Анализ операционной системы МСВС на предмет наличия уязвимостей

 

Введение


На сегодняшний день, одной из сторон научно - технической революции является быстрое развитие компьютерных технологий. Это привело к значительному росту информационных потребностей человечества и качественным изменениям в информационных технологиях в целом.

В современном обществе информация приобретает всё большую ценность, начинает иметь коммерческую стоимость и представляет собой объект права собственности.

Так же наметился ряд тенденций в развитии классических информационных систем (ИС). К этим тенденциям можно отнести следующие:

усложнение структуры информационных элементов;

резкое увеличение объемов обрабатываемой документальной информации и ее динамическое изменение;

слияние различных информационных систем в гетерогенные сети.

Все это приводит к необходимости решения многих проблем, во вновь проектируемых и модернизируемых ИС. Нужно отметить, что такая ИС должна быть открытой, легко масштабируемой, переносимой, тесно интегрированной с мировыми сетями и поддерживать множество стандартов, как в части форматов хранимых данных, так и в части доступа к этим данным.

На сегодняшний день, деятельность любой организации или учреждения включает в себя получение информации, ее обработку, принятие решений на основе анализа данной информации и передачу принятых решений по каналам связи. Чаще всего для этого применяют автоматизированные системы обработки информации (АСОИ).

АСОИ прочно укрепились в обслуживании различных сфер деятельности, в системах управления хозяйственными и техническими объектами, в научных исследованиях, в процессе автоматизации проектирования производства и других областях.

Анализ структуры информационных потоков выявляет множество потенциальных угроз информации, обрабатываемой или хранимой данными системами, что в свою очередь, поставило перед потребителями информационных технологий новую проблему, - проблему информационной безопасности.

Главная цель защиты информации - контроль доступа к ней, защита от нарушения целостности, конфиденциальности информации и защита от нарушения работоспособности системы в целом.

Сегодня не нужно оспаривать необходимость решения задач защиты информационных ресурсов комплексно, с использованием сочетания мер законодательного, организационного и программно-технического характера.

Законодательный уровень обеспечивается законами и иными нормативными документами, описывающими условия защиты информационных ресурсов и правила построения такой защиты в целом или ее отдельных компонент.

В качестве механизмов, связывающих законодательные меры с организационными или программно-техническими используются механизмы лицензирования деятельности и сертифицирования автоматизированных систем и используемых в них средств защиты.

Успешность применения описанных механизмов обуславливается наличием развитой нормативной базы, ее знанием и применением теми, кто осуществляет проектирование и построение систем защиты информации, а также наличием решений, сертифицированных в соответствии с действующей нормативной базой.

Сертифицируются защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты.

Одним из отечественных сертифицированных средств является операционная система (ОС) МСВС. Она представляет собой UNIX-подобную, многозадачную, многопользовательскую, 32-разрядную, сетевую ОС.

Данная операционная система прекрасно подходит для решения офисных, инженерных и узко специализированных задач вроде сетевого управления.

ОС МСВС содержит также средства защиты информации, включающие в себя поддержку многопользовательского режима, детальное разграничение прав доступа к файлам и другим объектам системы, аудит действий пользователей и системных событий, а также восстановление системы после сбоев.

Подобно любому другому сложному программному продукту, эта ОС может содержать ошибки, недоработки и всевозможные "черные ходы", ставящие под угрозу, как ее собственную безопасность, так и безопасность информации, обрабатываемой под ее управлением.

Данная дипломная работа посвящена анализу операционной системы МСВС на предмет наличия уязвимостей, способствующих реализации угроз безопасности обрабатываемой в системе информации и разработке технических решений по устранению выявленных уязвимостей.

1. Постановка задачи и технико-экономическое обоснование темы


.1 Основные понятия и определения


Введём и определим основные понятия информационной безопасности компьютерных систем:

Под безопасностью АС понимают её защищённость от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, а также попыток хищения, изменения или разрушения её компонентов.

Безопасность (Security) АС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.

Безопасность информации (Information security) - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз.

Под доступом к информации (Access to information) понимается ознакомление с информацией, её обработка, в частности копирование, модификация или уничтожение информации.

Различают санкционированный и несанкционированный доступ.

Санкционированный доступ к информации (Authorized access to information) - это доступ к информации, не нарушающий установленные правила разграничения доступа.

Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации (Unauthorized access to information) - это доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.(под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем)

Защита от несанкционированного доступа (Protection from unauthorized access) - предотвращение или существенное затруднение несанкционированного доступа.

Средство защиты от несанкционированного доступа (Protection facility) - программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа.

Конфиденциальность данных (Sensitive information) - это статус, предоставленный данным и определяющий требуемую им степень защиты.

Субъект доступа (Access subject) - это лицо или процесс, действия которых регламентируются правилами разграничения доступа.

Объект доступа (Access object) - это единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Аутентификация (Authentication) - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Целостность информации (Information integrity) - это способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)

Целостность компонента или ресурса системы - это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы - это свойство компонента или ресурса быть доступными для авторизированных пользователей.

Угроза (Treat) - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость (Vulnerability) - слабость в системе защиты, которая делает возможным реализацию угрозы.

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы.

Безопасная или защищённая система - это система со средствами защиты, которые успешно противостоят угрозам безопасности.

Комплекс средств защиты (Trusted computing base) - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.


1.2 Проблема защиты информации


В связи с бурным развитием информационных технологий в настоящее время жизнь многих людей все больше зависит от работы компьютерных информационных систем и систем автоматизированного управления различными объектами. Для нормального функционирования подобные системы должны быть защищены от разного рода внешних и внутренних воздействий, которые могли бы привести к потере или искажению обрабатываемой и управляющей информации, а также к модификации самих систем. Одним из важнейших направлений в обеспечении надежной и безопасной работы является разработка методов и средств защиты программного обеспечения и данных от различных угроз.

Проблема защиты информации в АСОИ, с момента формулирования в середине 70-х годов до современного состояния прошла длительный и во многом противоречивый путь. Первоначально существовали два направления решения задачи поддержания конфиденциальности: использование криптографических методов защиты информации в средах передачи и хранения данных и программно-техническое разграничение доступа к данным и ресурсам вычислительных систем.

Позднее с появлением тенденции к распределенной обработке информации классический подход к организации разделения ресурсов и классические криптографические протоколы начинают постепенно исчерпывать себя и эволюционировать. На первое место выходят проблемы аутентификации взаимодействующих элементов АСОИ, а также способы управления криптографическими механизмами в распределенных системах. При этом начинается разделения проблематики собственно средств защиты (включая криптографические средства, средства контроля доступа и др.) и средств обеспечения их корректной работы.

Затем возникает ряд моделей защиты, основанных на декомпозиции автоматизированной системы обработки информации на субъекты и объекты, модели Белла - Лападула (Bell-LaPadula), модель Take-Grant и т.д. В данных моделях ставятся и исследуются вопросы взаимодействия элементов системы с заданными свойствами. Целью анализа и последующей реализации модели является именно достижение таких свойств системы, как конфиденциальность и доступность.

Как правило, та или иная модель безопасности исходит из априорной технологии работы с объектами (полномочное управление моделирует структуру секретного делопроизводства), которая может быть формализована и обоснована. При практической реализации данных моделей в конкретных АСОИ встал вопрос о гарантиях выполнения их свойств (фактически это выполнение условий тех или иных утверждений, обосновывающих свойства формализованной модели). В связи с этим в литературе формулируется понятие доверенной (достоверной) вычислительной базы (англ. Trusted Computing Base), гарантирующей свойства системы.

Проблематика защиты информации разделяется на несколько направлений: формулирование и изучение свойств теоретических моделей безопасности АСОИ, анализ моделей безопасного взаимодействия, рассматривающих различные аспекты криптографической защиты, теория создания качественных программных продуктов.

На сегодняшний день такое положение продолжает сохраняться, лавинообразное появление новых программных продуктов порождает определенный кризис в решении практических вопросов при проектировании систем защиты.

Необходимо также упомянуть о том, что существующая методология проектирования защищенной системы представляет собой итеративный процесс устранения найденных слабостей, некорректностей и неисправностей. Причем зачастую ряд злоумышленных действий не блокируется принципиально - противодействие данным угрозам выводится в область организационно-технических мер, что означает отказ от рассмотрения как конкретных угроз, так и целых их классов.


1.3 Защита информации от НСД в ОС


Довольно часто нанесение ущерба безопасности рассматривают в контексте осуществления несанкционированного доступа (НСД) к системе.

Понятие НСД является одним из центральных в круге проблем, связанных с построением методов и систем защиты программ и данных. Необходимо отметить многообразие направлений, в которых преднамеренная или непреднамеренная деятельность человека, неисправности технических средств, ошибки программного обеспечения или стихийные бедствия могут привести к утечке, модификации или уничтожению информации.

Прежде чем начинать разговор об организации защиты информации в операционных системах, нужно определить круг угроз, от которых необходимо защищаться. Угрозы безопасности операционной системы существенно зависят от условий эксплуатации системы, от того, какая информация хранится и обрабатывается в системе и т.д.

Например, если операционная система используется главным образом для организации электронного документооборота, наиболее опасными являются угрозы, связанные с несанкционированным доступом к файлам. Если же операционная система используется как платформа для Internet-услуг, наиболее опасны атаки на сетевое программное обеспечение операционной системы. Организация эффективной и надежной защиты операционной системы невозможна без предварительного анализа возможных угроз ее безопасности.

Единой и общепринятой классификации угроз безопасности операционных систем пока не существует. Однако можно классифицировать эти угрозы по различным аспектам их реализации. Ниже перечисляется несколько таких классификаций.

По цели реализации угрозы:

несанкционированное чтение информации;

несанкционированное изменение информации;

несанкционированное уничтожение информации;

полное или частичное разрушение операционной системы.

Под разрушением операционной системы понимается целый комплекс разрушающих воздействий от кратковременного вывода из строя завешивания отдельных программных модулей системы до физического стирания с диска системных файлов.

По принципу воздействия на операционную систему:

используя известные, легальные каналы получения информации (угроза несанкционированного чтения файла, доступ пользователей к которому определен некорректно - разрешен доступ пользователю, которому, согласно адекватной политике безопасности, доступ должен быть запрещен).

используя скрытые каналы получения информации (угроза использования злоумышленником недокументированных возможностей операционной системы).

создавая новые каналы получения информации с помощью программных закладок.

По характеру воздействия на операционную систему:

активное воздействие - несанкционированные действия злоумышленника и системе;

пассивное воздействие - несанкционированное наблюдение злоумышленника за процессами, происходящими в системе.

По типу используемой слабости защиты:

используя неадекватную политику безопасности, в том числе ошибки администратора системы;

используя ошибки и недокументированные возможности программного обеспечения операционной системы, в том числе и так называемые люки случайно или преднамеренно встроенные в систему «служебные входы», позволяющие обходить систему защиты;

используя ранее внедренную программную закладку.

По способу воздействия на объект атаки:

непосредственное воздействие;

превышение пользователем своих полномочий;

работа от имени другого пользователя;

использование результатов работы другого пользователя (например, несанкционированный перехват информационных потоков, инициированных другим пользователем).

По способу действий злоумышленника:

в интерактивном режиме (вручную);

в пакетном режиме (с помощью специально написанной программы, которая выполняет негативные воздействия на операционную систему без непосредственного участия пользователя - злоумышленника).

По объекту атаки:

операционная система в целом;

объекты операционной системы (файлы, устройства и т. д.);

субъекты операционной системы (пользователи, системные процессы и т.д.);

каналы передачи данных.

По используемым средствам атаки:

внутренними средствами операционной системы без использования дополнительного программного обеспечения;

программным обеспечением третьих фирм, специально разработанным программным обеспечением.

По состоянию атакуемого объекта операционной системы на момент атаки:

хранение;

передача;

обработка.


1.4 Общие принципы построения безопасных информационных систем


В настоящее время практически во всех предприятиях и учреждениях существует необходимость защиты информации и разграничения доступа к компьютеру и его ресурсам. Такие задачи решаются защищёнными операционными системами. Определим понятие защищенной операционной системы.

Мы будем называть операционную систему защищенной, если она предусматривает средства защиты от основных классов угроз безопасности. Защищенная операционная система обязательно должна содержать средства разграничения доступа пользователей к своим ресурсам, а также средства проверки подлинности пользователя, начинающею работу с операционной системой. Кроме того, защищенная операционная система должна содержать средства противодействия случайному или преднамеренному выводу операционной системы из строя.

Если операционная система предусматривает защиту не от всех основных классов угроз, а только от некоторых, такую операционную систему мы будем называть частично защищенной.

Современная информационная система представляет собой сложную структуру из пользовательских приложений, работающих во взаимодействии с различными ОС, установленными на компьютерах, объединённых в локальную сеть, часто связанную, тем или иным образом с сегментом глобальной сети. Обеспечение безопасности такой системы требует проведения целого комплекса мероприятий в соответствии с разработанной политикой безопасности. Говоря о безопасности ИС необходимо учитывать следующие требования.

Никакая ИС не будет удовлетворительно защищена без продуманного плана построения такой защиты и продуманной политики безопасности. При этом программно-технические средства защиты должны рассматриваться как один из компонентов, наряду с правовыми, административными, физическими мерами. Каким-либо одним из перечисленных компонентов защитить систему невозможно.

При проектировании защиты ИС необходим анализ рисков, существующих для данной ИС.

Система информационной безопасности должна строится по принципу разумной достаточности, так - как мероприятия по обеспечению безопасности в определённой степени осложняют жизнь пользователям ИС, уменьшают эффективность работы людей и компьютеров.

Хотя встроенные средства обеспечения безопасности ОС могут и должны применяться для защиты ИС в целом, в силу своей специфики их необходимо дополнить в соответствии с требованиями конкретной конфигурации.

Необходимо отдавать себе отчёт в том, что в хорошей системе риск информационных потерь минимизирован, но не исключён.

При обеспечении информационной безопасности должна учитываться не только вероятность нарушения какого-либо из аспектов безопасности, но и вероятность выхода из строя каких либо узлов ИС.

Невозможно анализировать безопасность ИС без рассмотрения её структуры.


Рис. 1.1 - Структура ИС


Внешний уровень определяет взаимодействие ИС с глобальными ресурсами и системами. Функционально этот уровень характеризуется главным образом сетевыми средствами. На этом уровне должны отсекаться как попытки внешних, так и внутренних пользователей соответственно по несанкционированному доступу и выдаче информации.

Сетевой уровень связан с доступом к информационным ресурсам внутри локальной сети. Безопасность информации на этом уровне обеспечивается средствами проверки подлинности пользователей и разграничение доступа к ресурсам локальной сети (аутентификация и авторизация).

Системный уровень связан с управлением доступа к ресурсам ОС. Защите системных ресурсов должно уделяться особое внимание, поскольку несанкционированный доступ к ним может сделать бессмысленным прочие меры безопасности.


1.5 Стандарты защищенности и адекватная политика безопасности


Если операционная система сертифицирована по некоторому классу защищенности; некоторой системы стандартов, это вовсе не означает, что информация, хранящаяся и обрабатывающаяся в этой системе, защищена согласно соответствующему классу. Защищенность операционной системы определяется не только ее архитектурой, но и текущей политикой безопасности.

Как правило, сертификация операционной системы по некоторому классу защиты сопровождается составлением требований к адекватной политике безопасности, при неукоснительном выполнении которой защищенность конкретного экземпляра операционной системы будет соответствовать требованиям соответствующего класса защиты.


.6 Компьютерные преступления


История компьютерных преступлений досталась России в наследство от Советского Союза. Рубеж 80-90х годов показал, что компьютерные преступления перестали быть столь далёкими и эфемерными. На сегодняшний день в стране наблюдается постоянный рост числа компьютерных преступлений и мошенничества с применением новейших информационных технологий. С 1999 года появилась устойчивая тенденция ежегодного увеличения числа таких преступлений на 25-30%. Поражает широта и разнообразие применения компьютерной техники при осуществлении этих преступлениях.

По оценке Комитета ООН по борьбе с преступностью, компьютерные правонарушения вышли на первое место в списке международных проблем.

Компьютерные преступления обычно происходят специфически тихо, без шумихи и выстрелов. Так, например, даже за рубежом, где накоплена достаточно большая и достоверная статистика, до суда доходят меньше 1% нарушений. Это объясняется технической сложностью раскрытия компьютерных преступлений и нежеланием организаций выносить сор из избы. При этом следует помнить, что, по утверждению специалистов, ревизия в состоянии выявить не более 10% электронных хищений.

Все эти факты указывают на комплексность и многогранность проблемы защиты информации. Угроза защищаемым данным может исходить как от многоопытного профессионала в области компьютерных технологий, так и от человека, весьма далекого от понимания сути процессов, происходящих в вычислительных системах, который случайно обнаружил лазейку в системе безопасности и пользуется ею.

Современное общество, уже предпринимает серьёзные попытки защитить свою финансовую и информационную собственность. Ведётся грамотная внутригосударственная политика по решению существующих проблем в компьютерной безопасности и предотвращению будущих. С поддержкой государства, создаются современные инфраструктуры и разрабатываются комплексы мер по обеспечению безопасности и защиты информации.

Даже в наши дни во многих случаях компании начинают принимать меры по обеспечению защиты важной информации только тогда, когда убытки, нанесенные компьютерными преступлениями, становятся ощутимыми. При этом обычно перед спешно созданной службой информационной безопасности ставится практически невыполнимая задача - обеспечить максимальную безопасность информации при условии сохранения прежнего режима функционирования имеющихся программных и аппаратных средств, и все это в предельно сжатые сроки.

Другой, более правильный подход к построению системы защиты информации состоит в том, что информационная система изначально проектируется как защищенная, с учетом важности обрабатываемых в ней данных и возможных угроз безопасности. В таком случае, в отличие от предыдущего варианта, средства защиты информации используются на всех уровнях функционирования системы, начиная с самого нижнего (вплоть до аппаратного) и заканчивая самым верхним уровнем. Реализация данного подхода гораздо сложнее, чем предыдущего, требует комплексного анализа и детальной проработки, но зато она обеспечивает наибольшую степень безопасности защищаемой информационной системы.


1.7 Экономический эффект


Сегодня уже ни у кого не вызывает сомнений сам факт необходимости защиты информации. При этом автоматически возникает вопрос о количестве ассигнований, выделяемых для обеспечения эффективной защиты, и соизмеримости эффекта от сделанных вложений. В силу особенностей самой проблем обеспечения безопасности, а тем более защиты информации, точно ответить на этот вопрос практически невозможно.

Главная особенность состоит в том, что производится защита от потенциальных угроз, которые могут реализоваться, а могут и не реализоваться. Выделять же финансовые средства на обеспечение защиты приходится постоянно, независимо от того, потребовалось ли в данном периоде времени отражать атаки злоумышленников или нет. В общих чертах это напоминает ситуацию с выделением средств на страхование имущества.

Если современное общество чему-нибудь и научилось за последние несколько лет, так это тому, что ошибки в компьютерной безопасности нельзя устранить до конца. Утопией является само существование абсолютно безопасной и защищенной системы. Можно лишь снизить риск возможной реализации угроз до приемлемого уровня. Поэтому для определения объема средств, выделяемых на обеспечение защиты информации, в большинстве случаев приходится руководствоваться не принципом достижения максимальной защищенности, а выбирать оптимальное соотношение финансовых затрат и риска реализации угроз, которое определяется сугубо индивидуально для каждого предприятия.

Безопасность - это процесс, а не продукт. Продукты обеспечивают некоторую защиту, но для любой организации единственным способом заниматься своей деятельностью в данном мире, полном опасностей, является организация своей защиты с учетом того, что в продуктах всегда имеются ошибки безопасности. Главная идея заключается в том, чтобы уменьшить риск независимо от, того какими продуктами вы пользуетесь, и какие исправления в них установлены.

Многие пессимистически относятся к будущему компьютерной безопасности. Компьютеры всё усложняются, а сложность - это проклятие для безопасности. Если вы не можете полностью, на 100%, защититься от угроз, то вы обязаны максимально уменьшать риск.

Чтобы перейти от абстрактных понятий к реальным цифрам, обычно используют метод сопоставления затрат на создание и поддержание системы защиты информации и потерь от возможных действий злоумышленников.

