1. Peamised ohud teabe kättesaadavusele:
kasutaja tahtmatud vead
andmete pahatahtlik muutmine
häkkerite rünnak
tarkvara ja riistvara rike
ruumide hävitamine või kahjustamine
andmete pealtkuulamine
2. Infokompromissi olemus
andmebaasis muudatuste tegemine, mille tulemusena kaotatakse kasutajalt juurdepääs teabele
volitamata juurdepääs To edastatud teave sidekanalite ja edastatud sõnumite sisu hävitamise kaudu
andmebaasis volitamata muudatuste tegemine, mille tulemusena on tarbija sunnitud sellest kas loobuma või võtma endale kohustuse lisapingutust muutuste tuvastamiseks ja tõese teabe taastamiseks
3. Infoturve automatiseeritud süsteem on automatiseeritud süsteemi olek, milles see...
ühelt poolt on see võimeline vastu pidama väliste ja sisemiste infoohtude mõjudele ning teisalt ei tekita selle olemasolu ja toimimine infoohte süsteemi enda elementidele ning väliskeskkond
ühelt poolt on see võimeline vastu pidama väliste ja sisemiste infoohtude mõjudele ning teisest küljest on selle toimimiskulud madalamad kui kaitstud teabe lekkest oodatav kahju.
suudab ainult vastu pidada infoohud, nii välised kui ka sisemised
suudab taluda ainult väliseid infoohtusid
4. Sisendandmete usaldusväärsuse suurendamise meetodid
Väärtuse sisestamise protsessi asendamine pakutud komplektist väärtuse valimise protsessiga
Andmetest loobumine
Korrapärase hoolduse komplekti läbiviimine
Kasutades väärtuse sisestamise asemel, lugedes seda masinloetavalt meediumilt
Liiasuse sisseviimine algdokumenti
Mitmekordne andmete sisestamine ja sisestatud väärtuste võrdlemine
5. Põhiline erinevus tulemüüride (FW) ja ründetuvastussüsteemide (IDS) vahel
ME-d olid mõeldud aktiivseks või passiivseks kaitseks ja IDS-id aktiivseks või passiivseks tuvastamiseks
ME-d olid mõeldud aktiivseks või passiivseks tuvastamiseks, samas kui IDS olid mõeldud aktiivseks või passiivseks kaitseks.
ME-d töötavad ainult edasi võrgu tasemel, ja OWL – ka füüsilisel
6. Turvateenused:
tuvastamine ja autentimine
krüpteerimine
parooli ümberpööramine
terviklikkuse kontroll
konfliktide juhtimine
varjestus
ohutu taastumise tagamine
salvestuse vahemällu salvestamine
7. Kaughalduse ähvardusel sisse arvutivõrkähvardusest saab aru...
volitamata kontroll kaugarvuti
agressiivse programmikoodi rakendamine veebilehtede aktiivsetes objektides
andmete pealtkuulamine või asendamine transpordimarsruutidel
sekkumine isiklikku ellu
sobimatu sisu edastamine
8. Andmevigade põhjused
Mõõtmisviga
Viga mõõtmistulemuste kirjutamisel vahedokumenti
Andmete vale tõlgendamine
Vead andmete edastamisel vahedokumendist arvutisse
Sobimatute andmeanalüüsi meetodite kasutamine
Vältimatud looduslikud põhjused
Andmete tahtlik eksitamine
Vead objekti või äriüksuse tuvastamisel
9. Ei kehti infokaitse vormide kohta...
analüütiline
seaduslik
organisatsiooniline ja tehniline
kindlustus
10. Enamik tõhus abinõu eest kaitsta võrgurünnakud
tulemüüride või tulemüüride kasutamine
kasutamine viirusetõrjeprogrammid
ainult "usaldusväärsete" veebisaitide külastamine
kasutage Internetti sisenemisel ainult sertifitseeritud brauseriprogramme
11. Riigisaladust moodustavat teavet ei saa salastada...
"administratiivseks kasutamiseks"
"saladus"
"täiesti salajane"
"erilise tähtsusega"
12. Kaasaegse krüptograafia osad:
Sümmeetrilised krüptosüsteemid
Avaliku võtmega krüptosüsteemid
Krüptosüsteemid dubleeriva kaitsega
Elektroonilise allkirja süsteemid
Paroolihaldus
Andmeedastuse juhtimine
Võtmehaldus
13. Dokument, mis tuvastas olulisemad turvateenused ja pakkus välja meetodi infosüsteemide klassifitseerimiseks vastavalt turvanõuetele
X.800 soovitused
Oranž raamat
Seadus "Teabe kohta" infotehnoloogia ja teabekaitse kohta"
14. Infoleke on...
volitamata teabe edastamise protsess allikast ründajale
salastatud teabe avalikustamise protsess
teabe hävitamise protsess
salvestusmeediumi tahtmatu kaotsiminek
15. Peamised ohud teabe konfidentsiaalsusele:
maskeraad
karneval
ümbersuunamine
andmete pealtkuulamine
blokeerimine
võimu kuritarvitamine
16. Autoriõiguse sümboli elemendid:
tähed C ringis või sulgudes
tähed P ringis või sulgudes
autoriõiguse omaniku nimi
kaitstava objekti nimi
programmi esimese väljalaske aasta
17. Infokaitse tagatakse viirusetõrjevahendite kasutamisega
Jah
Ei
mitte alati
18. Failisüsteemi objektide kaitse tööriistad põhinevad...
kasutajaõiguste määramine toimingute jaoks failide ja kataloogidega
kasutajaõigustest sõltumatute failide ja kataloogide atribuutide seadistamine
19. Tegevusoht, mis on suunatud teaberessursside omavolilisele kasutamisele, mõjutamata selle toimimist - ... oht
aktiivne
passiivne
20. Infoturbe tahtlik ohustamine
vargus
üleujutus
ülekandekaabli kahjustused ilmastikutingimused
arendaja viga
21. Inforelvade vastase kaitsesüsteemi mõiste ei tohiks hõlmata...
vahendid vasturünnaku alustamiseks, kasutades inforelvi
mehhanismid kasutajate kaitsmiseks riigi infoinfrastruktuuri eri tüüpi ja erineva tasemega ohtude eest
märgid, mis viitavad võimalikule rünnakule
riikliku infrastruktuuri kui terviku ja üksikute kasutajate vastu suunatud rünnaku taseme ja tunnuste hindamise kord
22. Vastavalt Venemaa õigusaktide normidele on teabekaitse õiguslike, organisatsiooniliste ja tehniliste meetmete vastuvõtmine, mille eesmärk on ...
teabe kaitse tagamine volitamata juurdepääsu, hävitamise, muutmise, blokeerimise, kopeerimise, edastamise, levitamise, samuti muude sellise teabega seotud ebaseaduslike toimingute eest
teabele juurdepääsu õiguse rakendamine"
rahvusvahelise õiguse järgimine infoturbe valdkonnas
rikkujate väljaselgitamine ja nende vastutusele võtmine
piiranguga teabe konfidentsiaalsuse säilitamine
meetodite arendamine ja infoturbe vahendite täiustamine
Isegi kõige rohkem parim süsteem kaitse häkitakse varem või hiljem. Sissetungikatsete tuvastamine on turvasüsteemi kõige olulisem ülesanne, kuna selle lahendus võimaldab minimeerida häkkimisest tulenevaid kahjusid ja koguda teavet sissetungimismeetodite kohta. Reeglina erineb ründaja käitumine legitiimse kasutaja käitumisest. Mõnikord saab neid erinevusi kvantifitseerida, näiteks loendades registreerimisel valesti sisestatud parooli.
Peamine tööriist sissetungide tuvastamiseks on auditiandmete salvestamine. Üksikute kasutajate toimingud logitakse ja saadud protokolli kasutatakse sissetungide tuvastamiseks.
Audit Seega seisneb see eriandmete salvestamises erinevat tüüpi sündmuste kohta, mis süsteemis toimuvad ja ühel või teisel viisil arvutisüsteemi turvaseisundit mõjutavad. Sellised sündmused hõlmavad tavaliselt järgmist:
- sisse või välja logida;
- toimingud failidega (avamine, sulgemine, ümbernimetamine, kustutamine);
- juurdepääs kaugsüsteemile;
- õiguste või muude turvaatribuutide (juurdepääsurežiim, kasutaja usaldusväärsuse tase jne) muutmine.
Kui kõik sündmused salvestatakse, kasvab registreerimisteabe maht suure tõenäosusega liiga kiiresti ja selle tõhus analüüs muutub võimatuks. Rahalised vahendid peaksid olema kättesaadavad valikuline metsaraie nii seoses kasutajatega, kui jälgimist teostatakse ainult kahtlaste isikute puhul, kui ka seoses sündmustega. Järelevalve on oluline eelkõige ennetava meetmena. Loodetavasti hoiduvad paljud turvarikkumiste toimepanemisest, teades, et nende tegevust registreeritakse.
Lisaks logimisele saate perioodiliselt skannida kättesaadavuse süsteem nõrgad kohad turvasüsteemis. See skannimine võib kontrollida süsteemi erinevaid aspekte.
- lühikesed või kerged paroolid;
- volitamata set-uid programmid, kui süsteem seda mehhanismi toetab;
- volitamata programmid süsteemikataloogides;
- pikaajalised programmid;
- nii kasutaja kui ka süsteemi kataloogide ja failide ebaloogiline kaitse. Ebaloogilise kaitse näide oleks fail, mille lugemine autoril on keelatud, kuid millesse on volitamata kasutajal lubatud teavet kirjutada;
- potentsiaalselt ohtlike failide otsinguloendid, mis võivad viia Trooja hobuse käivitamiseni;
- kontrollsummade abil tuvastatud muudatused süsteemiprogrammides.
Kõik turvaskanneri tuvastatud probleemid saab kas automaatselt kõrvaldada või edastada lahendamiseks süsteemihaldurile.
Mõne populaarse operatsioonisüsteemi analüüs nende turvalisuse seisukohast
Seega peab OS hõlbustama turvameetmete rakendamist või neid otseselt toetama. Näited sellistest lahendustest riistvaras ja operatsioonisüsteemis võivad olla järgmised:
- meeskondade jaotus privileegtasemete järgi;
- protsesside aadressiruumi segmenteerimine ja segmendikaitse korraldamine;
- erinevate protsesside kaitsmine vastastikuse mõju eest, eraldades igaühele oma virtuaalse ruumi;
- OS-i tuuma eriline kaitse;
- kontroll taaskasuta objektiks ;
- juurdepääsukontrollide kättesaadavus;
- struktureeritud süsteem, usaldusväärse arvutusbaasi (kaitstud komponentide komplekti) selgesõnaline eraldamine, tagades selle baasi kompaktsuse;
- põhimõttest kinnipidamine privileegide minimeerimine- igale komponendile antakse täpselt nii palju privileege, kui on vajalik tema funktsioonide täitmiseks.
Failisüsteemi struktuur on väga oluline. Näiteks OS-is, millel on valikuline juurdepääsukontroll, tuleb iga fail salvestada koos sellele juurdepääsuõiguste valikulise loendiga ja näiteks faili kopeerimisel tuleb kõik atribuudid, sealhulgas ACL, automaatselt kopeerida koos failiga. faili keha.
Põhimõtteliselt ei pea turvameetmeid eelnevalt OS-i sisse ehitama – piisab põhimõttelisest võimalusest turvatoodete täiendavaks installimiseks. Seega saab puhtalt ebausaldusväärset MS-DOS-süsteemi parandada, kontrollides arvutile ja/või kõvakettale juurdepääsu paroole, võideldes viirustega, jälgides katseid kirjutada alglaadimissektor CMOS-tööriistad jne. Tõeliselt töökindel süsteem tuleb aga algusest peale kujundada, rõhuasetusega turvamehhanismidele.
MS-DOS
MS-DOS töötab i80x86 protsessori reaalrežiimis. Tarkvaramoodulite isoleerimise nõuet on võimatu täita (puudub riistvaraline mälukaitse). Failide turvalisus on samuti haavatavus. FAT süsteem, mis ei eelda, et failidel on neile juurdepääsu piiramisega seotud atribuudid. Seega on MS-DOS turvaliste operatsioonisüsteemide hierarhias kõige madalamal tasemel.
