 |
Защита от сбоев и несанкционированного доступа
|
|
|
|
6.1. Анализ угроз и уязвимостей ОС
Одновременно с развитием систем информационных технологий развиваются и угрозы безопасности, с которыми им приходится сталкиваться. При определении угрозы безопасности особое внимание обращается на два основных фактора:
типы нападений, с которыми, вероятно, придется столкнуться
где эти нападения могут произойти.
Большинство организаций пренебрегают вторым фактором, предполагая, что серьезное нападение может происходить только извне в основном через соединение с Интернет. В исследовании Службы безопасности и компьютерных преступлений, совместно проведенном Институтом компьютерной безопасности CSI и Федеральным Бюро Расследований США 31 % респондентов отметили свои внутренние системы как наиболее частый объект нападения. Тем не менее, множество компаний могут просто не осознавать, что нападения изнутри происходят, главным образом потому, что их никто не отслеживает и не контролирует.
Для управления безопасностью предприятия оцениваются риски, с которыми придется столкнуться, определяется приемлемый уровень риска, и он сохранятся на своем уровне или ниже. Риски уменьшаются путем увеличения степени безопасности среды.
В процессе управления рисками используются следующие понятия: ресурсы, угрозы, уязвимые места, эксплуатации и контрмеры.
Угроза — это человек, место или вещь, которые имеют возможность получить доступ к ресурсам и причинить вред. Угрозы подразделяются на:
· природные и физические
· непреднамеренные
· намеренные.
Уязвимое место — это место, где ресурс наиболее восприимчив к нападению, слабости определенного рода.
Уязвимые места по виду подразделяются на:
1. физические
|
|
|
2. природные
3. оборудование и программное обеспечение
4. носители
5. связь
6. человек.
ОС, как ресурс, может оказаться доступной для угрозы, использующей ее уязвимость. Данный тип нападения известен как эксплуатация. Эксплуатация ресурсов может быть достигнута многими способами. Когда потенциальная угроза использует уязвимые места нападения на ресурс, последствия могут быть очень серьезными.
Контрмеры применяются с целью противодействия угрозам и уязвимости, сокращая риск среды.
Таким образом, одним из способов обеспечения безопасности и уменьшения риска ОС является тщательная проверка на вторжения и взломы.
Имеется множество оснований для того, чтобы считать очень важными аудит и обнаружение вторжений в ОС:
любая функциональная компьютерная среда может подвергнуться нападению. Сколь бы ни был высок уровень защиты, риск вторжения существует всегда
за несколькими неудачными попытками вторжения часто следует удачные. Если не стоит программа отслеживания вторжений, невозможно будет засечь неудачные попытки взлома до того, как состоится удачная
если же попытка взлома заканчивается удачно — чем раньше об этом станет известно, тем легче будет ограничить возможный вред
чтобы восстановиться от повреждений после вторжения, необходимо знать, какой вред был нанесен
аудит и обнаружение вторжений помогут определить, кто несет ответственность за нападение
сочетание аудита и обнаружения вторжений помогает соотносить информацию и идентифицировать схему вторжения
регулярный обзор системных журналов безопасности помогает идентифицировать нерешенные вопросы конфигурации безопасности — в частности, неверные права доступа, или неопределенные настройки локаута учетной записи
после обнаружения взлома аудит может помочь определить, какие ресурсы сети были повреждены.
Средства мониторинга событий вторжения и безопасности, включенные в состав ОС, включает как пассивные, так и активные задачи. После нападения многие вторжения обнаруживаются с помощью инспекции файлов системного журнала. Такое обнаружение, происходящее по факту совершения нападения, часто называют пассивным обнаружением вторжения.
|
|
|
Другие попытки вторжения могут обнаруживаться собственно во время нападения. Этот метод, известный как активное обнаружение нападения, ищет известные схемы нападений, или команды, и блокирует исполнение этих команд.
