На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Анализ защищенности современных операционных систем

Основные механизмы защиты ОС. Анализ выполнения современными ОС формализованных требований к защите информации от НСД
Принципиальные различия в подходах обеспечения защиты. Разность концепций
Сразу отметим, что анализировать выполнение современными универсаль­ными ОС требований, задаваемых для класса защищенности автомати­зированных систем 1В (защита секретной информации), не имеет смыс­ла в принципе. Для большинства ОС либо полностью не реализуется основной для данных приложений мандатный механизм управления до­ступом к ресурсам, либо не выполняется его важнейшее требование «Дол­жно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальнос­ти накопителя должен быть не ниже уровня конфиденциальности
записываемой на него информации».
В связи с этим далее будем говорить лишь о возможном соответствии средств защиты современных ОС классу автоматизированных систем
(защита конфиденциальной информации).
В общем случае возможна неоднозначная трактовка некоторых формализо­ванных требований. Проиллюстрируем сказанное примером. Рассмотрим тре­бование «Для каждой пары (субъект — объект) в средстве вычислительной техники (СВТ) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
группы индивидов) к данному ресурсу СВТ (объекту)»». Возникают вопросы: что понимается под условием «для каждой пары...», т.е. причисляются ли в данном требовании к «объектам» программы (процессы или исполняемые файлы), устройства и т.д. а к субъектам - процессы (программы)? Далее, что понимается под условием «должно быть задано явное и недвусмыслен­ное перечисление допустимых типов доступа (читать, писать и т.д.)», что значит «и т.д.», относится ли к нему, например, «исполнение» и др. В связи с этим автор далее будет трактовать все неоднозначности в пользу усиления механизмов защиты. Обоснованность подобного подхода мы увидим ниже, при анализе существующей статистики угроз.
В качестве альтернативных реализаций ОС рассмотрим семейства UNIX и Windows (естественно, Windows NT/2000, т.к. о встроенных механиз­мах защиты ОС Windows 9x/Me говорить вообще не приходится).
Сначала остановимся на принципиальном, даже можно сказать, концеп­туальном противоречии между реализованными в ОС механизмами за­щиты и принятыми формализованными требованиями. Концептуальном в том смысле, что это противоречие характеризует не какой-либо один механизм защиты, а общий подход к построению системы защиты.
Противоречие состоит в принципиальном различии подходов (соответ­ственно требований) к построению схемы администрирования механиз­мов защиты. Как следствие, это коренным образом сказывается на фор­мировании общих принципов задания и реализации политики безопасности на предприятии, распределения ответственности за защиту информации на предприятии, а также на определении того, кого отно­сить к потенциальным злоумышленникам (от кого защищать информа­цию). То есть сказывается на ключевых вопросах защиты информации.
Для иллюстрации из совокупности формализованных требований к сис­теме защиты конфиденциальной информации (требований к дискреци­онному механизму управления доступом) рассмотрим следующие два требования [1J:
1. Право изменять правила разграничения доступа (ПРД) должно пре­доставляться выделенным субъектам (администрации, службе безо­пасности и т.д.).
2. Должны быть предусмотрены средства управления, ограничиваю­щие распространения прав на доступ.
С полным перечнем требований вы ознакомитесь в главе когда непос­редственно приступите к рассмотрению методов управления доступом.
Данные требования жестко регламентируют схему (или модель) админи­стрирования механизмов защиты. Это должна быть централизованная схема, единственным элементом которой выступает выделенный субъект, в частности, администратор (в общем случае следует говорить об адми-
нистраторе безопасности). При этом конечный пользователь исключен в принципе из схемы администрирования механизмов защиты.
При реализации концепции построения системы защиты, регламентиру­емой рассматриваемыми требованиями, пользователь не наделяется эле­ментом доверия. Таким образом, он может считаться потенциальным зло­умышленником, что и имеет место на практике -- этот вопрос будет рассмотрен далее. Ответственным за информационную безопасность на предприятии является доверенное с его стороны лицо — выделенный субъект, в частности, администратор безопасности.
Теперь в общих чертах рассмотрим концепцию, реализуемую в современ­ных универсальных ОС (подробнее см. гл. 2). Здесь «владельцем» фай­лового объекта, то есть лицом, получающим право на задание атрибутов (или ПРД) доступа к файловому объекту, является лицо, создающее фай­ловый объект. Т.к. файловые объекты создают конечные пользователи (иначе, для чего нужен компьютер?), то именно они и назначают ПРД к
создаваемым им файловым объектам. Другими словами, в ОС реализует­ся распределенная схема назначения ПРД, где элементами схемы адми­нистрирования являются собственно конечные пользователи.
В данной схеме пользователь должен со стороны предприятия наделять­ся практически таким же доверием, как и администратор безопасности, при этом нести наряду с ним ответственность за обеспечение компью­терной безопасности. Отметим, что данная концепция реализуется и боль­шинством современных приложений, в частности СУБД, где пользова­тель может распространять свои права на доступ к защищаемым ресурсам.
Кроме того, не имея в полном объеме механизмов защиты компьютерной информации от конечного пользователя, в рамках данной концепции невоз­можно рассматривать пользователя в качестве потенциального злоумышлен­ника. А как мы увидим далее, именно с несанкционированными действиями пользователя на защищаемом компьютере (причем как сознательными, так и
нет) связана большая часть угроз компьютерной безопасности.
Отметим, что централизованная и распределенная схемы администриро­вания — это две диаметрально противоположные точки зрения на защи­ту, требующие совершенно различных подходов к построению моделей и механизмов защиты. На наш взгляд, сколько-нибудь гарантированную защиту информации можно реализовать только при принятии концеп­ции полностью централизованной схемы администрирования. Кстати, это подтверждается известными угрозами ОС.
Возможности моделей, методов и средств защиты будем далее
вать применительно к реализации именно концепции централизованного администрирования. Одним из элементов данной концепции является рас­смотрение пользователя в качестве потенциального злоумышленника, спо­собного осуществить НСД к защищаемой информации.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика