Возможности ОС по обеспечению безопасности.
Средства защиты, встроенные в ОС, занимают особое место в системе безопасности. Их основной задачей является защита информации, определяющей конфигурацию системы, и затем – пользовательских данных. Такой подход представляется естественным, поскольку возможность изменять конфигурацию делает механизмы защиты бессмысленными.
Проблема защиты информации в компьютерных системах напрямую связана с решением двух главных вопросов:
- обеспечение сохранности информации,
- контроль доступа к информации (обеспечение конфиденциальности).
Системные средства аутентификации пользователей. Первое, что должна проверить операционная система в том случае, если она обладает хотя бы минимальными средствами защиты, – это следует ли ей взаимодействовать с субъектом, который пытается получить доступ к каким-либо информационным ресурсам.
Под идентификацией понимается определение тождественности пользователя или пользовательского процесса, необходимое для управления доступом. После идентификации обычно производится аутентификация.
Под аутентификацией пользователя (субъекта) понимается установление его подлинности. При входе в систему пользователь должен предъявить идентифицирующую информацию, определяющую законность входа и права на доступ.
Под авторизацией (санкционированием) подразумевается предоставление разрешения доступа к ресурсу системы.
|
|
Разграничение доступа пользователей к ресурсам. Управление доступом может быть достигнуто при использовании дискреционного или мандатного управления доступом
Дискреционное управление доступом – наиболее общий тип управления доступом. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут осуществить другие пользователи (или программы, выполняемые от их имени) к информации, находящейся в ведении данного пользователя. Дискреционное управление доступом отличается от мандатной защиты тем, что оно реализует решения по управлению доступом, принятые пользователем.
Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации.
Существуют механизмы управления доступом, поддерживающие степень детализации управления доступом на уровне следующих категорий:
- владелец информации;
-заданная группа пользователей;
-все другие авторизованные пользователи.
Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей и определять особые права доступа для указанной группы людей или всех остальных пользователей.
|
|
В общем случае существуют следующие права доступа:
- доступ по чтению;
- доступ по записи;
- дополнительные права доступа (только модификацию или только добавление);
- доступ для выполнения всех операций.
Управление доступом пользователя может осуществляться на уровне каталогов или на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех файлов в каталоге становятся одинаковыми.
В некоторых ОС можно управлять типами обращений к файлу помимо контроля за тем, кто может иметь доступ к файлу. Реализации могут предоставлять опцию управления доступом, которая позволяет владельцу помечать файл как разделяемый или заблокированный (монопольно используемый).
Разделяемые файлы позволяют осуществлять параллельный доступ к файлу нескольких пользователей одновременно. Блокированный файл будет разрешать доступ к себе только одному пользователю в данный момент. Если файл доступен только по чтению, назначение его разделяемым позволяет группе пользователей параллельно читать его.
|
|
Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на доступ или, другими словами, легально обходить управление доступом, чтобы выполнить какую-либо функцию, получить доступ к файлу, и т.д. Механизм привилегий должен включать концепцию минимальных привилегий (принцип, согласно которому каждому субъекту в системе предоставляется наиболее ограниченное множество привилегий, необходимых для выполнения задачи).
Принцип минимальных привилегий должен применяться, например, при выполнении функции резервного копирования. Пользователь, который авторизован выполнять функцию резервного копирования, должен иметь доступ по чтению ко всем файлам, чтобы копировать их на резервные носители информации. Однако пользователю нельзя предоставлять доступ по чтению ко всем файлам через механизм управления доступом.
Средство проверки корректности конфигурации ОС. Операционная система имеет большое количество настроек и конфигурационных файлов, что позволяет адаптировать ОС для нужд конкретных пользователей информационной системы. Однако это создает опасность появления слабых мест, поэтому для проверки целостности и корректности текущей конфигурации в ОС должна быть предусмотрена специальная утилита.
|
|
Сетевые средства защиты. Защита информации на сетевом уровне имеет определенную специфику. Если на системном уровне проникнуть в систему можно было лишь в результате раскрытия пользовательского пароля, то в случае распределенной конфигурации становится возможен перехват пользовательских имени и пароля техническими средствами. Высокая степень защиты достигается путем замены стандартных открытых сервисов на сервисы, шифрующие параметры пользователя/машины-клиента, чтобы даже перехват пакетов не позволял раскрыть эти данные. Наконец, немаловажное значение имеет аудит событий, происходящих в распределенной информационной среде, поскольку в этих условиях злоумышленник не столь заметен и имеет достаточно времени и ресурсов для выполнения своих задач.
Стандартные средства защиты, существующие в ОС, не являются столь же объемлющими, что и на системном уровне. Дело в том, что если на системном уровне однородность гарантирована и любые изменения могут вводиться достаточно эффективно, то в условиях локальной сети применяется, как правило, набор разнородного оборудования, функционирующего под управлением различных ОС, производители которых априорно не заинтересованы в соответствии средств этих систем концепции безопасности.
Дата добавления: 2019-07-17; просмотров: 682; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!