NetWare, IntranetWare
Märkus moodulite üksteisest eraldatuse puudumise kohta kehtib ka NetWare'i tööjaama kohta. Kuid NetWare - võrku OS, seega on võimalik sellele rakendada muid kriteeriume. See on praegu ainus võrgu OS, mis on sertifitseeritud klassile C2 (nähtavasti on järgmine Windows 2000). Samal ajal on oluline isoleerida NetWare'i turvasüsteemi kõige haavatavam osa - serverikonsool ja seejärel aitab teatud tavade järgimine selle võrgu operatsioonisüsteemi turvalisuse taset tõsta. Võimalus luua turvalisi süsteeme on tingitud asjaolust, et töötavate rakenduste arv fikseeritud ja kasutaja ei saa oma rakendusi käivitada.
OS/2
OS/2 töötab i80x86 protsessoris kaitstud režiimis. Tarkvaramoodulite isoleerimine toimub sellesse protsessorisse sisseehitatud mälukaitsemehhanismide abil. Seetõttu on see vaba selliste süsteemide nagu MS-DOS ülaltoodud olulisest puudusest. Kuid OS/2 kavandati ja arendati turvanõudeid silmas pidades. See mõjutab peamiselt failisüsteemi. OS/2 HPFS (kõrge jõudlusega failisüsteem) ja FAT-failisüsteemides pole ACL-ide jaoks kohta. Lisaks on kasutajaprogrammidel võimalus katkestusi keelata. Seetõttu ei ole OS/2 sertifitseerimine ühelegi turvaklassile vastavuses võimalik.
Loeb et operatsioonisüsteemidel nagu MS-DOS, Mac OS, Windows, OS/2 on turvatase D (vastavalt Orange Bookile). Aga kui täpne olla, siis neid OS-e ei saa pidada isegi D-taseme turvasüsteemideks, sest neid ei esitatud kunagi testimiseks.
Praegu suhtuvad paljud infoturbe tööriistade tarbijad infoturbe lisavahenditesse mõnevõrra kummaliselt. Kahjuks mõeldakse mõnikord selliste tööriistade kasutamisele vaid teatud formaalsete tingimuste täitmise vajadust, mis võimaldavad töödelda kategoriseeritud teavet – põhimõtteliselt ei arvestata kaitse tõhususe suurendamise küsimusi, mistõttu infoturbe valikul ei arvestata. NSD-st tarbija poolt tehakse hinnanäitajate põhjal. Miks selline suhtumine? Tegelikult on kõik väga lihtne.
NSD infoturbeteabele on kehtestatud nõuded, mis on arendajale kohustuslikud. Need nõuded asjakohaste regulatiivsete dokumentide kujul avaldati juba 1992. aastal (15 aastat tagasi, IT-tehnoloogiate praeguse arengutempo juures, pidage meeles, millised arvutid ja süsteemitööriistad tol ajal olid, kuidas neid kasutati), mis seab juba kahtluse alla nende asjakohasus tänapäevastes tingimustes. Need nõuded ei määratle NSD infoturbe eesmärki (välja arvatud see, kuidas teavet kaitsta) - need sisaldavad ainult nõudeid kaitsemehhanismide kogumile ja nende rakendamisele, andmata soovitusi nende kaitsemehhanismide praktiliseks kasutamiseks konkreetsete probleemide lahendamisel. . Nendesse nõuetesse süvenedes on tarbijal üsna raske mõista nende järgi loodud NSD infoturbesüsteemide eesmärki tänapäevastes tingimustes ja sellest tulenevalt ka suhtumist neisse. Selles töös püüame mõista, kas NSD infoturbesüsteeme on tänapäeval põhimõtteliselt vaja ja kui neid vaja on, siis mis on nende eesmärk?
Sissejuhatuse asemel.
Teatavasti väljastati 2004. aasta detsembris Windows XP Professionali turvanõuete sertifikaat. Selle süsteemitööriista sertifitseerimine on võimaldanud mõnel infoturbeteenuse pakkujal deklareerida järgmist.
"Sertifitseeritud Microsoft OS-i kasutamine võimaldab teil kliendi tööjaamades seaduslikult töödelda konfidentsiaalset teavet, mis on kaitstud vastavalt Vene Föderatsiooni õigusaktidele.
Sertifitseeritud OS-i kasutamise eelised:
Tõhus mehhanism operatsioonisüsteemi turvaseadete konfigureerimiseks;
Pole vaja installida täiendavaid sertifitseeritud "kattega" infoturbe tööriistu ja selle tulemusena:
- infotöötluse kiiruse ja stabiilsuse suurendamine;
- kaitstud automatiseeritud asukoha maksumuse vähendamine;
- turvahalduri teadmiste mahu nõuete vähendamine;
Operatsioonisüsteemi perioodiline värskendamine koos täiendavate "turvavalikutega";
turvaliste automatiseeritud süsteemide kasutamist reguleerivate normatiivdokumentide nõuete täitmine.
Kommentaariks märgime, et kõige šokeerivam selliste väidete puhul on see, et sertifitseeritud OS-i kasutamine vähendab nõudeid turvaadministraatori teadmiste hulgale. Kuid just ettevõtte teabetöötluse turvalisuse eest vastutavate isikute kõrge kvalifikatsioon on üks neist vajalikud tingimused kaitseprobleemide tõhusat lahendamist! Just administraatorite kvalifikatsioon on tänapäeval üks peamisi teabekaitse probleeme ettevõtte rakendused. Ehk oleks õigem rääkida täiendõppe vajalikkusest, olenemata sellest, mis kaitsevahendeid nad kasutama hakkavad?! Tõsi, mida kõrgem on kvalifikatsioon, seda tõsisemad on nõuded kaitsevahenditele.
Ühtlasi märgime kommentaariks, et turvaliste automatiseeritud süsteemide kasutamist reguleerivate normatiivdokumentide nõuete täitmise tõttu (st formaalsetel põhjustel) puudub vajadus paigaldada täiendavaid sertifitseeritud "kattega" infoturbe vahendeid. on halvasti põhjendatud ja väga vastuoluline seisukoht. Toome vaid ühe näite vorminõuete täitmata jätmisest, mille puhul pöördume regulatiivdokumendi poole: „Venemaa riiklik tehniline komisjon. Juhtdokument. Automatiseeritud süsteemid. Kaitse volitamata juurdepääsu eest teabele. Turvanäitajad NSD-st teabeni” on dokument, mida kasutatakse informatiseerimisobjektide sertifitseerimisel. Mõelgem ja analüüsime turvaklassi 1G (konfidentsiaalse teabe kaitse) süsteemide jaoks ainult ühe nõude teostatavust:
Vabanenud alade puhastamine (nullimine, depersonaliseerimine) tuleb läbi viia muutmälu Arvutid ja välised salvestusseadmed. Puhastamine toimub ühe juhusliku kirjutamisega vabastatud mälualale, mida varem kasutati kaitstud andmete (failide) salvestamiseks.
Põhimõtteliselt ei puhasta Windows XP välistest draividest vabanenud alasid, sellel pole sarnast kaitsemehhanismi. Igaüks, kes on selle süsteemiga vähegi tuttav, teab, et süsteem kirjutab nullid eraldatud mälualale enne sellesse teabe kirjutamist (st mitte kustutamise ja muutmise käigus vabanenud mälupiirkonda, vaid enne kirjutamist eraldatud mälupiirkonda ja see on ohutuse seisukohast "kaks suurt erinevust"). Kuid need on süsteemi töökindluse suurendamise küsimused ja kindlasti mitte kaitse, mis puudutab jääkteabe garanteeritud puhastamist. Selle tulemusena jääkteave nii kõvakettal kui ka sees välised draivid, on siin alati olemas. Kuid see pole ainus lahknevus OS-i kaitsemehhanismide ja olemasolevate nõuete vahel.
Selles töös huvitab meid aga midagi muud. Näeme, et siin ei seata kahtluse alla täiendavate infoturbevahendite kasutamise otstarbekust ettevõtte rakendustes (konfidentsiaalse teabe kaitsmisel), vaid seda lähenemist peetakse üsna ilmseks, pealegi on põhjendatud, millist olulist kasu tarbija saab sel juhul ( Siiski märgime, et teabekaitse tõhususe kohta pole sõnagi). Võib-olla on see nii ja täiendavaid infoturbemeetmeid pole vaja? Püüame sellele küsimusele vastata, seades siiski esiplaanile kaitse tõhususe küsimused, ju räägime ennekõike ohutusest.
Alusta uuesti.
Kõigepealt peate otsustama piirkonna üle praktiline kasutamine mis tahes süsteemitööriist, sealhulgas infoturbe tööriistad. Just praktilise kasutuse valdkond määrab süsteemitööriistale esitatavad nõuded, mida arendaja peab tarbijaväärtuse tõstmiseks ennekõike juurutama. seda tööriista. Nagu hiljem näeme, võivad praktikas sellised nõuded erinevatele praktilise kasutuse valdkondadele väga erineda ja mõnikord isegi üksteisele vastuollu minna, mis ei võimalda luua ühte tööriista "igaks juhuks".
Infotehnoloogia osas on kaks peamist rakendust: isiklikuks kasutamiseks kodus või korporatiivne kasutamine- ettevõttes. Kui järele mõelda, on nende rakenduste nõuete erinevus, sealhulgas turvameetmete osas, tohutu. Millest see koosneb?
Millal me räägime arvuti isikliku kasutamise kohta kodus hakkame kohe mõtlema süsteemitööriista pakutavatele teenustele - see on maksimum võimalik kasutamine seadmed, rakenduste mitmekülgsus, unistame igasugustest mängudest, pleieritest, graafikast jne. ja nii edasi.
Kõige olulisemad tingimused turvameetmete kasutamiseks nendes rakendustes on järgmised:
Üldiselt konfidentsiaalsuse puudumine (poolt vähemalt, vormistatud) kaitset vajav teave. Kaitse põhiülesanne taandub siin arvuti funktsionaalsuse tagamisele;
Kriitilisuse puudumine mitte ainult töödeldud teabe varguse, vaid ka selle volitamata muutmise või hävitamise osas. Rünnakud süsteemiressurssidele ei ole nendes rakendustes nii kriitilised, suures osas on need seotud kasutaja jaoks vaid ebamugavustega;
Kasutajate kvalifikatsiooni puudumine infoturbe küsimustes ja loomulik vastumeelsus nende probleemidega tegelemisel (kaitsta pole midagi);
Süsteemi tööriista välise halduse puudumine, sealhulgas turvamehhanismide seadistamise osas - kõik haldusülesanded lahendab kasutaja otse - kasutaja peab kõik turvalisusega seotud probleemid lahendama iseseisvalt. Teisisõnu, kasutaja on administraator – tema enda kaitsja ja turvamees;
Kasutaja suhtes igasuguse umbusalduse puudumine – kasutaja töötleb ise oma infot (ta on ka arvuti omanik, ta on ka info omanik);
Enamasti töödeldakse kasutajateavet ühes arvutis, lokaalselt.
Nüüd vaatame, millised lähenemised turvatööriistade loomisele osutusid nendes rakendustes praktikas kõige populaarsemaks. Loomulikult ei olnud sellisteks lahendusteks kaitsevahendid, vaid juhtimisvahendid, ennekõike kõikvõimalikud signatuurianalüüsil põhinevad viirusetõrjevahendid. On ilmne, et kaitsetööriistadest, mille konfigureerimine nõuab teatud kvalifikatsiooni (ja lihtsalt ei suuda tõhusat kaitset pakkuda), on nendes rakendustes vähe kasu. Juhtimine hõlmab kasutaja lihtsamaid toiminguid – "vajutage nuppu ja oletegi valmis." Kõik kvalifitseeritud lahendust nõudvad probleemid on viirusetõrjetoodete arendajate õlgadele nihutatud, eelkõige viiruste andmebaasi võimalikult ajakohasena hoidmine. Pange tähele, et kuna administreerimist ei eeldata, peetakse kogu dialoogi lõppkasutaja, mitte administraatoriga, mis muide, isegi juhtimistööriistade kasutamisel, mõnikord kasutaja segadusse ajab. Isegi selline "otsuste tegemise väike automatiseerimine" - otsustusõigus antakse kasutajale (vastav küsimus vajalikud toimingud), on enamasti nende rakenduste jaoks vastuvõetamatu, kuna nõuab kasutaja edasist väljaõpet, kuid objektiivselt ta seda ei vaja.
Kui tõhusad on sellised abinõud? Loomulikult on sellised vahendid infokaitse vastuvõetava taseme tagamise seisukohalt ebatõhusad. See väide on ilmne – igal ajahetkel ei ole tuvastatud allkirjade andmebaas täielik (ei saa olla täielik isegi teoreetiliselt). Näitena on siin vaid üks sõnum:
(Uudised 24.07.2006). Australian Computer Emergency Response Team (AusCERT) tegevjuht Graham Ingram ütleb, et viirusetõrjerakendused blokeerida ainult umbes 20 protsenti äsja tekkivast pahavarast. Samal ajal jätavad populaarsed viirusetõrjed vahele kuni 80 protsenti uutest troojalastest, nuhkvaradest ja muudest pahatahtlikest programmidest. See tähendab, et kaheksal juhul kümnest võib uus viirus tungida kasutaja arvutisse.
Siiski ei tohiks te selliste vahendite suhtes kriitiline olla. Kahtlemata on need vaadeldavate rakenduste jaoks vajalikud ja ainsad praktiliseks kasutamiseks vastuvõetavad. Siin tekib ju küsimus: kas lihtsad tööriistad või üldse mitte - keegi ei kasuta nendes rakendustes keerulisi tööriistu? Kuidagi parem kui mitte midagi!
Kui hakata rääkima korporatiivsetest rakendustest, siis nendes rakendustes ei ole nii süsteemitööriistade kasutamise tingimused kui ka nõuded turvatööriistadele kardinaalselt erinevad, need on otse vastupidised. Eelkõige pole enam vaja suurt valikut seadmeid, töötegevusest segavaks teguriks on rakendused, mänguasjad jms, põhimõtteliselt on soovitav ennetada nende käivitamise võimalust jne. ja nii edasi.
Kõige olulisemad tingimused turvameetmete kasutamiseks nendes rakendustes on järgmised:
Nendes rakendustes on a priori konfidentsiaalne teave, mis vajavad kvalifitseeritud kaitset;
Kriitiline pole mitte ainult töödeldud teabe vargus, vaid ka selle volitamata muutmise või hävitamise võimalus. Nendes rakendustes muutub kriitiliseks ka süsteemitööriistade rike. kaua aega, st. süsteemiressurssidest saavad kõige olulisemad kaitseobjektid;
Kasutaja kvalifikatsiooni puudumine infoturbe küsimustes ja isegi vastumeelsus nende probleemidega tegeleda (kaitsta ei pea mitte tema isikuandmeid) ning samal ajal turvaadministraatori olemasolu, kelle põhiülesanne on kaitsta infot – s.t. Just selle probleemi lahendamiseks palgati ta, kes peab a priori olema kõrge kvalifikatsiooniga, sest vastasel juhul ei saa tänapäevastes tingimustes rääkida tõhusast kaitsest;
Kõik turvameetmete haldamise ülesanded peab lahendama otse haldur (muide, see on üks normatiivdokumentide nõudeid);
A priori usaldamatus kasutaja vastu - kasutaja töötleb mitte enda, vaid ettevõtte või muud konfidentsiaalset teavet, mis võib olla "hea", mille tulemusena tuleks kasutajat pidada potentsiaalseks ründajaks (hiljuti on selline kontseptsioon nagu ilmunud on isegi sisering ning IT-sisene oht – volitatud kasutaja, osa tarbijate ja turvatoodete tootjate infovarguse oht positsioneeritakse üheks domineerivaks ohuks, mis pole põhjuseta);
Suures osas toimub konfidentsiaalse teabe töötlemine aastal ettevõtte võrk, ja mitte alati lokaalselt – see teeb võimatuks tõhusalt lahendada turvahalduse probleemi igas arvutis kohapeal – ilma vastavate tööriistadeta (administraatori tööjaam võrgus).
Näeme, et nendes rakendustes on juba “esirinnas” tõhusa infokaitse ülesanne, mis tuleb lahendada professionaalselt. Pole juhus, et nendes rakendustes on teabe kaitset reguleeritud vastavate regulatiivsete dokumentidega, turvameetmed nõuavad nende sertifitseerimist ning automatiseeritud infotöötlussüsteem (AS) nõuab sertifitseerimist ja kõik kokku - kvalifitseeritud analüüsi piisavuse ja õigsuse kohta. kaitsemehhanismide rakendamine. Nende rakenduste infoturbe tagamise aluse moodustavad juba praegu ressurssidele piiravat poliitikat rakendavad turvamehhanismid, mitte aga kõige lihtsamad kontrollimehhanismid! See on väga tähtis. Nüüd on juhtimismehhanismid hakanud aktiivselt arenema (selle peamiseks põhjuseks on rakendamise suhteline lihtsus – probleem lahendatakse reeglina rakenduse tasemel, mitte kerneli tasemel), kuid pidage meeles, et mehhanismid põhinevad kontrollifunktsioonide rakendamise kohta ei lahenda kunagi tõhusalt kaitseülesannet. Nende rakenduste juhtimisfunktsioone tuleks käsitleda omamoodi valikuna lisaks turvamehhanismidele, mis rakendavad ressurssidele juurdepääsu piiravat poliitikat, mida on keeruline välja töötada ja mis nõuavad konfigureerimisel kvalifikatsiooni, kuid ainult nende mehhanismide kasutamisel saab tõhusa lahenduse infoturbe probleemile!
Miks me siis vajame täiendavaid infoturbe tööriistu?
Olles vaadanud, kui tugevad on vastuolud nõuetes (kui palju nad üksteist välistavad). alternatiivsed rakendused, saame teha väga olulise järelduse, mille kohaselt ei saa nii süsteemitööriistad (näiteks OS) kui ka täiendavad kaitsetööriistad neid korraga täita. Teisisõnu, nii süsteemitööriista kui ka lisakaitsetööriista saab orienteerida kas koduseks kasutamiseks või ettevõtte rakendustes kasutamiseks! Pealegi lahendatakse selliste vahenditega täiesti erinevaid probleeme ja nende ehitamise põhinõuded on põhimõtteliselt erinevad. Turvatööriista loomisel on arendaja paratamatult sunnitud tegema valiku ühe või teise rakendusvaldkonna kasuks, ühe või teise ehitusliku lähenemise kasuks.
Praktikas püüab tootja aga selle arenduse rakendusala laiendamiseks mõnikord kombineerida kokkusobimatut - "istuda kahel toolil". Loomulikult põhjustab see ühelt poolt tüsistusi lihtsaid lahendusi teisalt keerukate otsuste tõhususe vähenemisele. Saame teatud illusiooni “tõsisuse” ja kaitse professionaalsuse kohta, mida on üsna lihtne juhtida. Selline illusioon kaob aga isegi pärast lühikest selliste vahendite kasutamist. Ilmekas näide, kinnitavad seda järeldust kaasaegsed universaalsed operatsioonisüsteemid, sealhulgas (ja võib-olla peamiselt) Windowsi operatsioonisüsteemide perekond, mis ei ole ilmselgelt mõeldud ettevõtte kasutamiseks (Novell, vastupidi, loodi eranditult kasutamiseks ettevõtete rakendustes, võib-olla , mis miks see masside seas nii populaarseks ei saanud), muide, see selgub nimest endast ja süsteemi esialgsest positsioneerimisest. Selliste süsteemitööriistade teabe kaitsmise ülesanne on teisejärguline, esmane eesmärk on kasutaja mugavus, rakenduste ja seadmetega töötamise maksimaalne mitmekülgsus jne. Ja sellest tulenevalt on kaitse aluseks otsuste elluviimine, mis põhineb täielik enesekindlus kasutajale. Teisisõnu, selliste süsteemitööriistade väljatöötamisel on nende peamine rakendus (ja vastavalt ka nende peamine potentsiaalne tarbija) selgelt nähtav - arvuti isiklik kasutamine kodus.
Kõike öeldut arvesse võttes saab sõnastada täiendava infoturbe tööriista põhiülesande - see on universaalse süsteemitööriista rakendusala (tõhusa praktilise kasutusala) muutmine - selle tagamine. tõhus kasutamine ettevõtete rakendustes. Ja see, ei rohkem ega vähem, on kaasaegse universaalse OS-i kaitsmise kontseptsiooni läbivaatamine.
Meie arvates on edu võti lisakaitsevahendiga lahendatavate ülesannete selge positsioneerimine. Selline positsioneerimine toob paratamatult kaasa nende ehitamise nõuete läbivaatamise nii individuaalsete kaitsemehhanismide õige rakendamise kui ka nende komplekti terviklikkuse osas ettevõtete rakenduste jaoks.
Mõelgem, kuidas tänapäeval formuleeritakse nõuded kaitsemehhanismidele - need on nõuded nende teatud kogumile ja nõuded nende rakendamiseks. Kõik tundub aga õige olevat, lähtudes sellest, millistel tingimustel need nõuded on sõnastatud ja kuidas need on sõnastatud. Vaatame näidet, mille jaoks pöördume vastava regulatiivse dokumendi poole.
Konfidentsiaalse teabe kaitsmiseks mõeldud tööriistade (klass 5 SVT) ressurssidele juurdepääsu piirava poliitika rakendamisel määravad need nõuded kindlaks, et tuleb rakendada juurdepääsu kontrolli diskretsioonipõhimõtet:
SPS (turvatööriistade komplekt) peab kontrollima nimega subjektide (kasutajate) juurdepääsu nimega objektidele (failidele, programmidele, köidetele jne);
Iga SVT paari (subjekt - objekt) jaoks tuleb määrata selge ja ühemõtteline vastuvõetavate juurdepääsutüüpide loend (lugemine, kirjutamine jne). See tähendab, et need juurdepääsutüübid on volitatud sellest teemast(indiviidile või üksikisikute rühmale). see ressurss SVT (objekt);
CPS peab sisaldama mehhanismi, mis rakendab valikulisi juurdepääsukontrolli eeskirju;
Juurdepääsu kontroll peab olema rakendatav igale objektile ja igale subjektile (indiviidile või võrdsete isikute rühmale);
Juurdepääsu kontrolli diskretsiooniprintsiipi rakendav mehhanism peab ette nägema juurdepääsu reeglite (ARR) volitatud muutmise võimaluse, sealhulgas volitatud muutmise võimaluse SVT kasutajate nimekirjas ja kaitstud objektide loendis;
Rusikareeglite muutmise õigus tuleb anda selleks määratud üksustele (haldus, turvateenistus jne).
Ressursidele juurdepääsu piirava poliitika rakendamisel automatiseeritud süsteemis (klass 1G AS) määravad need nõuded, et kõigi kaitstud ressursside puhul tuleb rakendada vastavat juurdepääsukontrolli põhimõtet (ehk kõigi arvutite jaoks võetakse kasutusele üldistus ressursid):
Subjektide juurdepääsu kaitstud ressurssidele tuleb kontrollida vastavalt juurdepääsumaatriksile.
Nagu ülaltoodud nõuetest näeme, on ressurssidele, nimelt juurdepääsuobjektile juurdepääsu piiritlemise poliitika põhielement arvutiressurss - failiobjekt, OS-i registriobjekt, seade, võrguressurss jne.
Kommentaarina (see ei ole käesoleva töö eesmärk) juhime lugeja tähelepanu nende nõuete puudustele, mis kohe "torkavad silma".
Esiteks, ja see on äärmiselt oluline, mida tuleks nende nõuete alusel liigitada "kaitstud ressursside" alla? Tõenäoliselt on erinevate kaitseprobleemide lahendamisel kahtlemata kaitsmist vajavate ressursside loetelu erinev. Näiteks öelge, kas "õigusel elule" on kaitse, mis ei kontrolli subjektide juurdepääsu ressurssidele, näiteks süsteemi ketas(peamiselt salvestamiseks, et vältida selle volitamata muutmise võimalust), OS-i registriobjektid, lõikelaud, kellegi teisena esinemise teenused, jagatud võrgus ja välistes võrguressurssides jne. ja nii edasi. Selgub, et esiteks puudub üheselt nõue, millised mehhanismid peavad konfidentsiaalse teabe kaitsmise tööriista piisavaks kasutamiseks olemas olema, teiseks, mis veelgi ebameeldivam, selgub, et analüüs Turvamehhanismide komplekti piisavusest konkreetsete probleemide lahendamiseks nihutatakse konfidentsiaalse teabe kaitse arendaja või isegi tarbija "õlgadele" - kaitstud ressursside kogum pole ju selgelt määratletud. Kuidas saate neid nõudeid kasutades läbi viia AS-i sertifitseerimist selle turvalisuse objektiivse hinnangu saamiseks?
