ВУЗ:
Составители:
Опять же, если трактовать требования к управлению доступом в общем случае, то при защите компьютера в составе
ЛВС необходимо управление доступом к узлам сети (распределенный пакетный фильтр). В ОС семейства Windows
(NT/2000/XP) механизм управления доступа к узлам в полном объеме не реализуется.
Что касается разделяемых сетевых ресурсов, то фильтрации подвергается только входящий доступ к разделяемому ре-
сурсу, а запрос доступа на компьютере, с которого он осуществляется, фильтрации не подлежит. Это принципиально, так как
не могут подлежать фильтрации приложения, которыми пользователь осуществляет доступ к разделяемым ресурсам. Благо-
даря этому, очень распространенными являются атаки на протокол NETBIOS.
Кроме того, в полном объеме управлять доступом к разделяемым ресурсам возможно только при установленной на всех
компьютерах ЛВС файловой системы NTFS. В противном случае невозможно запретить запуск несанкционированной про-
граммы с удаленного компьютера, т.е. обеспечить замкнутость программной среды в этой части.
Из приведенного анализа можно видеть, что многие механизмы, необходимые с точки зрения выполнения формализо-
ванных требований, ОС семейства Windows не реализуют в принципе, либо реализуют лишь частично.
С учетом сказанного можем сделать важный вывод относительно того, что большинством современных универсальных
ОС не выполняются в полном объеме требования к защите АС по классу 1Г. Это значит, что, учитывая требования норма-
тивных документов, они не могут без использования добавочных средств защиты применяться для защиты даже конфиден-
циальной информации. При этом следует отметить, что основные проблемы защиты здесь вызваны не невыполнимостью ОС
требований к отдельным механизмам защиты, а принципиальными причинами, обусловленными реализуемой в ОС концеп-
цией защиты. Концепция эта основана на реализации распределенной схемы администрирования механизмов защиты, что
само по себе является невыполнением формализованных требований к основным механизмам защиты.
9.2.3. АНАЛИЗ СУЩЕСТВУЮЩЕЙ СТАТИСТИКИ УГРОЗ ДЛЯ
СОВРЕМЕННЫХ УНИВЕРСАЛЬНЫХ ОС.
СЕМЕЙСТВА ОС И ОБЩАЯ СТАТИСТИКА УГРОЗ
На сегодняшний день существует достаточно большая статистика угроз ОС, направленных на преодоление встроенных
в ОС механизмов защиты, позволяющих изменить настройки механизмов безопасности, обойти разграничения доступа и т.д.
Таким образом, статистика фактов НСД к информации показывает, что большинство распространенных систем (универсаль-
ного назначения) довольно уязвимы с точки зрения безопасности. И это несмотря на отчетливую тенденцию к повышению
уровня защищенности этих систем.
Здесь необходимо отметить, что на практике современные информационные системы, предназначенные для обработки
конфиденциальной информации, строятся уже с учетом дополнительных мер безопасности, что также косвенно подтвержда-
ет изначальную уязвимость современных ОС.
Рассмотрим операционные системы, фигурирующие в публикуемых списках системных и прикладных ошибок, позво-
ляющих получить несанкционированный доступ к системе, понизить степень ее защищенности или добиться отказа в об-
служивании (системного сбоя):
MS Windows 9X BSD AIX BSD Novell Netware
MS Windows NT Solaris SCO HPUX IOS (Cisco)
MS Windows 2000 Sun OS Linux IRIX Digital Unix
Общее количество известных успешных атак для различных ОС, представлено в табл. 9.1, а их процентное соотноше-
ние – на диаграмме рис. 9.1.
Вследствие того, что большинство атак для операционных систем, построенных на базе Unix (BSD или AT&T), доста-
точно похожи, целесообразно объединить их в одну группу. Тоже самое можно сказать и об ОС семейства Windows. Таким
образом, далее будем рассматривать только семейства ОС: Unix, MS Windows, Novell NetWare.
9.1. Количество известных успешных атак для различных ОС
Тип ОС Количество атак Тип ОС Количество атак
MS Windows NT/2000 130 Linux 167
MS Windows 9X/ME 120 IRIX 84
BSD 64 HPUX 65
BSDI 10 AIX 42
Solaris 125 SCO 40
Sun OS 40 Novell NetWare 10
Digital Unix 25 IOS (Cisco) 7
Страницы
- « первая
- ‹ предыдущая
- …
- 86
- 87
- 88
- 89
- 90
- …
- следующая ›
- последняя »
