Безопасность операционных систем. Безбогов А.А - 85 стр.

UptoLike

ВУЗ: 

ТГТУ | Тамбов

Составители: 

Рубрика: 

9.2. АНАЛИЗ ЗАЩИЩЕННОСТИ СОВРЕМЕННЫХ
ОПЕРАЦИОННЫХ СИСТЕМ
9.2.1. АНАЛИЗ ВЫПОЛНЕНИЯ СОВРЕМЕННЫМИ ОС
ФОРМАЛИЗОВАННЫХ ТРЕБОВАНИЙ К ЗАЩИТЕ ИНФОРМАЦИИ ОТ НСД
Анализировать выполнение современными универсальными ОС требований, задаваемых для класса защищенности АС
1В, не имеет смысла в принципе. Для большинства ОС либо полностью не реализуется основной для данных приложений
мандатный механизм управления доступом к ресурсам, либо не выполняется его важнейшее требование "Должно осуществ-
ляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности
накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации". В связи с этим далее
будем говорить лишь о возможном соответствии средств защиты современных ОС классу АС 1Г (защита конфиденциальной
информации).
В качестве альтернативных реализаций ОС рассмотрим семейства Unix и Windows (естественно, Windows NT/2000, так
как о встроенных механизмах защиты ОС Windows 9x/Me говорить вообще не приходится).
Сначала остановимся на принципиальном, даже, можно сказать, концептуальном противоречии между реализованными
в ОС механизмами защиты и принятыми формализованными требованиями. Концептуальном в том смысле, что это проти-
воречие характеризует не какой-либо один механизм защиты, а общий подход к построению системы защиты.
Противоречие состоит в принципиальном различии подходов (соответственно требований) к построению схемы адми-
нистрирования механизмов защиты и, как следствие, это коренным образом сказывается на формировании общих принципов
задания и реализации политики безопасности в организации, распределения ответственности за защиту информации, а также
на определении того, кого относить к потенциальным злоумышленникам (от кого защищать информацию).
Для иллюстрации из совокупности формализованных требований к системе защиты конфиденциальной информации
рассмотрим следующие два требования:
1)
право изменять правила разграничения доступа (ПРД) должно предоставляться выделенным субъектам (админист-
рации, службе безопасности и т.д.);
2) должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
Данные требования жестко регламентируют схему (или модель) администрирования механизмов защиты. Это должна
быть централизованная схема, единственным элементом которой выступает выделенный субъект, в частности, администра-
тор (администратор безопасности). При этом конечный пользователь исключен в принципе из схемы администрирования
механизмов защиты.
При реализации концепции построения системы защиты, регламентируемой рассматриваемыми требованиями, пользо-
ватель не наделяется элементом доверия, так как он может считаться потенциальным злоумышленником, что и имеет место
на практике.
Теперь в общих чертах рассмотрим концепцию, реализуемую в современных универсальных ОС. Здесь "владельцем"
файлового объекта, т.е. лицом, получающим право на задание атрибутов (или ПРД) доступа к файловому объекту, является
лицо, создающее файловый объект. Так как файловые объекты создают конечные пользователи, то именно они и назначают
ПРД к создаваемым им файловым объектам. Другими словами, в ОС реализуется распределенная схема назначения ПРД, где
элементами схемы администрирования являются собственно конечные пользователи.
В данной схеме пользователь должен наделяться практически таким же доверием, как и администратор безопасности,
при этом нести наряду с ним ответственность за обеспечение компьютерной безопасности. Отметим, что данная концепция
реализуется и большинством современных приложений, в частности СУБД, где пользователь может распространять свои
права на доступ к защищаемым ресурсам. Кроме того, не имея в полном объеме механизмов защиты компьютерной инфор-
мации от конечного пользователя, в рамках данной концепции невозможно рассматривать пользователя в качестве потенци-
ального злоумышленника. А как мы увидим далее, именно с несанкционированными действиями пользователя на защищае-
мом компьютере (причем как сознательными, так и нет) связана большая часть угроз компьютерной безопасности.
Отметим, что централизованная и распределенная схемы администрированияэто две диаметрально противоположные
точки зрения на защиту, требующие совершенно различных подходов к построению моделей и механизмов защиты. При
этом сколько-нибудь гарантированную защиту информации можно реализовать только при принятии концепции полностью
централизованной схемы администрирования, что подтверждается известными угрозами ОС.
Возможности моделей, методов и средств защиты будем рассматривать применительно к реализации именно концепции
централизованного администрирования. Одним из элементов данной концепции является рассмотрение пользователя в каче-
стве потенциального злоумышленника, способного осуществить НСД к защищаемой информации.
9.2.2. ОСНОВНЫЕ ВСТРОЕННЫЕ МЕХАНИЗМЫ ЗАЩИТЫ ОС И
ИХ НЕДОСТАТКИ
Кратко остановимся на основных механизмах защиты, встроенных в современные универсальные ОС. Сделаем это
применительно к возможности реализации ими принятой нами для рассмотрения концепции защиты конфиденциальной ин-
формации.
9.2.2.1. ОСНОВНЫЕ ЗАЩИТНЫЕ МЕХАНИЗМЫ ОС СЕМЕЙСТВА UNIX
Защита ОС семейства Unix в общем случае базируется на трех основных механизмах:
1)
идентификации и аутентификация пользователя при входе в систему;
2)
разграничении прав доступа к файловой системе, в основе которого лежит реализация дискреционной модели дос-
тупа;

Страницы