- •7. Управление памятью Введение
- •Иерархия запоминающих устройств
- •Функции ос по управлению памятью
- •Стратегии управления памятью
- •Типы адресов
- •Алгоритмы распределения памяти
- •Распределение памяти фиксированными разделами
- •Распределение памяти динамическими разделами
- •Перемещаемые разделы
- •Свопинг и виртуальная память
- •Страничное распределение
- •Стратегии управления страничной виртуальной памятью
- •Определение размера страницы
- •Сегментное распределение
- •Сегментно-страничное распределение
- •8.Кэширование данных
- •Принцип действия кэш-памяти
- •Проблема согласования данных
- •Способы отображения основной памяти на кэш
- •Схемы выполнения запросов в системах с кэш-памятью
- •9. Безопасность операционных систем
- •Основные понятия безопасности Конфиденциальность, целостность и доступность данных
- •Классификация угроз
- •Типичные атаки на операционную систему
- •Системный подход к обеспечению безопасности
- •Политика безопасности
- •Подходы к построению защищенных ос
- •Основные функции подсистемы защиты операционной системы
- •Идентификация, аутентификация и авторизация
- •Криптографические функции
- •Управление политикой безопасности
- •Сетевые функции
- •Разграничение доступа к объектам операционной системы Понятие объекта, субъекта и метода доступа
- •Правила разграничения доступа
- •Технология защищенного канала Классификация уровней защиты
- •Руководящие документы Гостехкомиссии
- •Список литературы
- •Оглавление
- •Операционные системы
- •Часть 3
Технология защищенного канала Классификация уровней защиты
Требования к безопасности операционных систем определены в издании Национального центра защиты компьютеров (NCSC) Министерства обороны США – Trusted Computer System Evaluation Criteria, известном как «Оранжевая книга». Этими же требованиями как международно признанными оперируют и в нашей стране.
NCSC опубликовал также различные интерпретации «Оранжевой книги», разъясняющие положение этого документа применительно к условиям работы и компонентам системы. Так, издание «Trusted Network», или «Красная книга», - это интерпретация «Оранжевой книги» относительно сетевых компонент защищенной системы. «Голубая книга» интерпретирует требования «Оранжевой книги» к компонентам подсистем.
В «Оранжевой книге» определены средства, наличие которых у ОС делает ее защищенной. Эти средства разделены на 7 уровней защиты, причем каждый последующий более строг, чем предыдущий.
Самым нижним критерием является критерий D1. Этот критерий не предъявляет никаких требований. Этому критерию удовлетворяют все системы, не удовлетворяющие более высоким критериям.
Следующий критерий C1.. В операционной системе поддерживается избирательный контроль доступа. Пользователь, начинающий работать с системой, должен подтвердить свою подлинность (аутентифицироваться).
Базовым критерием является критерий С2. Для соответствия уровню С2 в опреционной системе должны присутствовать следующие средства:
-
Средство защищенной регистрации в системе требует, чтобы пользователь идентифицировал себя посредством ввода уникального идентификатора и пароля, прежде чем ему будет предоставлен доступ к системе.
-
Избирательный контроль доступа позволяет владельцу ресурса определять, кто имеет доступ к данному ресурсу и что они могут с ним делать. Владелец определяет это, назначая права доступа пользователю или группе пользователей.
-
Аудит обеспечивает возможность обнаружения и регистрации важных событий, имеющих отношение к защите, или любой попытки создания, использования или удаления системных ресурсов. Для учета пользователей, выполнивших регистрируемое действие, используются их идентификаторы.
-
Защита памяти предотвращает чтение информации, записанной кем – либо в память, после того как этот блок памяти был возвращен ОС. Перед повторным использованием память реинициализируется.
В тех случаях, когда предъявляются особые требования к безопасности, например, в военных организациях, необходим еще более высокий уровень защиты, чем тот, что исходно обеспечивается уровнем С2. В этом случае применяются операционные системы уровня защиты В1, известного под названием «Полномочный контроль доступа» (Маndatory Асcеss Соntrol). В основе этих систем лежит полномочное разграничение доступа. Критерий B2 усиливает требования критерия В1. Должны выполняться все требования критерия B1 Подсистема защиты систем, удовлетворяющих критерию В2 , реализует формально определенную и четко документированную модель безопасности. Осуществляется контроль скрытых каналов утечки информации. Интерфейс подсистемы защиты четко и формально определен, его архитектура и реализация полностью документированы. Выдвигаются более жесткие требования к идентификации, аутентификации и авторизации пользователей.
Существуют также критерии В3 и А1, но ничего не известно о наличии операционных систем, удовлетворяющих этим критериям.
Системы UNIX и Windows NT/2000 сертифицированы по уровню С2.. В документации по ОС Windows NT говорится о возможности усиления ее уровня защиты до уровня В2.
Следует иметь в виду еще следующий факт, что фактически сертификат NCSC описывает максимальный уровень защищенности, который может быть достигнут при использовании данного программного продукта. Например то, что ОС UNIX сертифицирована по уровню С2, означает, что, вообще говоря, существует политика безопасности, при неукоснительном соблюдении которой уровень защищенности ОС будет соответствовать указанному (это утверждение верно только при использовании той же аппаратной платформы и в той же ее конфигурации, при которой проводились соответствующие сертификационные испытания), К каждому сертификату NCSC обязательно прилагается документ, описывающий требования к политике безопасности, при которой может быть достигнут уровень защищенности, соответствующий сертификату. Например, для ОС Windows NT некоторые (далеко не все) требования безопасности по уровню С2 выглядят следующим образом:
-
в BIOS компьютера установлен пароль на загрузку;
-
на жестких дисках используется только файловая система NTFS;
-
запрещено использование паролей короче шести символов;
-
запрещен анонимный и гостевой доступ;
-
запрещен запуск любых отладчиков;
-
запрещено выключение компьютера без предварительной аутентификации пользователя;
-
запрещено разделение между пользователями ресурсов сменных носителей информации (гибких дисков и CD-ROM).
Очевидно, что эти требования существенно затрудняют работу с системой как пользователей, так и администраторов: требование, запрещающее запуск любых отладчиков, тем самым запрещает в защищенной системе любое программирование; запрет анонимного и гостевого доступа не позволяет размещать на дисках компьютера общедоступные Web-страницы; запрет совместного использования накопителей СD-ROM во многих случаях также неприемлем. Требование же, запрещающее пользователям самостоятельно выключать компьютер, вообще практически невыполнимо – для этого необходимо физически защищать не только корпус компьютера, но и провода электропитания и электрические розетки.
За годы , прошедшие со времени разработки «Оранжевой книги» (1983 г.), многие ее требования устарели. Однако появился ряд новых требований к безопасности компьютерных систем, не отраженных в «Оранжевой книге». Это связано с тем, что за это время было обнаружено множество ранее неизвестных угроз безопасности компьютерных систем.
К основным недостаткам «Оранжевой книги» относятся следующие:
-
совершенно не рассматриваются криптографические средства защиты информации;
-
практически не рассматриваются вопросы обеспечения защиты системы от атак, направленных на временный вывод системы из строя (атаки класса «отказ в обслуживании»);
-
не уделяется должного внимания вопросам защиты защищаемой системы от негативных воздействий программных закладок и компьютерных вирусов;
-
недостаточно подробно рассматриваются вопросы взаимодействия нескольких экземпляров защищенных систем в локальной или глобальной вычислительной сети;
-
требования к средствам защиты от утечки конфиденциальной информации из защищенной системы ориентированы на хранение конфиденциальной информации в базах данных и мало приемлемы для защиты электронного документооборота.