Летом 1999 года было совершено проникновение в электронную систему Пермского отделения Сбербанка России. Было похищено 1,5 млрд. рублей. Данное преступление было совершено старшим инженером, исполняющим функции администратора безопасности системы расчётов по пластиковым картам Сбербанка России. Преступление было совершено с помощью программного средства, позволяющего делать безадресное зачисление средств. При подключении через модем по телефонной сети, программа автоматически, без участия оператора, при помощи средств идентификации вносила изменения в таблицу остатков на счетах с известными номерами. После отражения денежных изменений на пластиковые карты через банкомат программа приводила таблицу в первоначальный вид.

В начале этого года в городе Зеленограде Московской области преступниками было совершено покушение на хищение 2 млрд. рублей путём несанкционированного доступа в банковскую систему передачи платёжных документов. Членам организованной преступной группы удалось перехватить электронное платёжное поручение, направленное из отделения Сбербанка России в его Центральное операционное управление, о перечислении через Автобанк некоторой суммы для АО Стройинвест. Эта сумма была увеличена преступниками на 2 млрд. рублей, после чего уже фиктивное платёжное поручение было повторно передано с неустановленного следствием места по линии Инфотел. При попытке снятия денег преступление было пресечено.

Таким образом, убытки, понесённые от компьютерных правонарушений, делают исследования в сфере защиты информации экономически обоснованными, особенно в тех областях, где идет работа с государственной тайной и возможные потери настолько огромны, что с трудом поддаются количественной оценке.


1.8 Защищённая операционная система МСВС


ОС МСВС представляет собой многозадачную, многопользовательскую, полностью 32-разрядную, сетевую ОС, способную работать на различных аппаратных платформах, включая многопроцессорные.

ОС МСВС построена на концепции UNIX - систем, соответственно это влечёт за собой все присущие системам данного типа достоинства и недостатки. Данная операционная система содержит также средства защиты информации, включающие в себя:

Разделение памяти на области системных и пользовательских компонент (системные компоненты находятся в отдельной области памяти, доступ к которой из пользовательской области невозможен).

Изоляция пользовательских программ друг от друга. Каждая программа пользователя выполняется в отдельной области памяти, закрытой для доступа из других программ.

Подсистема управления доступом. Данная система включает в себя подсистемы идентификации, проверки подлинности и контроль доступа субъектов и управления потоками информации.

Подсистема регистрации и учета. Данная система включает в себя подсистемы регистрации и учета входа/выхода субъектов доступа в/из системы (узла сети); запуска/завершения программ и процессов (заданий, задач); доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи; доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; изменения полномочий субъектов доступа, создаваемых защищаемых объектов доступа. Учет носителей информации. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Сигнализация попыток нарушения защиты.

Подсистема обеспечения целостности Обеспечение целостности программных средств и обрабатываемой информации. Наличие средств восстановления СЗИ НСД.

Наличие возможности быстрого восстановления системы после сбоев.

При более детальном рассмотрении, выявляются некоторые факты, которые заставляют задуматься об общей безопасности системы:

ОС МСВС содержит обширный набор средств обеспечения безопасности, но далеко не все из них задействованы сразу после установки системы. Поэтому требуется детальное изучение, активизация и конфигурирование данных средств.

Практически любой сложный программный продукт содержит ошибки, и нет оснований, считать, что ОС МСВС является исключением из этого правила.

Нельзя исключать возможность наличия в операционной системе программных закладок и черных ходов, через которые возможен несанкционированный доступ к защищаемой информации.

Функционирование средств защиты в нормальном режиме может не вызывать нареканий, но неизвестно как поведёт себя ОС в случае возникновения нештатных ситуаций, например, при экстренной перегрузке системы, сбое или нарушении условий нормального функционирования.

Приведенные выше факты требуют детального изучения и исследования. Только после проведения такого исследования можно сделать вывод о степени защищенности ОС МСВС и принять меры, направленные на повышение безопасности системы.

Целью данной дипломной работы является анализ уязвимостей защищаемой информации в автоматизированных системах, функционирующих под управлением ОС МСВС и разработка технических решений по их устранению.


1.9 Технико-экономическое обоснование


Техническое обоснование проведения исследования по данной теме можно показать на следующих фактах:

Анализ структуры, конфигурации и функционирования ОС МСВС уменьшают время на проектирование и построение безопасных систем на базе ОС МСВС;

Анализ механизмов, программных продуктов и их принципов организации защиты информации в ОС МСВС, позволяет сделать выводы по защищённости данной ОС;

Разработанные решения по устранению уязвимостей ОС МСВС, позволяют уменьшить риск НСД к защищаемой информации;

Предложенные варианты построения VPN на базе отечественных сертифицированных продуктов позволяют снизить риск НСД к информации при работе в гетерогенных сетях;

Проведённый анализ уязвимостей даёт возможность построения системы защиты информации на базе ОС МСВС.

Также разработка данной темы приносит и экономическую выгоду, заключающую в следующем:

Уменьшение финансовых затрат на разработку системы защиты информации, построенной на базе ОС МСВС;

Уменьшение финансовых затрат, связанных с настройкой и конфирурированием систем защиты информации, построенной на базе ОС МСВС;

Уменьшение финансовых потерь при организации надлежащей защиты и безопасности коммерческих данных и информации.

2. Определение перечня встроенных механизмов защиты информации в ОС МСВС


.1 Структура ОС МСВС


ОС МСВС представляет собой UNIX-подобную, многозадачную, многопользовательскую, 32-разрядную, клиент - серверную ОС, способную работать на различных аппаратных платформах, включая многопроцессорные. Рассмотрим состав, структуру и основные принципы функционирования операционной системы МСВС.

Структурно ОС МСВС может быть представлена в виде двух частей: пользовательской части, и ядра.

Операционная система взаимодействует с аппаратурой непосредственно, обеспечивая обслуживание программ и их независимость от деталей аппаратной конфигурации. Если представить систему состоящей из пластов, в ней можно выделить системное ядро, изолированное от пользовательских программ.


Рис. 2.1 - Структура ОС МСВС


Поскольку программы не зависят от аппаратуры, их легко переносить из одной системы в другую, функционирующую на другом комплексе технических средств, если только в этих программах не подразумевается работа с конкретным оборудованием.

Общая организация ядра ОС МСВС

Ядро любой операционной системы выполняется в привилегированном режиме и рассматривается как априорно надёжная база для вычислений (Trusted Computing Base), гарантирующая её свойства. Любая ошибка, допущенная на каком-либо из этапов, начиная от проектирования и заканчивая написанием исходного кода, приводит к серьёзным последствиям при использовании данной операционной системы.

Ядро МСВС является модульным. В таком ядре поддержка некоторых устройств реализована непосредственно в составе ядра, а некоторых в виде загружаемых модулей. Модульная структура позволяет задействовать минимальный объем оперативной памяти. Обратной стороной медали являются накладные расходы на первоначальную загрузку модулей.

Вся операционная система связана иерархией уровней, каждый из которых может взаимодействовать только с непосредственно примыкающим к нему уровнем.

В результате продуманного разделения машинно-зависимых и машинно-независимых компонентов ядра удалось добиться того, что основная часть ядра не зависит от архитектурных особенностей целевой платформы, написана полностью на языке Си и для переноса на новую платформу нуждается только в перекомпиляции.

Введение в архитектуру ядра ОС МСВС

На рис. 2.2 представлена блок-схема ядра системы, отражающая состав модулей, из которых состоит ядро, и их взаимосвязи друг с другом.

В частности, на схеме слева изображена файловая подсистема, а справа подсистема управления процессами, две главные компоненты ядра.

Рис. 2.2 - Архитектура ядра ОС МСВС


Рисунок 2.2 имеет три уровня: уровень пользователя, уровень ядра и уровень аппаратуры. Обращения к операционной системе и библиотеки составляют границу между пользовательскими программами и ядром. Программы часто обращаются к библиотекам, таким как библиотека стандартных подпрограмм ввода-вывода, достигая тем самым более полного использования системных услуг.

Файловая подсистема управляет файлами, размещает записи файлов, управляет свободным пространством, доступом к файлам и поиском данных для пользователей. Процессы взаимодействуют с подсистемой управления файлами, используя при этом совокупность специальных обращений к операционной системе. Подсистема управления файлами обращается к данным, которые хранятся в файле, используя буферный механизм, управляющий потоком данных между ядром и устройствами внешней памяти. Буферный механизм, взаимодействуя с драйверами устройств ввода-вывода блоками, инициирует передачу данных к ядру и обратно.

Совокупность обращений к операционной системе разделена на обращения, которые взаимодействуют с подсистемой управления файлами, и те, которые взаимодействуют с подсистемой управления процессами.

Драйверы устройств являются такими модулями в составе ядра, которые управляют работой периферийных устройств. Устройства блочного ввода-вывода относятся типу запоминающих устройств с произвольной выборкой. К устройствам символьного ввода-вывода, относятся устройства, отличные от устройств ввода-вывода блоками. Подсистема управления файлами также непосредственно взаимодействует с драйверами устройств символьного ввода-вывода, без вмешательства буферного механизма.

Подсистема управления процессами отвечает за синхронизацию процессов, взаимодействие процессов, распределение памяти и планирование выполнения процессов. Подсистема управления файлами и подсистема управления процессами взаимодействуют между собой, когда файл загружается в память на выполнение: подсистема управления процессами читает в память исполняемые файлы перед тем, как их выполнить. Модуль распределения памяти контролирует выделение памяти процессам. Если в какой-то момент система испытывает недостаток в физической памяти для запуска всех процессов, ядро пересылает процессы между основной и внешней памятью с тем, чтобы все процессы имели возможность выполняться. Существуют два способа управления распределением памяти: выгрузка (подкачка) и замещение страниц. Программу подкачки иногда называют планировщиком, т.к. она "планирует" выделение памяти процессам и оказывает влияние на работу планировщика центрального процессора. Модуль "планировщик" распределяет между процессами время центрального процессора. Он планирует очередность выполнения процессов до тех пор, пока они добровольно не освободят центральный процессор, дождавшись выделения какого-либо ресурса, или до тех пор, пока ядро системы не выгрузит их после того, как их время выполнения превысит заранее определенный квант времени. Планировщик выбирает на выполнение готовый к запуску процесс с наивысшим приоритетом; выполнение предыдущего процесса (приостановленного) будет продолжено тогда, когда его приоритет будет наивысшим среди приоритетов всех готовых к запуску процессов. Существует несколько форм взаимодействия процессов между собой, от асинхронного обмена сигналами о событиях до синхронного обмена сообщениями.

Наконец, аппаратный контроль (уровень аппаратных абстракций) отвечает за обработку прерываний и за связь с машиной. Такие устройства, как диски и терминалы, могут прерывать работу центрального процессора во время выполнения процесса. При этом ядро системы после обработки прерывания может возобновить выполнение прерванного процесса. Прерывания обрабатываются не самими процессами, а специальными функциями ядра системы, перечисленными в контексте выполняемого процесса.

Функции ядра ОС МСВС

К основным функциям ядра ОС МСВС принято относить следующие:

Инициализация системы.

Управление процессами и нитями - функция создания, завершения и отслеживания существующих процессов и нитей ("процессов", выполняемых на общей виртуальной памяти).

Поскольку ОС UNIX является мультипроцессорной операционной системой, ядро обеспечивает разделение между запущенными процессами времени процессора (или процессоров в мультипроцессорных системах) и других ресурсов компьютера.

Управление памятью - функция отображения виртуальной памяти процессов в физическую оперативную память компьютера, которая имеет ограниченные размеры. Соответствующий компонент ядра обеспечивает разделяемое использование одних и тех же областей оперативной памяти несколькими процессами с использованием внешней памяти.

Управление файлами - функция, реализующая абстракцию файловой системы.

Коммуникационные средства - функция, обеспечивающая возможности обмена данными между процессами, выполняющимися внутри одного компьютера IPC (Inter-Process Communications), между процессами, выполняющимися в разных узлах локальной или глобальной сети передачи данных, а также между процессами и драйверами внешних устройств.

Программный интерфейс - функция, обеспечивающая доступ к возможностям ядра со стороны пользовательских процессов на основе механизма системных вызовов, оформленных в виде библиотеки функций.

Подгружаемые модули ядра

В ОС МСВС по требованию к ядру подгружаются некоторые модули (по требованию, т.е. не раньше, чем они действительно потребуются), что сокращает время начальной загрузки и экономит оперативная память.

Процессы и потоки управления

ОС МСВС - многопользовательская система, и программы, запускаемые разными пользователями, должны быть надежно изолированы друг от друга, чтобы случайно не исказить чужие данные. Эта изоляция обеспечена тем, что программа пользователя исполняется в рамках некоторого процесса, развивающегося в собственном виртуальном адресном пространстве.- подобные ОС базируется на двух основных понятиях: процесс и файл. Процессы являют собой динамическую сторону системы, это субьекты; а файлы - статическую, это обьекты действия процессов. Почти весь интерфейс взаимодействия процессов с ядром и друг с другом выглядит как запись/чтение файлов.

Процессы нельзя путать с программами - одна программа, как правило с различными данными, может выполняться в разных процессах. Процессы можно весьма условно разделить на два типа - задачи и демоны. Задача - это процесс, который выполняет свою работу, и по окончании её выполнения завершиться. Демон ждет событий, которые он должен обработать, обрабатывает произошедшие события и снова ждет; завершается он как правило по приказу другого процесса.

Что находится в оперативной памяти

Ядро операционной системы.

Процессы.

Буферный кэш.

Часть оперативной памяти резервируется под кэширование чтения и записи на диск. Любая операция чтения с диска приводит к тому, что прочитанные с блоки помещаются в буферный кэш, а из него уже передаются запросившим данные программам. Если блок попал в кэш, то все последующие обращения к нему будут получать образ блока из кэша, причем не зависимо, от того - та же самая программа, обращается к блоку, или какая-либо другая. Кэшируется так же и запись на диск, опять же, разделяемая между всеми выполняемыми программами.

ОС МСВС поддерживает возможность параллельного или квазипараллельного, в случае наличия только одного аппаратного процессора, выполнения нескольких пользовательских программ. Каждому такому выполнению соответствует процесс операционной системы. Каждый процесс выполняется в собственной виртуальной памяти, и, тем самым, процессы защищены один от другого, т.е. один процесс не в состоянии неконтролируемым образом прочитать что-либо из памяти другого процесса или записать в нее. Однако контролируемые взаимодействия процессов допускаются системой, в том числе за счет возможности разделения одного сегмента памяти между виртуальной памятью нескольких процессов.

Конечно, существенно более важно защищать саму операционную систему от возможности ее повреждения, каким бы то ни было, пользовательским процессом. В ОС МСВС это достигается за счет того, что ядро системы работает в собственном "ядерном" виртуальном пространстве, к которому не может иметь доступа ни один пользовательский процесс.

Понятие нити

В ядре ОС МСВС существует механизм легковесных процессов light-weight processes, или нитей (потоков) управления threads. Нить - это процесс, выполняющийся в виртуальной памяти, используемой совместно с другими нитями того же "тяжеловесного" (т.е. обладающего отдельной виртуальной памятью) процесса.

В ОС МСВС понятие процесса жестко связано с понятием отдельной и недоступной для других процессов виртуальной памяти. Каждый процесс был защищен ядром операционной системы от неконтролируемого вмешательства других процессов.

Связывание процесса с виртуальной памятью порождает некоторые проблемы. Если с каждым процессом связана отдельная виртуальная память, то смена контекста процессора, т.е. его переключение с выполнения одного процесса на выполнение другого процесса является относительно дорогостоящей операцией.

Что же понимается под нитью? Это независимый поток управления, выполняемый в контексте некоторого процесса. Фактически, понятие контекста процесса, изменяется следующим образом. Все, что не относится к потоку управления: виртуальная память, дескрипторы открытых файлов и т.д., остается в общем контексте процесса. Вещи, которые характерны для потока управления: регистровый контекст, стеки разного уровня и т.д., переходят из контекста процесса в контекст нити. Общая картина показана на рисунке

Рис. 2.3 - Соотношение контекста процесса и контекстов нитей


Как видно из рисунка, все нити процесса выполняются в его контексте, но каждая нить имеет свой собственный контекст. Контекст нити, как и контекст процесса, состоит из пользовательской и ядерной составляющих. Пользовательская составляющая контекста нити включает индивидуальный стек нити. Поскольку нити одного процесса выполняются в общей виртуальной памяти, все нити процесса имеют равные права доступа к любым частям виртуальной памяти процесса. Стек (сегмент стека) любой нити процесса в принципе не защищен от произвольного (например, по причине ошибки) доступа со стороны других нитей.

Виртуальная память

Основным идеей распределения виртуальной памяти в ОС МСВС является обеспечение защиты пользовательских программ друг от друга и предоставление операционной системе возможности динамически гибко перераспределять основную память между одновременно поддерживаемыми пользовательскими процессами.

Каждый процесс функционирует в своем собственном виртуальном адресном пространстве, не пересекающемся с другими. Адресное пространство процесса может быть большим, чем физическая оперативная память.

Идея механизма виртуальной памяти ОС МСВС состоит в том, что адрес памяти, вырабатываемый командой, интерпретируется аппаратурой не как реальный адрес некоторого элемента основной памяти, а как некоторая структура, разные поля которой обрабатываются разным образом.

Виртуальная память (виртуальная память каждого процесса) и физическая основная память представляются состоящими из наборов блоков или страниц одинакового размера. Для удобства реализации размер страницы всегда выбирается равным числу, являющемуся степенью 2. Тогда, если общая длина виртуального адреса есть N (это всегда степень 2 - 16, 32, 64), а размер страницы есть 2M), то виртуальный адрес рассматривается как структура, состоящая из двух полей: первое поле задает номер страницы виртуальной памяти, второе поле задает смещение внутри страницы до адресуемого элемента памяти (в большинстве случаев - байта).

Область памяти, занятая программой разделена на три части: text (выполняемые коды программы), data (статические данные программы), stack (динамические данные). Когда ОС освобождает место в памяти за счет text'а, то она не занимается сбросом его на диск. Она сразу помечает его как свободный. Действительно, когда потребуется загрузить text обратно в память, его можно будет взять из самого выполняемого файла с программой. Такая экономия имеет побочные эффекты. Первый это потеря быстродействия. Второй состоит в том, что файл программы, которая в данный момент выполняется, невозможно уничтожить. Операционная система сообщит в этом случае: "text file busy", и откажется выполнять удаление.

Виртуальная память поддерживается с помощью paging'а - разрешения виртуальных адресов в физические, с подкачкой отсутствующих страниц памяти со swap-области на жестком диске. Swaping'а как такового в ОС МСВС нет, вместо него применяется гораздо более гибкий paging. Swaping - по определению, это полная выгрузка программы на swap-область с целью освобождения места в оперативной памяти.

Введение подобной модели организации виртуальной памяти и тщательное продумывание связи аппаратно-независимой и аппаратно-зависимой частей подсистемы управления виртуальной памятью позволило добиться того, что обращения к памяти, не требующие вмешательства операционной системы, производятся, как и полагается, напрямую с использованием конкретных аппаратных средств. Вместе с тем, все наиболее ответственные действия операционной системы, связанные с управлением виртуальной памятью, выполняются в аппаратно-независимой части с необходимыми взаимодействиями с аппаратно-зависимой частью.

Принципы организации многопользовательского режима

Основной проблемой организации многопользовательского, правильнее было бы сказать, мультипрограммного режима, в любой операционной системе является организация планирования параллельного выполнения нескольких процессов. Операционная система должна обладать четкими критериями для определения того, какому готовому к выполнению процессу и когда предоставить ресурс процессора.

При переключении задач, которое производится по сигналам системного таймера, состояние текущей выполняющейся задачи сохраняется в специальной области памяти, затем из очереди готовых к выполнению задач по специальному алгоритму выбирается имеющая наиболее высокий приоритет, восстанавливается ее состояние и задача запускается на выполнение. Все эти действия выполняются за определенное время, поэтому частое переключение задач негативно сказывается на общем быстродействии системы.


2.2 Основные принципы защиты ОС МСВС


Поскольку ОС МСВС является многопользовательской операционной системой, в ней всегда будет актуальна проблема авторизации доступа различных пользователей к файлам файловой системы. Под авторизацией доступа мы понимаем действия системы, которые допускают или не допускают доступ данного пользователя к данному файлу в зависимости от прав доступа пользователя и ограничений доступа, установленных для файла.

Идентификаторы пользователя и группы пользователей

С каждым выполняемым процессом в ОС МСВС связываются реальный идентификатор пользователя (real user ID), действующий идентификатор пользователя (effective user ID) и сохраненный идентификатор пользователя (saved user ID). Все эти идентификаторы устанавливаются с помощью системного вызова setuid, который можно выполнять только в режиме суперпользователя. Аналогично, с каждым процессом связываются три идентификатора группы пользователей - real group ID, effective group ID и saved group ID. Эти идентификаторы устанавливаются привилегированным системным вызовом setgid.

