітектури Windows та Linux. Основні можливості підсистем захисту ОС.

466

Використана література

1.Информационная безопасность RUNNet / А. В. Аграновский, А. К. Скуратов // Тр. XI Всеросс. научн.-методич. конф. Телематика’04. – Т. 1. – СПб., 2004. − С. 66–68.

2.Баричев С. Г. Основы современной криптографии / С. Г. Баричев, Р. Е. Серов. – М. : Горячая линия-Телеком, 2002. – 152 с.

3.Введение в криптографию / под редакцией В. В. Ященко. – СПб. : Питер, 2001. – 288 с.

4.Галицкий А. В. Защита информации в сети – анализ технологий

исинтез решений / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М. : ДМК Пресс, 2004. – 616 с.

5.Герасименко В. А. Основы теории защиты информации в автоматизированных системах обработки данных / В. А. Герасименко. – М. : Деп. в ВИНИТИ, 1991. – 410 с.

6.ГОСТ Р 34.10–2001. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. – М. : Госстандарт России, 2001. – 24 с.

7.Гортинская Л. В. Реализация протоколов коллективной подписи на основе стандартов ГОСТ 34.310−95 и ДСТУ 4145-2002 / Л. В. Гортинская, Н. А. Молдовян, Г. Л. Козина // Правове, нормативне та метрологичне забезпечення системи захисту інформації в Україні. – К. : НТУУ "КПІ". – 2008. – № 1. – С. 21–25.

8.Глушков В. М. Кибернетика, вычислительная техника, информатика. Избранные тр. в трех томах. Т. 1. Математические вопросы кибернетики. Т. 2. ЭВМ – техническая база кибернетики. Т. 3. Кибернетика

иее применение в народном хозяйстве. / В. М. Глушков. – К. : Наукова думка. – 1990. – Т. 1. – 264 с. ; Т. 2. – 267 с. ; Т. 3. – 222 с.

9.Грайворонський М. В. Безпека інформаційно-комунікаційних систем / М. В. Грайворонський, О. М. Новіков. – К. : Видавнича група

BHV, 2009. – 608 с.

10.Дорошенко А. Н. Информационная безопасность. Методы и средства защиты информации в компьютерных системах : учебн. пособ. / А. Н. Дорошенко, Л. Л. Ткачев. – М. : МГУПИ, 2006. – 143 с.

11.ДСТУ 4145–2002. Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевірка. – К. : Держстандарт України, 2002. – 40 с.

12.ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення. – Введ. 01.01.98. – К. : Держстандарт України,

1997. – 11 с.

467

13.Ємець В. Сучасна криптографія. Основні поняття / В. Ємець, А. Мельник, Р. Попович. – Львів : Бак, 2003. – 144 с.

14.Жельников В. Криптография от папируса до компьютера

/В. Жельников. – М. : ABF, 1994. – 324 с.

15.Жуков А. Е. Криптоанализ по побочным каналам (Side Channel Attacks) / А. Е. Жуков // Материалы конференции РусКрипто. – 2006. – 10 с.

16.Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры : учебн. пособ. / А. Ю. Зубов. – М. : Гелиос АРВ, 2005. – 192 с.

17.Иванов М. А. Криптографические методы защиты информации в компьютерных системах и сетях / М. А. Иванов. – М. : Кудиц – Образ, 2001. – 368 с.

18.Основи інформаційної безпеки / С. В. Кавун, О. А. Смірнов, В. Ф. Столбов – Кіровоград : Вид. КНТУ, 2012. – 414 с.

19.Кан Д. Взломщики кодов / Д. Кан. – М. : Центрполиграф, 2000. – 452 с.

20.Казарин О. В. Безопасность программного обеспечения компьютерных систем : монография / О. В. Казарин. – М. : МГУЛ, 2003. – 212 с.

21.Коробейников А. Г. Математические основы криптологии : учебн. пособ. / А. Г. Коробейников, Ю. А. Гатчин. – СПб. : СПб ГУ ИТМО, 2004. – 106 с.

22.Кузнецов О. О. Захист інформації в інформаційних системах. Методи традиційної криптографії : навч. посібн. / О. О. Кузнецов, С. П. Євсеєв, О. Г. Король. – Х. : Вид. ХНЕУ, 2010. – 316 с.

23.Кузнецов О. О. Захист інформації в інформаційних системах

/О. О. Кузнецов, С. П. Євсеєв, О. Г. Король. – Х. : Вид. ХНЕУ, 2011. – 512 с.

24.Лукацкий А. Обнаружение атак / А. Лукацкий. – СПб. : БХВПетербург, 2001. – 624 с.

25.Масленников М. Е. Практическая криптография / М. Е. Масленников. – СПб. : BHV, 2003. – 458 c.

26. Милославская Н. Р. Интрасети: доступ в Интернет, защита

/Н. Р. Милославская, А. И. Толстой. – М. : Юнити-Дана, 2000. – 527 с.

27.Молдовян А. А. Криптография / А. А. Молдовян, Н. А. Молдовян, Б. Я. Советов / Серия "Учебники для вузов. Специальная литература". – СПб. : Лань, 2000. – 224 с.

28.НД ТЗІ 1.1-003-99: Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ № 22 від 28.04.1999. ДСТСЗІ СБУ. – К., 1999. – 34 с.

29.НД ТЗІ 2.5-004-99: Критерії оцінки захищеності інформації у комп’ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ № 22 від 28.04.1999. ДСТСЗІ СБУ. – К., 1999. – 34 с.

468

30.НД ТЗІ 2.5-005-99: Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ № 22 від 28.04.1999. ДСТСЗІ СБУ. – К., 1999. – 34 с.