Ja kui rääkida sellest, et "KPS (turvameetmete kogum) peab kontrollima nimetatud subjektide (kasutajate) juurdepääsu ...", siis on jällegi ebaselgus. Nimetatud subjektid (kasutajad) võivad hõlmata ka süsteemi kasutajaid, näiteks Süsteem. Kas peate kontrollima nende juurdepääsu ressurssidele? Kehtib nõue "SVT-s tuleb iga paari (subjekt - objekt) jaoks määrata selge ja ühemõtteline vastuvõetavate juurdepääsutüüpide loend (lugemine, kirjutamine jne) ...". Mis on aga selles nõudes võtmesõnad “iga paari jaoks” või “selgesõnaline...”. Ja mida tähendab „jne”, kui tegemist on nõuete objektide ja juurdepääsutüüpidega. Kuidas saate luua süsteemi, mis vastab nendele nõuetele sarnases sõnastuses?
Teiseks on juurdepääsukontrolli põhimõtte määratlus selle rakendamiseks sõnastatud nõudeid arvestades vale. Las ma seletan. Need nõuded viitavad nn diskretsioonilise juurdepääsu kontrolli põhimõttele. Vastuolu seisneb selles, et ligipääsu kontrolli diskretsiooniprintsiibi kontseptsioon põhineb haldusskeemi rakendamisel, mis hõlmab kasutaja poolt tema loodud objektile juurdepääsuõiguste määramist (s.o. olemi "Omandik" abil). Pange tähele, et just seda juurdepääsukontrolli skeemi rakendavad enamik universaalseid operatsioonisüsteeme, sest seda reguleerib Posixi standard. Regulatiivdokumendis on aga kirjas, et “Rusikareeglite muutmise õigus tuleks anda selleks määratud üksustele (haldus, turvateenistus jne)”, s.o. üldse mitte kasutajale. Korporatiivsete rakenduste puhul on see nõue igati õigustatud, aga kuidas muidu saab siseringi inimestega toime tulla ja üldse, milline võiks olla turvahalduri vastutus andmevarguse eest, kui kasutajal on võimalus iseseisvalt enda loodud andmetele juurdepääsuõigusi määrata. teistele kasutajatele. Hoolimata asjaolust, et see on ilmne, on ebaselgust.
Pakume välja teistsuguse juurdepääsukontrolli põhimõtete klassifikatsiooni, mis põhineb "selektiivne" ja "autoriteetne" juurdepääsukontroll.
Valikuline juurdepääsukontroll viitab juhtimisele, mis ei hõlma mingeid formaliseeritud suhteid juurdepääsu subjektide ja objektide vahel.
Autoriteetse juurdepääsukontrolli aluseks on kasutajate “grupi” ja objektide “rühma” mõistete vormistamise viis, mis põhineb kasutusele võetud volituste skaalal. Üldjuhul võetakse kasutusele volituste hierarhiline skaala, mis põhineb andmete kategoriseerimisel (avatud, konfidentsiaalne, rangelt konfidentsiaalne jne) ja juurdepääsuõigustele kasutajaandmetele (analoogiliselt juurdepääsuvormi mõistega).
Selektiivset kontrolli, millest me siin räägime, saab rakendada nii sunnitud kui ka meelevaldse ressurssidele juurdepääsu kontrolliga. Sundjuhtimine hõlmab kasutaja väljaarvamist haldusskeemist (kasutaja töötleb teavet talle administraatori poolt seatud piirava ressursijuurdepääsu poliitika raames), suvaline kontroll on juurdepääsu kontrolli suvaline põhimõte, mille puhul kasutaja, olles „ omanik” tema loodud objektidele, määrab ise sellele objektile juurdepääsuõigused teistele kasutajatele (st kasutaja on üks haldusskeemi elemente).
Pange tähele, et tegelikult ei määra midagi juurdepääsumaatriksil põhineva kontrolli rakendamisel nõudega "Subjektide juurdepääsu kaitstud ressurssidele tuleb kontrollida vastavalt juurdepääsumaatriksile", kuna Sellist kontrolli saab rakendada nii selektiivse kui ka autoriteetse juurdepääsukontrolli mehhanismide loomisega.
Seega näeme, et turvameetme rakendamise nõuded normatiivdokumentides taanduvad sellele, kuidas peaks olema piiritletud subjekti juurdepääs objektile, kuid mitte sõnagi selle kohta, kuidas (eelkõige milliseid ressursse milliste probleemide lahendamisel kaitstuks lugeda) ja mis eesmärgil tuleb seda praktikas rakendada ehk teisisõnu mis eesmärgil abinõu luuakse!
Vaatleme nüüd veidi teistsugust lähenemist kaitsevahendile esitatavate nõuete määramisel, mis põhineb kaitsevahendi eesmärgi selgel paigutusel. Püüame sellise lähenemise rakendamisel sõnastada ka nõuded kaitsevahendile.
Kuna me räägime ettevõtete rakendustest ja konfidentsiaalse teabe kaitsest ning lisaturvatööriista peamiseks ülesandeks positsioneerime süsteemitööriista rakendusala (tõhusa praktilise kasutusala) muutmise, proovime esmalt et teha kindlaks, millised on süsteemitööriistade kasutamise peamised omadused tänapäeval ettevõtterakendused.
Ettevõtete rakendustes erineb ressurssidele juurdepääsu piirava poliitika rakendamise ülesanne kardinaalselt ülesandest, mida lahendavad tänapäevaste universaalsete, peamiselt kodukasutuseks mõeldud operatsioonisüsteemide kaitsemehhanismid ja oma sõnastuses. Selle põhjuseks on asjaolu, et ettevõtete rakendustes töödeldavaid andmeid saab tavaliselt liigitada konfidentsiaalsustaseme järgi: avalik teave, konfidentsiaalne teave jne. Samal ajal peab sama kasutaja oma ametiülesannete täitmise raames töötlema nii avatud kui ka konfidentsiaalseid andmeid. Pealegi on neil andmetel a priori ettevõtte jaoks täiesti erinevad väärtused, seetõttu peaksid nende töötlemise viisid erinema (näiteks ainult avatud info saab edastada välisvõrku, salvestada välistele draividele, konfidentsiaalseid andmeid saab töödelda ainult teatud ettevõtte rakendus jne).
Järeldus. Piiritlemispoliitika juurutamise aluseks ettevõtte rakendustes ei tohiks enam olla mingid konkreetsed ressursid, vaid kategoriseeritud teabe töötlemisviisid ning teabe töötlemise reeglite kehtestamisel tuleks eelkõige arvestada mitte juurdepääsu piiritlemise küsimusega. ressurssidele erinevate kasutajate vahel, kuid erinevate andmetöötlusviiside rakendamise küsimus erinevaid kategooriaid samale kasutajale.
Võttes arvesse kategoriseeritud teabe varguse ja volitamata muutmise vastu võitlemist, tuleb need töötlemisrežiimid täielikult eraldada.
Sel juhul “kõik loksub paika”, saab kohe selgeks, millistest kaalutlustest lähtudes tuleks sõnastada nii kaitsemehhanismide korrektse rakendamise nõuded kui ka nende komplekti piisavuse nõuded seoses praktilise kasutamise tingimustega. . Peaasi, et sel juhul ei kahtleks infoturbe tööriistade tarbija lisavahendite vajaduses ega arvestaks neid vahendeid ainult teatud vorminõuete täitmise seisukohalt.
Käesolevas töös ei peatu me nõuete kujundamisel, mis tagavad kategoriseeritud teabe turvalise töötlemise probleemi õige lahenduse (need küsimused on pühendatud eraldi töö autor), märgime vaid, et need nõuded erinevad oluliselt täna kehtivates normatiivdokumentides sõnastatud nõuetest. Paljude kaasaegsete universaalsete operatsioonisüsteemide kaitsevõimalustel on nende nõuete rakendamisega vähe ühist.
Samuti on oluline, et lisaks universaalsete OS-i kaitsemehhanismide arhitektuursetele lahendustele oleks mõttekas üle vaadata ka liideselahendused, mis on samuti otseselt seotud nende rakendusvaldkonnaga. Öeldu illustreerimiseks vaatleme näiteks Pantsir-K CSZ-is Windows 2000/XP/2003 jaoks juurutatud liideselahendusi (töötanud JSC NPP Information Technologies in Business) ressurssidele juurdepääsu kontrollimehhanismide seadistamiseks (kasutades Failiobjektide juurdepääsu kontrolli mehhanismi näide - kõvakettal ja välistel draividel, kohalikel ja võrgus jagatud, eraldatud objektide jaoks - väljaminevate ja sissetulevate juurdepääsutaotluste põhjal). Failiobjektide juurdepääsukontrolli mehhanismi seadistamise liides on näidatud joonisel 1 (siin toimib juurdepääsusubjektidena "kasutaja" olem).
Joonis 1. Liides kasutaja subjekti failisüsteemi objektide juurdepääsuõiguste seadistamiseks
Mis on põhimõtteline erinevus? Piiritlemise poliitikat ei kujundata failiobjektidele atribuutide määramisega, vaid kasutajatele (kontodele) juurdepääsuõiguste määramisega. Aluseks on lubav piiripoliitika - "Kõik, mis pole lubatud - pole selgesõnaliselt öeldud, on keelatud" - see on ainus õige piiripoliitika ettevõtte rakenduste jaoks. Sel juhul (vt joonis 1) kuvatakse ühes liidese aknas kogu piirav juurdepääsupoliitika kõigile failisüsteemi objektidele (sealhulgas võrgus jagatud objektid ja objektid välistel draivil, sealhulgas mobiilsetel), mis on kasutaja jaoks määratud (see teeb seda neil pole muid juurdepääsuõigusi, kuna need pole vaikimisi lubatud, sealhulgas vastloodud objekti jaoks). Pange tähele, et objekt, millele kasutajale on antud juurdepääsuõigus, tähistatakse (otsingu abil) selle täieliku tee nimega. Kui soovite vaadata mõne teise kasutaja piirangupoliitikat, valige tema konto, ühes liidese aknas kuvatakse ka kõik talle lubatud juurdepääsuõigused. Pole vaja objekte sorteerida ega nende atribuute vaadata – kõik on selge ja informatiivne! Samuti on minimeeritud kohandatavate juurdepääsutüüpide (atribuutide) arv - kõrvaldatud on selline mõiste nagu failiobjekti "omandiõigus" (mis on ettevõtte rakenduste eeltingimus ja muide, seda nõuab ka asjakohane normatiivdokument, vt ülal) ja kõik selle olemi juurdepääsuõigustega seotud tüübid, määrab süsteem vaikimisi teatud juurdepääsuõiguste alusel mitmed atribuudid. Kõik on taandatud ainult kolme administraatori määratud juurdepääsuõiguste tüübi kasutamiseks: lugemine, kirjutamine, käivitamine, kaotamata seejuures mitmekülgsust piiravate juurdepääsupoliitikate seadmisel ettevõtte rakendustes.
Universaalsete tööriistade arendajad on sunnitud tasakaalustama tõhususe ja lihtsuse vahel, tehes väga sageli oma valiku lahenduste lihtsuse kasuks. Võimalik, et selle põhjuseks on arusaam, et keerulised mehhanismid kaitse on vähenõudlik ja see on üks võtmepunkte, kui peamine potentsiaalne tarbija on üksikkasutaja ja toode on mõeldud kasutamiseks kodus.
Seda arvesse võttes saab sõnastada järgmise kõige tähtsam ülesanne Infoturbe täiendav vahend on turvamehhanismide funktsionaalsuse laiendamine, tagades nende efektiivsuse tõusu.
Illustreerime seda järeldust näitega. Kaasaegsetes universaalsetes operatsioonisüsteemides käsitletakse kasutajaüksust (kontot) ressurssidele juurdepääsu subjektina. Ressursidele juurdepääsu piirava poliitika rakendamine taandub kasutajate (kontode) eristamisele. Samas pole raske näidata, et rakendused kujutavad endast suurt ohtu, ennekõike puudutab see väliseid IT-ohte.