При входе пользователя в систему программа login проверяет, что пользователь зарегистрирован в системе и знает правильный пароль (если он установлен), образует новый процесс и запускает в нем требуемый для данного пользователя shell. Но перед этим login устанавливает для вновь созданного процесса идентификаторы пользователя и группы, используя для этого информацию, хранящуюся в файлах /etc/passwd и /etc/group. После того, как с процессом связаны идентификаторы пользователя и группы, для этого процесса начинают действовать ограничения для доступа к файлам. Процесс может получить доступ к файлу или выполнить его (если файл содержит выполняемую программу) только в том случае, если хранящиеся при файле ограничения доступа позволяют это сделать. Связанные с процессом идентификаторы передаются создаваемым им процессам, распространяя на них те же ограничения.

Авторизация доступа

Схема авторизации доступа, примененная в UNIX - подобных ОС, проста и удобна и одновременно настолько мощна, что стала фактическим стандартом современных операционных систем.

Под авторизацией доступа мы понимаем действия системы, которые допускают или не допускают доступ данного пользователя к данному файлу в зависимости от прав доступа пользователя и ограничений доступа, установленных для файла.

Поскольку ОС МСВС является многопользовательской операционной системой, в ней всегда будет актуальна проблема авторизации доступа различных пользователей к файлам файловой системы.

Группы пользователей в ОС МСВС

"Доступ" означает не только возможность читать или изменять содержимое отдельных файлов. Это ещё и возможность создавать файлы и/или директории, удалять их, запускать файлы, если они являются исполняемыми, переименовывать их, а также менять все те атрибуты, которые и определяют право доступа.

Прежде всего, надо отметить, что правильнее говорить не о правах пользователя по отношению к какому-нибудь файлу, а о правах процесса (выполняемой программы).

Во-первых, если пользователь и вносит какие-то изменения в файлы или директории, он это делает с помощью каких-то программ (редакторов, оболочек, системных утилит для копирования, удаления файлов и т.п.), которые в момент выполнения являются процессами.

Во-вторых, что более важно, не все программы запускаются пользователями "вручную". Некоторые из них (демоны) запускаются при старте системы. Другие могут запускаться в определенные моменты времени (с помощью программы cron или at), или вызываться по мере необходимости для обслуживания запросов приходящих по сети (обычно их запускает inetd). Кроме того, существует ряд программ, которые для выполнения каких-то вспомогательных действий, сами запускают другие программы (в этом случае говорят, что родительский процесс запустил (породил) дочерний процесс (процесс - потомок)). Этим программам (процессам) также нужно ограничить доступ к файлам.

И, наконец, в-третьих, в некоторых случаях очень полезно, чтобы программа, запущенная пользователем, имела больше прав, чем обычно имеет этот пользователь. Например, обычный пользователь не может даже читать файл, в котором содержатся пароли всех пользователей. В то же время, любой пользователь должен иметь возможность поменять свой личный пароль, не обращаясь для этого к администратору. Но для этого ему надо иметь возможность записать что-то в файл паролей. Значит программа, которая это делает, в некоторый момент выполнения, должна иметь права большие, чем пользователь, который ее запускает.

В ОС МСВС все пользователи объединяются в группы. Причем, каждый пользователь входит, по крайней мере, в одну группу, но может быть членом нескольких различных групп.

Как и индивидуальные пользователи, каждая группа имеет свое имя (Group name) и числовой номер (GroupID). Они однозначно соответствуют друг другу.

Можно сказать, что каждый процесс имеет идентификатор пользователя (UserID). Обычно он совпадает с UserID того пользователя, который запустил этот процесс. Процессы, которые запустились автоматически, тоже имеют UserID, как будто их запустил реальный пользователь. Чей именно UserID получают эти программы обычно определяется теми программами, которые их стартуют (программа-загрузчик, cron, inetd и т.д.). В простейших случаях программы - "потомки" просто наследуют UserID от программы - "родителя", но некоторые "родители" могут запускать программы с другим UserID (не совпадающим с собственным). Некоторые программы в процессе выполнения могут поменять свой UserID и, соответственно, получить права, которые сам пользователь не имел. Для того, чтобы программа могла это сделать, администратор должен "разрешить" ей такое поведение (подробнее об этом будет сказано ниже). Изменение UserID'а делается не только, когда нужно "расширить" права программы, но и наоборот - "сузить" до прав какого-нибудь конкретного пользователя.

Если процесс может изменять свой UserID, то различают реальный UserID и эффективный UserID. Реальный UserID - это идентификатор пользователь, который запустил процесс (или UserID родительского процесса), а эффективный - это новый UserID, который задача получила во время выполнения.

В основном, группы пользователей используются при определении прав доступа к различным файлам и директориям. Можно сказать, что для каждого файла (директории) в ОС МСВС существует его владелец (один из пользователей) и группа "особо допущенных" к этому файлу (директории). При этом владелец файла может задать права доступа к нему (чтение, запись и т.п.) разные для себя, группы "допущенных" и для всех остальных (не входящих в эту группу).

Сам состав групп (список индивидуальных пользователей, входящих в группу) хранится в соответствующей базе данных, а к файлам "привязывается" только номер группы (GroupID).

Файлы и права доступа к ним

Поскольку ОС МСВС - система многопользовательская, в ней предусмотрен механизм, ограничивающий доступ пользователей к файлам и директориям.

Права на файл (или директорию) определяются по эффективному UserID процесса. В простейшем случае, когда UserID не меняется, реальный и эффективный UserID совпадают, то можно говорить просто о процессе обладающем определённым UserID. Или даже просто о правах пользователя (а не процесса) на файл.

Владелец файла и группа "допущенных"

Все пользователи для каждого файла (или директории) делятся на три категории владелец (или хозяин) этого файла, группа "особо допущенных" к этому файлу и все остальные.

Это означает, что можно установить права разграничения доступа (три различных набора прав доступа) для каждого файла или директории. Один набор будет определять права пользователя, который является владельцем файла, другой будет определять права для пользователей, которые входят в некую группу, но не являются владельцами, и, наконец, третий набор устанавливает права для всех остальных пользователей, которые не входят в группу "особо допущенных", и не являются владельцем файла.

Следовательно, у каждого файла (директории) есть три атрибута, которые хранятся в заголовке файла и регулируют доступ к нему. В заголовок файла записывается идентификатор пользователя UserID, который считается его владельцем, коим может быть только один определенный пользователь.

Кроме того, в атрибуты записывается идентификатор группы GroupID, который и определяет группу пользователей (особо допущенных) о которой говорилось выше. Каждая такая группа, ее название, GroupID и состав определяется администратором системы. То есть рядовой пользователь, даже если он и является хозяином файла, не может произвольно составить список допущенных, которым он доверяет особые права в отношении к своему файлу. Он может только выбрать подходящую группу из имеющихся, и то, только если он сам входит в эту группу.

И, наконец, в атрибутах файла есть набор битов, который и указывает - кто и что может проделать с этим файлом. Этот набор называется permissions, что можно перевести как права доступа.


2.3 Системы защиты ОС МСВС

является самой гибкой и настраиваемой системой с архитектурой GFAC, позволяющая одновременное использование нескольких политик, таких как:;

мандатные методы;

ролевые модели.

Более того, можно использовать все одновременно - например, закрыть каталог с помощью ACL, а внутри него использовать полномочное разграничение доступа. Все ненужные в данный момент модули могут быть отключены, а при необходимости загружены вновь.

Все вносимые изменения применяются на "лету", что позволяет производить локальные изменения политики без прерывания работы критичных приложений сервера.

Протоколирование находится на самом высоком уровне - возможна тонкая настройка с точностью до пользователя, программы, системного вызова.разграничивает доступ от субъектов к объектам. Субъектом всегда является процесс, действующий со стороны пользователя с определенными атрибутами. Объекты в RSBAC называются Target (Цель). Определяются следующие типы объектов:


FILEФайлы, включая специальные файлы устройств. Идентифицируются по устройствам и номерам inode.DIRКаталоги, идентифицированные по устройствам и номерам inode.FIFOСпециальные файлы FIFO.DEVУстройства, различаемые по типу (char или block), значениям major и minor.IPCInterProcess Communication: Semaphores (sem), Messages (msg), Shared Memory (shm), Sockets (sock) и FiFo.SCDSystem Control Data: Объекты затрагивающие всю систему. Цели этого типа являются единственными с фиксированным числом объекта, идентифицируемому по номеру.USERПользователи как объекты, в основном для информации контроля доступа (ACI).PROCESSПроцессы как объекты.NONEНет объектов, ассоциированных с этим запросом. В некоторых моделях (RC, ACL) это приравнено к SCD-цели "other".FD(Только в пользовательской области): Позволяет средствам командной строки делать различие между типами FILE и DIR.

Цели System Control Data (SCD) выглядят следующим образом:time_strucsСистемный таймерclockСистемные время и датаhost_idИмя машиныnet_idИмя домена ioportsAccess Control для прямого доступа к оборудованиюrlimitУстановка ограничения ресурсов процессаswapКонтроль свопированияsyslogСистемный журнал регистрации событийrsbacДанные RSBAC в /procrsbaclogСобственный журнал регистрации событий RSBACkmem Прямой доступ к памяти ядра через proc или устройствоother(только встроенное в RC и ACL): Подстановка для цели NONEauth_administration (только в RC и ACL): AUTH-модель администрирования

Перед тем, как будет разрешен доступ к объекту, производится запрос к средствам Access Control Decision (ADF). Решение о разрешении и запрете доступа принимается в зависимости от типа запроса и цели.

Существует жесткое разделение администратора системы и администратора безопасности. Полномочия root ограничивает администратор безопасности, настраивая соответствующим образом политику. Таким образом, даже если в систему проникнет злоумышленник и получит права root - то он все равно не сможет уничтожить защищаемую информацию или перевести систему в незащищенный режим. С другой стороны, и администратор безопасности - всего лишь обычный пользователь и не может помешать функционированию системы.

В направлении разграничения прав доступа в RSBAC применяется технология создания и поддержки т.н. "chrooted environments" - изолированных сред выполнения. Влияние программ, работающих в таких средах, на другие программы и систему в целом, минимально; даже в случае обнаружения уязвимости, программа, запущенная в такой среде, не представляет угрозы для безопасности остальных компонент системы.

При первом старте ядра RSBAC создается следующая базовая конфигурация защиты:

Все ключевые каталоги с программами и библиотеками переводятся в режим доступа только для запуска либо только для чтения.

Файлы конфигурации, ответственные за добавление пользователей, изменение конфигурации файловой системы и загрузчиков, также доступны только для чтения.

Доступ в каталог /home, где по умолчанию размещены домашние каталоги пользователей, открыт только для пользователей и администратора безопасности (последний конечно же не может заходить в личные каталоги пользователей, так как они закрыты обычными правами системы).

Домашний каталог администратора безопасности вынесен отдельно из /home, закрыт для всех, кроме владельца и при необходимости в нем может быть размещена собственная доверенная программная среда.

В каталоге администратора безопасности размещен набор готовых сценариев на разрешение/запрет добавления пользователей, разрешение/запрет добавления программ, а также сценарий для организации защиты Web сервера. Authentication Modules (PAM) для ОС МСВС представляет собой набор общедоступных библиотек, которые дают возможность локальному администратору системы выбрать, как прикладные программы опознают пользователей.представляет промежуточный уровень между прикладной программой и фактическим опознавательным механизмом. Как только программа скомпилирована с поддержкой PAM, любые опознавательные методы, поддерживаемы PAM, будут пригодны для использования программой.

В дополнение к этому PAM может обрабатывать данные сеанса, что другие механизмы делают не очень хорошо. Например, можно легко отвергать доступ систему нормальных пользователей между 6pm и 6am.

Таким образом, на системе с PAM все, что нужно для затенения паролей: преобразовать файлы паролей и групп и добавить несколько строк в файлы настройки PAM. Данная система дает много гибкости для идентификации пользователя, и будет поддерживать другие свойства в будущем типа цифровых сигнатур.

Инсталляция ОС МСВС включает в среднем около 30400 файлов. Администратор не в состоянии проконтролировать целостность всех системных файлов, и если хакер получит доступ к серверу и сможет модифицировать какие-либо файлы, то вы можете об этом не узнать. Для решения этих проблем было создано несколько программ.работает на самом фундаментальном уровне, защищая сервера и рабочие станции, представляющие основу корпоративной сети. Запускаемая первый раз, она сканирует компьютер и создает базу данных системных файлов, компактный цифровой снимок системы в безопасном состоянии. Пользователи могут настраивать aide очень точно, определяя конкретные файлы и каталоги на каждой машине, или создавая стандартный шаблон, который может использоваться на всех машинах предприятия.

Как только такая базовая база данных создана, администратор может запускать aide для проверки целостности системы в любое время. Она сканирует текущую систему и сравнивает результаты со своей базой. aide определяет и рапортует о любых дополнения, удаления и изменениях произошедших среди контролируемых ею файлов. Если изменения правильные, то администратор может обновить базу данных новой информацией. Если были найдены изменения, то администратор будет знать, на какую часть системы было оказано воздействие.

Эта версия aide включает:

Множество уровней сообщений позволяет вам выбрать различную информационность отчетов.

Опция Syslog посылает информация об инициализации и обновлении базы данных, изменении политики, и целостности в syslog.

Производительность базы данных может быть оптимизирована для увеличения эффективности проверки целостности.

Разные разделы отчета могут быть посланы разным получателям.

Поддержка отправки отчетов по почте через SMTP.

Режим тестирования почты для проверки правильности почтовых настроек.

Возможность создания нескольких независимо исполняемых секций с политиками.- это административная утилита для мониторинга и ограничения использования дискового пространства пользователями и группами на каждой файловой системе. Существует две возможных способа ограничений использования дисков. Первый, это число inode-ов (число файлов), которым может владеть пользователь или группа. Второй, число дисковых блоков (суммарное пространство в килобайтах), которое может выделяться в использование пользователю или группе. При помощи квот, системный администратор принуждает пользователя не расходовать неограниченный объем дискового пространства. Эта программа оперирует отдельно каждым пользователем и каждой файловой системой, поэтому для каждой файловой системы нужно определять квоты отдельно.

Одна из вещей, которые обычно забывают, в том, что если файл удаляется, то реально-то он никуда не денется, и если его не уничтожить каким-то способом, то восстановить данные из него в принципе возможно.

В ОС МСВС есть специализированная программа wipe, которая надежно удаляет данные, перезаписывая файл многократно разными образцами.

Вы можете использовать wipe для файлов или устройств. В первом случае, имя файла и техническая информация о нем удалена не будет, будет уничтожено только его содержимое, после чего файл будет бесполезен для какого-либо восстановления.

Брандмауэры помогают нам защитить сеть от вторжений. С их помощью определяется, какие порты открыть, а какие нет. PortSentry - это программа созданная для определения и ответа на сканирование портов в реальном времени. Когда сканирование обнаружено, могут последовать следующие ответы:

занесение информации об инциденте в системный журнал через syslog().

Компьютер, замеченный в сканировании, автоматически заносится в файл /etc/host.deny для TCP Wrappers.

Локальный компьютер автоматически перенастраивается, чтобы направлять весь трафик от атакующего на несуществующий компьютер.

Локальный компьютер автоматически перенастраивается, чтобы блокировать все пакеты от атакующего пакетным фильтром.

Цель этой программы - дать администратору информацию о том, что их сервер исследуется._Wrappers

По умолчанию, ОС МСВС отвечает на все запросы к имеющимся сервисам. Используя Tcp_Wrappers, вы легко сможете оградить ваш сервер от внешних вторжений, когда это нужно. Используя Tcp_Wrappers, вы легко сможете оградить ваш сервер от внешних вторжений, когда это нужно. Данное средство позволяет запретить доступ с определённых хостов и определите список тех, кому доступ разрешен.

В ОС МСВС присутствует такое программное средство, как утилита ipchains используемая для администрирования firewall-а и IP маскарадинга.

На пути от отправителя к получателю пакет может проходить через промежуточные узлы. В зависимости от информации, которая содержится в заголовке IP-пакета, они могут этот пакет переслать на следующий узел (forward), передать локальной программе для обработки, уничтожить (deny), отвергнуть, т.е. уничтожить и отправить об этом уведомление отправителю (reject). Выбор и осуществление одного из этих действий и называется фильтрацией пакетов.

Возможность фильтрации встроена в ядро ОС МСВС. Firewall или брандмауэр - это программа, которая, основываясь на некоторых правилах, разрешает или запрещает передачу информации, проходящей через нее, с целью ограждения некоторой подсети от внешнего доступа или наоборот, для недопущения выхода наружу. Firewall может определять правомерность передачи информации на основе только заголовков IP-пакетов, а может анализировать и их содержимое, т.е. использовать данные протоколов более высокого уровня.

Маскарадинг - это подмена некоторых параметров в заголовках IP-пакетов, позволяющая машинам, не имеющим реальных IP-адресов, практически полноценно работать в глобальных сетях.

Прозрачное проксирование (transparent proxying) - это переадресация пакетов на другой порт машины. Обычно используется для того, чтобы заставить пользователей из локальной сети пользоваться местным proxy-сервером без дополнительного конфигурирования их клиентских программ.

Парольная защита

Защита паролей должна занимать ведущее место в системе защиты любой ОС.

МСВС обеспечивает защиту паролей с помощью трёх основных механизмов:

шифрование паролей;

механизм затенения (сокрытия) паролей;

механизм PAM.

Рассмотрим отдельные механизмы подробнее.

Во всех UNIX-подобных ОС имеются несколько констант, и одна из них файл /etc/passwd, и как он работает. Проблема с этим состоит в том, что каждый нуждается в доступе к passwd файлу. То есть, зашифрованные пароли доступны всем.

Суть механизма сокрытия паролей проста: парольный файл, даже зашифрованный, доступен только системному администратору. Для этого он помещается в файл \etc\shadow, права на чтение которого, принадлежат только системному администратору. Для реализации подобной схемы защиты в МСВС используется набор программных средств Shadow Suite.- файлы и другие формы аудита

Одной из главных частей любой UNIX-системы является протоколирование. В МСВС оно обеспечивается двумя основными программами: sysklogd и klogd, первая предоставляет собой сервис протоколирования программ и приложений, вторая делает то же самое в отношении ядра МСВС. Эти средства позволяют программному обеспечению генерировать сообщения для протоколов, которые затем передаются log daemon и обрабатываются (пишутся в локальный файл, пересылаются на другой сервер, посылаются программе или обрабатываются как-то еще).обрабатывает ядерные сообщения, в зависимости от конфигурирования, их может быть разное количество.

Резервное копирование и восстановление

Безопасность и надежность сервера вплотную связана с процедурой регулярного резервного копирования. Иногда могут возникать различные повреждения. Они могут быть следствием атак, ошибок аппаратного обеспечения, ошибок администратора, перепадов напряжения и пр. Самый надежный метод резервного копирования это записать данные в место независимое от вашего МСВС сервера.

В ОС МСВС есть программа dump для резервного копирования и восстановления файловых систем.

Основная идея резервного копирования - это создание копий всего, что установлено на вашей системе.

Команда restore выполняет функцию противоположную функции dump. Она восстанавливает файлы и каталоги из резервных копий полученных, программой dump. Может быть восстановлена полная резервная копия файловой системы, а затем и уровни добавочных резервных копий поверх ее. Также может из полной резервной копии или частичной могут быть восстановлены отдельные файлы и каталоги. Вы имеете ряд возможных команд и опций для восстановления данных из резервных копий, полученных программой dump.

3. Определение перечня уязвимостей ОС МСВС


Чтобы правильно оценить уязвимости операционной системы, важно представлять себе круг решаемых ею задач. Когда речь идет об универсальных ОС, к какой относятся и ОС МСВС необходимо определить границы её применения.

Функционирование компьютера, с установленной ОС МСВС возможно в виде:

отдельной рабочей станции, не подключенной к сети (локальный вариант);

рабочей станции, подключенной к сети (сетевой вариант);

сервера (в том числе и сетевого).

В данном случае на защищаемую информацию, обрабатываемую в системе, воздействуют различные факторы, обусловленные наличием уязвимостей в локальных подсистемах, а при работе в сети к ним добавляются еще и уязвимости сетевых сервисов.

Только после проведения подробного исследования можно сделать вывод о степени защищенности ОС МСВС и принять меры, направленные на повышение безопасности системы.


3.1 Локальные уязвимости


Анализ уязвимостей следует проводить с начального этапа работы ОС МСВС - этапа загрузки операционной системы. Процесс загрузки и инициализации ОС протекает автоматически при включении питания или при перезагрузке системы.

Процесс загрузки и запуска ОС МСВС

Во время загрузки, особенно на ее начальных этапах, системы безопасности ОС МСВС еще не запущены. Рассмотрим последовательность этапов загрузки, инициализации и запуска ОС МСВС, начиная с момента включения питания компьютера.

Начальное тестирование оборудования

При включении питания компьютер проводит тестирование аппаратных средств, на предмет обнаружения неисправностей в работе устройств и компонентов системы. Данным процессом управляет BIOS (Basic Input Output System) материнской платы. В ходе проверок определяется объем памяти, установленной на компьютере, диагностика, наличие и работоспособность периферийных устройств (клавиатура, мышь и т. д.).

Некоторые BIOS имеют универсальные пароли для доступа к системе, что позволяет злоумышленнику изменить процедуру загрузки ОС.

Загрузка с различных устройств (floppy-дисковод, CD-ROM) альтернативной ОС, дает возможность получить доступ к конфиденциальным данным, минуя средства защиты ОС МСВС.

Исходный запускзагружает в память первый сектор раздела диска, который был указан в настройках как загрузочный, и передает управление на начало загружаемого блока. Для жестких дисков первый сектор содержит так называемую главную загрузочную запись (Master Boot Record). При установке ОС МСВС заменяет главную загрузочную запись собственной, в которой располагается начальный загрузчик, который затем загружает ядро и, собственно, саму операционную систему.

При повреждении главной загрузочной записи становится невозможна загрузка операционной системы и возникает большая вероятность потери информации о структуре жесткого диска.

Процесс инициализации и стартовые сценарии

ОС МСВС использует классический загрузчик Unix систем - LILO (LInux LOader). LILO позволяет гибко настраивать загрузку системы, но это палка о двух концах. LILO позволяет передавать при загрузке некоторые параметры, которые являются опасными с точки зрения защиты информации.

Наиболее опасным является такой режим загрузки ОС как image-name single, который загружает ОС МСВС в однопользовательском режиме. Данный режим представляет собой просто root shell без запроса пароля или каких-то других защитных механизмов. В данном режиме злоумышленник может изменить файлы конфигурации ОС в своих целях.

Сначала загрузчик переводит процессор в защищенный режим работы и загружает все необходимые для старта системы файлы. Затем управление передается функции инициализации ядра операционной системы. При этом выполняется инициализация самого ядра, загруженных драйверов и подсистем управления памятью, безопасностью, процессами и потоками, ввода/вывода. Когда эта стадия завершается, ОС МСВС начинает работу в обычном режиме, в котором обеспечивается идентификация и аутентификация пользователей, разграничение доступа, аудит т.п., то есть система безопасности ОС МСВС начинает функционировать в полном объеме.

Ненадёжность файловой системы

В MCBC посредством VFS (Virtual File System) различные файловые системы увязываются в одно дерево. Одна из файловых систем - начало начал, её корневой каталог root (/). Уже к ней монтируются остальные файловые системы. VFS делает эту конструкцию прозрачной для прикладных программ.

ОС МСВС использует Ext2fs - стандартную файловую систему Unix-подобных ОС. Разберём подробнее её достоинства и недостатки.

Единой и неделимой, с точки зрения обращения к диску порции данных является логический блок, размер которого кратен степени двойки (обычно 1024 или 4096 байт). В логические блоки записываются собственно данные файлов. Но файлы могут быть разной длины, как маленькие, размером меньше логического блока, так и большие, занимающие несколько логических блоков. Чтобы разобраться в мешанине данных (найти по имени нужный файл и нужную порцию данных в нём), а также снабдить файлы атрибутами-метаданными, часть логических блоков играет роль каталогов-списков пар (имя файла, индекс записи метаданных i-node). В начале раздела располагается корневой каталог, который содержит ссылки на другие файлы и каталоги (содержащие ссылки на файлы и каталоги). Так и образуется древовидная структура файловой системы.

Индекс i-node ссылается на запись метаданных. Записи i-node включают в себя перечень атрибутов (размер в байтах, дата создания и модификации, права доступа) и список номеров логических блоков, в которых располагается соответствующий файл данных. В зависимости от размера файла список номеров логических блоков может использовать тот или иной уровень вложенности (используя для этого дополнительные блоки).

Следующий момент-это учёт свободных блоков на диске. Для этого используется таблица, где каждому блоку соответствует один бит. Поиск свободного блока на диске осуществляется линейным просмотром этой таблицы. При занятии и освобождении блока делается соответствующая отметка в таблице.В начале раздела есть загрузочный сектор и блок параметров раздела.

Все ссылки - это целые числа ограниченной разрядности, и от выбора их разрядности зависят ограничения на максимальный размер файла. Для 32-разрядной архитектуры максимальный размер файла в ext2fs - 2 Гбайт, а при размере блока в 1 Кбайт максимальный размер файловой системы в целом - 4 Тбайт.

Теперь посмотрим, какие проблемы в такой файловой системе могут возникать.

Во-первых, файлы могут быть очень маленькими. Но занимать они будут всё равно целый блок. То же самое происходит с хвостами файлов. Последствия этого известны - внутренняя фрагментация.

Во-вторых, большие файлы только в начале жизни раздела размещаются в последовательно расположенных логических блоках. Со временем (файлы, занимающие разное число блоков, удаляются, записываются новые, вновь удаляются и т.д.) получается так, что составляющие файл блоки оказываются разбросанными по всему диску - файл становится фрагментированным. Соответственно, при считывании такого файла головкам диска требуется основательно поработать и скорость считывания существенно замедляется.

В-третьих, при увеличении размера диска увеличивается размер таблицы свободных блоков, и с учётом линейного поиска по таблице - этот поиск замедляется пропорционально размеру диска. То же самое происходит и при увеличении числа файлов в каталоге, да и при увеличении размеров самих файлов.

В-четвёртых, при модификации файла помимо записи самых данных нужно внести изменения в записи файловой системы (изменить метаданные, внести изменения в список блоков, пометить занятые блоки). И тут кроется самое страшное. Поскольку эти обращения к диску разнесены во времени (и это ещё усугубляется кэшированием), в том случае, если в момент записи на диск произойдёт отключение или сбой питания, то мало того, что теряются данные, - может разрушиться вся файловая система.

Время, которое тратится на восстановление, может длиться десятки минут, а на больших дисках даже часы. Всё это время, естественно, система неработоспособна - прощай, высокая готовность. Конечно, если ведётся регулярное резервное копирование, то данные конечно можно восстановить, но время потеряно.

Хотя ext2fs достаточно устойчива, неудовлетворённость ею среди пользователей и администраторов зрела уже очень давно. Объёмы дисков растут, повышаются требования к надёжности, ужесточаются требования к скорости восстановления работоспособности после сбоев.

Подбор пароля

Для получения доступа к ресурсам системы каждый пользователь проходит обязательную процедуру идентификации и аутентификации. В ОС МСВС для идентификации используется символическое имя пользователя, а для аутентификации - пароль. Имя пользователя не является секретным, а пароль должен хранится в тайне.

Одной из атак, давно ставшей наиболее популярной, является атака с подбором пароля другого пользователя. Существует множество программ, занимающихся подбором паролей.

Как известно, в файле /etc/passwd лежит ключевая информация о всех пользователях системы, включая его входное имя, пароль, полное имя и т. п. Даже в 70-х годах, когда создавались первые версии UNIX - систем, его разработчикам было понятно, что пароль пользователя нельзя хранить в открытом виде. Была создана схема, благодаря которой целенаправленные атаки смогли реализоваться только спустя несколько десятков лет. Они не пошли по простому пути шифрования пароля по какому-то секретному алгоритму, т. к. рано или поздно этот алгоритм стал бы известен. Был выбран путь необратимого преобразования пароля, когда из исходного пароля путем применения к ней специальной однонаправленной функции хэширования получалось некое значение, из которого никак нельзя получить исходный пароль.

Рассмотрим немного подробнее алгоритм, применяемый в ОС МСВС для преобразования пароля пользователя. Из исходного пароля берутся первые восемь байт. Также выбирается некоторое 12-битное случайное число salt, используемое для операции хэширования. Его необходимость следует из того, чтобы одинаковые пароли (возможно, у разных людей) не выглядели одинаково после хэширования. Затем к этим двум параметрам применяется специальная функция шифрования, дающая на выходе 64-битное значение. Наконец, сам salt преобразуется в два читабельных ASCII-символа, а хэш - в 11 символов. Итак, функция crypt (passwd8, salt) выдает 13-символьную строчку, которая и записывается в файл /etc/passwd.

При входе пользователя в систему вызывается та же функция crypt() с введенным паролем и salt, полученными из /etc/passwd. Если результат функции оказывается равным тому значению, что хранится в файле, то аутентификация считается состоявшейся.

Первое, что приходит в голову потенциальному взломщику - это простейший перебор (brute forse). Берется некоторый набор символов, а затем из них по очереди составляются все комбинации вплоть до 8-символьной длины. К каждой из них применяется crypt(), и результат сравнивается с имеющимся. Естественно, что в эти комбинации и попадет рано или поздно любой пароль пользователя.

Более того, во-первых, этот процесс легко можно распараллелить, а во-вторых, существуют специальные платы, аппаратно выполняющие процесс шифрования, с помощью которых можно еще уменьшить время на несколько порядков.

Был придуман очевидный метод, основанный на людской психологии. Он следует из того, что человеку нелегко запомнить длинные бессмысленные наборы символов (идеальные в качестве паролей), поэтому он каким-либо путем попробует выбрать их более-менее запоминающимися и/или осмысленными. Ну, а поскольку в любом языке не более 100000 слов, то их перебор займет весьма небольшое время, и от 40 до 80% существующих паролей может быть угадано с помощью такой простой схемы, называемой "атакой по словарю". Тем более, что "под рукой" часто оказывается файл-словарь, обычно используемый программами-корректорами.

ОС МСВС использует механизм так называемого "затенения" (shadowing) файла паролей - он перемещается в другое место и становится недоступным обычным пользователям по чтению.

Иногда функция crypt() заменяется на другую хэш-функцию, и запуск программ - взломщиков ни к чему не приводит. Обычно это алгоритм MD5, скорость которого, приблизительно, в десятки раз меньше.

Однако психологический фактор останется до тех пор, пока с компьютером работает человек. Как правило, пользовательские пароли базируются на осмысленном слове и некотором простом правиле его преобразования. Например: прибавить цифру, прибавить год, перевести через букву в другой регистр, записать слово наоборот, прибавить записанное наоборот слово, записать русское слово латинскими буквами, набрать русское слово на клавиатуре с латинской раскладкой, составить пароль из рядом расположенных на клавиатуре клавиш и т. п.

Не удивительно, если такой пароль будет вскрыт злоумышленником, который вставил в свои программы те правила, по которым может идти преобразование слов. В таких программах как: Crack 4.1, John The Ripper 1.3, эти правила могут быть программируемыми и задаваться с помощью специального языка.

Сохранение защищаемой информации в специальные файлы

При возникновении сбоя в процессе работы, ОС МСВС создает файлы дампа памяти (core) в случае краха системы или какой-либо отдельной программы. Информация из этих файлов затем может быть использована системными администраторами для выяснения причин возникновения внештатной ситуации.

В случае сбоев в операционной системе, в данные файлы записывается полная копия ОЗУ, содержащая полную информацию о системных и пользовательских программах, а также защищаемую информацию, которая обрабатывалась в момент сбоя. Злоумышленник может специально инициировать ситуации, приводящие к краху системы и затем получить доступ к информации через файлы дампа памяти.


3.2 Сетевые уязвимости


В настоящее время локальные компьютеры в больших организациях становятся большой редкостью, что делает актуальным построение эффективной защиты на уровне локальной сети. Более того, надёжность на системном уровне, может быть сведена на нет на сетевом уровне. Защита информации на сетевом уровне имеет определённую специфику, и ещё не может похвастаться такой же гибкостью, как на системном.

Основной особенностью любой распределенной вычислительной системы (РВС) является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные передаются по сетевым соединениям в виде пакетов обмена.

В случае сетевой конфигурации, становится возможен перехват пользовательских имён и паролей. Это заставляет вновь пересматривать задачу аутентификации, но уже в распределённом случае. Кроме аутентификации пользователей, в распределённой системе должна производиться также аутентификация машин - клиентов. Также немаловажное значение имеет аудит событий и своевременное оповещение и реакция на всевозможные нарушения.

Учитывая тот факт, что локальные вычислительные сети многих организаций обычно связаны между собой и имеют выход в Internet, возникает угроза удаленного вторжения и НСД к информации.

Условно можно классифицировать сетевые атаки как:

Пассивные;

Активные.

Рассмотрим подробнее данные типы атак, выясним предполагаемые уязвимости (ОС и сетевых технологий и протоколов) и проанализируем причины успеха удаленных атак.

Пассивные атаки

При пассивных атаках злоумышленник никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи.

Одной из атак является подслушивание (Sniffing), что представляет собой перехват сетевого потока и его анализе. Для осуществления подслушивания злоумышленнику необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать, например, к шлюзу или маршрутизатору. При получении достаточных прав на этой машине с помощью специального программного обеспечения сможет просматривать весь трафик, проходящий через данный интерфейс. Второй вариант - злоумышленник получает доступ к машине, которая расположена в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети Ethernet сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно.

Поскольку TCP/IP-трафик, как правило, не шифруется, злоумышленник, используя соответствующий инструментарий, может перехватывать TCP/IP-пакеты и извлекать из них имена пользователей и их пароли.

Следует заметить, что данный тип атаки невозможно отследить, не обладая доступом к системе злоумышленника, поскольку сетевой поток не изменяется.

Активные атаки

Целью активных атак является взаимодействие злоумышленника с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое пакетов. Злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой.

Существует атака основанная на предсказании TCP sequence number (IP spoofing). В данном случае цель - притвориться другой системой, которой "доверяет" система-жертва, например в случае использования протокола rlogin/rsh для беспарольного входа.Hijacking. Если в случае IP spoofingа злоумышленник инициировал новое соединение, то в данном случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Метод является комбинацией подслушивания и IP spoofing'а. В этом случае злоумышленник, прослушивая линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя.

Пассивное сканирование часто применяется злоумышленником для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта.

Одной из атак является использование интересной особенности тестовой программы. Традиционное название данной атаки ping flood. Дело в том, что программа ping, предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью и программа позволяет оценить, как работает сеть при максимальной нагрузке. Случай с ping является частным случаем более общей ситуации, связанный с перегрузкой каналов.

Один из вариантов данной атаки - посылать ICMP echo request - пакеты с исходным адресом, указывающем на жертву, на broadcast-адреса крупных сетей. В результате каждая из машин ответит на этот фальшивый запрос, и машина-отправитель получит больше количество ответов, что приводит, как правило к зависанию или сбою в работе данной системы.flooding - самая известная атака. Затопление sun-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Суть данной атаки будет заключаться в передаче на атакуемый хост, как можно большего числа ложных TCP-запросов на создание соединения, от имени любого хоста в сети. При этом атакуемая сетевая ОС в зависимости от вычислительной мощности компьютера либо - в худшем случае - практически зависает, либо - в лучшем случае - перестает реагировать на легальные запросы на подключение (отказ в обслуживании).

Атаки типа ping flood, sun flooding как правило используются злоумышленниками для подготовки или маскировки атак типа IP spoofing или IP Hijacking.

Я не рассматриваю атаки типа подмены ARP или DNS -сервера, так как они достаточно сложны в применении, хотя становятся наиболее актуальными в последнее время.

В процессе эксперимента также была выявлена одна принципиальная слабость, присущая ОС МСВС. После передачи около десятка запросов на определенный порт (ftp или telnet) на некоторое время (до нескольких десятков минут) на атакуемом хосте отключался соответствующий данному порту сервер (каждая программа-сервер ожидает запросов на определенном зарезервированном порту), то есть в течение определенного промежутка времени у пользователей не было возможности удаленно подключиться к данному серверу и получить удаленный доступ к его ресурсам. Это связано с переполнением числа одновременно обслуживаемых данным сервером клиентов.

Уязвимости сетевых протоколов

Во многих сетях основными базовыми протоколами удаленного доступа являются telnet и ftp. Для получения доступа к серверу по данным протоколам пользователю необходимо пройти на нем процедуру идентификации и аутентификации. В качестве информации, идентифицирующей пользователя, выступает его идентификатор (имя), а для аутентификации используется пароль. Особенностью протоколов ftp и telnet является то, что пароли и идентификаторы пользователей передаются по сети в открытом, незашифрованном виде. Таким образом, необходимым и достаточным условием для получения удаленного доступа к хостам по протоколам ftp и telnet являются имя и пароль пользователя.

Одним из способов получения паролей и идентификаторов пользователей в сети является анализ сетевого трафика. Сетевой анализ осуществляется с помощью специальной пpогpаммы - анализатоpа пакетов, перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатоp пользователя и его паpоль. сетевой анализ протоколов ftp и telnet показывает, что telnet разбивает пароль на символы и пересылает их по одному, помещая каждый символ из пароля в соответствующий пакет, а ftp, напротив, пересылает пароль целиком в одном пакете.

Уязвимости распределенной файловой системы

Основная идея распределенной файловой системы состоит в том, чтобы обеспечить совместный доступ к файлам локальной файловой системы для процессов, которые, вообще говоря, выполняются на других компьютерах. Эта идея может быть реализована многими разными способами, однако в среде ОС МСВС все известные подходы основываются на монтировании удаленной файловой системы к одному из каталогов локальной файловой системы. После выполнения этой процедуры файлы, хранимые в удаленной файловой системе, доступны процессам локального компьютера точно таким же образом, как если бы они хранились на локальном дисковом устройстве.

В принципе, такая схема обладает и достоинствами, и недостатками. К достоинствам, конечно, относится то, что при работе в сети можно экономить дисковое пространство, поддерживая совместно используемые информационные ресурсы только в одном экземпляре, её прозрачность для пользователей. С другой стороны, пользователи удаленной файловой системы, неизбежно будут работать с удаленными файлами существенно более медленно, чем с локальными. Кроме того, реальная возможность доступа к удаленному файлу критически зависит от работоспособности сервера и сети.

Уязвимости NIS(Network Information Server) служит для централизованного управления информационными ресурсами в распределённой среде. NIS строит подобно DNS - сервису древовидную структуру имён объектов в сети, но NIS функционально существенно богаче. Сервис NIS работает на основе набора таблиц или как это ещё называют - административной базы данных, содержащей сведения о машинах, параметрах удалённой загрузки, паролях, ключах аутентификации машин локальной сети, пользователях и группах, подсетях, сетевых масках, адресах Erthnet, сервисах, протоколах, параметрах автоматического монтирования удалённых файловых систем и удалённого вызова процедур (RPC). Данная информация является очень важной с точки зрения безопасности ИС, её надёжная защита с учётом трёх критериев безопасности (конфиденциальность, целостность, доступность) абсолютно необходима.

К сожалению, порочна уже сама положенная в основу данной системы идея лёгкого доступа к информации, поэтому она давно является лакомым кусочком для злоумышленников.

Активный NIS-сервер управляет почтовыми псевдонимами (aliases) для доменов NIS. Подобно рассмотренным вариантам атак с помощью псевдонимов локальной почты, можно создать почтовые псевдонимы, которые будут выполнять команды, когда им приходит почта. Типичной уязвимостью является создание псевдонима, который посылает по почте файл паролей, когда на его адрес поступает любое сообщение.

Таким образом, становится ясно, что NIS - ненадежная служба, которая почти не имеет аутентификации клиентов и серверов, и, если атакующий управляет активным NIS-сервером, то он также сможет эффективно управлять хостами клиентов (например, сможет выполнять произвольные команды).

Уязвимости NFS(Network File System) разрабатывалась как система, пригодная к использованию не только на разных аппаратных, но и на разных операционных платформах. В архитектурном отношении в NFS выделяются три основные части: протокол, серверная часть и клиентская часть. Клиентская часть NFS, представляющая собой средство XDR (External Data Representation), взаимодействует с серверной частью системы на основе механизма RPC (Remote Procedure Calls).NFS является серьёзным источником угроз для безопасности ОС. Самая высокая степень риска связана с локальными машинами, которым официально разрешено монтировать файловые системы, так как в их распоряжении оказывается довольно много методов доступа к файлам принадлежащим другим пользователям.

Главная уязвимости NFS находится в системе аутентификации, согласно которой проверка пользователя осуществляется на основании его IP-адреса при монтировании. Пользователю передается идентификационный ключ (magic cookie), включаемый во все последующие RPC-запросы и не изменяющийся до момента размонтирования.


.3 Причины успеха удаленных атак на распределенные ВС


Недостаточная идентификация и аутентификация

Проблема идентификации и аутентификации субъектов и объектов РВС имеет чрезвычайно важное значение. От успеха ее решения зависит безопасность распределенной ВС в целом. Отсутствие определенной заранее выработанной концепции и принципа идентификации объектов РВС в целом оставляют атакующему потенциальные возможности для компрометации объектов системы.

Отсутствие в РВС полной информации о ее объектах

В системе с заложенной в нее неопределенностью существуют потенциальные возможности внесения в систему ложного объекта и выдачи одного объекта системы за другой. Это объясняется тем, что, являясь следствием неопределенности системы, алгоритмы удаленного поиска несут в себе потенциальную угрозу, состоящую в том, что на посланный запрос может прийти ложный ответ, в котором вместо информации о запрашиваемом объекте будет информация о ложном объекте. Вследствие этого распределенная ВС с заложенной неопределенностью является потенциально опасной системой и может подвергаться удаленным атакам.

Отсутствие выделенного канала связи между объектами РВС

Результатом анализа сетевого трафика является, во-первых, выяснение логики работы распределенной системы и, во-вторых, перехват потока информации, которой обмениваются объекты системы.

Потенциальную возможность проведения атак данного типа дает наличие широковещательной среды передачи данных или отсутствие выделенного канала связи между объектами РВС.

Отсутствие контроля за маршрутом сообщений

Если в РВС не предусмотрены возможности контроля за маршрутом сообщения, то адрес отправителя сообщения оказывается ничем не подтвержден. Таким образом, в системе будет существовать возможность отправки сообщения от имени любого объекта системы.

Отсутствие в РВС криптозащиты сообщений

В распределенных ВС связь между объектами системы осуществляется по каналам связи. Поэтому всегда существует принципиальная возможность для атакующего прослушать канал и получить несанкционированный доступ к информации, которой обмениваются по сети ее абоненты.

Отсутствие криптозащиты в базовых протоколах

В существующих базовых протоколах семейства TCP/IP, обеспечивающих взаимодействие на сетевом - сеансовом уровнях, не предусмотрена возможность шифрования сообщений. При этом базовые протоколы прикладного уровня (FTP, TELNET, HTTP и др.) также не предусматривали никакого шифрования сообщений.

Определение компонентов ОС МСВС, создающих уязвимости

Операционная система ОС МСВС проектировалась на основе принципов построения открытых систем. Она состоит из ядра и различных компонентов, каждый из которых реализует определенные функции.

Компонентная архитектура делает возможной детальную настройку операционной системы под конкретные требования, позволяя устанавливать минимально необходимую конфигурацию, что дает возможность сэкономить дисковое пространство и оперативную память. С точки зрения обеспечения надежного и безопасного функционирования такая архитектура является наиболее приемлемой, поскольку каждый компонент операционной системы является программой, а значит, может содержать всевозможные ошибки, преднамеренно сделанные закладки, черные ходы и т.п. Возможность удаления компонентов, создающих уязвимости, позволяет повысить защищенность и надежность функционирования операционной системы. Далее рассмотрены компоненты системы и возможные уязвимости, связанные и их функционированием.

Драйверы устройств

Одной из главных функций операционной системы является организация обмена с периферийными устройствами и управление ими. Сама система и прикладные программы не взаимодействуют с аппаратным обеспечением напрямую. Вместо этого используются специальные компоненты - драйверы устройств, которые управляют работой аппаратуры и предоставляют остальным программам стандартизированный интерфейс, реализующий функции устройства.

Как правило, для каждого из устройств нужен свой драйвер, поэтому их разработку осуществляют сами производители периферии. Любые сбои в работе драйверов являются очень опасными и приводят к общей нестабильности системы. К тому же, возникновение сбоев в работе самого устройства, может привести к сбою в соответствующем драйвере. Исходя из этих соображений, в системе должны быть оставлены только те драйверы, которые обязательно требуются для поддержания ее работоспособности, а все остальные необходимо удалить.

Системные службы

Помимо драйверов устройств, в состав ядра ОС МСВС входит определенный набор системных служб (демонов) - программ, обеспечивающих выполнение необходимых системных функций. Демоны выполняются наделенные наиболее широким спектром полномочий, превышающим иногда даже набор полномочий администратора системы.

Обладая такими привилегиями, службы могут получить доступ практически к любой информации, хранящейся и обрабатывающейся в системе. В виде служб реализованы многие сетевые компоненты, такие как средства поддержки функционирования сервера или рабочей станции, средства маршрутизации и удаленного доступа, а также поддержка диспетчеризации печати, управление источником бесперебойного питания и многое другое.

Возможный сбой функционирования демона обычно не приводит к краху всей системы. Одним из основных подходов является использование демонов злоумышленником для получения несанкционированного доступа к информации.

Для демонов справедливо то же правило, что и для драйверов устройств: в системе должны быть установлены только те из них, без которых невозможно выполнение требуемых функций, а все остальные должны быть удалены или отключены. Ниже приведен список некоторых основных демонов ОС МСВС и их назначение.- отвечает за выполнение команд по установленному графику. Он обрабатывает файлы с расписанием задач (crontab - файлы), созданные как пользователями так и администратором системы.- отвечает за выполнение задач в указанное время.- отвечает за механизм печати в ОС МСВС. Он принимает задания от пользователей и порождает процессы для выполнения реальных операций печати. Кроме того, он отвечает за пересылку заданий печати в удаленные системы и из них.- отвечает на запросы, посылаемые согласно протоколу SNMP.- отвечает за обработку запросов, поступающих от клиентов NFS.- отвечает за прием запросов от машин клиентов сервера NIS и отвечает на них.- отвечает за сбор информации о пользователях, зарегистрировавшихся на машинах сети.- обрабатывает поступающие запросы FTP.- отвечает за дистанционную регистрацию. Он пытается автоматически аутентифицировать удаленного пользователя.- так же отвечает за дистанционную регистрацию и кроме того, позволяет двум машинам (клиенту и серверу) согласовывать порядок управления потоком данных и работу в дуплексном режиме.- обрабатывает запросы на удаленное выполнение команд.- представляет собой службу синхронизации точного времени.- ведет таблицы динамической маршрутизации, используемые для передачи и пересылки пакетов по сети.- представляет собой сервер DNS.- предоставляет информацию о пользователях, зарегистрировавшихся в системе.- представляет собой сервер HTTP.- представляет собой сервер FTP.- играет роль координирующего центра для информации о состоянии и сообщений об ошибках, вызываемых системными программами или демонами.

Стандартные прикладные и системные программы

При установке ОС МСВС устанавливается также определенный набор стандартных программ, необходимых для обеспечения базовых возможностей работы пользователя на компьютере. Эти программы включают в себя текстовый и графический редактор, средства воспроизведения аудио и видеозаписей, работы с электронной почтой, internet и многое другое.

Хотя прикладные программы функционируют на самом верхнем уровне и имеют минимальные привилегии (на уровне пользователя, который их запустил), но и они представляют определенную опасность из-за наличия в них определённых ошибок. Злоумышленник, зная, какие стандартные программы существуют и где они находятся, может использовать их для получения несанкционированного доступа к информации, специально создавая ситуации, при которых реализуются те или иные виды ошибок, имеющихся в этих программах.

В связи с этим, рекомендуется оставить только необходимое для работы программной обеспечение и удалить все остальное.

Канал взаимодействия между процессами

ОС МСВС имеет специальный ресурс, называемый IPC$ (межпроцессовая связь) - стандартный скрытый ресурс на компьютере, который главным образом используется для связи между двумя серверами с целью обмена информацией, необходимой для корректной работы сетевых функций, распределенных транзакций и т.п. Ресурс является скрытым, поскольку он не отображается в списке доступных ресурсов, но к нему можно подключиться, указав его сетевой путь и имя. Отличительной особенностью канала межпроцессовой связи является возможность установления с этим ресурсом так называемого нулевого (анонимного) соединения, для которого не требуется указывать имя пользователя и пароль. Не удивительно, что хакеры научились использовать эту особенность в их собственных целях. Соединяясь с этим ресурсом, злоумышленник способен установить подключение без необходимой аутентификации и получить следующую информацию о компьютере:

список пользователей и групп пользователей компьютера;

список пользователей, которые в данный момент подключены к компьютеру;

список доступных сетевых дисков и каталогов;

список доступных сетевых принтеров;

имя пользователя, полное имя, и дату и время последнего входа в систему для каждого пользователя.

Возможности использования IPC$ для доступа к ресурсам компьютера пока еще только начали активно исследоваться, поэтому скорее всего существуют и другие возможности его использования злоумышленниками. В частности, используя анонимные соединения можно получить доступ ко всем ресурсам компьютера, использование которых разрешено пользователям, входящим в группу Everyone.

Административные ресурсы

По умолчанию Windows NT автоматически создает один скрытый ресурс для каждого диска, установленного на компьютере. То есть, если имеются диски C, D, и E, то соответственно им создаются скрытые ресурсы с именами C$, D$, и E$. Имеется также скрытый ресурс ADMIN$, который указывает непосредственно на системный каталог, куда была установлена операционная система. Как и рассмотренный ранее канал межпроцессной связи, скрытые административные ресурсы не отображаются в списке доступных ресурсов компьютера, но к ним можно подключиться, указав их полный сетевой путь и имя. При этом для подключения к ADMIN$ необходимо знать пароль администратора, а использовать диски может практически любой зарегистрированный в системе пользователь.

Направления атак и типовые сценарии их осуществления

Какие же цели преследует злоумышленник, пытающийся получить доступ на ваш компьютер? Видимо, их может быть несколько:

получить доступ к важной информации, хранящейся у вас.

получить доступ к ресурсам вашей системы, таким как процессорное время и дисковое пространство.

иметь плацдарм для осуществления цели 1, но для атаки на другой компьютер.

Теперь рассмотрим основные пути получения взломщиком несанкционированного доступа на компьютер.

В ОС МСВС различают два вида пользователей - обычный пользователь, имеющий права на доступ в рамках своего идентификатора (UID, user id) и членства в группе (GID, group ID), а также так называемый суперпользователь (root). Можно выделить среди обычных пользователей так называемых специальных пользователей. Они обычно имеют зарезервированные имена, например: guest, bin, ftp, uucp и т.п. и номера UID и GID. Хотя нет никакого особого механизма в защите МСВС, отличающего специального пользователя от обычного можно сказать, что первые имеют еще меньшие права, чем вторые.

Итак, условно иерархию пользователей на UNIX-машине можно представить как:

Суперпользователь - неограниченные права.

Обычный пользователь - права, ограниченные ему суперпользователем.

Специальный пользователь - права, ограниченные ему суперпользователем для работы с конкретным приложением.

Псевдопользователь - нет никаких прав, он вообще не идентифицируется системой.

Очевидно, что любой пользователь всегда имеет привилегии уровня 3 на вашей машине, а также, если поддерживается соответствующий сервис, привилегии уровня 2.

Таким образом, задачей злоумышленника будет являться несанкционированное получение привилегий более высокого уровня. Эту задачу он, очевидно, может попытаться решить двумя путями:

получить сразу требуемые привилегии,

постепенно наращивать привилегии.

Рассмотрим далее типовые сценарии и средства, делающие их возможными в ОС МСВС.

Имея привилегии уровня 3, злоумышленник получает права суперпользователя. Это становится возможным благодаря механизму демонов, отвечающих за обработку удаленных запросов. Т. к. эти демоны выполняются с привелегиями суперпользователя, то все, что надо сделать псевдопользователю - это знать (существующие или найти самому) уязвимости или ошибки (дыры) в этих демонах, которые позволят эксплуатировать их нестандартным или запрещенным образом. Обычно это сводится к возможности удаленно выполнить от их имени любую команду на атакуемой машине. Иногда это может быть создание ошибочной ситуации, приводящей к аварийному завершению демона с выдачей дампа памяти на диск, содержащий весьма полезную для хакера информацию (например, кэшированные пароли).

"Из специального - в обычного или выше". Этот сценарий очень похож на описанный выше, с тем исключением, что для злоумышленника требуются начальные привилегии уровня 2 (иначе говоря, запущенный некоторый дополнительный сервис, например сетевой). Чтобы четко отличать эти атаки от предыдущего типа, будем требовать, что в этом случае злоумышленник всегда проходит некую (пусть примитивную) идентификацию и, возможно, аутентификацию. Привилегии уровня 2 могут дать возможность злоумышленнику читать некоторые файлы, и, что самое главное, записывать свои файлы на ваш компьютер. С другой стороны, т. к. пользователь регистрируется на вашем компьютере, в его файлах-протоколах остается некоторая информация о подключении. Необязательно желаемые привилегии будут получены немедленно, подобные атаки могут лишь создать предпосылки для их возможного получения в дальнейшем.

"Из обычного - в суперпользователи". Этот сценарий, пожалуй, наиболее прост, широко распространен и подавляющее большинство сообщений о так называемых "дырах" относится именно к нему. Для его осуществления злоумышленник должен уже быть обычным пользователем на том компьютере, который он собирается взламывать.

Своей осуществимостью атаки данного рода обязаны недостатку безопасности UNIX - подобных систем - механизму SUID/SGID-процессов. Злоумышленник, найдя ошибку в одной из программ, обладающей атрибутом SUID root, может от её (т. е. суперпользователя) имени произвести некоторые действия. Стандартным приемом считается копирование файла с командным интерпретатором и установка на него атрибута SUID root. Таким образом, злоумышленник имеет под рукой стандартную программу bаsh, но все команды в ней он исполняет от имени суперпользователя. Ошибки в SUID/SGID-программах находятся регулярно. Следуя одной из основных аксиом программирования, можно сделать вывод, что эти ошибки будут находиться всегда.

"Он слишком многим доверял". Взлом производит обычно псевдопользователь, повышая свои полномочия до обычного, с использованием механизма доверия. Термин "доверие", также оказывающийся одной из важнейших брешей в безопасности Unix - систем, пришел из прошлого, когда компьютерные системы хотели доверять друг другу. "Доверие" употребляется всякий раз, когда возникает ситуация, в которой хост может позволить пользователю (как правило, удаленному) использовать локальные ресурсы без аутентификации (ввода пароля). В ОС МСВС существует некоторые подсистемы, использующие доверие. Наиболее простой и часто применяемой из них являются так называемые r-службы (remote, удаленные). При наличии файлов .rhosts и hosts.equiv, содержащих имена компьютеров, доступ с них возможен без указания пароля. Аналогично построены на механизме доверия, например, NFS-сервера, в управляющих файлах которых можно разрешить доступ к некоторому каталогу для группы пользователей, в том числе и всем. Любая форма доверия может быть подменена, обманута или разрушена, особенно когда служба, получающая запросы на проверку клиента, расположена вне сервера, или когда механизм доверия основан на слабой форме аутентификации.

Причины существования уязвимостей в ОС МСВС

Рассмотрев выше достаточно много фактического материала, выделим причины, по которым описанные нарушения безопасности ОС МСВС могут иметь место.

Наличие демонов.

Механизм SUID/SGID-процессов.

Излишнее доверие.

Человеческий фактор.

Последний проявляется весьма разнообразными способами - от легко вскрываемых паролей у обычных пользователей до ошибок у квалифицированных системных администраторов, многие из которых как раз и открывают путь для использования механизмов доверия.


Рис. 3.1 - Причины уязвимости ОС МСВС


Рассмотрим теперь более подробно причины, по которым оказываются уязвимы демоны и SUID/SGID-процессы:

возможность возникновения непредусмотренных ситуаций, связанных с ошибками или недоработками в программировании;

наличие скрытых путей взаимодействия с программой, называемых "люками";

возможность подмены субъектов и объектов различным образом.

Хорошим примером непредусмотренной ситуации в многозадачной операционной системе является неправильная обработка некоторого специального сигнала или прерывания. Часто злоумышленник имеет возможность смоделировать ситуацию, в которой этот сигнал или прерывание будет послано. Например, при получении сигнала SIGHUP с помощью системного вызова exec(2), можно перезагрузить отдельные программы, которые после перезапуска, без повторного прохождения процедуры аутентификации, уже будут исполняться с привилегиями суперпользователя. С помощью манипуляций с переменными среды и окружения, злоумышленник может заставить ее выполнить любую команду, естественно, с привилегиями root.

Наконец, одна из самых распространенных программистских ошибок - является неправильная обработка входных данных. При использовании специальной программы, подающей на вход строки длиной до 100000 символов, выяснилось, что около 20% протестированных программ работали некорректно - зависали, сбрасывали аварийный дамп и т.п. Это является некоторым следствием переполнения буфера, а так как буфер обычно находится в стеке, то переполнение теоретически позволяет создавать в стеке фрагмент кода и изменять адрес возврата из процедуры таким образом, что бы при возврате управление передавалось на этот код. Данной ошибкой пользовался всем очень хорошо известный червь Морриса. Если программа неправильно обрабатывает случайные входные данные, то, очевидно, что можно подобрать такой набор специфических входных данных, которые приведут к желаемым для злоумышленника последствиям.

Среди обычных сообщений USENET встречаются так называемые управляющие, типа newgroup или rmgroup. Некоторые почтовые программы обрабатывает команды, расположенные в них, через команду оболочки. Однако некоторая информация (иначе говоря, специальным образом разработанное фальшивое управляющее сообщение) может быть передана оболочке без надлежащего контроля. Это позволит любому, кто может присылать сообщения на ваш сервер - иногда это чуть ли ни любой пользователь исполнить любую команду, имея привилегии почтового демона, - а это либо суперпользователь, либо специальный пользователь news с широкими правами. Люком, или черным входом (backdoor) часто называют оставленную разработчиком недокументированную возможность взаимодействия, например, известный только разработчику универсальный пароль. Люки оставляют в конечных программах вследствие ошибки, не убрав отладочный код или вследствие необходимости продолжения отладки уже в реальной системе в связи с ее высокой сложностью или же их корыстных интересов. Наконец, вследствие многих особенностей ОС МСВС, таких как асинхронное выполнение процессов, развитый командный язык и файловая система, злоумышленниками могут быть использованы механизмы подмены одного субъекта или объекта другим. Может быть выполнена подмена некоторых специальных переменных. Так, для некоторых версий UNIX - систем существует атака, связанная с подменой символа разделителя команд или опций на символ /. Это приводит к тому, что когда программа вызывает /bin/sh, вместо него вызывается файл bin с параметром sh в текущем каталоге. Наконец, очень популярным видом подмены является создание ссылки (link) на критичный файл. После этого файл-ссылка некоторым образом получает дополнительные права доступа, и тем самым осуществляется несанкционированный доступ к исходному файлу. Аналогичная ситуация с подменой файла возникает, если путь к файлу определен не как абсолютный (/bin/sh), а относительный (../bin/sh или $(bin)/sh). Нельзя приуменьшать роль человека при обеспечении безопасности любой системы. Возможно, он даже является слабейшим звеном.

4. Определение способов устранения уязвимостей


Выявленные уязвимости ОС МСВС различаются по характеру проявления и причинам возникновения, что определяет различные способы, применяемые для их устранения.

Поскольку для наиболее полного устранения уязвимости необходимо в первую очередь ликвидировать причину ее появления, то выбор способов и средств устранения должен быть основан именно на сведениях о причинах возникновения той или иной уязвимости. Далее приведены основные способы устранения выявленных уязвимостей, их описания и возможная область применения.


4.1 Применение аппаратных средств защиты


Средства защиты ОС МСВС имеют только программную реализацию, и поэтому для начала их функционирования необходимо в первую очередь загрузить и инициализировать хотя бы базовые компоненты ядра и подсистемы безопасности. Этап начальной загрузки характеризуется тем, что средства защиты ОС еще не запущены, поэтому существует возможность нанесения вреда, как самой ОС (изменение системных файлов, или конфигурации), так и получения доступа к защищённой информации, её модификации или уничтожению.

Таким образом, из вышесказанного можно сделать следующие выводы:

Чисто программные комплексы не обеспечивают защиту от НСД.

Для создания устойчивой и в то же время гибкой системы защиты от НСД следует применять программно-аппаратные комплексы.

Для обеспечения "чистоты операционной среды" необходим контроль сохранности файлов ОС до момента выполнения любых участков кода, записанных на переписываемых носителях.

