Типовая архитектура защиты ОС.ppt
- Количество слайдов: 25
Типовая архитектура подсистемы защиты операционной системы
Основные функции подсистемы защиты операционной системы: - Разграничение доступа - Идентификация и аутентификация - Аудит - Управление политикой безопасности - Криптографические функции - Сетевые функции
Основные определения Объект доступа - любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Метод доступа к объекту - операция, определенная для некоторого объекта. Субъект доступа - любая сущность, способная инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). Владелец - субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта.
Право доступа к объекту - право на выполнение доступа к объекту по некоторому методу или группе методов. Привилегия - право на доступ по некоторому методу или группе методов ко всем объектам операционной системы, поддерживающим данный метод доступа. Разграничение доступа субъектов к объектам - совокупность правил, определяющая для каждой тройки субъект-объект-метод, разрешен ли доступ данного субъекта к данному объекту по данному методу. Суперпользователь – субъект, имеющий возможность игнорировать правила разграничения доступа к объектам. Монитор ссылок - часть подсистемы защиты операционной системы, отвечающей за соблюдение правил разграничения доступа.
Требования к правилам разграничения доступа: 1. Правила разграничения доступа, принятые в операционной системе, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена операционная система. 2. Правила разграничения доступа не должны допускать разрушающие воздействия субъектов доступа, не обладающих соответствующими привилегиями, на операционную систему, выражающиеся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для обеспечения нормального функционирования операционной системы. 3. Любой объект доступа должен иметь владельца. Присутствие ничейных объектов — объектов, не имеющих владельца, недопустимо. 4. Присутствие недоступных объектов - объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, непозволительно. 5. Утечка конфиденциальной информации недопустима.
Типичные модели разграничения доступа
Наиболее типичные модели разграничения доступа - Избирательное разграничение доступа - Изолированная или замкнутая программная среда - Полномочное или мандатное разграничение доступа - Полномочное разграничение доступа с контролем информационных потоков
Избирательное разграничение доступа - Для любого объекта операционной системы существует владелец. - Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. - Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. - Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.
Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используется матрица доступа. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права, предоставленные группе субъектов для доступа к данному объекту, предоставляются каждому субъекту группы. Вместе с каждым объектом доступа хранятся его атрибуты защиты, описывающие, кто является владельцем объекта и каковы права доступа к данному объекту различных субъектов.
На практике используются два способа кодирования строки матрицы доступа. Вектор доступа (UNIX) - вектор фиксированной длины, разбитый на несколько подвекторов. - Каждый подвектор описывает права доступа к данному объекту некоторого субъекта. - С помощью вектора доступа можно описать права доступа к объекту только фиксированного числа субъектов, что накладывает существенные ограничения на систему разграничения доступа. Список доступа ( Windows NT) - список переменной длины, элементами которого являются структуры, содержащие: - идентификатор субъекта; - права, предоставленные этому субъекту на данный объект; - различные флаги и атрибуты. Фактически вектор доступа представляет собой список доступа фиксированной длины и является частным случаем списка доступа.
Изолированная или замкнутая программная среда представляет собой расширение модели избирательного разграничения доступа. - Для любого объекта операционной системы существует владелец. - Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. - Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно. - Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу. - Для каждого субъекта определен список программ, которые этот субъект может запускать.
Полномочное или мандатное разграничение доступа - Для любого объекта операционной системы существует владелец. - Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. - Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. - Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект. - В множестве объектов доступа операционной системы выделяется подмножество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. - Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска.
Полномочное разграничение доступа с контролем информационных потоков - Для любого объекта операционной системы существует владелец. - Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. - Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно в каждый момент времени. - Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект. - В множестве объектов выделяется множество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен. - Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска. - Каждый процесс операционной системы имеет уровень конфиденциальности, равный максимуму из грифов секретности объектов, открытых процессом на протяжении своего существования. Уровень конфиденциальности фактически представляет собой гриф секретности информации, хранящейся в оперативной памяти процесса.
Сравнительный анализ приведенных моделей разграничения доступа Свойства модели Избирательное разграничение доступа Изолированная программная среда Защита от утечки информации Отсутствует Защищенность воздействий Полномочное доступа разграничение без контроля потоков с контролем потоков Отсутствует Имеется Низкая Высокая Низкая Сложность реализации Низкая Средняя Высокая Сложность администрирования Низкая Средняя Низкая Высокая Затраты ресурсов компьютера Низкие Высокие Использование программного обеспечения, разработанного для других систем Возможно Проблематично от разрушающих
Идентификация, аутентификация и авторизация субъектов доступа
Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер и т. д. ) и таким образом идентифицирует себя. Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация. Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта операционная система выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. Авторизация субъекта не относится напрямую к подсистеме защиты операционной системы. В процессе авторизации решаются чисто технические задачи, связанные с организацией начала работы в системе уже идентифицированного и аутентифицированного субъекта доступа.
Идентификация и аутентификация с помощью имени и пароля
- пароли пользователей не должны храниться в операционной системе в открытом виде - для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хеш-функций - в списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хеш-функции - в процедуре генерации образа пароля обязательно должен участвовать маркант - число или строка, генерируемая случайным образом и хранящаяся в открытом виде вместе с образом пароля.
Если для аутентификации пользователей используются пароли, существуют две основные угрозы для подсистемы аутентификации операционной системы кража пароля и подбор пароля. Для обеспечения надежной защиты от кражи паролей подсистема защиты операционной системы должна удовлетворять следующим требованиям: - пароль, вводимый пользователем, не отображается на экране компьютера - ввод пароля из командной строки недопустим Пользователи операционной системы должны быть проинструктированы о: - необходимости хранения пароля в тайне от других пользователей, включая администраторов операционной системы; - необходимости немедленной смены пароля после его компрометации; - необходимости регулярной смены пароля; - недопустимости записи пароля на бумагу или в файл.
Методы подбора паролей Тотальный перебор, оптимизированный по статистике встречаемости символо Тотальный перебор, оптимизированный с помощью словарей Подбор пароля с использованием знаний о пользователе Подбор образа пароля
Защита от компрометации паролей Ограничение срока действия пароля Ограничения на содержание пароля Блокировка терминала Блокировка пользователя Генерация паролей операционной системой Пароль и отзыв Разовый пароль
Аудит Процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами. Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами: - Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. - Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. - Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась.
Требования к аудиту - Только сама операционная система может добавлять записи в журнал аудита. - Ни один субъект доступа, в том числе и сама операционная система, не имеет возможности редактировать или удалять отдельные записи в журнале аудита. - Только пользователи-аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита. - Только пользователи-аудиторы могут очищать журнал аудита. - При переполнении журнала аудита операционная система аварийно завершает работу.
Политика аудита - это совокупность правил, определяющих то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обязательно регистрироваться следующие события: - попытки входа/выхода пользователей из системы; - попытки изменения списка пользователей; - попытки изменения политики безопасности, в том числе и политики аудита. При выборе оптимальной политики аудита следует учитывать ожидаемую скорость заполнения журнала аудита.