6.2. Основы криптографии
Цель криптографической системы заключается в том, чтобы зашифровать осмысленный исходный текст также называемый открытым текстом, получив в результате совершенно бессмысленный на взгляд шифрованный текст шифртекст, криптограмма. Получатель, которому он предназначен, должен быть способен расшифровать говорят также дешифровать этот шифртекст, восстановив, таким образом, соответствующий ему открытый текст. При этом противник называемый также криптоаналитиком должен быть неспособен раскрыть исходный текст. Существует важное отличие между расшифрованием дешифрованием и раскрытием шифртекста.
Раскрытием криптосистемы называется результат работы криптоаналитика, приводящий к возможности эффективного раскрытия любого, зашифрованного с помощью данной криптосистемы, открытого текста. Степень неспособности криптосистемы к раскрытию называется ее стойкостью.
Вопрос надёжности систем ЗИ — очень сложный. Дело в том, что не существует надёжных тестов, позволяющих убедиться в том, что информация защищена достаточно надёжно. Во-первых, криптография обладает той особенностью, что на вскрытие шифра зачастую нужно затратить на несколько порядков больше средств, чем на его создание. Следовательно тестовые испытания системы криптозащиты не всегда возможны. Во-вторых, многократные неудачные попытки преодоления защиты вовсе не означают, что следующая попытка не окажется успешной. Не исключён случай, когда профессионалы долго, но безуспешно бились над шифром, а некий новичок применил нестандартный подход — и шифр дался ему легко.
В результате такой плохой доказуемости надёжности средств ЗИ на рынке очень много продуктов, о надёжности которых невозможно достоверно судить. Естественно, их разработчики расхваливают на все лады своё произведение, но доказать его качество не могут, а часто это и невозможно в принципе. Как правило, недоказуемость надёжности сопровождается ещё и тем, что алгоритм шифрования держится в секрете.
На первый взгляд, секретность алгоритма служит дополнительному обеспечению надёжности шифра. Это аргумент, рассчитанный на дилетантов. На самом деле, если алгоритм известен разработчикам, он уже не может считаться секретным, если только пользователь и разработчик — не одно лицо. К тому же, если вследствие некомпетентности или ошибок разработчика алгоритм оказался нестойким, его секретность не позволит проверить его независимым экспертам. Нестойкость алгоритма обнаружится только когда он будет уже взломан, а то и вообще не обнаружится, ибо противник не спешит хвастаться своими успехами.
Поэтому криптограф должен руководствоваться правилом, впервые сформулированным голландцем Керкхоффом: стойкость шифра должна определяться только секретностью ключа. Иными словами, правило Керкхоффа состоит в том, что весь механизм шифрования, кроме значения секретного ключа априори считается известным противнику.
Другое дело, что возможен метод ЗИ строго говоря, не относящийся к криптографии, когда скрывается не алгоритм шифровки, а сам факт того, что сообщение содержит зашифрованную скрытую в нём информацию. Такой приём правильнее назвать маскировкой информации
|
|
|
6.3. Механизмы защиты
Механизмы защиты должны обеспечивать ограничение доступа субъектов к объектам: во-первых, доступ к объекту должен быть разрешен только для определенных субъектов, во-вторых, даже имеющему доступ субъекту должно быть разрешено выполнение только определенного набора операций.
Для обеспечения защиты могут применяться следующие механизмы:
· кодирование объектов
· сокрытие местоположения объектов
· инкапсуляция объектов.
Кодирование предполагает шифрование информации, составляющей объект. Любой субъект может получить доступ к информации, но воспользоваться ею может лишь привилегированный субъект, знающий ключ к коду. Другой вариант защиты через кодирование предполагает, что расшифровка информации производится системными средствами, но только для привилегированных субъектов. Кодирование не защищает объект от порчи, поэтому оно может использоваться только для защиты узкого класса специфических объектов или в качестве дополнительного средства в сочетании с другими механизмами защиты. Рассмотрение способов кодирования не входит в задачи нашего пособия, оно должно происходить при изучении курса Защита информации.