Существует специальные аппаратные средства (или программно-аппаратные средства), управляющая программа которых неизменна и записана в постоянное запоминающее устройство, которые контролируют процесс загрузки операционной системы до того момента, пока не будут активизированы ее собственные средства защиты информации.

Частично такие функции выполняет BIOS, которая первой получает управление при включении питания или перезагрузке компьютера. Программа BIOS имеет возможность защиты заданных настроек паролем, но эта защита нестойкая, поскольку пароль вместе с другими параметрами настройки хранится в энергозависимой микросхеме КМОП ОЗУ. При сбое в системе питания или намеренного его отключении, все параметры, включая пароль, стираются. На данный момент, существует множество программ, которые позволяют считывать и изменять информацию, записанную в КМОП ОЗУ.

В связи с этим, для обеспечения безопасности используют средства, гарантирующие чистоту операционной среды и позволяющие осуществлять защиту от НСД к информации при включении компьютера. Они гарантируют неизменность операционной среды в момент включения компьютера, по отношению к состоянию ПО в момент установки средств защиты, методом проверки имитозащитной приставки при каждой загрузке компьютера.

Эти средства осуществляют защиту от НСД к информации, записанной на жесткий диск компьютера. Идентификация и/или аутентификация пользователя происходит, путем запроса пароля, вводимого с клавиатуры, а также подключения элемента Touch Memory (TM), с которого считывается ключевая информация (КИ). После считывания КИ программа, записанная в ПЗУ, осуществляет проверку целостности файлов. В случае положительного результата проверки происходит загрузка операционной системы. Иначе повторно запрашивается пароль. Для блокирования доступа к информации о пароле при включенном компьютере программное обеспечение, находящееся на плате, исчезает из адресного пространства компьютера и не может быть считано никакими программными средствами. Загрузка компьютера при отсутствии адаптера или при неисправном адаптере блокируется.

Алгоритм проверки целостности программного обеспечения основан на современных алгоритмах генерации имитозащитной приставки, что обеспечивает достаточное качество проверки. Ключевыми элементами являются пароль пользователя, пароль установки, а также содержимое TM.

Также, используются средства позволяющие принудительно отключать питание накопителей на гибких магнитных дисках и компакт-дисках во время загрузки операционной системы.


4.2 Удаление компонентов операционной системы


В дистрибутив разработчики включают большое количество компонентов на все случаи жизни, стремясь удовлетворить большинство запросов пользователей. Но в то же время для выполнения повседневной работы конкретному пользователю требуется вполне определенный набор функциональных возможностей, которые обеспечиваются ограниченным количеством компонентов системы.

Поскольку каждый из компонентов является программой, которая может потенциально содержать ошибки, черные ходы, уязвимости и т.п., то наличие в операционной системе дополнительных подсистем, не используемых в работе, создает серьезную угрозу безопасности и надежности.

информационный система уязвимость брандмауэр

4.3 Настройка компонентов и подсистем


После исключения неиспользуемых компонентов в системе остается то, что необходимо для работы и поэтому не может быть удалено. В зависимости от конкретных условий и требований по безопасности и защищенности, оставшийся набор компонентов и подсистем может удовлетворять этим требованиям либо полностью, либо частично. В первом случае никаких дополнительных действий производить не нужно, а во втором случае необходимо принимать дальнейшие меры по адаптации системы к заданным условиям.

Одной из таких мер является настройка и установка режимов функционирования оставшихся компонентов и подсистем. Связано это с тем, что операционная система ОС МСВС разрабатывалась с учетом довольно жестких требований по безопасности, но все они в большинстве случаев на практике не используются. Как правило, в каждом конкретном случае руководство и системные администраторы определяют некоторый минимальные уровень безопасности, который требуется обязательно обеспечивать. Такой подход определяется жизненными реалиями, необходимостью искать компромисс между защищенностью и удобством работы. Система может быть очень хорошо защищена, но работать с ней в таком случае будет крайне затруднительно, пользователю придется менять привычный ход дел, выполнять целый ряд условий, а это снижает производительность труда.

По умолчанию при установке операционной системы задается самый небезопасный режим работы ее компонентов и подсистем, который, однако, обеспечивает максимальную совместимость с существующим программным обеспечением и наибольшее удобство работы с системой.


4.4 Использование специального программного обеспечения


Хотя ОС МСВС обладает достаточно большим набором средств защиты информации, в некоторых случаях и их может оказаться недостаточно. Такая ситуация обычно возникает при работе с чрезвычайно важной информацией, при использовании специфических процедур ее хранения и обработки и в некоторых других случаях. При этом не удается обеспечить требуемый уровень безопасности путем устранения уязвимостей способами, рассмотренными ранее, поэтому приходится использовать дополнительное программное обеспечение, расширяющее возможности операционной системы и устраняющее оставшиеся недостатки.

5. Разработка методов и средств проверки качества устранения уязвимостей


5.1 Классификация систем мониторинга и защиты


Современные сетевые технологии уже не могут обойтись без механизмов защиты инфорамции. Необходимость в их присутствии в операционных системах уже ни у кого не вызывает сомнения.

Имеются несколько основных категорий инструментальных средств защиты:

Хост-сканеры (исследуют уязвимости локальной системы).

Сетевые сканеры (предназначены для изучения открытых сетевых сервисов).

Сканеры вторжения (данные пакеты программ идентифицируют уязвимость, и в некоторых случаях позволяют активно пробовать атаковать систему).сканеры (выполняют просмотр firewalls и другие тесты проникновения).(я не буду рассматривать эксплойты (их сотни, если не тысячи)).

Ранее средствам автоматизированного контроля безопасности были присущи следующие недостатки:

системозависимость - обычно они рассчитаны на вполне конкретную ОС или даже ее версию;

ненадежность и неадекватность - если эти программы сообщают, что все Оk, это совсем не значит, что так на самом деле и есть; и наоборот - некая "уязвимость", с их точки зрения, может оказаться специальным вариантом конфигурации системы;

малое время жизни - т.к. с момента обнаружения уязвимости до ее искоренения проходит не очень большое время, программа быстро устаревает;

неактуальность - более того, с момента выхода программы в свет все новые (поэтому самые опасные) уязвимости оказываются неизвестными для нее, и ее ценность быстро сводится к нулю. Этот недостаток является самым серьезным.

На сегодняшний день ситуация кординально изменилась. На рынке данных программных средств появилась тенденция к объединению и интеграции в одном программном продукте всех категорий инструментальных средств контроля безопасности операционной системы.

При детальном анализе ранее реализованных защитных механизмов мы можем придти к двум основным вопросам.

Первый - "Насколько эффективно реализованы и настроены имеющиеся механизмы?". Это очень серьезная проблема. Информация об уязвимостях в других аппаратных и программных средствах постоянно публикуется в различных списках рассылки по вопросам безопасности. Поэтому в составе сетевых средств защиты необходимо иметь системы, позволяющие проводить автоматизированный поиск уязвимостей во всем спектре программного и аппаратного обеспечения, используемого в организации.

Второй вопрос - "Противостоит ли имеющая инфраструктура атакам и может ли администратор безопасности своевременно узнать о начале атаки?" Казалось бы этот вопрос не вызывает сомнений, если в сети установлен межсетевой экран (firewall). Однако это распространенное заблуждение в 100%-ой гарантии безопасности сети в случае использования межсетевого экрана может обернуться серьезными последствиями.

5.2 Модель адаптивного управления безопасностью


На эти, а также на множество других вопросов сможет ответить модель адаптивного управления безопасностью сети (Adaptive Network Security, ANS), которая позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на постоянно изменяющиеся риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства защиты.

Адаптивная безопасность сети описывается как процесс, содержащий:

технологию анализа защищенности (security assessment) или поиска уязвимостей (vulnerabilities assessment);

технологию обнаружения атак (intrusion detection);

адаптивный компонент, который включает в себя и расширяет две первые технологии;

управляющий компонент.

Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут "слабые" места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содержит и адаптивный компонент, то вместо "ручного" устранения найденной уязвимости оно будет осуществляться автоматически.

Технологии анализа защищенности являются действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости.

Адаптивный компонент ANS отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. Пример адаптивного компонента - механизм обновления баз данных антивирусных программ для обнаружения новых вирусов.

Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с усилиями формирования системы защиты организации.

Очевидно, что одна система не может эффективно реализовать все описанные технологии. Поэтому для реализации концепции адаптивной безопасности необходимо использовать совокупность систем, объединенных единым замыслом.

Конечно, число таких систем ещё не слишком велико, но они уже завоевали доверие администраторов многих систем и сетей.


5.3 SAFEsuite

- это семейство программных продуктов компании Internet Security Systems, Inc., реализующих новое направление в области обеспечения безопасности информации - адаптивная безопасность.

Первоначально данное семейство состояло всего из трех систем:

системы анализа защищенности на уровне сети Internet Scanner;

системы анализа защищенности на уровне хоста System Scanner;

системы обнаружения атак на уровне сети RealSecure Network Engine.

В процессе развития данное семейство пополнилось еще одной системой - системой обнаружения атак на уровне хоста RealSecure System Agent.

В настоящий момент семейство SAFEsuite стало базой для создания нового семейства продуктов - SAFEsuite Enterprise. Первой системой, которая является одной из составляющих нового семейства, можно назвать систему поддержки принятия решения в области безопасности SAFEsuite Decisions.

Система анализа защищенности Internet Scanner предназначена для проведения регулярных, всесторонних или выборочных тестов сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению. 2 сентября 1998 года система была сертифицирована в Гостехкомиссии России (сертификат © 195). На сегодняшний день это единственная система анализа защищенности, прошедшая сертификацию в государственных органах сертификации средств защиты информации.

Достоинства системы Internet Scanner были по праву оценены более чем 3000 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности.

Система Internet Scanner может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.

Система Internet Scanner состоит из трех основных подсистем, предназначенных для тестирования рабочих станций, серверов, X-терминалов и т.д. (подсистема Intranet Scanner), межсетевых экранов и коммуникационного оборудования (подсистема Firewall Scanner) и Web-, FTP-, SMTP- и т.п. серверов (Web Security Scanner). Подсистема Firewall Scanner используется Гостехкомиссией России при сертификации межсетевых экранов по требованиям безопасности информации.

Вкратце перечислить ключевые возможности Internet Scanner:

большое число проводимых проверок (в данной версии это число превышает 600);

задание своих собственных проверок;

задание степени глубины сканирования;

тестирование межсетевых экранов и Web-серверов;

централизованное управление процессом сканирования;

параллельное сканирование до 128 сетевых устройств и систем;

запуск процесса сканирования по расписанию;

возможность работы из командной строки;

мощная система генерации отчетов;

различные уровни детализации отчетов;

различные форматы отчетов;

функционирование под управлением многих операционных систем;

мощная система подсказки;

простота использования и интуитивно понятный графический интерфейс;

невысокие системные требования к программному и аппаратному обеспечению.

Механизм генерации отчетов, имеющийся в Internet Scanner, уникален. Во-первых, система поставляется с 30-тью готовыми формами для генерации различных отчетов. Во-вторых, эти отчеты позволяют быстро переходить от обобщенных данных, содержащих информацию об уровне защищенности организации, к подробным отчетам с детальной технической информацией о том где и какая уязвимость обнаружена. Кроме того, данные отчеты содержат подробные инструкции по устранению найденных проблем. К таким инструкциям можно отнести пошаговые рекомендации по изменениям, которые надо внести в конфигурационные файлы. В случае наличия у производителя обновления или патча, устраняющего соответствующую уязвимость, в отчете содержится гиперссылка на заданный FTP- или Web-сервер, на который можно перейти не запуская броузера. Если все же имеющихся 30 отчетов недостаточно, то администратор может создать и подключить к Internet Scanner свои собственные отчеты, учитывающие специфику своей организации (например, требования к оформлению документов).

Теперь отчеты могут быть выведены не только на английском языке, но и что примечательно, русском. Русификация системы Internet Scanner была проведена специалистами НИП "Информзащита", являющегося единственным представителем компании ISS в России и странах СНГ. Теперь информацию обо всех обнаруживаемых уязвимостях администраторы могут получать на русском языке, что является подспорьем для специалистов. В версии Internet Scanner 5.8 наконец-то появилась возможность добавления своих собственных проверок (механизм Flex Check). Даже, несмотря на то, что эта возможность используется очень редко, в некоторых случаях она может помочь администраторам своевременно реализовать проверку уязвимости, описанной, например, в Bugtraq, или обнаруженной в процессе работы.

Кроме того, совместно с системой Internet Scanner бесплатно поставляется система моделирования атак Advanced Packet eXchange, при помощи которой администратор может создавать различные допустимые и запрещенные IP-пакеты, которыми он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов и других системного и прикладного программного обеспечения.

Главная задача систем анализа защищенности компании ISS - собрать как можно больше информации о компьютерах клиента. Иногда это лучше всего сделать дистанционно через всю сеть с помощью Internet Scanner, но в некоторых случаях это лучше всего реализовать с локального компьютера.

Система Internet Scanner является превосходным инструментом для анализа уязвимостей Unix-подобных ОС. Но дополнительный взгляд на анализируемые системы, осуществляемый системой System Scanner (S2), делает уровень проведения анализа защищенности с помощью продуктов ISS гораздо более высоким, чем, возможно, могут предоставить другие продукты анализа защищенности. Производители, как правило, реализуют только анализ защищенности на уровне сети, пренебрегая локальным сканированием на уровне операционной системы, и совсем забывая об анализе защищенности приложений. Система System Scanner обнаруживает большое количество уязвимостей, которые не видны при дистанционном сканировании через сеть, но представляют большую опасность. Примеры этих уязвимостей включают переполнение буфера (buffer overflow) - уязвимости, которые локальные пользователи (включая пользователей с учетной записью guest) могут использовать для получения привилегированного (root) доступа.

Неправильная работа пользователя - один из наиболее важных путей нарушения работоспособности информационных систем. Сканирование с помощью продукта System Scanner дает гораздо более детальный анализ деятельности пользователя, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. С его помощью можно проводить анализ файлов .rhost, использовать словарь часто используемых паролей, обнаруживать деятельность программ типа анализатор протокола (sniffer) и т.д.

Общее число уязвимостей, обнаруживаемых всеми системами анализа защищенности, превышает 1600.

Как уже отмечалось выше, наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает и обнаружение атак. В семейство SAFEsuite входит система RealSecure, которая позволяет в реальном режиме времени обнаруживать враждебную деятельность на хостах, распознавать атаки на корпоративную сеть и реагировать на них соответствующим образом. При этом, данная система может использоваться как для защиты внешнего доступа (например, из Internet), так и для защиты во внутренней сети. По статистике до 75% всех инцидентов происходит по вине сотрудников организации. Система RealSecure походит как нельзя лучше для защиты в этом случае.

На сегодняшний день это единственная система, которая функционирует и на уровне сети (network-based) и на уровне хоста (host-based). Другие производители, как правило, выпускают системы, обнаруживающие только сетевые атаки. В случае работы на уровне сети системы RealSecure анализирует весь сетевой трафик, а в случае работы на уровне хоста - журналы регистрации операционной системы (EventLog и syslog). Система RealSecure использует распределенную архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). В последнем случае консоль RealSecure Manager устанавливать не требуется. Для облегчения работы в распределенной сети, в которой ответственность за управление сетью возложена на несколько подразделений, возможно установка нескольких консолей, одновременно управляющих всеми модулями обнаружения атак.

Возможности реагирования на атаки является определяющими для любой системы обнаружения атак. В системе RealSecure такие варианты можно разделить на три типа: уведомление (notification), запоминание (storage) и активное реагирование (active response).

Уведомления можно посылать на одну или несколько консолей управления (RealSecure Manager), по электронной почте или, в случае подключения системы AlarmPoint, еще и по факсу, телефону и пейджеру.

Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном формате. В последнем случае система RealSecure сохраняет содержание всего трафика. При этом возможно воспроизведение всех действий нарушителя с заданной скоростью для последующего анализа и "разбора полетов". Во многих случаях эта возможность помогает разобраться в том, каким образом злоумышленник проник в корпоративную сеть и что можно противопоставить ему в дальнейшем.

В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудников организации) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Если названных вариантов реагирования недостаточно, то администратор может создать свои собственные сценарии обработки контролируемых событий.

Системы RealSecure не снижает производительности сети не только в случае работы с Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet.

Дополнительной возможностью, которая говорит в пользу системы RealSecure, является наличие всеобъемлющей базы данных по всем 700 контролируемым событиям.

Поскольку информация, собираемая системами анализа защищенности и обнаружения атак, является очень важной, то необходимо, чтобы никто, за исключением администратора, не имел к ней доступа. И такая возможность реализована в системах компании ISS, в отличие от систем, предлагаемых другими производителями. Кроме того, система RealSecure может быть защищена от атак на ней при помощи, т.н. называемой Stealth-конфигурации, которая не позволяет "видеть" систему RealSecure из внешней сети.

6. Экспериментальная часть


.1 Общая системная безопасность

- подобные системы настолько безопасны, насколько безопасными их сделает администратор. Чем больше сервисов у вас установлено, тем больше шансов, что в них будет найдена дыра. При инсталляции ОС МСВС, из расчёта безопасности, вы должны устанавливать минимум пакетов, а затем добавлять только необходимые элементы, тем самым уменьшая шансы установить приложение с ошибкой, нарушающей безопасность всей системы.

Безопасность BIOS

Отмените возможность загрузки компьютера с дискеты, установите пароль для доступа к настройкам BIOS. Запрет загрузки с дискет не позволит злоумышленникам загрузить компьютер с дискеты и получить доступ к системе.

Использование RieserFS

Ответом потребностям времени стали журналирующие файловые системы. Одна из разработок по стабильности и обкатанности опередила всех - это RieserFS.

В RieserFS основное внимание уделено решению проблемы эффективного хранения маленьких файлов. Решение данного вопроса стало возможным с привлечением технологий баз данных, занимающихся, в общем, той же проблемой - хранения и доступа к данным. Это технология сбалансированных деревьев и В+Tree.

Особенность RieserFS состоит в том, что в сбалансированных деревьях хранится всё - имена файлов, каталоги, узлы i-node, маленькие файлы и хвосты больших файлов. Тела же больших файлов хранятся в неформатированных блоках. В целом оказывается, что для доступа к данным, требуется меньшее число обращений, и данные хранятся более плотно.

Другая особенность RieserFS, это журналирование. Представить его можно так: сначала сведения об операции и данные записываются в специально выделенное место, затем собственно, записываются в файловую систему, а по завершении записи делается отметка о завершении операции. Если на каком-то этапе произошёл сбой, файловая система не страдает, а журнал способствует быстрому восстановлению после сбоя - на это уходят считанные секунды.

Интересной возможностью является поддержка модулей plug-in, которые позволяют создавать собственные типы каталогов и файлов. Это обеспечит развитие системы в будущем. Например: данные в системах потокового аудио/видео можно хранить в формате пакетов TCP/IP, избавляясь, таким образом от накладных расходов на преобразование при передаче.

Изюминка ОС МСВС состоит в прозрачном комбинировании различных файловых систем, что даёт возможность использовать сильные стороны каждой из них. Для RieserFS это отличное применение. Есть ряд разделов, содержимое которых после установки почти не меняется: bin, usr и часто меняющиеся разделы: home, var. Последние - хорошие кандидаты для размещения на журналирующей файловой системе RieserFS.

В целом, RieserFS решает множество проблем, присутствующих в ext2fs и, безусловно, укрепит позиции платформы ОС МСВС для серьёзных приложений.

Разработка политики безопасности

Планирование политики безопасности информационной системы стоит начинать с анализа рисков, целью которого является оценка угроз и уязвимостей, определение комплекса контрмер, обеспечивающего достаточный уровень защищённости информационной системы в целом. Существуют различные подходы к оценке рисков, выбор которых зависит от уровня требований, предъявляемых, к режиму информационной безопасности.

Вы не сможете правильно реализовать безопасность системы, пока не выясните, что вы хотите защищать и от кого. Для того, чтобы принимать решения, относящиеся к защите нужно выработать политику безопасности. Политика также должна определять ответные действия на нарушения безопасности. Приведенные ниже вопросы помогают в выработке стратегии:

Как вы определяете конфиденциальную и важную информацию?

Нужен ли удаленным пользователям доступ к вашей системе?

Находится ли на сервере конфиденциальная или важная информация?

Обеспечивают ли пароли или шифрование достаточную защиту?

Нужен ли вам доступ в internet?

Как много доступа вы хотите разрешить из internet?

