- •7. Управление памятью Введение
- •Иерархия запоминающих устройств
- •Функции ос по управлению памятью
- •Стратегии управления памятью
- •Типы адресов
- •Алгоритмы распределения памяти
- •Распределение памяти фиксированными разделами
- •Распределение памяти динамическими разделами
- •Перемещаемые разделы
- •Свопинг и виртуальная память
- •Страничное распределение
- •Стратегии управления страничной виртуальной памятью
- •Определение размера страницы
- •Сегментное распределение
- •Сегментно-страничное распределение
- •8.Кэширование данных
- •Принцип действия кэш-памяти
- •Проблема согласования данных
- •Способы отображения основной памяти на кэш
- •Схемы выполнения запросов в системах с кэш-памятью
- •9. Безопасность операционных систем
- •Основные понятия безопасности Конфиденциальность, целостность и доступность данных
- •Классификация угроз
- •Типичные атаки на операционную систему
- •Системный подход к обеспечению безопасности
- •Политика безопасности
- •Подходы к построению защищенных ос
- •Основные функции подсистемы защиты операционной системы
- •Идентификация, аутентификация и авторизация
- •Криптографические функции
- •Управление политикой безопасности
- •Сетевые функции
- •Разграничение доступа к объектам операционной системы Понятие объекта, субъекта и метода доступа
- •Правила разграничения доступа
- •Технология защищенного канала Классификация уровней защиты
- •Руководящие документы Гостехкомиссии
- •Список литературы
- •Оглавление
- •Операционные системы
- •Часть 3
Криптографические функции
Шифрование – это краеугольный камень всех служб информационной безопасности, будь то система аутентификации, разграничения доступа или способ безопасного хранения данных.
Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный вид, естественно, должна быть дополнена процедурой дешифрирования, которая, будучи примененной к зашифрованному тексту, снова приводит его в понятный вид. Пара процедур – шифрование и дешифрирование – называется криптосистемой.
Информацию, над которой выполняются функции шифрования и дешифрирования, будем условно называть «текст», учитывая, что это может быть также числовой массив или графические данные.
В современных алгоритмах шифрования предусматривается наличие параметра – секретного ключа. В криптографии принято правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа». Так, все стандартные алгоритмы шифрования (например, DES, РGР) широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Злоумышленнику может быть все известно об алгоритме шифрования, кроме секретного ключа (следует отметить, однако, что существует немало фирменных алгоритмов, описание которых не публикуется). Алгоритм шифрования считается раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.
Существуют два класса криптосистем – симметричные и асимметричные. В симметричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки. В асимметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.
Аудит
Аудит (audit) – фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных ОС позволяет дифференцированно задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.
Учет и наблюдение означает способность системы безопасности «шпионить» за выбранными объектами и их пользователями и выдавать сообщения тревоги, когда кто-нибудь пытается читать или модифицировать системный файл. Если кто-то пытается выполнить действия, определенные системой безопасности для отслеживания, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя. Системный менеджер может создавать отчеты о безопасности, которые содержат информацию из журнала регистрации. Для «сверхбезопасных» систем предусматриваются аудио- и видеосигналы тревоги, устанавливаемые на машинах администраторов, отвечающих за безопасность.
Поскольку никакая система безопасности не гарантирует защиту на уровне 100%, то последним рубежом в борьбе с нарушениями оказывается система аудита.
Необходимость включения в защищенную ОС функций аудита диктуется следующимим обстоятельствами:
-
Подсистема защиты ОС, не обладая интеллектом не способна отличить случайные ошибки пользователей от злонамеренных действий. Например, то, что пользователь в процессе в процессе входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же имело место на самом деле – ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз – это явная ошибка. Если же пользователь пытался угадать собственный пароль 20-30 раз – это явная попытка подбора пароля.
-
Администраторы ОС должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Журнал аудита дает такую возможность, накапливая информацию о важных событиях, связанных с безопасностью системы.
-
Если администратор ОС обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе аудита не исключено, что вся необходимая информация содержится в журнале аудита.
Большинство экспертов по компьютерной безопасности сходятся во мнении что привилегия работать с подсистемой аудита не должна предоставляться администраторам ОС. Другими словами, множество администраторов и множество аудиторов не должны пересекаться. При этом создается ситуация, когда администратор не может выполнять несанкционированные действия без того, чтобы это тут же не стало известно аудиторам, что существенно повышает защищенность системы от несанкционированных действий администратора.
Подсистема аудита ОС должна удовлетворять следующим требованиям:
-
Только сама ОС может добавлять записи в журнал аудита. Если предоставить это право какому-либо физическому пользователю, этот пользователь получит возможность компрометировать других пользователей, добавляя в журнал аудита соответствующие записи.
-
Ни один субъект доступа, в том числе и сама ОС, не имеет возможности редактировать и удалять отдельные записи в журнале аудита.
-
Только пользователи-аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита.
-
Только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. ОС должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.
-
При переполнении журнала аудита ОС аварийно завершает работу. После перезагрузки работать с системой могут только аудиторы. ОС переходит к обычному режиму работы только после очистки журнала аудита.
Для ограничения доступа пользователей к журналу аудита недостаточно использования обычных средств разграничения доступа. Дело в том, что в подавляющем большинстве ОС администраторы, используя свои привилегии, могут прочитать и изменить содержимое любого файла ОС. Поэтому для ограничения доступа к журналу аудита должны применяться специальные средства защиты.
Политика аудита – это совокупность правил, определяющих то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты ОС в журнале аудита дорлжны обязательно регистрироваться следующие события:
-
попытки входа/выхода из системы;
-
попытки изменения списка пользователей;
-
попытки изменения политики безопасности, в том числе и политики аудита.
При определении политики аудита не следует ограничиваться регистрацией событий из перечисленнных классов. Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов. При этом политика аудита в значительной степени определяется спецификой информации, хранимой и обрабатываемой в ОС, и дать какие-либо рекомендации, не зная специфики, невозможно.