Сокрытие местоположения объекта предполагает, что адрес объекта в памяти системы известен только тем субъектам, которые имеют право доступа к объекту. Такие привилегированные субъекты могут выполнять любые операции над объектом. Непривилегированные субъекты могут запрашивать доступ к объекту и получать некий внутренний идентификатор объекта. Используя этот идентификатор, они могут выполнять над объектом ограниченный набор операций, но не непосредственно, а обращаясь к привилегированным субъектам. Примером такого механизма является сокрытие дескрипторов ресурсов. Местоположение адрес в памяти дескрипторов известно ОС, прикладные же процессы получают манипулятор ресурса, который, как правило, адресует дескриптор только косвенно через таблицы. Если сокрытие является единственным механизмом защиты, то защиту нельзя назвать непроницаемой. Субъект может получить адрес объекта случайно или намеренно получив доступ к внутренней документации.
Инкапсуляция предполагает полное закрытие для субъектов возможности оперирования с внутренним содержимым объектов. Субъект даже не должен знать структуры этого содержимого. Для каждого объекта, однако, определено множество допустимых операций над ним, которые реализуются монитором объекта. Объект, таким образом, предстает в виде черного ящика с четко специфицированными входами и выходами и с абсолютно непроницаемыми стенками. Механизм инкапсуляции может обеспечивать наиболее полную защиту, но его реализация требует решения двух важных вопросов: во-первых, как обеспечить непрозрачность стенок, во-вторых, как принимать решения о предоставлении доступа или об отказе в нем.
Непроницаемость ящика обеспечивается чаще всего средствами защиты памяти. Область памяти, в которой расположен объект, делается недоступной для любых субъектов, кроме монитора, реализующего операции над объектом. Как мы знаем см. главу 3, защита памяти поддерживается аппаратными средствами вычислительных систем, и защита объектов, таким образом, представляется реализованной на аппаратном уровне. Надежность такой защиты, однако, в значительной степени иллюзорна. Во-первых, память также представляет собой объект, нуждающийся в защите. От того, насколько сама защита памяти защищена от перепрограммирования ее произвольным субъектом, зависит эффективность всей системы защиты в целом. Во-вторых, аппаратно поддерживается только конечное число уровней защиты памяти, на практике же используются только два уровня: доступ к ограниченному подмножеству адресов и полный доступ. Если в системе имеется большое количество объектов разного типа, то каждый тип обеспечивается своим монитором. Если все мониторы работают с полным доступом, то нет гарантии в том, что монитор в результате, например, ошибки в нем не воздействует на объект, не предусмотренный в данной операции.
Наиболее надежным образом защита памяти достигается при помощи изоляции адресных пространств процессов и мониторов. Если таблицы дескрипторов ресурсов и сами ресурсы располагаются в отдельных адресных пространствах, то процесс просто не может получить к ним доступа, а может воздействовать на них только косвенно, передавая в системном вызове индекс элемента в недоступной для него таблице. Адресные пространства различных мониторов тоже могут быть изолированы друг от друга, что при надежной изоляции исключит воздействие ошибки в мониторе на другие ресурсы.
|
|
|
|
|
|
6.4. Надежные вычислительные системы
Надежность — свойство программной организации структуры системы и многофункционального взаимодействия меж ее ресурсами, при которых обеспечивается неотказное функционирование системы в течение данного времени при сохранении данных характеристик аппаратуры передачи данных и фактически ЭВМ ГОСТ 27.003-83.
Отказ — это такое нарушение работоспособности, когда для ее восстановления требуются определенные деяния обслуживающего персонала по ремонту, подмене и регулировке неисправного элемента, узла, устройства, ЭВМ. С надежностью взаимосвяза
но понятие живучесть — способность программной опции структуры и организации многофункционального взаимодействия меж ее компонентами, при которых отказы либо восстановления всех простых машин не нарушают процесса выполнения параллельных программ сложных задач, а наращивают либо уменьшают время их реализации. Под простой машинкой понимается ЭВМ, дополненная системным устройством.
Для свойства свойства функционирования ВС в теории надежности разработаны набор интервальных, интегральных и точечных характеристик надежности, также способы их расчета. Характеристики надежности имеют вероятностный нрав и основываются на значениях характеристик — интенсивностей отказов составляющих систему частей.