Analüüsime, miks tuleks protsessi pidada välise IT-ohu allikaks. Sellel võib olla mitu põhjust, mis tuleneb ülaltoodud tuntud ründetüüpide klassifikatsioonist, lähtugem nendest protsesside klassifitseerimisel, mida hiljem materjali esitamisel vaja läheb:
&bull Volitamata (kolmanda osapoole) protsessid. Need on protsessid, mida kasutaja oma ametiülesannete täitmiseks ei nõua ja mida saab volitamata arvutisse installida (kohalikult või eemalt) erinevatel eesmärkidel, sealhulgas täitmiseks.
volitamata juurdepääs (NAA) teabele (pahavara, nuhkvara jne);
&bull Kriitilised protsessid. Nendesse kaasame kaks protsesside rühma: esimese rühma protsessid hõlmavad neid, mis töötavad süsteemis privilegeeritud õigustega, näiteks Süsteemi konto all, mille puhul OS-i turvamehhanismid ei rakenda täielikult piiravat juurdepääsupoliitikat. ressurssidele ja teise rühma protsessidele, mida kõige tõenäolisemalt rünnatakse, nagu võrguteenused. Rünnakud esimese rühma protsessidele on kõige kriitilisemad, mis on seotud privileegide laiendamise võimalusega, piirangus - süsteemi täieliku kontrolli saavutamine; rünnakud teise rühma protsesside vastu on kõige tõenäolisemad;
&bull Ohustatud protsessid on teatavaks saanud vigu (haavatavusi) sisaldavad protsessid, mille kasutamine võimaldab volitamata juurdepääsu teabele. Nende protsesside liigitamine eraldi rühma on tingitud asjaolust, et haavatavuse avastamisest kuni hetkeni, mil süsteemi või rakenduse arendaja selle kõrvaldab, võib mööduda mitu kuud. Kogu selle aja jooksul on süsteemis teadaolev haavatavus, mistõttu süsteem ei ole kaitstud;
&bull Protsessid, millel on a priori deklareerimata (dokumenteerimata) võimalused. Kaasame sellesse rühma protsessid, mis on täitmiskeskkond (peamiselt on need virtuaalmasinad, mis on skriptide ja aplettide täitmiskeskkond, ning kontorirakendused, mis on makrode täitmiskeskkond).
Nüüd keskendume lugejate tähelepanu tuntud arvutiviiruste tüüpide tuntud laiendatud klassifikatsioonile:
1... “Pahavara” (troojalased jne). Üksikud programmid, mis sooritavad teatud hävitavaid/volitamata toiminguid.
2..."Viirused". Programmid, millel tavaliselt pole oma käivitatavat moodulit ja mis on "reaalajas" (reeglina toimub nakatumine, lisades need käivitatavale failile) mõnes teises failiobjektis või füüsilise andmekandja osas.
3... "Ussid". Variatsioon 1,2,4, kasutades võrgustike loomise võimalused infektsiooni jaoks.
4... “Makroviirused” (skriptiviirused) on programmid, mille täitmiseks on vaja spetsiifilist täitmiskeskkonda (käsutõlk, virtuaalmasin jne). Sellesse rühma kuuluvad ka kontorirakendused, mis võimaldavad luua ja ühendada makrosid.
Näeme, et ka siin kujutab endast ohtu protsessi mõju informatsioonile ja arvutiressursse. Lisaks võime märkida, et viirusetõrjeülesanded kujutavad endast väliste IT-ohtude vastu võitlemisel volitamata juurdepääsu eest kaitsvate teabekaitseülesannete alamhulka (kärbitud komplekti). Teisisõnu võime järeldada viirusetõrje- ei ole iseseisev ülesanne Teabekaitse on vaid väike osa teabe kaitsmise ülesannetest volitamata juurdepääsu eest.
Lihtne on järeldada, et väliste IT-ohtude eest kaitsmise aluseks on protsesside (rakenduste) ressurssidele juurdepääsu piirava poliitika rakendamine, s.o. Nende kaitseprobleemide lahendamisel tuleks ressurssidele juurdepääsu subjektiks pidada protsessi olemit.
Üldiselt tuleks eristada kahte sõltumatut juurdepääsusubjekti – “kasutaja” ja “protsess”. Sel juhul on ressurssidele juurdepääsu piiritlemise poliitika määramiseks soovitatav rakendada järgmisi skeeme:
Juurdepääsuõiguste eristamine töötlemisobjektidele väljaspool kasutaja piire (eksklusiivne režiim protsessipäringute töötlemiseks - juurdepääs objektile on lubatud, kui see on protsessile lubatud);
Kasutajaobjektide juurdepääsuõiguste diferentseerimine, väljaspool protsessi piire (kasutajate päringute töötlemise eksklusiivne režiim - juurdepääs objektile on lubatud, kui see on kasutajale lubatud);
Juurdepääsuõiguste kombineeritud piiritlemine - protsessiobjektide juurdepääsuõiguste piiritlemine kasutaja piiritlemise raames (juurdepääs objektile on lubatud, kui see on lubatud nii kasutajale kui protsessile).
Seega saab juurdepääsusubjektina käsitleda kas ainult kasutajat või ainult protsessi või “paari” – protsessi ja kasutajat.
Näitena vaatleme näidet piiravast juurdepääsupoliitikast objektide failidele Interneti-rakendused Explorer, esitatud joonisel 2 (piirang on määratud mehhanismi liideses, mis kontrollib protsesside juurdepääsu kontrollimise mehhanismi Pantsir-K CSZI-st Windows 2000/XP/2003 jaoks, mis ei ole seotud subjekti juurdepääsu äritegevusega ressurssidele. kujutab endast ressursile juurdepääsu piiritleva poliitika rakendamist).
Joonis 2. Näide rakenduse objektide failile juurdepääsu piiravast poliitikast Internet Explorer
Vaadake neid eristusi tähelepanelikult. Mida saab ründaja teha, kui ta saab selle protsessi kuidagi kontrolli alla? See on väga tõsine turvatööriist, mis pakub põhimõtteliselt uusi funktsioone, mida me täiendavatelt turvatööriistadelt nõuame. Pange tähele, et kriitiliste protsesside juurdepääsuõiguste asjakohane piiritlemine tuleb määrata ka OS-i registriobjektidele.
Ja pidevalt avastati vigu kontoris ja muudes rakendustes. Minimeerime ka programmeerimisvigadega kaasnevat ohtu.
Seadistame oma kaitsemehhanismi ja hindame selle haldamise keerukust järgmiste eelduste alusel:
1...Operatsioonisüsteem - Microsoft Windows XP;
2...Arvestatud on kontorirakendustega – Microsoft Office Word 2003, Microsoft Office Excel 2003, Microsoft Office Outlook 2003;
3...Operatsioonisüsteem on installitud draivile C;
4...Kõik rakendused on installitud kataloogi C:Program files;
5...Teabetöötlus toimub Kasutaja 1 konto all;
6...Kasutaja poolt töödeldavate andmete salvestamiseks kasutatakse kataloogi C:OOD1.
Kaitstud süsteemiressursid hõlmavad C:Windowsi ja C:Programmi failikatalooge ning registriobjekti HKEY_LOCAL_MACHINE.
Vaadeldavate protsesside ühtne piiritlemine kontorirakendused on toodud tabelis 1.
Vaadake neid erinevusi, et tagada kõnealuste rakenduste korrektne toimimine. Las nad leiavad rakendustes programmeerimisvead - oleme valmis, saame täiendava turvameetme abil nende tagajärgi minimeerida, suurendades seeläbi arvuti turvalisuse taset. Ja eristused on nii lihtsad – liideses on mõned kirjed (kui liides on muidugi loodud ettevõtte rakendustes turbemehhanismi kasutamiseks). Millisest veast ja millises rakenduses saame lähitulevikus teada? Ilma täiendava abinõuta oleme lihtsalt kaitsetud. Lõppude lõpuks leiab kõigepealt vea üles ründaja, seejärel saab sellest teada arendaja, kuid reeglina saame sellistest vigadest teada pärast nende parandamist, mõnikord kulub selleks mitu kuud ja mõnikord mitu aastat.
Paljude kaasaegsete üldotstarbeliste operatsioonisüsteemide turvalisusel on väga tõsiseid arhitektuurilisi vigu. Üks silmatorkavamaid puudusi on suutmatus keelata süsteemi kasutajal süsteemikettale kirjutamist, pakkudes samal ajal võimalust käivitada rakendusi süsteemiõigustega. Näeme, et sellise rakenduse viga võib viia katastroofiliste tagajärgedeni. Kas sarnast kaitseprobleemi on võimalik lahendada (see arhitektuurne viga parandada) lisavahendiga? Kindlasti.
Seda arvesse võttes saab sõnastada infoturbe lisatööriista tähtsuselt järgmise ülesande - selleks on arhitektuursete puudujääkide parandamine kaasaegsete universaalsete operatsioonisüsteemide kaitsel.
Kommentaariks märgime, et kaasaegsete universaalsete operatsioonisüsteemide kaitse arhitektuuriliste puudujääkide tuvastamine polegi nii keeruline, piisab edukate rünnakute põhjuste analüüsimisest ja operatsioonisüsteemi haavatavuse põhjuste väljaselgitamisest.
Jätkame. Kasutagem võimalust rakendada protsessi subjekti jaoks ressurssidele juurdepääsu piiravat poliitikat. Samal ajal püüame lahendada veel ühe seonduva kaitseprobleemi – tagame suletud täitmiskeskkonna. Kaitsemehhanismi seadistamise näide on näidatud joonisel 3.
Joonis 3. Näide kaitsemehhanismi seadistamisest
Mõelgem, mida me selliste sätetega saame - mis tahes protsessil (juurdepääsu subjekt on protsess, mis on määratud maskiga “*”) on lubatud protsesse käivitada ainult süsteemiketta kahest vastavast kaustast, samas kui igasugune võimalus on keelatud (jällegi , mis tahes protsessiga, sealhulgas ja süsteem) nende kaustade muutmine. Need. Volitamata käivitatava faili käivitamine muutub põhimõtteliselt võimatuks. Kas see pole mitte lahendus enamikule tänapäeva pakilisematele infoturbeprobleemidele? Jah, laske oma arvutil olla "täidis" pahatahtlik kood- ärakasutavad, hävitavad ja nuhkvaraprogrammid, troojalased, viirused (siin peame silmas viiruseid - programme, mis on loodud käivitatavate programmide käivitatava koodi muutmiseks), seda on võimatu mingil viisil käivitada!
Spetsialist, kes kujutab ette Windowsi perekonna kaasaegsete operatsioonisüsteemide arhitektuuri, vaidleb meile aga vastu - selliste seadetega süsteem ei tööta, näeme “sinist ekraani”! Kahjuks on tal õigus. Selliste seadistustega süsteem ei tööta, vaja on täpsemaid seadistusi. Fakt on see, et mõned süsteemi protsessid peab olema süsteemikettal vastavatele failiobjektidele kirjutamisõigus. Neid pole palju. Sellised protsessid võivad hõlmata näiteks: lsass.exe ja svchost.exe.
See määrab süsteemi ketta muutmise keelamise võimatuse süsteemikasutajate (eriti Süsteemi) poolt ja sellest tulenevalt kõiki süsteemiprotsesse, aga ka muid selle konto all töötavaid protsesse (muidu näeme sinist ekraani - need süsteemiprotsessid vajavad süsteemikettale kirjutamisõigust). See on tulemus - igasugune vastutegevus rünnetele, mis on seotud haavatavustega, mis annavad ründajale võimaluse saada süsteemiõigused - kirjutage eksikombinatsioon süsteemikettale ja käivitage see!
Süsteemi ja kontorirakenduste korrektse toimimise tagamiseks määratud seadistustega (vt joonis 3) on vaja kehtestada kõige lihtsamad lisapiirangud vaid kahe süsteemiprotsessi jaoks: protsessil lsass.exe tuleb lubada kirjutada/lugeda kausta F:XPSystem32CONFIG ja protsessi svchost.exe peate lubama kausta F:XPSystem32WBEM ja faili F:XPWindowsupdate.log kirjutamise/lugemise. See on kõik! Pange tähele, et see ei too kaasa turbetaseme langust, sest neil süsteemiprotsessidel pole kasutajaliides, kuid neid on võimatu muuta. Vaadake, vaid mõne kirjega täiendava turvatööriista liideses oleme parandanud OS-i kaitse ühe kõige tõsisema arhitektuurilise vea ja rakendanud tõhusaid vastumeetmeid tänapäeva kõige pakilisematele ohtudele, mis on seotud võimalusega käivitada volitamata programmi kaitstud seadmel. arvuti.
Järeldus
Kokkuvõtteks märgime, et selles töös püüdsime määrata ülesandeid, mida täiendav kaitsevahend lahendama peaks ning otsustasime ka selle eesmärgi üle. Ja eelkõige on eesmärk muuta tänapäevastele universaalsetele operatsioonisüsteemidele omaseid tegelikke kaitsepõhimõtteid. Loomulikult tuleb täiendava tööriista kaalutud probleemide õigeks lahendamiseks selgelt sõnastada vastavad nõuded kaitsemehhanismide rakendamisele ja nende komplektile. See on aga iseseisev küsimus, mis väljub käesoleva töö raamest. Pange tähele, et selles töös oleme esitanud vaid mõned illustratsioonid täiendavate kaitsevahendite võimaluste kohta. Kui kõige öeldu seisukohast vaadelda mõne tänapäeval turul oleva kaitsevahendi – SZI NSD vastu – funktsionaalsust, esitate tahtmatult küsimuse: mis on nende eesmärk, mis eesmärgil need on loodud. ? Tõenäoliselt võib NSD selliste infoturbesüsteemide osas osaliselt nõustuda seisukohaga: "pole vaja paigaldada täiendavaid sertifitseeritud "ülekattega" infoturbe vahendeid. Kuid on ka teisi täiendavaid teabekaitsevahendeid, erineva funktsionaalsusega ja sertifitseeritud, mis on mõeldud kaitse tõhususe suurendamiseks, mille taset paljude kaasaegsete universaalsete operatsioonisüsteemide jaoks ei saa pidada vastuvõetavaks.
VALIK 1
A. tahtmatud kasutajavead
c. häkkerite rünnak
A. kasutajaõiguste määramine toimingute jaoks failide ja kataloogidega
b. kasutajaõigustest sõltumatute failide ja kataloogide atribuutide seadistamine
c. õiget vastust pole
3. Tegevusoht, mis on suunatud teaberessursside volitamata kasutamisele, mõjutamata selle toimimist – ... oht:
a. aktiivne
B. passiivne
C. õiget vastust pole
4. Tahtlik ohustamine infoturbele:
A. vargus
b. üleujutus
c. ülekandekaabli kahjustus ilmastikutingimuste tõttu
arendaja viga
5. Teabekaitse on:
b. teabe ümberkujundamine, mille tulemusena muutub teabe sisu juurdepääsuta subjektile arusaamatuks;
6. Peamised tahtmatud inimtegevusest tingitud ohud on järgmised:
a. seadmete ja sideliinide elektromagnetilise, akustilise ja muu külgkiirguse pealtkuulamine;
b. sidekanalite tahtmatu kahjustamine;
c. süsteemi füüsiline hävitamine plahvatuse, süütamise jms teel.
7. Tagasiside olemasolu põhjal jaotatakse kaugrünnakud järgmisteks osadeks:
a. tingimuslik ja tingimusteta;
b. rünnakud tagasisidega ja ilma;
c. segmentidevaheline ja segmentidevaheline;
8. Viirusetõrje kontrollib faile, RAM-i ja ketaste alglaadimissektoreid viirusemaskide tuvastamiseks.
a. arst;
b. skanner;
c. valvur
9. Viirusetõrjedoktor:
a. leiab viirustega nakatunud failid ja eemaldab failist viiruse keha, tagastades failid algsesse olekusse;
b. skannib faile, RAM-i ja ketaste alglaadimissektoreid viirusmaskide olemasolu suhtes;
c. tuvastab viirustele iseloomulikud kahtlased toimingud arvuti töö ajal.
10. Infoturbe tuvastamise ja autentimise meetod on:
a. juurdepääsu kontroll sisepaigaldistele, sideliinidele ja tehnoloogilistele kontrollidele;
b. teabe osadeks jagamine ja sellele juurdepääsu korraldamine ametnikele vastavalt nende funktsionaalsetele kohustustele ja volitustele;
c. kontrollides, kas kontrollitav objekt (subjekt) on see, kes ta väidab end olevat.
11. Vastavalt Venemaa õigusaktide normidele on teabekaitse õiguslike, organisatsiooniliste ja tehniliste meetmete vastuvõtmine, mille eesmärk on ...
A. teabe kaitse tagamine volitamata juurdepääsu, hävitamise, muutmise, blokeerimise, kopeerimise, edastamise, levitamise, samuti muude sellise teabega seotud ebaseaduslike toimingute eest
b. rahvusvahelise õiguse järgimine infoturbe valdkonnas
c. meetodite arendamine ja infoturbe vahendite täiustamine
12. Infokompromissi olemus:
a. andmebaasis muudatuste tegemine, mille tulemusena kaotatakse kasutajalt juurdepääs teabele
b. loata juurdepääs sidekanalite kaudu edastatud teabele ja edastatud sõnumite sisu hävitamine
C. volitamata muudatuste tegemine andmebaasis, mille tulemusena on tarbija sunnitud sellest kas loobuma või tegema täiendavaid jõupingutusi muudatuste tuvastamiseks ja tõese teabe taastamiseks
13. Automatiseeritud süsteemi infoturve on automatiseeritud süsteemi olek, milles see, ...
A. ühelt poolt on see võimeline vastu pidama väliste ja sisemiste infoohtude mõjudele ning teisalt ei tekita selle olemasolu ja toimimine infoohte süsteemi enda elementidele ja väliskeskkonnale
b. suuteline vastu pidama ainult infoohtudele, nii välistele kui ka sisemistele
c. suudab taluda ainult väliseid infoohtusid
14. Põhiline erinevus tulemüüride (FW) ja ründetuvastussüsteemide (IDS) vahel:
a. ME-d olid mõeldud aktiivseks või passiivseks tuvastamiseks, samas kui IDS olid mõeldud aktiivseks või passiivseks kaitseks.
b. ME-d olid mõeldud aktiivseks või passiivseks kaitseks ja IDS-id aktiivseks või passiivseks tuvastamiseks
c. ME-d tegutsevad ainult võrgu tasemel, samas kui IDS-id ka füüsilisel tasandil
15. Arvutivõrgus kaughalduse ohu all mõistetakse ohtu...
a. agressiivse programmikoodi rakendamine veebilehtede aktiivsetes objektides
b. andmete pealtkuulamine või asendamine transpordimarsruutidel
C. kaugarvuti volitamata juhtimine
16. Ei kehti teabekaitse vormide kohta...
A. analüütiline
b. seaduslik
c. organisatsiooniline ja tehniline
17. Krüpteerimine permutatsioonimeetodil:
a. krüpteeritud teksti märgid lisatakse järjestikku mõne erijärjestuse tähemärkidele;
b. krüpteerimine seisneb maatriksi algse vektoriga korrutamise tulemusena uue vektori saamises;
c. krüptitud teksti sümbolid liiguvad selle teksti krüpteeritud plokis teatud reeglite järgi;
18. Juurdepääs teabele on:
a. teabe kogumise, kogumise, töötlemise, salvestamise, levitamise ja hankimise protsess;
b. uuritavale võimaluse saamine teabega tutvumiseks, sealhulgas tehniliste vahendite abil;
c. tegevused teabelekke, sellele loata ja tahtmatute mõjude vältimiseks.
19. Infoturbe kolm komponenti:
a. kättesaadavus, terviklikkus, konfidentsiaalsus
b. puutumatus, terviklikkus, stabiilsus
c. avalikkus, juurdepääsetavus, turvalisus
d. salajane, turvaline, krüpteeritud
20. Milline standard määratleb infoturbe juhtimise nõuded?
a. GOST R 15408
b. GOST ISO/IEC 27001
c. GOST ISO/IEC 17799
d. sellist standardit pole
a. ärisaladusena
b. nagu leiutis
c. viisina
d. kui kirjandusteos
22. Tuvastatud riskide käsitlemise meetodid hõlmavad järgmist:
a. kõrvalehoidmine, vastutegevus, üleandmine, utiliseerimine
b. kõrvalehoidmine, kohandamine, üleandmine, utiliseerimine
c. kõrvalehoidmine, vastutegevus, kindlustamine, vabastamine
d. vältimine, vastandamine, üleandmine, aktsepteerimine
Kes vastutab selle eest, milliseid ressursse ettevõttes kaitsta?
a. peal tippjuhtkond
b. keskastme juhtide jaoks
c. lihttöölistele
d. infoturbe teenuse jaoks
Kas ettevõtte infosüsteemi administraator võib anda vastutuse ja volitused infoturbe eest teenusepakkujale?
b. volitus - ei, vastutus - jah
c. volitus - jah, vastutus - ei
Kas MAC-aadressi on võimalik muuta? võrgukaart arvuti?
b. jah, kuid see nõuab riistvara muutmist
Kas kasutaja HTTP-liiklust vaadates on võimalik teada saada selle kasutaja parool veebisaidile juurdepääsuks?
a. jah, alati
c. jah, ainult siis, kui koos parooliga kasutatakse küpsiseid
d. jah, kui kasutate Internet Exploreri brauserit
Kasutaja kustutas kogemata faili serveri jagatud kaustast. Kuidas ma saan selle taastada?
a. kasutaja arvuti prügikastist
b. administraator saab faili taastada serveri prügikastist
c. avatud jagatud kaust kasutades Explorerit ja käivitage menüüst "Redigeerimine" käsk "Taasta".
d. administraator saab faili taastada viimasest varukoopiast
Milliseid meetodeid kasutatakse polümorfsete viiruste tuvastamiseks?
a. kasutades allkirja
b. kasutades polümorfset viirusetõrjet
c. demorfiseerimismeetodid
d. heuristilised meetodid ja koodiemulaatorid
Millises riigis on Interneti-juurdepääs kõigile kodanikele täielikult keelatud?
a. Vietnam
c. sellist riiki pole olemas
Mis on DoS-rünnak?
a. rünnak, mis on suunatud MS-DOS-i haavatavustele
b. rünnak viiakse tavaliselt läbi MS-DOS-i või PC-DOS-i abil
c. teenuse keelamise rünnak
d. hajutatud rünnak
40. Milline venekeelsetest terminitest, mis vastab ingliskeelsele "tulemüürile", on ametlik?
a. tulemüür
b. tulemüür
c. tulemüür
d. võrgufilter
2. VARIANT
1. Peamised ohud teabe konfidentsiaalsusele:
a. karneval
b.ümbersuunamine
C. maskeraad
a. tähed P ringis või sulgudes
c. mitte alati
4. Kõige tõhusam vahend võrgurünnakute eest kaitsmiseks
viirusetõrjeprogrammide kasutamine:
a. ainult "usaldusväärsete" veebisaitide külastamine
B. Oranž raamat
c. Info, infotehnoloogia ja infokaitse seadus
8. Infoleke on...
VALIK 1
1. Peamised ohud teabe kättesaadavusele:
a. kasutaja tahtmatud vead
b. andmete pahatahtlik muutmine
c. häkkerite rünnak
2. Failisüsteemi objektide kaitse tööriistad põhinevad...
Failisüsteemi kaitse
Selge see suurimat tähelepanu Operatsioonisüsteemi kaitsmise probleemi puhul tuleks tähelepanu pöörata failisüsteemi kaitsmisele.
UNIX-i failisüsteemil on puustruktuur. Otsese juurdepääsu maht on jagatud mitmeks piirkonnaks:
alglaadur;
superplokk;
inode piirkond;
failiala;
ala, mida failisüsteemi jaoks ei kasutata (nt ala
protsesside mahalaadimiseks).
Superplokk koosneb järgmistest väljadest:
failisüsteemi suurus;
vabade plokkide arv failisüsteemis;
failisüsteemis saadaolevate tasuta plokkide loendi päis;
järgmise elemendi number vabade plokkide loendis;
indeksi ala suurus;
vabade indeksite arv failisüsteemis;
failisüsteemi tasuta indeksite loend;
järgmine vaba indeks vabade indeksite loendis;
lukustatud väljad tasuta ja tasuta plokkide loendi jaoks
indeksid; "lipp, mis näitab, et superplokis on tehtud muudatusi.
Paigaldamisel ( mount käsk). Failisüsteemi salvestatud andmete järjepidevuse tagamiseks kirjutab kernel perioodiliselt (iga 30 sekundi järel) kettale superploki (sünkroonimissüsteemi kutse, mis käivitati SCO UNIX-i värskendusprotsessist).
Igal UNIX-süsteemi failil on kordumatu indeks. Indeks on juhtplokk. Kirjanduses nimetatakse seda ka inoodiks, i-sõlmeks või i-sõlmeks. Indeks sisaldab teavet, mida failile juurde pääsemiseks vajab mis tahes protsess, näiteks faili omandiõigus, faili õigused, faili suurus ja failiandmete asukoht failisüsteemis. Töötleb juurdepääsu failidele, kasutades täpselt määratletud süsteemikutsete komplekti ja identifitseerides faili märgijadaga, mis toimib kvalifitseeritud failinimena. Iga liitnimi identifitseerib unikaalselt faili, mistõttu kernel teisendab nime failiindeksiks.
Indeksid eksisteerivad kettal staatilisel kujul ja kernel loeb need enne nendega töötamist mällu. Indeksid sisaldavad järgmisi välju.
1. Faili omaniku ID ja rühma ID.
2. Faili tüüp. Fail võib olla tavaline failitüüp, kataloog, spetsiaalne fail (vastab sisend-/väljundseadmetele tähemärkide või plokkidena või abstraktne kanalifail, mis korraldab päringute teenindamise järjekorras esimene sisse, esimene välja).
3. Failide õigused. Failiõigused jagunevad üksikomaniku, failiomanikku hõlmava kasutajarühma ja kõigi teiste vahel. Superkasutajal (kasutaja nimega root) on juurdepääsuõigused kõikidele süsteemi failidele. Igale kasutajaklassile on määratud teatud õigused faili lugemiseks, kirjutamiseks ja täitmiseks, mis määratakse individuaalselt. Kuna katalooge failidena ei saa käivitada, tõlgendatakse täitmisõigust antud juhul kui õigust otsida kataloogist failinime järgi ja kirjutamisõigust kui õigust selles faile luua ja hävitada.
4. Failiga töötamist iseloomustavad ajutised andmed: sisestamise aeg viimased muudatused failile, failile viimase juurdepääsu aeg, indeksi viimaste muudatuste aeg.
5. Indeksviitade arv, mis näitab failinimede arvu, mis viitavad antud failile.
6. Kettaplokkide aadresside tabel, milles failiteave asub. Kuigi kasutajad käsitlevad failis olevat teavet loogilise baitide voona, korraldab kernel need andmed mittekülgnevates kettaplokkides.
7. Faili suurus baitides.
Pange tähele, et register ei sisalda failile juurdepääsuks vajalikku kvalifitseeritud failinime.
Faili sisu muutub ainult siis, kui faili kirjutatakse. Indeksi sisu muutub, kui muutuvad nii faili sisu kui ka faili omanik, juurdepääsuõigused jne. Faili sisu muutmine põhjustab automaatselt indeksi korrigeerimise, kuid indeksi kohandamine ei tähenda faili sisu muutmist.
Faili avamisel kopeeritakse register mällu ja kirjutatakse tagasi kettale, kui viimane faili kasutav protsess selle sulgeb. Lisaks ketta indeksi väljadele sisaldab indeksi mälus olev koopia järgmisi välju.
1. Indeksi olek mälus, mis peegeldab:
Kas register on lukus?
Kas mõni protsess ootab, et lukk indeksist vabastataks;
Kas indeksi mälusisene esitus erineb ketta vastest indeksi sisu muutmise tõttu;
Kas indeksi mälusisene esitus erineb selle ketta vastest faili sisu muutmise tõttu;
Kas failikursor on alguses.
2. Faili sisaldava failisüsteemi loogiline seadme number.
3. Indeksinumber. Kuna kettaindeksid salvestatakse lineaarses massiivis, tuvastab tuum ketta indeksi numbri selle asukoha järgi massiivis. Seda välja pole kettaregistris vaja.
4. Osutajad teistele mälus olevatele indeksitele.
5. Linkide loendur, mis vastab faili aktiivsete (avatud) koopiate arvule.
Paljud indeksi koopia väljad, mida kernel mälus töötab, on sarnased puhvri päise väljadega ja indeksite haldamine puhvrite haldamisega. Samuti on indeks lukus, takistades teistel protsessidel sellele juurdepääsu. Need protsessid seavad indeksisse spetsiaalse lipu, mis näitab, et indeksile juurde pääsevad protsessid peaksid täitmist jätkama niipea, kui lukk vabastatakse. Seades muid lippe, märgib kernel lahknevuse ketta indeksi ja selle mälukoopia vahel. Kui kernel peab faili või indeksi muudatusi kirjutama, kirjutab see indeksi koopia mälust kettale alles pärast nende lippude kontrollimist.
Kataloogid (kataloogid) on failid, millest on üles ehitatud failisüsteemi hierarhiline struktuur. Nad mängivad oluline roll failinime muutmisel indeksinumbriks. Kataloog on fail, mille sisu on kirjete komplekt, mis koosneb kataloogis sisalduvast indeksi numbrist ja failinimest. Kvalifitseeritud nimi on tähemärkide jada, mis lõpeb tühja märgiga ja eraldatakse kaldkriipsuga (T) mitmeks komponendiks. Iga komponent peale viimase peab olema kataloogi nimi, kuid viimane komponent võib olla ka faili nimi, mis ei ole kataloog. Juurkataloogi nimi on "/". UNIX OS-is on iga komponendi pikkus 14 tähemärki. Seega koos indeksinumbri jaoks eraldatud 2 baidiga on kataloogikirje suurus tavaliselt 16 baiti.
Traditsiooniliselt vastutavad UNIX OS-i failisüsteemides igat tüüpi failidele (failid, kataloogid ja erifailid) juurdepääsu eest 9 bitti, mis on salvestatud i-sõlme. Esimene 3-bitine rühm määrab failile juurdepääsuõigused selle omanikule, teine - omanikurühma liikmetele, kolmas - kõigile teistele kasutajatele.
Näiteks faili õigused "rwxr-xr-" tähendab, et faili omanikul on täielik juurdepääs, grupi liikmetel on lugemis- ja käivitamisvõimalus, kõigil teistel on võimalus ainult antud faili lugeda. Kataloogi puhul tähendab täitmisbiti "x" määramine, et sellest kataloogist on võimalik faile otsida (ekstraktida).
See failikaitsesüsteem on eksisteerinud pikka aega ja ei tekita kaebusi. Tõepoolest, selleks, et käsitsi, s.t. pole kasutatud
kasutades süsteemikutseid ja käske failiõiguste muutmiseks, peaks teil olema juurdepääs i-node alale. i-sõlme alale juurdepääsu saamiseks tuleb muuta erifaili õigusi (näiteks /dev/root), mille juurdepääsubitid on samuti salvestatud i-node alale. Teisisõnu, kui te kogemata või tahtlikult ei riku installimise ajal vaikimisi (tavaliselt õigesti) seatud juurdepääsuõigusi kõigile süsteemifailidele, siis on süsteemi turvalisus suure tõenäosusega tagatud.
UNIX OS-i disainipõhimõtete kohaselt on vajalik ka neljas bitt, mis määrab täitmisfaili täitmise õigused. Neljandat bitti tõlgendatakse kõige üldisemal juhul kasutaja ID muutmise võimalusena. Selle tähendus varieerub sõltuvalt sellest, millisesse juurdepääsubittide rühma see on installitud. Kui neljas bitt on määratud omanikuõiguste bitirühmas (setuid), siis see programm käivitatakse iga kasutaja jaoks, kellel on selle faili omaniku õigused.
Selliseid käske on igas UNIX-süsteemis palju. Triviaalne näide registreerimata faili kasutamisest setuid bitikomplektiga on järgmine:
Kui ründaja on kasutaja parooli teada saanud, loob selle koopia käsu tõlk oma kodukataloogis või mujal, kus seda ei tuvastata, näiteks sügavas puus failis /usr/tmp (pange tähele, et rekursiivse puu töö sügavus on väga piiratud, mis SCO UNIXi puhul on ligikaudu 15);
Teeb faili omanikust teise kasutaja ja määrab tema õigused bitile setuid;
Kuni selle faili hävitamiseni kasutab ründaja teise kasutaja õigusi.
Selles näites on ilmne, et kui ründaja saab korra kogemata teada superkasutaja parooli, on tal täielikud õigused. Seetõttu on vaja regulaarselt kontrollida kõiki failisüsteeme registreerimata failide suhtes, mille bitt on seatud setuid.
Kui neljas bitt on määratud rühmaliikme juurdepääsuõiguste bitis (setgid), käivitatakse see programm iga kasutaja jaoks, kellel on selle faili rühmaliikmete õigused.
Setgid bitti kasutatakse UNIX süsteemides palju harvemini kui setuid bitti, kuid kõik see, mis on öeldud, on suhteline võimalikud ohud kui setuid bitt on seatud, kehtib sama ka setgid biti kohta. Kui bitt setgid on määratud kataloogi jaoks, tähendab see, et kõigi kasutaja poolt selles kataloogis loodud failide puhul määratakse grupi ID-ks kataloogi ID.
Kui neljas bitt on määratud kõigi teiste kasutajate lubade bittide rühmas (kleepuv bitt), annab see operatsioonisüsteemile käsu teha käivitatavast failist spetsiaalne tekstikujutis. Tänapäeval ei kasutata kleepuvat bitti tavaliselt käivitatava faili jaoks. Seda kasutatakse ainult kataloogide jaoks. Selle määramine kataloogi jaoks tähendab, et kasutajatel ei ole lubatud selles kataloogis teiste kasutajate faile kustutada ega ümber nimetada.
See on vajalik eelkõige kataloogide /tmp ja /usr/tmp jaoks, et üks kasutaja ei saaks kogemata või tahtlikult teise kasutaja tööd kahjustada. Tuletame meelde, et kõige levinum viga, mida administraator teeb, on keskkonnamuutuja PATH seadmine praeguse kataloogi väärtusele, mida tehakse mugavuse huvides, et mitte tippida sümboleid ".G" iga käsu ette praeguses kataloogis. Kõige hullem on see, kui see väärtus on määratud alguses Näiteks PATH= .:/bin:/usr/bin:/jne Sel juhul piisab, kui ründaja paigutab oma pildid kõige tavalisematest käske (Is, ps jne) kataloogis /tmp või /usr/tmp – ja kahjutu käskude jada (nt cd /tmp; Is) tippimise tagajärgi on raske ennustada. Tavaliselt on vaikeväärtus kataloogis keskkonna muutuja PATH praegune kataloog ei ole määratud. Samamoodi võivad katsed käivitada tundmatuid, mis võivad süsteemile halvasti mõjuda. kasutajaprogrammid oma kodust või üldkataloogidest.
Ainult administraator saab määrata kataloogi kleepuva biti. Ilmselgelt saab ta selles kataloogis ka iga kasutaja faile kustutada. Süsteemi töökindluse suurendamiseks peaksite kõigi levinud kataloogide jaoks määrama kleepuvad bitid.
Infoturbesüsteemi juurutamise oluline omadus on setuid, setgid ja kleepuvate bittide tühjendamine failide jaoks, kuhu kirjutatakse. Sel juhul tehakse bitipuhastus isegi failidele, kui nendesse on salvestatud omanik. Kataloogide loetletud bitte ei kustutata.
Mõned UNIX-süsteemid (nt Solaris) pakuvad juurdepääsukontrolliloendite abil failide õiguste haldamiseks lisavõimalusi. See mehhanism võimaldab määrata igale kasutajale või eraldi rühmale individuaalsed juurdepääsuõigused antud failile. Sellisel juhul salvestavad juurdepääsuloendid kõik süsteem tähendab kopeerimine ja arhiveerimine. Ei saa öelda, et selle mehhanismi kasutuselevõtt parandab oluliselt failikaitset. Siiski pakub see failiõiguste konfigureerimisel teatud paindlikkust.
Eraldi peaksite kaaluma süsteemimuutuja umask väärtust. Selle abil määratakse faili loomisel vaikimisi juurdepääsuõigused. Muutuja umask väärtus määrab, millised bitid maskeeritakse. Näiteks SCO UNIXis on muutuja umask vaikeväärtus 022. See tähendab, et iga loodud faili vaikeõigused on seatud väärtusele "rwxr-xr-x". Kui umask muutuja väärtust mingil põhjusel muudetakse, võib see kaasa tuua ettearvamatuid tagajärgi. Seetõttu peab iga kasutaja algfailis (.profile või .cshrc jne) selgelt määrama umask-muutuja väärtuse.
See õpetus ei hõlma võimalust sulgeda faile käsuga crypt, mis rakendab andmete krüptimise standardit (DES), kuna süsteemi käsk Venemaale ei tarnita.
Tähtsust on vaja rõhutada õige paigaldus juurdepääsuõigused erifailidele. Tuleb meeles pidada, et sama füüsiline seade Spetsiaalseid faile võib olla mitu (olenevalt juurdepääsumeetodist). Näiteks /dev/root ja /dev/rroot.
Teistest süsteemidest andmete importimisel tuleks tähelepanu pöörata infoturbe tagamisele. Kõige tavalisemal juhul lähtestavad arhiiviprogrammid failidele juurdepääsu režiimid, mis võivad mõjutada süsteemi turvalisust. Arhiiviprogrammide versioonide ja nende juurutuste arv erinevates UNIX-süsteemides on aga üsna märkimisväärne. Näiteks mõned tar-käsu versioonid toetavad suvandeid, mis ei muuda faili omanikku ja rühma. Mõned UNIX-süsteemid võimaldavad kopeerida spetsiaalseid faile, kasutades käsku tar, teised aga mitte. Kasutage käsku cpio eriti ettevaatlikult, kuna see võib teha failidest koopiaid, säilitades samal ajal kõik bitid (setuid, setgid ja kleepuvad) ja failiõigused.
Teistes süsteemides loodud või töödeldud failisüsteemide ühendamisel võivad tekkida samad probleemid, mis imporditud failidega. Failisüsteemidega kaasnevad täiendavad probleemid. Esimene on see, et teisest süsteemist üle kantud failisüsteem võib olla kahjustatud. Möödaminnes pange tähele, et failisüsteemi loogikavead saab enne ühendamist parandada käsuga fsck. UNIX OS on palju halvem füüsilised ebaõnnestumised plaatidel. Mõlemal juhul võib defektse failisüsteemi paigaldamine põhjustada süsteemi krahhi, põhjustada imporditud failisüsteemi andmete edasist riknemist või kõrvalmõjude tõttu kahjustada teisi failisüsteeme.
Teine probleem imporditud failisüsteemidega võib tekkida seoses kehtestatud õigused pääseda juurde failidele ja kataloogidele, mis ei pruugi olla teie süsteemis lubatud. Sel juhul saate erinevate bittide (setuid, setgid, sticky) sätete tuvastamiseks kasutada vastavat käsku (näiteks ncheck for SCO). Otsimiseks valed sätted Imporditud failisüsteemis saab omaniku- ja rühmafailide jaoks pakkuda ainult käsitsi sirvimist.
Süsteemi terviklikkuse jälgimine
On teada, et süsteemi taastamise hind on suurem kui selle hoolduskulud. OS-i hoolduse ülesannete hulka kuulub eelkõige süsteemi terviklikkuse jälgimine. UNIX OS-is teostatakse süsteemi terviklikkuse kontrolli mitmete käskudega. Näiteks SCO UNIX-i terviklikkuse juhtimiseks ja säilitamiseks on süsteemikäskude põhiloend järgmine: terviklikkus, authck, fixmog, cps, tcbck, smmck, authckrc, fsck. Praktika näitab seda see komplekt käsud on üsna täidetud.
Tavaline toimingute jada pärast süsteemi rikke või muu kõrvalekalde ilmnemist on järgmine:
failisüsteemi kontroll;
Kontrolliaruande koostamine;
Autentimisandmebaasi kontrollimine;
Süsteemifailide õiguste kontrollimine.
Tuleb märkida, et süsteemi vahendid süsteemi terviklikkuse taastamiseks töötavad teatud piirini. Autorid viisid SCO UNIX versiooni 5.0 jaoks läbi järgmise katse:
Kõigile süsteemi failidele määrati omaniku juur;
Kõigil süsteemi failidel olid õigused seatud süsteemimuutuja umask vaikeväärtusele.
Nende toimingute tulemusena ei õnnestunud süsteemitööriistadel tavalisi juurdepääsuõigusi ja failiomanikke taastada. Sellisel katsel on oluline alus, näiteks süsteemi reprodutseerimine võrgu kaudu teistele arvutitele. Seetõttu on ainus viis süsteemi dubleerimiseks teistes arvutites kasutada käsku cpio. Samuti tuleb märkida, et SCO versioonis 3.2 ja versioonis 5.0 ei ühti mõne faili vaikeõigused ja omandiõigus süsteemi terviklikkuse andmebaasiga. Autorid ei ole uurinud nende ebakõlade mõju süsteemi turvalisusele ja terviklikkusele.
3. Auditi vahendid
Eeldame, et tegevust juhitakse, kui seda on võimalik kindlaks teha päris kasutaja kes selle läbi viis. Kui UNIX OS on kavandatud, ei saa mõnda tegevust põhimõtteliselt kontrollida tegelike kasutajatoimingute tasemel. Näiteks kasutajaeelarveid, nagu Ip, cron või uucp, kasutatakse anonüümselt ja nende tegevust saab tuvastada ainult süsteemiteabe muudatuste põhjal.
Juhtsüsteem fikseerib infoturbega seotud sündmused operatsioonisüsteemis, fikseerides need kontrolljäljele. Auditilogid võivad dokumenteerida süsteemi sissetungi ja ressursside väärkasutust. Juhtimine võimaldab teil vaadata kogutud andmeid, et uurida objektidele juurdepääsu tüüpe ning jälgida üksikute kasutajate tegevust ja nende protsesse. Jälgitakse katseid rikkuda turva- ja autoriseerimismehhanisme. Juhtimissüsteemi kasutamine annab kõrge aste garanteerib, et avastatakse katsed turvamehhanismidest mööda hiilida. Kuna infoturbega seotud sündmusi jälgitakse ja arvestatakse kuni nende tuvastamiseni konkreetne kasutaja, on juhtimissüsteem hoiatav kasutajate jaoks, kes üritavad süsteemi väärkasutada.
Usaldusväärsusnõuded nõuavad, et operatsioonisüsteem loob, hooldab ja kaitseb süsteemi juhitavatele objektidele juurdepääsuga seotud logiteabe logi. Sel juhul peaks olema võimalik registreerida järgmised sündmused:
Identifitseerimis- ja autentimismehhanismi kasutamine;
Objektide sisestamine kasutaja aadressiruumi (näiteks faili avamine);
objektide kustutamine;
Administraatorite tegevus;
Muud infoturvet mõjutavad sündmused.
Iga registreerimiskirje peab sisaldama järgmisi välju:
Sündmuse kuupäev ja kellaaeg;
Kasutaja ID;
Sündmuse tüüp;
Tegevuse tulemus.
Identifitseerimis- ja autentimissündmuste puhul logitakse ka seadme ID. Objektidega seotud toimingute jaoks registreeritakse objektide nimed.
SCO versioonis 5.0 toetatud jälgitavate sündmuste tüübid on loetletud tabelis. 1.
Juhtimissüsteem kasutab kasutaja toimingute klassifitseerimiseks süsteemikutseid ja utiliite, jagades need erinevat tüüpi sündmusteks. Näiteks kui toimub "DAC-i keelud" tüüpi sündmus (juurdepääsu keelamine valikulise juurdepääsukontrolli mehhanismi rakendamisel), salvestatakse katsed kasutada objekti, mida selle objekti õigused ei luba. Teisisõnu, kui kasutajaprotsess proovib kirjutada kirjutuskaitstud juurdepääsuga faili, kuvatakse sündmus, mille tüüp on "DAC keeldumine". Kui vaatate kontrolljälge, näete hõlpsasti korduvaid katseid pääseda juurde failidele, mille jaoks pole õigusi hankitud.
Kasutaja registreerimisidentifikaatori (LUID) olemasolu suurendab oluliselt kontrolli tõhusust. Pärast seda, kui kasutaja on identifitseerimis- ja autentimisprotseduurid lõpetanud, s.o. Otsene sisselogimine, igale kasutaja loodud protsessile määratakse kasutaja registreerimistunnus. See identifikaator püsib vaatamata üleminekule ühelt kasutajaeelarvelt teisele, kasutades selliseid käske nagu su.
Iga auditi protokoll, mille on genereerinud seiresüsteem, sisaldab iga protsessi jaoks registreerimistunnust koos tegelike ja tegelike kasutaja- ja grupitunnustega. Nii on võimalik kasutaja tegevustega arvestada.
Eraldi peaksime kaaluma juhtmehhanismi rakendamist tuumarežiimis töötamiseks. See mehhanism genereerib auditikirjeid, mis põhinevad kasutaja protsesside täitmisel, kasutades kerneli süsteemikutseid. Iga kerneli süsteemikutse sisaldab tabelis rida, mis näitab süsteemikõne seost infoturbe kontrolliga ja sündmuse tüüpi, millele see vastab.
Tabel 1
| Tüüp | Sisu |
| 1. Käivitamine/väljalülitamine | |
| 2.Logi sisse/välja | Edukas sisse- ja väljalogimine |
| 3. Töötle Loo/Kustuta | Protsessi loomine/hävitamine |
| 4. Tehke objekt kättesaadavaks | Tehke objekt juurdepääsetavaks (avage fail, avage sõnumid, avage semafor, ühendage failisüsteem jne) |
| 5. Kaardista objekt subjektiks | Kaardi objekt subjektiga (programmi täitmine) |
| 6.Objekti muutmine | Objekti muutmine (faili kirjutamine jne) |
| 7. Muutke objekt kättesaamatuks | Tehke objekt kättesaamatuks (sulgege fail, sulgege sõnum, sulgege semafor, eemaldage ühendus failisüsteem ja nii edasi.) |
| 8.Objekti loomine | Objekti loomine (faili/sõnumi/semafori loomine jne) |
| 9. Objekti kustutamine | Objekti kustutamine (faili/sõnumi/semafori jne kustutamine) |
| 10.DAC muudatused | Juurdepääsu kontrolli muutmine (failile, sõnumile, semaforile juurdepääsu muutmine, omaniku muutmine jne) |
| 11.DAC keeldumised | Juurdepääsu keelamine (juurdepääsuõiguste puudumine mis tahes objektile) |
| 12. Administraatori/operaatori toimingud | Toimingud (käsud) süsteemiadministraatorid ja operaatorid |
| 13. Ebapiisav volitus | Protsessid, mis üritavad ületada oma volitusi |
| 14. Ressursi keeldumine | Ressursirikked (vajalikud failid puuduvad, mälumahu ületamine jne) |
| 15.IPC funktsioonid | Signaalide ja sõnumite piserdamine protsessidele |
| 16. Protsessi muudatused | Protsessi muudatused (tõhusa protsessi identifikaatori, praeguse protsessi viite muutmine jne) |
| 17. Allsüsteemi sündmuste auditeerimine | Süsteemi sündmuste jälgimine (süsteemi jälgimise lubamine/keelamine ja seiresündmuste muutmine) |
| 18. Andmebaasi sündmused | Andmebaasisündmused (muudatused süsteemi turvalisuse ja terviklikkuse andmetes) |
| 19. Alamsüsteemi sündmused | Alamsüsteemi sündmused (kasutades kaitstud allsüsteeme) |
| 20. Volituse kasutamine | Privileegide kasutamine (toimingute juhtimine erinevate õiguste abil) |
Lisaks kasutatakse veakoodide tabelit süsteemikõnede liigitamiseks infoturbega seotud konkreetseteks sündmusteks.
Näiteks on avatud süsteemi kutse klassifitseeritud sündmuseks "Tee objekt kättesaadavaks". Kui kasutaja väljastab /unix-failis avatud süsteemikutse ja süsteemikõne õnnestub, luuakse selle sündmuse auditikirje. Kui aga avatud süsteemikutse nurjub, kuna kasutaja taotles süsteemikutses /unix-failile kirjutamisõigust ilma loata, klassifitseeritakse see toiming selle kasutaja ja objekti /unixi puhul sündmuseks Juurdepääs keelatud. Seetõttu saab süsteemikõne vastendada mitut tüüpi sündmustega, olenevalt kasutatavast objektist ja/või kõne tulemusest.
Mõned süsteemikõned ei ole infoturbega seotud. Näiteks süsteemikutse getpid hangib protsessi ID ja ei määra ühtegi turbega seotud sündmust. Seetõttu ei allu see süsteemikõne kontrollimisele.
Kerneli auditi mehhanism väljastab seadme draiverile sisekõne, et kirjutada kontrolljälje kirje. Pange tähele, et süsteem kirjutab juhtteabe otse kettale, ootamata RAM-i ja kettal olevate superplokkide sünkroonimist. Sellega saavutatakse täielik kaitse kontrolliteabe hävitamisest. Siiski tuleb meeles pidada, et kui kõik juhtimissündmused on lubatud ja kasutajad aktiivselt töötavad, võib salvestatava teabe maht ulatuda mitme megabaidini kasutaja kohta tunnis. Seetõttu ei tohiks kontrolli pidada ennetav meede, vaid ennetava meetmena.