31.НД ТЗІ 3.7-001-99: Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Затверджено наказом ДСТСЗІ СБУ № 22 від 28.04.1999 р. ДСТСЗІ СБУ. – К., 1999. – 34 с.

32.Основы информационной безопасности : учебн. пособ. для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков и др. – М. : Горячая линия – Телеком, 2006. – 544 с.

33.Остапов С. Е. Основи криптографії / С. Е. Остапов, Л. О. Валь. – Чернівці : Книги ХХІ, 2008. – 188 с.

34.Поповский В. В. Защита информации в телекоммуникационных системах : учебник / В. В. Поповский, А. В. Персиков. – Х. : ООО "Компания СМИТ", 2006. – Т. 1. – 292 с.

35.Поповский В. В. Защита информации в телекоммуникационных системах : учебник / В. В. Поповский, А. В. Персиков. – Х. : ООО "Компания СМИТ", 2006. – Т. 2. – 292 с.

36.Потий А. В. Стандартизация и сертификация в сфере защиты информации. Стандарты механизмов безопасности : учебн. пособ. / А. В. Потий. – Х. : ХНУРЕ, 2002. – 80 с.

37.Про державну таємницю : Закон України від 17.08.1995. – К. : Урядовий кур’єр. – 1995. – № 123 – 124.

38.Про захист інформації в інформаційно-телекомунікаційних системах : Закон України від 18.04.2006, – К. : Урядовий кур'єр. – 2006. № 73 – 74.

39.Про інформацію : Закон України від 03.04.1997. – К. : Урядовий кур’єр. – 1997. – № 62.

40.Ростовцев А. Г. Методы криптоанализа классических шифров

/А. Г. Ростовцев, Н. В. Михайлова. – М : Наука, 2005. – 208 с.

41.Сингх С. Книга шифров / С. Сингх. – М. : АСТ: Астрель, 2007. – 447 с.

42.Основи захисту інформації : навч. посібн. / О. А. Смірнов, Л. Г. Віхрова, С. І. Осадчий та ін. – Кіровоград, 2010. – 322 с.

43.Столингс В. Криптография и защита сетей / В. Столингс. – М. : Вильямс, 2004. – 848 с.

44.Трубачев А. П. Оценка безопасности информационных технологий

/А. П. Трубачев ; под общ. ред. В. А. Галатенко. – М. : СИП РИА, 2001. – 356 с.

45.Хорошко В. А. Методы и средства зашиты информации / В. А. Хорошко, А. А. Чекатков. – К. : Юниор, 2003. – 504 с.

46.Чмора А. Л. Современная прикладная криптография / А. Л. Чмора. – М. : Гелиос АРВ, 2001. – 256 с.

47.Шеннон К. Э. Теория связи в секретных системах. В кн. : Работы по теории информации и кибернетике / К. Э. Шеннон. – М. : ИЛ, 1963. – С. 333–402.

469

48.Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер ; пер. с англ. – М. : Изд.

ТРИУМФ, 2002. – 816 с.

49.Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. – СПб. : Наука и Техника, 2004. – 384 с.

50.Biham E. (1999). Cryptanalysis of Skipjack reduced to 31 rounds using impossible differentials. / E. Biham, A. Biryukov, A. Shamir // EUROCRYPT. – 1999. – Pр. 12–23.

51. Millan W. Boolean function design using hill climbing methods / W. Millan, A. Clark, E. Dawson // In 4th Australasian Conference on Information, Security and Privacy. – 1999. – Num. 1587. – P. 1–11.

52.Загальні критерії [Електронний ресурс]. – Режим доступу : www.isofts.kiev.ua/c/.../get_file.

53.Законодательная и нормативная база Украины в области ТЗИ и КЗИ [Электронный ресурс]. – Режим доступа : http://www.bezpeka.com/ru/lib /lawua.html.

54.Концепція технічного захисту інформації в Україні. – [Електрон-

ний ресурс]. – Режим доступу : http://zakon1.rada.gov.ua/cgibin/laws /main.cgi?nreg=1126-97-%EF.

55.Положення про проведення відкритого конкурсу криптографічних алгоритмів [Електронний ресурс] // Інститут кібернетики ім. В. М. Глушкова НАНУ; ДСТСЗІ [Електронний ресурс]. – Режим доступу : http://www.dstszi.gov.ua /dstszi/ control /ru/publish/article;.

56.Украинский ресурс по безопасности [Електронний ресурс]. –

Режим доступа : http://kiev-security.org.ua.

57.Daemen J. AES Proposal: Rijndael, AES Algorithm Submission [Electronic resource] / J. Daemen, V. Rijmen. – Access mode : http://www.doc- stoc.com/docs/14641406/AES-Implementation-and-Performance-Evaluation- on-8-bit-Microcontrollers.

58.Department of Defense Trusted Computer System Evaluation Criteria [Electronic resource]. – Access mode : http://www.dynamoo.com /orange/fulltext.htm.

59.D.VAM.1 Performance Benchmarks. Revision 1.1 / R. Avanzi, B. Che- vallier-Mames etc. // In: ECRYPT Research report IST-2002-507932. European Network of Excellence in Cryptology / M. Joye ed. – August, 3, 2005. – 87 p.

60.ISO/IEC 7498-2:1989 – Information processing systems – Open Systems Interconnection – Basic Reference Model – Part 2: Security Architecture [Electronic resource]. – Access mode : http://www.iso.org/iso /catalogue_detail.htm?csnumber=14256.

61.NESSIE consortium "NESSIE Security report." Deliverable report D20 – NESSIE, 2002. – NES/DOC/ENS/WP5/D20 [Electronic resource]. – Access mode : http://www.cryptonessie.org/.

470