6.5. Методы аутентификации
Важным элементом любой системы защиты данных является процедура входа в систему, при которой выполняется аутентификация пользователя. В Windows NT для вызова диалога входа в систему используется известная комбинация из трех пальцев — Ctrl+Alt+Del. Как утверждают разработчики, никакая троянская программа не может перехватить обработку этой комбинации и использовать ее с целью коллекционирования паролей.
Не хочет ли кто-нибудь попробовать
Система ищет введенное имя пользователя сначала в списке пользователей данного компьютера, а затем и на других компьютерах текущего домена локальной сети. В случае, если имя найдено и пароль совпал, система получает доступ к учетной записи account данного пользователя.
На основании сведений из учетной записи пользователя система формирует структуру данных, которая называется маркером доступа access token. Маркер содержит идентификатор пользователя SID, Security IDentifier, идентификаторы всех групп, в которые включен данный пользователь, а также набор привилегий, которыми обладает пользователь.
Привилегиями называются права общего характера, не связанные с конкретными объектами. К числу привилегий, доступных только администратору, относятся, например, права на установку системного времени, на создание новых пользователей, на присвоение чужих файлов. Некоторые скромные привилегии обычно предоставляются всем пользователям например, такие, как право отлаживать процессы, право получать уведомления об изменениях в файловой системе.
В дальнейшей работе, когда пользователю должен быть предоставлен доступ к каким-либо защищаемым ресурсам, решение о доступе принимается на основании информации из маркера доступа.
6.6. Инсайдерские атаки
На сегодняшний день нормой обработки информации в корпоративных приложениях становится работа пользователя на одном и том же компьютере, как с открытой, так и с конфиденциальной информацией, требующих для обработки различной номенклатуры ресурсов. Это существенно расширяет потенциальную возможность хищения нарушения конфиденциальности данных санкционированным пользователем пользователем, допущенным к работе на вычислительном средстве в рамках выполнения своих служебных обязанностей — инсайдером и несанкционированной модификации нарушения доступности и целостности конфиденциальных данных, в результате обработки на том же компьютере открытой информации.
Общий подход к решению задачи защиты.
Из теории защиты информации известно, что эффективная защита может быть построена только на основе реализации разграничительной политики доступа к ресурсам механизмы контроля, в частности контентного контроля, по очевидным причинам могут использоваться лишь как вспомогательные. Однако, как в существующих требованиях к средству защиты, так в известных практических реализациях — в ОС и в приложениях, применение разграничительной политики предполагается для разграничения доступа различных пользователей, допущенных к обработке информации на компьютере, к ресурсам. При реализации же защиты информации от инсайдерских атак, задача реализации разграничительной политики доступа к ресурсам уже иная собственно в своей постановке — необходимо разграничивать режимы обработки различных категорий информации на одном компьютере для одного и того же пользователя а не доступ к ресурсам между различными пользователями. Правильнее здесь уже говорить не о разграничительной, а о разделительной политике доступа к ресурсам. Как следствие, необходимы совершенно иные подходы решению задачи защиты, а механизмами защиты должны выполняться совсем иные требования. Рассмотрим в данной работе возможный апробированный подход к решению задачи защиты и сформулируем требования, реализация которых необходима для эффективного решения задачи защиты от инсайдерских атак.
Поскольку на одном компьютере обрабатывается информация различных уровней конфиденциальности, и при этом обработка информации различных уровней конфиденциальности требует различных ресурсов различные приложения, файловые объекты, устройства, сетевые ресурсы, и т.д., и т.п., причем, как правило, чем ниже уровень конфиденциальности обрабатываемой информации, тем шире номенклатура ресурсов может использоваться при ее обработке что и составляет потенциальную угрозу хищения конфиденциальной информации, задача защиты информации состоит в формировании и изолировании режимов обработки информации различных уровней конфиденциальности.
Формирование режимов обработки категорированной информации состоит в подключении соответствующего набора ресурсов при обработке информации каждого уровня конфиденциальности.
