Возможности ОС по обеспечению безопасности.



Средства защиты, встроенные в ОС, занимают осо­бое место в системе безопасности. Их основной задачей является защита ин­формации, определяющей конфигурацию системы, и затем – пользовательских данных. Такой подход пред­ставляется естественным, поскольку возможность из­менять конфигурацию делает механизмы защиты бес­смысленными.

Проблема защиты информации в компьютерных сис­темах напрямую связана с решением двух главных вопросов:

- обеспечение сохранности информации,

- контроль доступа к информации (обеспечение кон­фиденциальности).

Системные средства аутентификации пользователей. Первое, что должна проверить операционная система в том случае, если она обладает хотя бы минимальны­ми средствами защиты, – это следует ли ей взаимодей­ствовать с субъектом, который пытается получить дос­туп к каким-либо информационным ресурсам.

Под идентификацией понимается опреде­ление тождественности пользователя или пользовательского процесса, необходимое для управления доступом. После идентификации обычно производится аутентификация.

Под аутентификацией пользователя (субъекта) понимается установление его подлинности. При входе в систему пользователь должен предъя­вить идентифицирующую информацию, определяющую законность входа и права на доступ.

Под авторизацией (санкционированием) подразумева­ется предоставление разрешения доступа к ресурсу системы.

Разграничение доступа пользователей к ресурсам. Управление доступом может быть достигнуто при ис­пользовании дискреционного или мандатного управле­ния доступом

Дискреционное управление доступом – наиболее общий тип управления доступом. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут осуще­ствить другие пользователи (или программы, выполня­емые от их имени) к информации, находящейся в ве­дении данного пользователя. Дискреционное управление доступом отличается от мандатной защиты тем, что оно реализует решения по управлению досту­пом, принятые пользователем.

Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации.

Существуют механизмы управления доступом, поддерживающие степень детализации управления доступом на уровне следующих категорий:

- владелец информации;

-заданная группа пользователей;

-все другие авторизованные пользователи.

Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей и определять особые права доступа для указанной группы людей или всех остальных пользователей.

В общем случае существуют следующие права до­ступа:

- доступ по чтению;

- доступ по записи;

- дополнительные права доступа (только модификацию или только добавление);

- доступ для выполнения всех операций.

Управление доступом пользователя может осуще­ствляться на уровне каталогов или на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех файлов в каталоге становятся одинаковыми.

В некоторых ОС можно управлять ти­пами обращений к файлу помимо контроля за тем, кто может иметь доступ к файлу. Реализации могут предо­ставлять опцию управления доступом, которая позво­ляет владельцу помечать файл как разделяемый или заблокированный (монопольно используемый).

Разделяемые файлы позволяют осуществлять па­раллельный доступ к файлу нескольких пользователей одновременно. Блокированный файл будет разрешать доступ к себе только одному пользователю в данный момент. Если файл доступен только по чтению, назна­чение его разделяемым позволяет группе пользовате­лей параллельно читать его.

Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на доступ или, другими словами, легально обходить управление доступом, чтобы выполнить какую-либо функцию, по­лучить доступ к файлу, и т.д. Механизм привилегий дол­жен включать концепцию минимальных привилегий (принцип, согласно которому каждому субъекту в систе­ме предоставляется наиболее ограниченное множество привилегий, необходимых для выполнения задачи).

Принцип минимальных привилегий должен приме­няться, например, при выполнении функции резерв­ного копирования. Пользователь, который авторизо­ван выполнять функцию резервного копирования, должен иметь доступ по чтению ко всем файлам, что­бы копировать их на резервные носители информации. Однако пользователю нельзя предоставлять доступ по чтению ко всем файлам через механизм управления до­ступом.

Средство проверки корректности конфигурации ОС. Операционная система имеет большое количество на­строек и конфигурационных файлов, что позволяет адаптировать ОС для нужд конкретных пользователей информационной системы. Однако это создает опас­ность появления слабых мест, поэтому для проверки целостности и корректности текущей конфигурации в ОС должна быть предусмотрена специальная утилита.

Сетевые средства защиты. Защита информации на сетевом уровне имеет опреде­ленную специфику. Если на системном уровне проник­нуть в систему можно было лишь в результате раскры­тия пользовательского пароля, то в случае распределенной конфигурации становится возможен перехват пользовательских имени и пароля техничес­кими средствами. Высокая степень защиты достигается путем замены стандартных открытых сервисов на сервисы, шифрующие параметры пользователя/машины-клиента, чтобы даже перехват пакетов не позволял рас­крыть эти данные. Наконец, немаловажное значение имеет аудит событий, происходящих в распределенной информационной среде, поскольку в этих условиях злоумышленник не столь заметен и имеет достаточно времени и ресурсов для выполнения своих задач.

Стандартные средства защиты, существующие в ОС, не являются столь же объемлющими, что и на систем­ном уровне. Дело в том, что если на системном уровне однородность гарантирована и любые изменения мо­гут вводиться достаточно эффективно, то в условиях ло­кальной сети применяется, как правило, набор разно­родного оборудования, функционирующего под управлением различных ОС, производители которых априорно не заинтересованы в соответствии средств этих систем концепции безопасности.

 

 


Дата добавления: 2019-07-17; просмотров: 682; Мы поможем в написании вашей работы!

Поделиться с друзьями:






Мы поможем в написании ваших работ!