Какие действия нужно предпринять в случае нарушения защиты?

Это очень короткий список, но охватывающий достаточно широкий круг вопросов безопасности информационной системы. Любая политика безопасности базируется на некотором уровне паранойи; решите насколько вы всем доверяете. Стратегия должна балансировать между разрешением пользователям доступа к необходимой им информации и запрещением доступа к определенным видам данных. Точка, где эти линии пересекаются, определит вашу стратегию.


6.2 Локальная безопасность


Выбор правильного пароля

Отправной точкой безопасности являются парольная защита. Многие люди используют единственный пароль всю жизнь, доверяя ему защиту всех своих данных, вопреки известной аксиоме, не взламываемых паролей не существует. Любой из них поддается либо социальной разработке, либо грубой силе.

Одним из пунктов в системе парольной защиты является проверка файл с паролями с помощью программы-взломщика. Это помогает найти пароли, которые легко подбираются и которые необходимо срочно заменить. Данный механизм проверки должен работать и в момент определения паролей, чтобы отклонить заведомо слабый пароль при его начальной задании или переопределении.

Для ОС МСВС рекомендованы следующие правила для создания эффективных паролей:

пароль должен быть не менее шести символов в длину и содержать не менее 1 цифры или специального знака;

он не должен базироваться на имени пользователя, фамилии, месте жительства и ряде других персональных данных;

он должен иметь ограниченный период действия;

он должен отменяться и сбрасываться после заданного числа в подряд неправильных попыток ввода;

Минимально допустимая длина пароля, задаваемая по умолчанию в ОС МСВС - 6 символов. Данная политика задаётся в файле /etc/login.defs.

Этот файл является конфигурационным для программы login. Здесь вы можете изменить и другие параметры, чтобы они соответствовали вашей стратегии защиты (время действия пароля, длина пароля и др.).

Установка таймаута подключения для root

Часто бывает, что администратор, войдя в систему под пользователем root, забывает выйти и его сессия остается открытой. Решением этой проблемы может быть переменная tmout (/etc/profile) в bash, которая определяет время, через которое пользователь автоматически отключается от системы, если он не активен. Она содержит время в секундах до отключения.

Отключение доступа к консольным программам

Одной из самых простых и необходимых настроек является блокирование консольно-эквивалентного доступа к программам halt, shutdown, reboot и poweroff. Чтобы это сделать выполните:-f /etc/security/console.apps/servicename,

где servicename имя программы к которой вы хотите запретить консольно-эквивалентный доступ.

Отключение всего консольного доступа

Чтобы блокировать весь консольный доступ, включая программу и файл доступа, в каталоге /etc/pam.d/, нужно закомментировать все строки, в которых вызывается pam_console.so. Нижеприведенный скрипт сделает это автоматически:

# !/bin/sh cd /etc/pam.d for i in * ; do sed '/[^#].*pam_console.so/s/^/#/' < $i > foo && mv foo $i done

Файл /etc/securetty

Файл /etc/securetty позволяет вам определить с каких tty устройств может входить в систему пользователь root. Этот файл читается программой login. Он имеет очень простой формат. В каждой строке перечислены имена tty устройств, с которых root может входить в систему, а с остальных доступ ему будет запрещен.

Отключите любые tty, которые вам не нужны. С остальных терминалов вы сможете переключаться на root, используя команду su.

Специальные пользователи

Выключите все ненужные специальные бюджеты пользователей, которые созданы по умолчанию в вашей системе (Это необходимо проделывать после каждого обновления). Чем больше у вас заведено пользователей, тем легче проникнуть в систему.

Бит постоянства может быть использован для предотвращения случайного удаления или переписывания файлов, которые должны быть защищены. Они также могут быть защищены от создания символических ссылок, которые могут быть использованы для атак на файлы /etc/passwd, /etc/shadow, /etc/group или /etc/gshadow.

Для установки бита постоянства на эти файлы выполните следующие команды:+i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow

Замечание. Если в будущем вам надо будет добавить новых пользователей или изменить пароли, то снимите бит постоянства с этих файлов. Также снять этот атрибут может потребоваться при инсталляции новых RPM пакетов, которые автоматически добавляют новых пользователей или новые группы.

Блокирование выполнения команды su

Для того, чтобы ограничить пользователей, которые могут выполнять команду su root, нужно добавить следующие две строки в начало файла конфигурации su root, расположенного в каталоге /etc/pam.d/.sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel

После изменения файла /etc/pam.d/su нужно определить пользователей, которые могут выполнять su root. Для этого введите следующую команду:-G UserName

где опцией G определяется список цифровых значений групп в которые входит пользователь UserName.

Ограничение ресурсов

Файл limits.conf, находящийся в каталоге /etc/securitty, используется для ограничения ресурсов потребляемых пользователями вашей системы. Эти ограничения будут накладываться на пользователей как только они будут входить в систему.Символ * означает всех пользователей имеющих доступ на данный сервер.

Отредактируйте файл /etc/pam.d/login и добавить в него следующее:required /lib/security/pam_limits.so

Файл /etc/lilo.confэто универсальный загрузчик для ОС МСВС. Он не зависит от файловой системы и может загружать ядро МСВС как с гибкого диска, так и с жесткого диска. Кроме того, LILO может служить загрузчиком других операционных систем.

Наиболее важным конфигурационным файлом является /etc/lilo.conf. Следующие три опции чрезвычайно важны для улучшения безопасности.=00

Эта опция контролирует как долго (в десятых долях секунды) LILO ждет ввода информации от пользователя перед тем как продолжит загрузку по умолчанию. Одним из требований безопасности является возможность установки интервала равного 0.

Эта опция ослабляет парольную защиту, так как она требует введение пароля только если были определены параметры загрузки (например, linux single). Она может использоваться только совместно с опцией password. Убедитесь, что вы используете эту опцию с каждым образом.=<password>

Это опция требует запроса пароля у пользователя если он загружает ОС МСВС в однопользовательском режиме. Пароль является зависимым от регистра.

Обязательно проверьте, чтобы файл /etc/lilo.conf мог читать только пользователь root, так как, пароль хранится в файле в незашифрованном виде. Защитите файл от изменения и удаления командой:+i /etc/lilo.conf

Настройка shellshell может запоминать до 500 команд в файле ~/.bash_history (где ~/ - домашний каталог пользователя). Каждый пользователь, который имеет shell-доступ в систему, имеет такой .bash_history файл в своем домашнем каталоге. Уменьшая количество команд запоминаемых в этом файле, вы защищаете систему. Когда пользователь случайно ввел в командной строке свой пароль, то он еще долгое время будет хранится в файле .bash_history.

Строки histfilesize и histsize в файле /etc/profile определяют количество старых команд запоминаемых в .bash_history.

Также нужно добавить в файл /etc/skel/.bash_logout строку-f $HOME/.bash_history

В результате, каждый раз, когда пользователь выходит из системы, его файл .bash_history будет удаляться. Поэтому хакер не сможет получить к нему доступ, когда пользователь не подключен к серверу.

Файл /etc/rc.d/rc.local

Данная возможность позволяет исключить утечки информацию о сервере и ОС злоумышленнику

При подключении к системе МСВС, вам выдается сообщение об имени дистрибутива, его версии, версии ядра и имени сервера. Это совершенно не нужно, так как дает много информации злоумышленнику. Вы должны оставить только запрос login:.

Чтобы сделать это, закомментируйте следующие строки в файле /etc/rc.d/rc.local:

# Эти строки будут заменять содержимое файла /etc/issue

# при каждой перезагрузке.

#echo "" > /etc/issue

#echo "$R" >> /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

#cp -f /etc/issue /etc/issue.net

#echo >> /etc/issue

Удалите файлы issue.net и issue в каталоге /etc:-f /etc/issue rm -f /etc/issue.net

Замечание. Файл /etc/issue.net содержит информации, которая выдается всякий раз, когда осуществляется сетевое подключение к серверу (например, через telnet). Данные файлы содержится в каталоге /etc. Это простые текстовые файлы и вы можете их легко настраивать под свои нужды, но при этом необходимо изменить скрипт /etc/rc.d/rc.local, так как он при каждой перезагрузке пересоздает эти файлы.

Запрещение перезагрузки системы по Ctrl-Alt- Del

Запрещение перезагрузки системы по Ctrl-Alt- Del становится возможным при закомментаривании строки, описанной ниже, в файле /etc/inittab.::ctrlaltdel:/sbin/shutdown -t3 -r now

Копии всех важных файлов регистрации

Один из важнейших аспектов защиты - это целостность лог файлов, расположенных в /var/log. Если взломщик преодолел вашу оборону, то вся ваша надежда остается на них. Если на вашем сервере установлен сервер печати или подобный сервер есть в сети, то можно создавать твердые копии всех, важных логов. Это легко осуществить, имея принтер с непрерывной подачей бумаги и перенаправляя все сообщения syslog в /dev/lp0. Если вы не имеете принтера в вашей сети, то можно перенаправлять все syslogd- сообщения на удаленный сервер.

Перемещение программы RPM

После того, как вы проинсталлировали все программы, которые нужны на сервере, хорошей идеей будет переместить программу RPM в безопасное место. Если кто-то получит доступ к вашему серверу и решит установить враждебное программное обеспечение, то это у него не получится. Конечно, если в будущем захотите проинсталлировать что-то новое, то вам потребуется вернуть RPM на место.

Также можно изменить права доступа к RPM c 755 до 700. В этом случае никто кроме пользователя root не сможет использовать эту программу:

Биты программ подчиненных пользователю root

Все программы и файлы в вашем компьютере с символом s в поле режима доступа имеют включенным бит SUID (-rwsr-xr-x) или SGID (-r-xr-sr-x). Так как эти программы дают особые привилегии пользователям которые их выполняют, то важно удалить бит s с программ владельцем которых является root и которым не нужны подобные возможности. Это осуществляется выполнением команды 'chmod a-s' с именем файла(ов) в качестве аргумента.

К таким программам относятся:

Программы, которые никогда не используются.

Программы, которые должен запускать только root.

Программы, используемые редко и которые могут использоваться через механизм su root

Знак * рядом с программами означает, что бит s для них должен быть снят. Помните, что для корректной работы системы необходимы некоторые suid-ные программы.

Для нахождения всех файлов имеющих бит s и владельцами которых является root используйте команду:/ -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

Для отключения бита s введите команду:a-s <путь>

Странные или скрытые файлы

Необходимо устранить из системы странные или скрытых файлов, т.е. файлов которые запускаются периодически и не показываются командой ls. Данные файлы могут использоваться для скрытия утилит и информации (программы взлома паролей, парольные файлы из других систем и др.). Обычной методикой на UNIX - системах является расположение скрытых каталогов с необычными именами в пользовательских бюджетах, например, , .. (точка точка пробел) или ..^G (точка точка ctrl-G). Программа find может быть использована для поиска таких программ. Например:/ -name ".. " -print -xdev/ -name ".*" -print -xdev | cat -v

Поиск всех файлов с включенными битами SUID/SGIDи SGID файлы являются потенциальными источниками нарушения безопасности, потому что дают особые привилегии пользователям, которые их выполняют и поэтому должны быть внимательно проверены и по возможности отключены.

Используйте следующую команду для поиска всех SUID/SGID программ:/ -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

Поиск программ и каталогов, в которые разрешена запись для группы и всех остальных пользователей

Некоторые системные файлы могут стать дырой в безопасности, если злоумышленник получит доступ к системе и сможет модифицировать их. Кроме того, дополнительную опасность представляют каталоги полностью открытые для записи. В них нарушитель легко может записывать и удалять файлы. В нормальном состоянии системы существует несколько файлов открытых для записи, включая несколько в каталоге /dev.

Для нахождения файлов и каталогов, полностью открытых для записи используйте следующие команды:/ -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \;/ -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \;

Замечание. Для облегчения регулярного поиска и проверки подобных файлов и каталогов можно использовать специализированное программное обеспечение, например, AIDE (Tripwire).

Файлы не имеющие владельцев

Наличие файлов, не имеющих владельцев может указывать на вторжение в систему. Никогда не принимайте подобные файлы. Если вы нашли файлы и каталоги не имеющие владельцев на вашей системе, то внимательно проверьте их и если с ними все в порядке - определите владельца. Для поиска файлов и каталогов не имеющих владельца используйте команду:/ -nouser -o -nogroup

Замечание. Файлы найденные в каталоге /dev не считаются неправильными.

Контроль над монтируемыми файловыми системами

Вы можете получить больший контроль над смонтированными файловыми системами, например, /home и /tmp, используя опции noexec, nodev и nosuid. Они могут быть определены в файле /etc/fstab , который содержит описания каждой монтируемой файловой системой.

Опции, связанные с безопасностью, используемы в /etc/fstab:- позволяет все (quota, read-write и suid) на этом разделе;- не использовать квот пользователей на этом разделе;- не использовать suid/sgid доступ на этом разделе;- нет символьный и специальных устройств на этом разделе;- нет исполняемых программ на этом разделе;- пользовательские квоты действуют на этом разделе;- позволять доступ только для чтения к этому разделу;- позволять доступ на чтение/запись к этому разделу;- позволять suid/sgid доступ на этом разделе.

Редактируйте файл fstab /etc/fstab и измените то, что вам нужно.


6.3 Сетевая безопасность


Политика безопасности сетевого брандмауэра

Политика безопасности сетевого брандмауэра определяет те сервисы, которые будут явно разрешены или запрещены, как они будут использоваться, и какие исключения будут из этих правил. Полная политика защиты должна быть определена согласно анализу безопасности и необходимости. Брандмауэр имеет небольшое значение, если полная политика защиты не определена должным образом. Каждое правило определенное в политика безопасности сетевого брандмауэра должно быть реализовано на брандмауэре. В общем, все брандмауэры используют следующие методы:

Все, что специально не разрешено - запрещено.

Этот метод блокирует весь трафик между двумя сетями, за исключением тех сервисов и приложений которым выдано разрешение. Поэтому каждую необходимую службу и приложение нужно разрешать. Никогда нельзя разрешать работу тем службам и приложениям, которые могут быть использованы для атаки на вашу систему. Это наиболее безопасный метод - отвергать все, что явно не разрешено. С другой стороны, со стороны пользователя, этот метод более ограничительный и менее удобный. Именно его мы будем использовать для построения брандмауэра в этой книге.

Все, что не запрещено, то разрешено.

Этот метод позволяет весь трафик между сетями, за исключением определенных сервисов и приложений. Поэтому каждую ненужную службу надо явно запрещать. Это очень удобный и гибкий метод для пользователей, но несущий в себе серьезные потенциальные проблемы в безопасности.

Рекомендации связанные с сетью

В ОС МСВС поддерживается большое количество сетевых функций. Настройка сетевого оборудования и всех файлов, связанных с сетью очень важно для общей системной безопасности.

Управление сетью охватывает обширный ряд тем. В общем, они включают сбор статистических данных о состоянии частей вашей сети и принятие мер в случае необходимости при возникновении сбоев или других причин.

Файл /etc/inetd.confназывается супер сервером, который запускает другие демоны по запросам из сети. В файле конфигурации inetd.conf описано какие порты слушать и какие сервисы запускать для каждого порта. Как только вы подключаете вашу систему к сети, подумайте, какие сервисы вам нужны.

Ненужные сервисы надо отключить, а лучше деинсталлировать. Просмотрите файл /etc/inetd.conf и вы увидите, какие сервисы он предлагает. Закомментируйте строки с ненужными сервисами, а затем пошлите процессу inetd сигнал sighup.

Редактируя файл inetd.conf, вы можете отключить следующие сервисы: ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth и т.д. пока вы не планируете их использовать. Чем меньше сервисов включено, тем меньше риск для системы.

Получение доступа к серверу дистанционно критично для большинства администраторов, но в любом случае удаленный доступ очень удобен.был одной из первых сетевых услуг. Он позволяет регистрироваться на удаленной машине в интерактивном режиме и выполнять некоторые команды. Это все еще основное инструментальное средство для удаленного администрирования в большинстве сред, и оно имеет почти универсальную поддержку.

Это также один из наиболее опасных протоколов, восприимчивых ко всему. Если система имеете пользователей использующих telnet для доступа к серверу Вы должны определенно выполнить chroot для их логинов, если возможно, также как ограничить доступ telnet на используемые ими хосты с помощью TCP_WRAPPERS. Самое лучшее решение для обеспечения безопасности telnet состоит в том, чтобы его отключить.

Проблемы с telnet:и пароли открытым текстом.

Все команды открытым текстом.

Атаки на подбор паролей (правда, остаются следы в файлах протоколов)._Wrappers

Используя Tcp_Wrappers, вы легко сможете оградить ваш сервер от внешних вторжений, когда это нужно. Запретите все хосты, добавив ALL: ALL@ALL, PARANOID в /etc/hosts.deny, и определите список тех, кому доступ разрешен в файле /etc/host.allow - это самая безопасная конфигурация._Wrappers контролируется двумя файлами. Поиск завершается при первом совпадении.

Доступ будет разрешен если пара (клиент, демон) найдена в файле /etc/host.allow.

Доступ будет запрещен если пара (клиент, демон) найдена в файле /etc/host.deny.

Если пары (клиент, демон) не найдена ни в одном из файлов, то доступ будет разрешен.

В ОС МСВС присутствует такое программное средство, как утилита ipchains используемая для администрирования firewall-а, IP маскарадинга и т.д.

Все IP пакеты содержат в своих заголовках IP адреса источника и получателя и тип IP протокола помещенного в пакет (TCP, UDP, ICMP). Единственным средством идентификации согласно протоколу IP является адрес источника сообщений. Это приводит к возможности подмены адреса (spoofing), когда злоумышленник заменят адрес источника на несуществующий адрес или на адрес другого сервера.

# Отбрасывание spoof-пакетов, с адресом источника

# совпадающим с вашим внешним адресом.-A input -i $EXTERNAL_INTERFACE -s $IPADDR -l -j DENY

Существует, по крайней мере, семь адресов на внешнем интерфейсе, от которых необходимо отказаться. К ним относятся:

от вашего внешнего IP адреса

от приватных IP адресов класса A

от приватных IP адресов класса B

от приватных IP адресов класса C

от широковещательного адреса класса D

от зарезервированных адресов класса E

от loopback интерфейса

Блокировка исходящих пакетов, содержащих подобные исходные адреса, за исключением вашего IP адреса, защищает от ошибок конфигурации с вашей стороны.

Другие правила используемые в скрипте брандмауэра описывают:

доступ к сервисам из внешнего мира

доступ к сервисам во внешнем мире

маскарадинг внутренних машин

Конфигурирование ОС МСВС на маскарадинг и форвардинг трафика из внутренней локальной сети требует специальных настроек ядра и вашего конфигурационного скрипта брандмауэра. Этот вид установок известен как шлюз.

Маскарадинг необходим, если один из компьютеров вашей локальной сети, для которой МСВС машина является брандмауэром, пытается послать пакеты наружу и шлюз притворяется этим компьютером. Другими словами, при пересылке всех пакетов из внутренней сети во внешнюю, шлюз делает вид, что все пакеты идут от него. Это работает в обе стороны, если внешний хост отвечает, то шлюз будет пересылать все пакеты во внутреннюю сеть нужному компьютеру. В результате все внутренние компьютеры полностью не видимы для внешнего мира, но при этом имеют туда доступ и могут получать оттуда ответы.

Основной код маскарадинга, включаемый опцией IP: masquerading, обрабатывает только TCP или UDP пакеты (и ICMP ошибки для существующих соединений). Опция IP:ICMP Masquerading включает дополнительную поддержку для маскарадинга ICMP пакетов, таких как ping или исследований проводимых программой tracer из Windows 95.

Запрещение доступа с некоторых адресов

Для того, чтобы закрыть весь доступ на ваш сервер с определённого адреса, нужно:

создать файл rc.firewall.blocked в каталоге /etc/rc.d/ и раскомментировать следующие строки в скрипте firewall:[ -f /etc/rc.d/rc.firewall.blocked ]; then.

/etc/rc.d/rc.firewall.blocked

В файл rc.firewall.blocked добавьте все IP адреса, доступ с которых вы хотите заблокировать.

Поиск .rhosts файлов

Файлы .rhosts являются частью постоянной работы системного администратора, так как этим файлам не должно найтись места на вашей системе. Помните, что нарушителю нужен только один небезопасный бюджет пользователя, чтобы в будущем получить доступ в вашу сеть. Вы можете найти файлы .rhosts используя команду:/home -name .rhosts

Настройка NFS

Если вы экспортируете свои файловые системы с использованием NFS, то необходимо сконфигурировать файл /etc/exports с максимально возможными ограничениями. В нем не следует использовать групповые символы (?, *), нельзя позволять доступ для записи пользователю root и следует монтировать только для чтения все, что только возможно.

