|
Критерии безопасности вычислительных системСуществует ряд основополагающих документов, в которых регламентированы основные подходы к проблеме информационной безопасности: · оранжевая (по цвету обложки) книга МО США [Department of Defense. Trusted Computer System Evaluation Criteria. 1993] · гармонизированные критерии европейских стран [Department of Trade and Industry. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France - Germany - the Netherlands - the United Kingdom. London. 1991] · руководящие документы Гостехкомиссии РФ (1992 г.) · рекомендации X.800 по защите распределенных систем [Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendations X.800. CCITT. Geneva. 1991] · федеральный закон «Об информации, информатизации и защите информации» и др. Основополагающие документы открыли путь к ранжированию информационных систем по степени надежности. Так, в Оранжевой книге определяется четыре уровня безопасности ¾ D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он пуст. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (C1, С2, В1, В2, ВЗ). Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1.Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять оговоренным требованиям. В качестве примера рассмотрим требования класса C2, которому удовлетворяют некоторые популярные ОС (Windows NT, отдельные реализации Unix и др.): · Каждый пользователь должен быть идентифицирован уникальным входным именем и паролем для входа в систему. Система должна быть в состоянии использовать эти уникальные идентификаторы, чтобы следить за действиями пользователя. · Операционная система должна защищать объекты от повторного использования. · Владелец ресурса (например, такого как файл) должен иметь возможность контролировать доступ к этому ресурсу. · Системный администратор должен иметь возможность учета всех событий, относящихся к безопасности. · Система должна защищать себя от внешнего влияния или навязывания, такого как модификация загруженной системы или системных файлов, хранимых на диске. Основополагающие документы содержат определения многих ключевых понятий связанных с информационной безопасностью. Так, например, важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на следующие вопросы: · Какую информацию защищать? · Какого рода атаки на безопасность системы могут быть предприняты? · Какие средства использовать для защиты каждого вида информации? В дальнейшем мы будем оперировать понятиями субъект и объект безопасности. Субъект безопасности - активная, а объект - пассивная системные составляющие, к которым применяется политика безопасности. Примерами субъектов могут служить пользователи и группы пользователей, а объектов - файлы, системные таблицы, принтер и т.п. Политика безопасности состоит в присвоении субъектам и объектам идентификаторов и фиксации набора правил, используемых для определения, имеет ли данный субъект авторизацию, достаточную для получения к данному объекту данного типа доступа. Формируя политику безопасности необходимо учитывать несколько базовых принципов, впервые сформулированных Saltzer и Schroeder (1975) при проектировании и разработке ОС MULTICS: · Проектирование системы должно быть открытым. Считается, что нарушитель и так все знает (криптографические алгоритмы открыты). · Не должно быть доступа по умолчанию. Ошибки с отклонением легитимного доступа могут быть выявлены скорее, чем ошибки, там, где разрешен неавторизованный доступ · Тщательно проверять текущие привилегии. Так, многие системе проверяют привилегии доступа при открытии файла и не делают этого после. В результате пользователь может открыть файл и держать его открытым в течение недели и иметь к нему доступ, хотя владелец уже сменил защиту. · Давать каждому процессу минимум возможных привилегий. · Физиологическая приемлемость. Если пользователь видит, что защита требует слишком много усилий, он от нее откажется. · Принцип комплексного подхода, баланс надежности защиты всех уровней · Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение Приведенные соображения показывают необходимость продумывания и встраивания защитных механизмов на ранних стадиях проектирования системы. Защитные механизмы должны быть просты, постоянны и встроены в нижний слой системы, это не аддитивные добавки. (Известно много неудачных попыток улучшения защиты слабо приспособленной для этого ОС MS-DOS). Проблемы безопасности операционных систем Рассмотрим систему защиты в операционных систем. Ее основными задачами являются идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит самой системы. Идентификация и аутентификация Обычно каждый пользователь в системе имеет уникальный идентификатор. Идентификаторы пользователей применяются с теми же целями, что и идентификаторы любых других объектов, файлов, процессов. Идентификация заключается в сообщении пользователем своего идентификатора. Для того чтобы установить, что пользователь именно тот, за кого себя выдает, то есть что именно ему принадлежит введенный идентификатор, в информационных системах предусмотрена процедура аутентификации (authentication, опознавание, в переводе с латинского означает установление подлинности), задача которой - предотвращение доступа к системе нежелательных лиц. Обычно аутентификация базируется на одном или нескольких из следующих трех пунктов: · то, чем пользователь владеет (ключ или магнитная карта), · то, что пользователь знает (пароль), · атрибуты пользователя (отпечатки пальцев, подпись, голос). Считается, что чем больше вышеуказанных пунктов вовлечено в процесс аутентификации, тем выше защищенность системы. Пароли, уязвимость паролей Наиболее простой подход к аутентификации - использование пользовательского пароля. Когда пользователь идентифицирует себя при помощи уникального идентификатора или имени, у него запрашивается пароль. Если пароль, сообщенный пользователем, совпадает с паролем, хранимым в системе, система предполагает, что пользователь легитимен. Пароли часто используются для защиты объектов в компьютерной системе в отсутствие более сложных схем защиты. Проблемы паролей связаны с трудностью хранить пароль в секрете. Пароли могут быть скомпрометированы путем угадывания, случайно показаны или нелегально переданы авторизованным пользователем неавторизованному Есть два общих способа угадать пароль. · Один для нарушителя, который знает пользователя или информацию о пользователе. Люди обычно используют очевидную информацию (типа имен кошек) в качестве паролей. Для иллюстрации важности разумной политики назначения идентификаторов и паролей можно привести данные исследований, проведенных в AT&T, показывающие, что из 500 попыток несанкционированного доступа около 300 составляют попытки угадывания паролей или беспарольного входа по пользовательским именам guest, demo и т.д. · Другой способ - грубой силы - попытаться перебрать все возможные комбинации букв, чисел и пунктуации. Например, четыре десятичные цифры дают только 10000 вариантов, более длинные пароли, введенные с учетом регистра символов и пунктуации, менее уязвимы. Шифрование пароля Для хранения секретного списка паролей на диске многие ОС используют криптографию. Система использует одностороннюю функцию, которую чрезвычайно трудно (дизайнеры надеются, что невозможно) инвертировать, но просто вычислить. Хранятся только кодированные пароли. В процессе аутентификации представленный пользователем пароль кодируется и сравнивается с хранящимися на диске. Таким образом, файл паролей нет необходимости держать в секрете. При удаленном доступе к ОС нежелательно путешествие пароля по сети в открытом виде. Одним из типовых решений является использование криптографических протоколов. В качестве примера можно рассмотреть протокол опознавания с подтверждением установления связи путем вызова - CHAP (Challenge Handshake Authentication Protocol) Опознавание достигается за счет проверки того, что у пользователя, осуществляющего доступ к серверу, имеется секретный пароль, который уже известен серверу. Сервер посылает пользователю запрос (вызов), состоящий из идентифицирующего кода, случайного числа и имени узла сервера или имени пользователя. При этом пользовательское оборудование в результате затребования пароля пользователя отвечает следующим ответом, зашифрованным с помощью алгоритма одностороннего хэширования, наиболее распространенным видом которого является MD5. После получения ответа сервер при помощи той же функции с теми же аргументами шифрует собственную версию пароля пользователя. В случае совпадения результатов разрешается вход в систему. Существенно, что незашифрованный пароль при этом не посылается по каналу связи. В микротелефонных трубках используется аналогичный метод. Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право... Система охраняемых территорий в США Изучение особо охраняемых природных территорий(ООПТ) США представляет особый интерес по многим причинам... Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычислить, когда этот... Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|