Даже самая лучшая система защиты рано или поздно будет взломана. Обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения. Как правило, поведение взломщика отличается от поведения легального пользователя. Иногда эти различия можно выразить количественно, например, подсчитывая число некорректных вводов пароля во время регистрации.
Основным инструментом выявления вторжений является запись данных аудита. Отдельные действия пользователей протоколируются, а полученный протокол используется для выявления вторжений.
Аудит, таким образом, заключается в регистрации специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы. К числу таких событий обычно причисляют следующие:
- вход или выход из системы;
- операции с файлами (открыть, закрыть, переименовать, удалить);
- обращение к удаленной системе;
- смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. Следует предусматривать наличие средств выборочного протоколирования как в отношении пользователей, когда слежение осуществляется только за подозрительными личностями, так и в отношении событий. Слежка важна в первую очередь как профилактическое средство. Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются.
Помимо протоколирования, можно периодически сканировать систему на наличие слабых мест в системе безопасности. Такое сканирование может проверить разнообразные аспекты системы:
- короткие или легкие пароли;
- неавторизованные set-uid программы, если система поддерживает этот механизм;
- неавторизованные программы в системных директориях;
- долго выполняющиеся программы;
- нелогичная защита как пользовательских, так и системных директорий и файлов. Примером нелогичной защиты может быть файл, который запрещено читать его автору, но в который разрешено записывать информацию постороннему пользователю;
- потенциально опасные списки поиска файлов, которые могут привести к запуску "троянского коня";
- изменения в системных программах, обнаруженные при помощи контрольных сумм.
Любая проблема, обнаруженная сканером безопасности, может быть как ликвидирована автоматически, так и передана для решения менеджеру системы.
Выводы
Решение вопросов безопасности операционных систем обусловлено их архитектурными особенностями и связано с правильной организацией идентификации и аутентификации, авторизации и аудита.
Наиболее простой подход к аутентификации - применение пользовательского пароля. Пароли уязвимы, значительная часть попыток несанкционированного доступа в систему связана с компрометацией паролей.
Авторизация связана со специфицированием совокупности аппаратных и программных объектов, нуждающихся в защите. Для защиты объекта устанавливаются права доступа к нему. Набор прав доступа определяет домен безопасности. Формальное описание модели защиты осуществляется с помощью матрицы доступа, которая может храниться в виде списков прав доступа или перечней возможностей.
Аудит системы заключается в регистрации специальных данных о различных событиях, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы.
Среди современных ОС вопросы безопасности лучше всего продуманы в ОС Windows NT.
Тесты:
1. Аутентификация пользователя осуществляется для:
a) предотвращения некорректных действий легальных пользователей;
b) контроля доступа в систему;
c) разграничения доступа к объектам ОС.
2. Средства авторизации:
a) контролируют процесс доступа в систему;
b) обеспечивают защиту системы от вирусов;
c) контролируют доступ легальных пользователей к ресурсам системы.
3. Матрица доступа используется для:
a) авторизации пользователей;
b) организации аудита системы;
c) аутентификации пользователей.
4. В число событий, имеющих отношение к безопасности компьютерной системы, которые регистрирует система аудита, обычно не входит:
a) операция открытия файла;
b) смена привилегий пользователя;
c) операция создания процесса.
5. Почему ОС OS/2 не вправе претендовать на соответствие классу защиты С2?
a) потому что в данной ОС невозможно выполнить изоляцию программных модулей с помощью механизмов защиты памяти;
b) потому что в ней не реализованы перечни возможностей;
c) потому что пользовательские программы имеют право запрета прерываний.
6. Для проверки системы на наличие в ней уязвимых с точки зрения безопасности мест обычно осуществляют ее сканирование. Какие аспекты системы такое сканирование обычно не затрагивает?
a) долго выполняющиеся программы;
b) короткие пароли;
c) изменения в файлах пользователя, обнаруженные с помощью контрольных сумм.
7. Какие действия производит система, хранящая пароли пользователей на диске в зашифрованном виде, после того как пользователь ввел свой пароль?
a) шифрует пароль пользователя и сравнивает его с тем, который хранится на диске;
b) расшифровывает пароль, хранящийся на диске, и сравнивает с паролем, который ввел пользователь;
c) посылает пользователя запрос для инициирования протокола опознавания CHAP.