Изолирование режимов обработки категорированной информации состоит в противодействии любой возможности изменения режима обработки санкционированного набора ресурсов информации каждого уровня конфиденциальности.
При реализации подобного подхода уже нечего контролировать, т.к. предотвращается сама возможность хищения конфиденциальной информации, за счет использования несанкционированных не используемых для ее обработки ресурсов.
6.7. Внешние атаки
Атака attack — действие, связанное с несанкционированным доступом в вычислительную сеть и преднамеренным нанесением ущерба как сети в целом, так и любым ее составным частям, включая условия или результаты их функционирования.
6.8. Вредоносные программы
Вредоносная программа на жаргоне антивирусных служб зловред, англ. malware, malicious software — злонамеренное программное обеспечение — любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного владельцем использования ресурсов ЭВМ или причинения вреда нанесения ущерба владельцу информации, иили владельцу ЭВМ, иили владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.
6.9. Троянские кони и вирусы
Троянскими вирусами троянскими конями обычно называют программы, содержащие скрытый модуль, осуществляющий несанкционированные действия. Эти действия не обязательно могут быть разрушительными, однако практически всегда направлены во вред пользователю. В свою очередь, троянские программы можно разделить на несколько категорий.
Троянские вирусы обычно выполняют или имитируют выполнение какой-нибудь полезной или экзотической функции. При этом в качестве побочного эффекта они стирают файлы, разрушают каталоги, форматируют диск и т.д. Иногда разрушительный код встраивается в какую-нибудь известную программу. Чтобы привлечь пользователей, полученная троянская программа-вандал часто маскируется под новую версию данного программного продукта.
Программы, обеспечивающие вход в систему или получение привилегированной функции режима работы в обход существующей системы полномочий, называют люками back door. Люки часто оставляются разработчиками соответствующих компонент операционной системы для того, чтобы завершить тестирование или исправить какую-то ошибку, но нередко продолжают существовать и после того, как то, для чего они планировались, завершено или необходимость в нем отпала.
Троянские программы могут также использоваться в целях разведки. К распространенным программам такого рода относятся программы угадывания паролей.
6.10. Средства зашиты от вредоносных программ
Все знают, что для защиты от вредоносных программ нужно использовать антивирусы. Причиной проникновения вирусов на защищенные антивирусом компьютеры, могут быть разные, например:
· антивирус был отключен пользователем
· антивирусные базы были слишком старые
· были установлены слабые настройки защиты
· вирус использовал технологию заражения, против которой у антивируса не было средств защиты
· вирус попал на компьютер раньше, чем был установлен антивирус, и смог обезвредить антивирусное средство
· это был новый вирус, для которого еще не были выпущены антивирусные базы
Однако, в большинстве случаев, наличие установленного антивируса, может оказаться недостаточно для полноценной защиты, и что нужно использовать дополнительные методы. Из-за неправильного использования антивируса, недостатка самого антивируса и работой производителя антивируса, методы защиты можно разделить на два типа — организационные и технические.
Организационные методы направлены на пользователя компьютера, и направлены на то, чтобы изменить поведение пользователя, ведь не секрет, что часто вредоносные программы попадают на компьютер из-за необдуманных действий пользователя. Например: разработка правил работы за компьютером, которые должны соблюдать все пользователи.
Технические методы направлены на изменения в компьютерной системе, и заключаются в использовании дополнительных средств защиты, которые расширяют и дополняют возможности антивирусных программ. Такими средствами защиты могут быть:
· брандмауэры — программы, защищающие от атак по сети
· средства борьбы со спамом
· исправления, устраняющие дыры в операционной системе, через которые могут проникать вирусы.
1 трекбол — специальный шарик, который в переносных компьютерах NoteBook размещается рядом с клавиатурой, прокручивается пальцами и служит для перемещения указателя мыши. В настоящее время гораздо чаще используют устройство, чувствительное к касанию touchpad. С помощью такого устройства пользователь управляет указателем мыши, перемещая палец по специальной поверхности.
—————————————————————————————————————
|
|
|
12 |
