На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Механизмы контроля целостности файловых объектов

Задачи и проблемы реализации механизмов контроля целостности
Контроль целостности файловых объектов представляет собой самостоятель­ную задачу защиты информации. При этом основу механизмов контроля целостности файловых объектов представляет проверка соответствия контро­лируемого объекта эталонному образцу. Для контроля могут использоваться контрольные суммы и ряд иных признаков, например, дата последней моди­фикации объекта и т.д. При необходимости содержать контролируемый объект в эталонном данные механизмы могут осуществлять автоматичес-
кое либо автомтизированное (под управлением пользователя или админист­ратора безопасности) восстановление несанкционированно измененного фай­лового объекта из эталонной копии.
Основной проблемой реализации механизмов контроля целостности фай­ловых является их весьма сильное влияние на загрузку вычисли­тельного ресурса системы, что обусловливается следующими причинами. Во-первых, может потребоваться контролировать большие объемы информации, что связано с большой продолжительностью выполнения процедуры конт­роля. Во-вторых, может потребоваться непрерывное поддержание файлового
объекта в эталонном состоянии. При этом возникает вопрос: с какой час­тотой запускать продолжительную процедуру контроля? Если делать это часто, то получим существенное снижение производительности системы, если редко, то такой контроль, в частности, автоматическое восстановление
объектов из эталонной копии, вообще имеет мало смысла.
Таким образом, основным вопросом при реализации механизмов конт­роля целостности файловых объектов является выбор принципов и ме­ханизмов запуска процедуры контроля (очевидно, что синхронный за­пуск — запуск контроля по расписанию, который без существенного снижения производительности системы может производиться достаточ­но редко, следует рассматривать в качестве дополнительного механизма).
Контролируемые файловые объекты могут быть классифицированы в соответствии с функциональным назначением: исполняемые файлы (про­граммы) и файлы данных.
Асинхронный запуск процедуры контроля целостности и его реализация
Под асинхронным запуском понимаем запуск процедуры не периодичес­ки во времени, а по причине возникновения какого-либо события. Реа­лизация асинхронного запуска процедуры контроля, в предположении оп­тимального задания подобных событий, может существенно снизить ее влияние на загрузку вычислительного ресурса защищаемого компьютера.
Рассмотрим возможные подходы к реализации асинхронного (причинно­го) запуска процедуры контроля целостности.
Запуск контроля целостности исполняемого файла
С точки зрения контроля исполняемых файлов асинхронный механизм запуска процедуры контроля интуитивно понятен — контроль следует за­пускать перед запуском программы -- перед чтением соответствующего исполняемого файла. Другими словами, система защиты должна перехва­тывать функцию чтения исполняемого файла (соответствующую API
функцию — запрос от приложения к ядру ОС), запускать процедуру конт­роля и затем (при необходимости, уже после восстановления файла из эталонной копии) выдавать данную функцию на обработку в ядро ОС.
В данном случае достигается минимальное падение производительнос­ти системы, так как контроль осуществляется только в необходимые мо­менты — только при запуске программы. При этом предполагается, что программа запускается — значительно реже, чем осуществляется обра­щение к файлам данных.
Запуск контроля целостности как реакция механизма контроля списков санкционированных событий
С точки зрения контроля целостности файлов данных имеем принципи­ально более сложную ситуацию. Отличие от контроля исполняемых фай­лов здесь состоит в том, что к файлам данных обращения могут быть частыми. Поэтому механизм контроля перед чтением файла данных (по аналогии с контролем исполняемых файлов) быть не всегда при-
меним (использование данного подхода может привести к существенно­му влиянию механизма защиты на производительность системы).
Здесь механизм контроля событий N-ro уровня не что иное, как контроль целостности файлов данных. Управление данному механизму передается ос­тальными механизмами контроля событий (уровней 1, 2, N~l) при обна­ружении любым из этих уровней несанкционированного события в системе.
Таким образом, при данном способе контроля причиной запуска проце­дуры контроля файлов данных (асинхронный запуск) является наличие
косвенных признаков несанкционированного доступа. При этом запуск процедуры контроля файлов данных осуществляется только при обнару­жении в системе потенциально опасной ситуации — угрозы НСД. Бла­годаря этому минимизируются затраты вычислительного ресурса систе­мы на выполнение процедуры контроля, т.к. в штатном режиме
функционирования системы (при отсутствии угрозы НСД) контроль це­лостности не осуществляется.
Примечание
Синхронный контроль (по расписанию) здесь может использоваться в допол-| нение к процедуре причинного запуска процедуры контроля. Запуск проце­дуры по расписанию реализуется системой диспетчеризации,
Аналогичный асинхронный способ запуска может применяться и для ре­шения задач очистки памяти. Кроме интуитивно понятных асинхрон­ных способов, например, при запуске или завершении процесса, уда­лении файла, авторизации пользователя и т.д. (различные подходы применяются для гарантированной очистки оперативной и дисковой
памяти), принудительная очистка памяти (например, оперативной) мо­жет осуществляться как реакция на факт обнаружения несанкциониро­ванного события.
Проблема контроля целостности самой контролирующей программы
Другая проблема реализации механизмов контроля целостности состоит в следующем — если контроль целостности реализуется программно, то возникает вопрос контроля целостности и корректности функциониро­вания собственно контролирующей программы (можно же исполняемый
файл данной программы модифицировать первым). Естественно, что для решения данной задачи в общем случае необходимо осуществление кон­троля каким-либо внешним средством — аппаратной компонентой. Та­кой подход, например, используется в некоторых вариантах реализации аппаратной системы защиты «Электронный замок». Здесь платой конт­ролируется целостность файлов еще до загрузки системы — загрузка си­стемы (как следствие, системы защиты) при этом разрешается только в эталонном виде.
Однако это лишь частичное решение проблемы, т.к. остается задача кон­троля в процессе функционирования системы, которая вновь возлагается на программное средство. При этом опять же контролирующая програм­ма может быть модифицирована, например, остановлено ее выполнение.
Для решения данной задачи может рассматриваться следующий альтерна­тивный подход — контроль целостности возлагается на программную ком­поненту, аппаратная же компонента системы защиты обеспечивает коррек­тное выполнение контролирующей программы. Данный подход позволяет решать задачу контроля в течение всего времени функционирования систе­мы, предотвращая при этом возможность некорректного функционирова­ния контролирующей программы, т.е. решать задачу в общем случае.
Поскольку решение данной задачи напрямую связано с функциями ап­паратной компоненты системы защиты, рассматриваемый подход будет
изложен в следующих главах, посвященной примене­нию аппаратных средств обеспечения компьютерной безопасности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика