Методы разграничения доступа

Основные механизмы безопасности средств и методы аутентификации в ОС, модели разграничения доступа, организация использование средств аудита. Основные механизмы безопасности подсистемы защиты операционной системы: 1. Каждый пользователь системы имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности. Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, за кого он себя выдает. Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы. Записи об этих событиях могут просматривать в дальнейшем только администраторы операционной системы. Политика безопасности должна постоянно поддерживаться в адекватном состоянии, т. Управление политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему. В настоящее время защита информации немыслима без использования криптографических средств защиты. В операционных системах шифрование используется при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы. Методы аутентификации в ОС. Идентификация субъекта доступа заключается в том, что субъект сообщает операционной методы разграничения доступа идентифицирующую информацию о себе имя, учетный номер и т. Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, методы разграничения доступа, что он действительно является тем субъектом доступа, к методы разграничения доступа относится идентифицирующая информация. Пусть, например, пользователь, входя в систему, ввел имя и пароль. В этом случае имя пользователя является идентифицирующей информацией, а известный только ему методы разграничения доступа — аутентифицирующей методы разграничения доступа. Вводя пароль, пользователь подтверждает, что введенное имя принадлежит именно ему. · аутентификация с помощью пароля; · аутентификация с помощью внешних носителей ключевой информации; · аутентификация с помощью биометрических характеристик пользователей. Аутентификация с помощью пароля Для идентификации и аутентификации пользователей в подавляющем большинстве операционных систем используются имя и пароль. Для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль - текстовую строку, известную только ему. Имя пользователя, как правило, назначается ему администратором системы. Процедура идентификации и аутентификации с использованием имени и пароля предельно проста. Пользователь вводит с клавиатуры имя и пароль, операционная система ищет в списке пользователей запись, относящуюся к этому пользователю, и сравнивает пароль, хранящийся в списке пользователей, с паролем, введенным пользователем. Если запись, относящаяся к входящему в систему пользователю, присутствует в списке пользователей и содержащийся в этой записи пароль совпадает с введенным, считается, что идентификация и аутентификация прошли успешно. В противном случае пользователь получает отказ в доступе. Если идентификация и аутентификация пользователя происходят в процессе входа пользователя на удаленный сервер, имя и пароль пользователя пересылаются по сети как правило в зашифрованном виде. Для обеспечения надежной защиты операционной системы пароль каждого пользователя должен быть известен только этому пользователю и никому другому, в том числе и администраторам системы. Пароли пользователей не должны храниться в операционной системе в открытом виде. Обычно для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хеш-функций - легковычислимую функцию fдля которой функция f -1 возможно, неоднозначная не может быть вычислена за приемлемое методы разграничения доступа. В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хеш-функции. Однонаправленность хеш-функции не позволяет восстановить пароль по образу пароля, но позволяет, вычислив хеш-функцию, получить образ введенного методы разграничения доступа пароля и таким образом проверить правильность введенного пароля. В простейшем случае в качестве хеш-функции используется результат шифрования некоторой константы на пароле. В процедуре генерации образа пароля обязательно должен участвовать методы разграничения доступа - число методы разграничения доступа строка, генерируемая случайным образом и хранящаяся в открытом виде вместе с образом пароля. Методы разграничения доступа необходимо для того, чтобы одинаковым паролям соответствовали разные образы. В противном случае злоумышленник может осуществить ряд атак на операционную систему, наиболее опасная из которых заключается в следующем. Методы подбора паролей 1. Тотальный перебор, оптимизированный по статистике встречаемости символов; 3. Тотальный перебор, оптимизированный с помощью словарей; 4. Подбор пароля с использованием знаний о пользователе; 5. Аутентификация с помощью внешних носителей ключевой информации В этом случае информация, идентифицирующая и аутентифицирующая пользователя, хранится на внешнем носителе информации, который может представлять собой обычную дискету, электронный ключ, пластиковую карту и т. При входе в систему пользователь подключает к компьютеру носитель ключевой информации, и операционная система считывает с него идентификатор пользователя и соответствующий ему методы разграничения доступа. При этом идентификатор пользователя используется в качестве имени, а ключ - в качестве пароля. Поскольку ключ, хранящийся на внешнем носителе, может быть сделан гораздо более длинным, чем пароль, подобрать такой ключ практически невозможно. Однако методы разграничения доступа утери или кражи ключевой информации по-прежнему остается актуальной. Если процедура аутентификации не предусматривает дополнительных мер защиты, любой обладатель носителя ключевой информации, в том числе и методы разграничения доступа, укравший этот носитель у легального пользователя системы, может войти в систему с правами пользователя, которому принадлежит носитель. Поэтому данный методы разграничения доступа аутентификации используется в совокупности с паролем. При этом пользователь, входя в систему, должен не только "предъявить" компьютеру носитель ключевой информации, но и ввести соответствующий этому носителю пароль. Ключевая информация на методы разграничения доступа информации хранится зашифрованной на этом пароле, что не позволяет случайному обладателю ключа воспользоваться им. Основной угрозой при использовании описываемого механизма аутентификации является угроза кражи методы разграничения доступа ключевой информации с последующим его копированием и подбором пароля на доступ к ключу. Если этот ключ выбирается случайно и не содержит проверочных полей контрольных сумм и т. Аутентификация с помощью биометрических характеристик пользователей. Каждый человек обладает своим неповторимым набором биометрических характеристик, к которым относятся отпечатки пальцев, рисунок сетчатки, рукописный и клавиатурный почерк и т. Эти характеристики могут быть использованы для аутентификации пользователя. Если аутентификация пользователя осуществляется на основе биометрических характеристик, угрозы кражи и подбора ключевой информации перестают быть актуальными - подделать биометрические характеристики человека, как правило, настолько дорого, что затраты злоумышленника на проникновение в защищенную операционную систему превысят выгоды от такого проникновения. Таким образом, механизм аутентификации пользователя на основе биометрических характеристик создает практически непреодолимую защиту на этапе аутентификации. Разграничение доступа к объектам ОС Объектом доступа или просто объектом будем называть любой элемент операционной системы, доступ к которому пользователей и дру­гих субъектов доступа может быть произвольно ограничен. Ключевым сло­вом в данном определении является слово "произвольно". Если правила, ограничивающие доступ субъектов к некоторому элементу операционной системы, определены жестко и не допускают изменения с течением вре­мени, этот элемент операционной системы мы не будем считать объектом. Другими словами, возможность доступа к объектам операционной системы определяется не только архитектурой операционной системы, но и теку­щей политикой безопасности. Методом доступа к объекту называется операция, определенная для некоторого объекта. Например, для файлов могут быть определены методы доступа "чтение", "запись" и "добавление" дописывание информа­ции в конец файла. Субъектом доступа или просто субъектом будем называть лю­бую сущность, способную инициировать выполнение операций над объек­тами обращаться к объектам по некоторым методам доступа. Например, пользователи являются субъектами доступа. Разграничением доступа субъектов к объектам является совокуп­ность правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли методы разграничения доступа данного субъекта к данному объекту по данному ме­тоду. Модели разграничения доступа 1. Система правил изби­рательного или дискреционного разграничения доступа discretionary ac ­ cess control формулируется следующим образом. Для любого объекта операционной системы существует владе­лец. Владелец объекта может произвольно ограничивать доступ дру­гих субъектов к данному объекту. Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. Существует хотя бы один привилегированный пользователь ад­министратор методы разграничения доступа, имеющий возможность обратиться к любому объекту по лю­бому методу доступа. Это не означает, что этот пользователь может игно­рировать разграничение доступа к объектам и поэтому является суперпользователем. Не методы разграничения доступа для реализации возможности доступа к объекту операционной системы администратору достаточно просто обратиться к объекту. Например, в Windows NT администратор для обращения к чужому принадлежащему другому субъекту объекту должен вначале объявить себя владельцем этого объекта, использовав привилегию администратора объявлять себя владельцем любого объекта, затем дать себе необходи­мые права, и только после этого администратор может обратиться к объ­екту. При этом использование администратором своей привилегии не остается незамеченным для прежнего владельца объекта. Для определения прав доступа субъектов к объектам методы разграничения доступа избира­тельном разграничении доступа используется матрица доступа. Строки этой матрицы представляют собой объекты, столбцы - субъекты или на­оборот. В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект. Поскольку матрица доступа очень велика типичный объем для со­временной операционной системы составляет несколько десятков мега­байтовматрица доступа никогда методы разграничения доступа хранится в системе в явном виде. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права, предоставленные группе субъектов для доступа к данному объекту, предоставляются каждому субъекту груп­пы. При создании нового методы разграничения доступа владелец объекта должен определить права доступа различных субъектов к этому объекту. Если владелец объ­екта не сделал этого, то либо новому объекту назначаются атрибуты за­щиты по умолчанию, либо новый объект наследует атрибуты защиты от методы разграничения доступа объекта каталога, контейнера и т. Избирательное разграничение методы разграничения доступа является наиболее распро­страненным механизмом разграничения доступа. Это обусловлено сравни­тельной простотой реализации избирательного разграничения доступа и сравнительной необременительностью правил избирательного разграни­чения доступа для пользователей. Вместе с тем защищенность операци­онной системы, подсистема защиты которой реализует только избира­тельное разграничение доступа, во многих случаях недостаточна. Изолированная или замк­нутая программная среда представляет собой расширение модели изби­рательного разграничения доступа. Здесь правила методы разграничения доступа доступа формулируются следующим образом. Для любого объекта операционной системы существует владе­лец. Владелец объекта может произвольно ограничивать доступ дру­гих субъектов к данному объекту. Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно. Существует хотя бы один привилегированный пользователь ад­министраторимеющий возможность обратиться к любому объекту по лю­бому методу. Для каждого субъекта определен список программ, которые этот субъект может запускать. При использовании изолированной программной среды права субъ­екта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью которого субъект обращается к объ­екту. Можно, например, методы разграничения доступа обращаться к файлам с расширением. Изолированная программная среда существенно повышает защи­щенность операционной системы от разрушающих программных воздейст­вий, включая программные закладки и методы разграничения доступа вирусы. Кроме того, при использовании данной модели повышается защищенность целостно­сти данных, хранящихся в системе. В то же время изолированная про­граммная среда создает определенные сложности в администрировании операционной системы. Методы разграничения доступа программная среда не защищает от утечки конфи­денциальной информации. Полномочное разграничение доступа без контроля информа­ционных потоков. Полномочное или мандатное разграничение доступа mandatory access control обычно применяется в совокупности с избира­тельным. При методы разграничения доступа правила разграничения доступа методы разграничения доступа следующим образом. Для любого объекта операционной системы существует владе­лец. Владелец объекта может произвольно ограничивать доступ дру­гих субъектов к данному объекту. Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. Существует хотя бы один привилегированный пользователь ад­министраторимеющий возможность удалить любой объект. В множестве объектов доступа методы разграничения доступа системы выделяется подмножество объектов полномочного разграничения доступа. Каж­дый объект полномочного разграничения доступа имеет гриф секретно­сти. Чем выше числовое значение грифа секретности, тем секретнее объ­ект. Нулевое значение грифа секретности означает, что объект несекре­тен. Если объект не является объектом полномочного разграничения дос­тупа или если объект несекретен, администратор может обратиться к нему по любому методу, как и в предыдущей модели разграничения доступа. Каждый субъект доступа имеет методы разграничения доступа допуска. Чем выше чи­словое значение методы разграничения доступа допуска, тем больший допуск имеет субъект. Ну­левое значение уровня допуска означает, что субъект не имеет допуска. Обычно ненулевое значение допуска назначается только субъектам-пользователям и не назначается субъектам, от имени которых выполняют­ся системные процессы. В данной модели админист­ратор не имеет права читать секретную информацию, и, таким образом, его права несколько ограничены по сравнению с предыдущей моделью. Поскольку данная модель не дает ощутимых преимуществ по срав­нению с предыдущей и в то же время существенно сложнее ее в техниче­ской реализации, на практике данная методы разграничения доступа используется крайне редко. Полномочное разграничение доступа с контролем информа­ционных потоков. Как и в предыдущем случае, мы будем рассматривать данную модель разграничения доступа в совокупности с избирательным методы разграничения доступа доступа. Правила разграничения доступа в данной моде­ли формулируются следующим образом. Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно в каждый момент времени. При измене­нии состояния процесса со временем возможность предоставления досту­па также может измениться, т. Вместе с тем в методы разграничения доступа момент времени возмож­ность доступа определена однозначно - никаких случайных величин здесь нет. Поскольку права процесса на методы разграничения доступа к объекту меняются с течением времени, они должны проверяться не только при открытии объекта, но и перед выполнением над объектом таких операций, как чтение и запись. Это - так называемое правило NRU Not Read Up - не читать выше. Каждый процесс операционной системы имеет уровень конфи­денциальности, равный максимуму из грифов секретности объектов, методы разграничения доступа процессом на протяжении своего существования. Уровень конфи­денциальности фактически представляет собой гриф секретности инфор­мации, хранящейся в методы разграничения доступа памяти процесса. Это правило разграничения доступа предот­вращает утечку секретной информации. Это - так называемое правило NWD Not Write Down - не записывать ниже. Свойства мо­дели Избиратель­ное разгра­ничение доступа Изолиро­ванная програм­мная среда Полномочное разграничение методы разграничения доступа без контро­ля методы разграничения доступа с контролем потоков Защита от утечки инфор­мации Отсутствует Отсутствует Отсутствует Имеется Защищенность от разрушаю­щих воздейст­вий Низкая Высокая Низкая Низкая Сложность реализации Низкая Средняя Средняя Высокая Сложность администриро­вания Низкая Средняя Низкая Высокая Затраты ресур­сов компьюте­ра Низкие Низкие Низкие Методы разграничения доступа Использование программного обеспечения, разработанного для других сис­тем Возможно Возможно Возможно Проблематич­но Если для организации чрезвычайно важно обеспечение защищен­ности системы от несанкционированной утечки информации, без полно­мочного разграничения доступа с контролем информационных потоков просто не обойтись. В остальных ситуациях применение этой модели методы разграничения доступа из-за резкого ухудшения эксплуатационных качеств опера­ционной системы. Что касается изолированной программной среды, то ее целесообразно использовать в случаях, когда очень важно обеспечивать целостность программ и данных операционной системы. В остальных си­туациях простое избирательное разграничение доступа наиболее эффек­тивно. Аудит Процедура аудита применительно к операционным системам за­ключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представ­лять опасность для операционной системы. Пользователи системы, обла­дающие правом чтения этого журнала, методы разграничения доступа аудиторами Подсистема аудита операционной системы должна удовлетворять следующим методы разграничения доступа 1. Только сама операционная система может добавлять записи в журнал аудита. Если предоставить это право какому-то физическому поль­зователю, этот пользователь получит возможность компрометировать дру­гих пользователей, добавляя в журнал аудита соответствующие записи. Ни один субъект доступа, в том числе и сама операционная сис­тема, не имеет возможности редактировать или удалять отдельные записи в журнале аудита. Только пользователи-аудиторы, методы разграничения доступа соответствующей привилегией, могут просматривать журнал аудита. Только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала имени пользователя, очистившего журнал. Операционная система должна под­держивать возможность сохранения журнала аудита перед очисткой в дру­гом файле. При переполнении журнала аудита операционная система ава­рийно завершает работу "зависает". После перезагрузки работать с сис­темой могут только аудиторы. Операционная система переходит к обыч­ному режиму работы только после очистки журнала аудита. При методы разграничения доступа политики аудита совокупность правил, определяющих то, ка­кие события должны регистрироваться в журнале аудита методы разграничения доступа следует ограничиваться реги­страцией событий из перечисленных классов. Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов. При этом политика аудита в значи­тельной мере определяется спецификой информации, хранимой и обраба­тываемой в операционной системе, и дать методы разграничения доступа рекомендации, не зная этой специфики, невозможно. При выборе оптимальной политики аудита следует учитывать ожи­даемую методы разграничения доступа заполнения журнала аудита. Если политика аудита пре­дусматривает регистрацию слишком большого числа событий, это не толь­ко не повышает защищенность операционной системы, но, наоборот, сни­жает ее. Если новые записи добавляются в журнал аудита слишком часто, аудиторам методы разграничения доступа трудно выделить в огромном объеме методы разграничения доступа ин­формации те события, которые на самом деле представляют угрозу безо­пасности системы. Кроме того, чем быстрее заполняется журнал аудита, тем чаще его нужно очищать и тем больше вероятность временного выхода из строя операционной системы из-за переполнения журнала аудита. В некоторых операционных методы разграничения доступа подсистема аудита помимо записи информации о зарегистрированных событиях в специальный жур­нал предусматривает возможность интерактивного оповещения аудиторов об этих событиях. Когда аудитор начинает работу с операционной систе­мой одного из компьютеров сети, операционные системы других компью­теров получают соответствующие сообщения, после чего при каждой реги­страции события в журнале аудита одного из компьютеров сети копия ин­формации об этом событии передается на терминал, с которым работает аудитор.

См. также