/dir/to/export host1.mydomain.com (ro,root_squash)

/dir/to/export host2.mydomain.com (ro,root_squash)

Где dir/to/export - каталог для экспортирования, host1.mydomain.com - имя машины с которой разрешается доступ, <ro> - монтирование только для чтения, <root_squash> - не позволять пользователю root доступа с правом на запись.и BIND сервер

Безопасность любого сервера зависит от программного обеспечение предназначенного, для защиты сервера. DNS наиболее важный сервис для IP сетей, и поэтому, все МСВС машины - клиенты DNS, должны быть, как минимум, настроены на функцию кэширования. Такая настройка на клиентской машине уменьшит загрузку сервера. Кэширующий сервер ищет ответы на DNS запросы и сохраняет их до следующего раза. В результате время ответа на тот же запрос сильно сокращается.

Из соображений безопасности, важно, чтобы между внутренними компьютерами корпоративной сети и внешними компьютерами не существовало DNS, гораздо безопаснее использовать просто IP адреса для соединения с внешними машинами и наоборот.

Для улучшения безопасности BIND/DNS сервера, можно запретить вашему серверу, контактировать со сторонними серверами, если свои сервера не работают или не отвечают.сервер

Несмотря на прошедшие годы, использование File Transfer Protocol (FTP) является одним из самых популярных способов пересылки файлов с одной машины на другую через сеть. Клиенты и сервера написаны для каждой из популярных платформ присутствующих на рынке, делая таким образом FTP наиболее удобным способом пересылки файлов.

Существует много различных путей настройки вашего FTP сервера. Один из них приватный, только для пользователей системы, который является конфигурацией по умолчанию FTP сервера; приватный FTP сервер позволяет пользователям МСВС системы соединиться с сервером по протоколу FTP и получить доступ к их файлам.

Конфигурация, охватываемая здесь, предоставляет FTP полубезопасную область файловой системы (chroot гостевой FTP доступ). Она позволит пользователю получить доступ к каталогу FTP сервера, при этом он не сможет перейти на более высокий уровень. Это наиболее безопасная конфигурация для FTP сервера.

Чрезвычайно важно, чтобы ваши пользователи FTP не имели реального командного процессора. В этом случае, если они по каким-либо причинам смогут покинуть chroot окружение FTP, то не смогут выполнить никаких задач, так как не имеют командного процессора. (есть специальное устройство (/dev/null) существующее для подобных целей).

Редактируя файл passwd, добавьте/измените строку для пользователя ftpadmin::x:502:502::/home/ftp/./ftpadmin/:/dev/null

Обратите внимание, что путь к домашнему каталогу пользователя ftpadmin нечеткий. Первая часть /home/ftp/ показывает файловую систему, которая должна стать новый корневым каталогом. Разделяющая точка . говорит, что из текущего каталога необходимо автоматически переходить в /ftpadmin/.

7. Экономическая часть


.1 Расчет трудоемкости


При проведении НИР по теме Анализ механизмов защиты информации в ОС МСВС выделяются следующие этапы:

Подготовительный этап. На этом этапе производится анализ существующей литературы по темам, касающимся проводимых исследований, разрабатывается технико-экономическое обоснование темы, выполняются необходимые расчеты, разрабатывается методика исследований и методика проведения экспериментов.

Разработка теоретической части НИР. На этом этапе выполняется научная проработка с целью обоснования параметров и характеристик разрабатываемой системы, определяется концепция построения системы, выбираются и обосновываются принципы организации и функционирования системы.

Определение перечня уязвимостей ОС МСВС. Определяется список компонентов ОС, создающих уязвимости, и способы устранения выявленных уязвимостей ОС

Разработка технических решений по устранению уязвимостей ОС.

Подготовка экспериментов. Выполняется подготовка исходных данных для проведения экспериментов по оценке качества устранения уязвимостей.

Эксперимент. Проводится серия экспериментов с целью проверки достижимости параметров и характеристик системы, определенных на этапе 2.

Корректировка теоретической части НИР. Уточняются вопросы организации и функционирования системы, вносятся изменения, обусловленные проводимыми экспериментами.

Выводы и предложения по НИР.

Оформление отчета по НИР.

Трудоемкости выполнения отдельных видов работ оцениваются экспертным путем и носят вероятностный характер, так как зависят от множества трудно учитываемых факторов. Состав исполнителей и длительность каждого этапа представлены в таблице 7.1.


Таблица 7.1 - Трудоемкости этапов НИР

ЭтапДлительность в дняхИсполнителиИнженерРуководительПолучение и согласование задания2++Подбор и изучение документации10+Разработка теоретической части8++Определения перечня уязвимостей ОС МСВС11+Определение способов устранения уязвимостей4++Разработка технических решений по устранению уязвимостей ОС10+Подготовка экспериментов3+Эксперименты8+Корректировка теоретическойчасти4++Выводы и предложения по НИР3+Оформление отчета20+Всего838318

Общая продолжительность работ на всех стадиях НИР составляет 83 дня при пятидневной рабочей неделе с продолжительностью рабочего дня 8 часов.

На основе данных таблицы 7.1 строится ленточный график выполнения стадий НИР, представленный на рисунке 7.1.

Рис. 7.1 - Ленточный график


Расчет сметы затрат

Смета затрат представляет собой стоимостную оценку используемых в процессе производства продукции природных ресурсов, сырья, материалов, топлива, энергии, основных фондов, трудовых ресурсов, а также других затрат на ее производство и реализацию. Перечень затрат, включаемых в себестоимость продукции, определяется Положением о составе затрат по производству и реализации продукции (работ, услуг), включаемых в себестоимость продукции, и о порядке формирования финансовых результатов, учитываемых при налогообложении.

Затраты группируются в соответствии с их экономическим содержанием по следующим элементам:

материальные затраты;

затраты на оплату труда;

отчисления на социальные нужды;

амортизация основных фондов;

прочие затраты.

Далее рассмотрим затраты на проведение НИР по статьям калькуляции.

Расходные материалы. Сумма расходов определяется по формуле:,(7.2.1)

где ki - количество единиц i-ого материала,- стоимость единицы i-ого материала (руб.),- число материалов.


Таблица 7.2 - Затраты на приобретение материалов

Вид материаловКоличествоЦена за ед., руб.Сумма расходов, руб.Дискеты312.0036.00Бумага1 пачка87.0087.00Картридж для принтера1650.00650.00Итого:773.00

Основная заработная плата. В разработках принимало участие два исполнителя: руководитель темы (оклад 1660 руб.) и инженер-программист XI категории (оклад 595 руб.). Руководителем затрачено на разработку 18 дней, а инженером-программистом - 83 дня при месячном фонде времени одного разработчика 22 дня. Основная заработная плата определяется по формуле:


,(7.2.2)

где Oi - оклад i-ого исполнителя (руб.),- время, затраченное i-ым исполнителем (дни),- месячный фонд времени i-ого исполнителя (дни),- число исполнителей.

С учетом вышесказанного, основная заработная плата составляет:

Отчисления на социальные нужды. Составляют 35.8 % от основной заработной платы:


(7.2.3)

В данном случае отчисления на социальные нужды составляют:

Расходы на эксплуатацию оборудования и лицензированное программное обеспечение.


(7.2.4)

Амортизационные отчисления. Рассчитываются по формуле:


,(7.2.5)

где Фn - первоначальная стоимость оборудования;

Тn - время использования оборудования для проведения НИР;- норма амортизации;- годовой действительный фонд времени работы оборудования.


Таблица 7.3 - Стоимость оборудования и суммы амортизационных отчислений

НаименованиеСтоимость, руб.Длительность использования, летНорма амортизации, %Сумма амортизации, руб./годСумма расходов, руб.ПЭВМ на базе процессора AMD К7-700150000.22711.51725.00391.58Принтер Canon BJC-200021600.05411.5248.4013.42Итого:404.9

Электроэнергия. Расход электроэнергии определяется исходя из установленной мощности оборудования, времени его работы и стоимости киловатт-часа электроэнергии. Стоимость одного киловатт-часа электроэнергии составляет 60 коп.


,(7.2.6)

где С - стоимость киловатт-часа электроэнергии (руб.);- мощность, потребляемая i-ым оборудованием (кВт/час);- время использования i-ого оборудования (час).


Таблица 7.4 - Отчисления на оплату потребленной электроэнергии

ОборудованиеПотребляемая мощность, кВт/часВремя использования, ч.Расходы на электроэнергию, руб.Персональный компьютер0.5664199.20Принтер0.11609.60Итого:208.80

Затраты на обслуживание оборудования. Составляют 20 % от первых двух статей:


(7.2.7)

В данном случае затраты на обслуживание составляют:

руб

В итоге, затраты на эксплуатацию оборудования и лицензируемое программное обеспечение составили:

руб

Накладные расходы. Составляют 10 % от суммы всех статей затрат, рассмотренных выше. В итоге получим результирующую смету затрат:


Таблица 7.5 - Смета затрат на проведение НИР

Статья затратСумма, руб.Материальные затраты773.00Основная заработная плата3602.95Отчисления на социальные нужды1289.86Амортизационные отчисления598.86Электроэнергия208.80Затраты на обслуживание оборудования122.74Всего6635.00Накладные расходы663.50Итого13894.71

Нормативная прибыль (Пн), включаемая в цену продукции, определяется исходя из норматива рентабельности. Норматив рентабельности равен 20 %, тогда нормативная прибыль:


,(7.2.8)

где С - себестоимость изделия, руб.;

р - норматив рентабельности, %.

В итоге цена, складывающаяся из себестоимости разработки и прибыли, составляет 13894.71 + 2778.94 = 16673.65 (руб.).

Выводы по эффективности предложений

В данной дипломной работе был проведен анализ операционной системы ОС МСВС на предмет наличия уязвимостей, представляющих угрозу для обрабатываемой информации. Были разработаны технические решения, направленные на повышение степени защищенности операционной системы.

Указанная операционная система в настоящее время используется в вычислительных сетях предприятий, организаций и коммерческих фирм. В связи с этим, от степени защищенности операционной системы во многом зависит сохранность конфиденциальных данных, коммерческой тайны и других сведений, разглашение или искажение которых может нанести существенный ущерб.

Экономический эффект от проведенного исследования состоит в предотвращении или существенном затруднении несанкционированного доступа к защищаемой информации. Ликвидация последствий несанкционированного доступа всегда обходится гораздо дороже затрат на проведение исследования в области защиты информации и принятие мер по улучшению защищенности объекта. Во многих случаях ценность хранимых данных столь велика, что ее вообще невозможно оценить количественно (например, если это сведения, составляющие государственную тайну), поэтому проведение НИР в области защиты информации является экономически обоснованным, особенно в наше время, когда количество компьютерных правонарушений неуклонно растет.

Безопасность и экологичность работы

Важнейшим направлением научно-технического прогресса является развитие электронной вычислительной техники и ее широкое применение в производстве, научно-исследовательских и проектно-конструкторских работах, плановых расчетах, сфере управления и в обучении.

При обработке на ЭВМ информации, составляющей коммерческую или государственную тайну, остро встает вопрос о необходимости защиты секретных данных от попыток несанкционированного доступа к ним. Данная дипломная работа посвящена анализу средств, систем и комплексов защиты информации от НСД, функционирующих на ПЭВМ класса IBM PC.

Однако, как при анализе работы программ на персональном компьютере, так и при использовании их в дальнейшем в производственном процессе на ПЭВМ различного типа, оператор ПЭВМ сталкиваются с различного рода воздействиями вредных и опасных факторов, неизбежно сопутствующих работе на ПЭВМ. Поэтому анализ условий труда на ПЭВМ в вычислительных центрах, воздействия вредных и опасных факторов на оператора, а также рассмотрение мер, устраняющих или уменьшающих воздействие на работающих этих факторов окружающей среды, предупреждающих несчастные случаи, создающих высокопроизводительные, здоровые и безопасные условия труда в вычислительных центрах, являются частью данной дипломной работы.

Данный раздел освещает проблемы безопасности труда проектировщика как пользователя системы и намечает пути преодоления трудностей и дискомфорта при работе.

Анализ условий труда в вычислительном центре

Рассматриваемый ВЦ предназначен для проведения научно-исследовательских работ студентов кафедры ЭВМ. Он представляет собой небольшое помещение размером 6´6´3 м с двумя окнами, выходящими на северо-восток. Помещение оснащено кондиционером, установлена охранная сигнализация, используется электрическая сеть переменного тока 220 В, проведено отопление.

ВЦ оборудован одноместными столами с периметральной расстановкой рабочих мест с ПЭВМ вдоль двух стен, являющейся наиболее предпочтительней с точки зрения безопасности и оптимизации условий зрительной работы. При этом соблюдаются следующие расстояния:

а) по ширине ВЦ:

расстояние между стеной с оконными проемами и столами с ПЭВМ более 1 м;

расстояние между стеной, противоположной оконным проемам, и столами с ПЭВМ составляет 0,5 м;

б) по длине ВЦ:

столы с ПЭВМ установлены с разрывом, обеспечивающим расстояние 1 м между боковыми поверхностями мониторов.

В нашем случае, при периметральной расстановке рабочих мест с ПЭВМ, ВЦ оборудован также двухместными столами [ГОСТ 11015-86] со стульями [ГОСТ 11016-86] для работы без ПЭВМ в количестве 6 штук. Учебные столы необходимы для теоретических занятий, составления программ. Столы расставлены в два ряда с расстоянием между рядами 1 м. Стены до потолка окрашены светло-зеленым цветом, потолок побелен, поверхности рабочих столов с ПЭВМ окрашены в цвет натуральной древесины, поверхность пола ровная, без выбоин, удобная для уборки, обладающая антистатическими свойствами.

Окна закрыты плотными шторами, шириной в 2 раза больше ширины оконного проема, светло-зеленого цвета. Схематично план помещения представлен на рис. 7.2.


Рис. 7.2 - План-схема помещения ВЦ

Основным оборудованием рабочего места для оператора ВЦ является экран дисплея, клавиатура, манипулятор типа мышь, рабочий стол, стул (кресло). Несмотря на разработанные организационные и технические мероприятия, операторы ПЭВМ подвергаются воздействию следующих опасных и вредных производственных факторов:

физических:

повышенный уровень шума;

неудовлетворительные метеорологические условия;

недостаточная освещенность;

опасность поражения электрическим током;

воздействие электромагнитных полей;

повышенный уровень рентгеновского излучения;

пожарная опасность;

психофизиологических:

перенапряжение зрительных и слуховых органов;

умственное перенапряжение;

монотонность труда;

гиподинамия;

эмоциональные перегрузки;

взаимоотношения в коллективе;

химических;

биологических.

Воздействие указанных неблагоприятных факторов приводит к снижению работоспособности, вызываемому утомлением. Длительное нахождение оператора в зоне комбинированного воздействия различных неблагоприятных факторов может привести к профессиональному заболеванию.

Повышенный шум вызывает трудности в распознавании цветовых сигналов, снижает быстроту восприятия цвета, остроту зрения, ухудшает способность быстро и точно выполнять координированные движения, уменьшает на 5¸12 % производительность труда. Причинами возникновения шума в ВЦ являются:

механический шум (движение и удары головки принтера, механизмы подачи бумаги и красящей ленты, работа вентиляторов охлаждения системного блока);

громко говорящие люди;

шум, возникающий при образовании потоков воздуха кондиционером;

колебания, возникающие под действием электромагнитного поля в устройствах преобразования и стабилизации напряжения, а также люминесцентные лампы.

Требования к уровню шума определяются стандартными нормами. В помещениях для операторов ПЭВМ уровень звука не должен превышать 50 дБА. Мерами защиты от шума являются: акустические защитные перегородки, звукопоглощающее покрытие.

Неудовлетворительные метеорологические условия в рабочей зоне (высокая или низкая влажность либо температура) могут привести к плохому самочувствию человека и снижению его работоспособности, снижению безопасности работы, что может привести к травматизму. Как правило, все ВЦ имеют повышенную температуру помещений. Это связано с выделением тепла непосредственно от ПЭВМ, от вспомогательного оборудования, приборов освещения, присутствующих в помещении людей, а также с поступлением тепловой энергии извне. В производственных помещения, где выполняются работы с вычислительной техникой, величины температуры, относительной влажности и скорости движения воздуха в рабочей зоне должны соответствовать оптимальным значениям: в холодный период года 22¸24°C, в теплый период 23¸25°C; относительная влажность 40¸60 %; скорость движения воздуха не более 0.1 м/с. Повышенная температура воздуха на рабочем месте оператора снижает производительность труда, вызывает преждевременное утомление, притупляет внимание, ухудшает качественные показатели и может оказаться причиной заболевания. Помещения должны иметь централизованную приточно-вытяжную вентиляцию и оконные кондиционеры. Нормирование температуры в рабочем помещении устанавливает ГОСТ 12.1.005-88.

Важную роль в работе операторов ПЭВМ играет освещение. Недостаточное освещение вызывает преждевременное утомление, притупляет внимание, приводит к ошибкам в работе, ухудшает нормальную производственную деятельность пользователя, снижает остроту зрения и может оказаться причиной несчастного случая. Каждое помещение с дисплеями должно иметь естественное и искусственное освещение. Естественное освещение должно осуществляться через боковые светопроемы, ориентированные преимущественно на северную сторону. Помимо естественного освещения, в помещения обязательно присутствует искусственное, как правило, комбинированное. Рекомендуется система с использованием люминесцентных ламп типа ЛБ и светильников отраженного или рассеянного светораспределения, расположенных в равномерном прямоугольном порядке. Одним из мероприятий по устранению зрительного дискомфорта из-за недостаточного освещения является измерение освещенности. Системы освещения должны удовлетворять требованиям СН и П 23-05-95. Освещенность помещения ВЦ должна быть не менее 250 лк на рабочей поверхности стола. Недостаточная освещенность рабочего места оператора может привести к перенапряжению зрительных органов, а в дальнейшем - к возможному ухудшению зрения.

Электрические установки, к которым относится практически все оборудование ВЦ, представляют для человека большую потенциальную опасность. Токоведущие проводники, корпуса ПЭВМ и прочего оборудования могут оказаться под напряжением в результате повреждения или пробоя изоляции, короткого замыкания, искрения, перегрузки проводников, плохих контактов. Проходя через тело человека, электрический ток оказывает термическое, электролитическое, механическое и биологическое воздействие на человека, вызывая ожоги, электротравмы. К общим мерам защиты от статического электричества в ВЦ можно отнести общее и местное увлажнение воздуха. Нормой относительной влажности воздуха, обеспечивающей защиту от статической электризации, считается величина, не превышающая 60 %.

В залах с ПЭВМ на оператора могут воздействовать также электромагнитные поля (ГОСТ 12.1.006-84) в виде широкополосного спектра электромагнитных излучений: рентгеновского, ультрафиолетового (УФ), инфракрасного излучения, электромагнитных излучений промышленной частоты. В реальных условиях уровни УФ излучения, исходящего от терминала (320¸400 мкм) в десятки раз ниже допустимого уровня 10 Вт/см. Слабые электромагнитные поля вызывают аллергию, тошноту, усталость, головные боли. Для снижения уровня электромагнитного излучения необходимо располагать мониторы так, чтобы расстояние до них составляло величину, равную длине вытянутой руки. Пользователи должны находиться не ближе, чем на 1.2 м от задних и боковых поверхностей соседних терминалов, так как источник высокого напряжения компьютера - строчный трансформатор - помещается в задней или боковой части терминала, причем стенка корпуса не экранирует излучения. Для уменьшения интенсивности излучения рекомендуется устанавливать на экран монитора специальные экранирующие фильтры и экраны. Но так как некоторые фильтры предназначены только для снижения яркости и не создают никакой защиты от излучений, рекомендуется ставить либо экран типа полароид СП-90 (США), либо австрийские стеклянные экраны. Последние изготовлены из специальных затемненных сортов стекла. Эти фильтры выполнены из четырехслойного кристаллического стекла с двусторонним отражающим износостойким покрытием. Они полностью снимают электростатическое поле и на 90 % гасят воздействие электромагнитных полей. К сожалению, все фильтры стоят дорого и не всегда имеются в продаже. В качестве разумной альтернативы западным образцам может быть порекомендован приэкранный оптический фильтр, производимый фирмой Русский щит. Фильтр обеспечивает тотальную защиту, конструктивно выполнен на стеклянной подложке, имеет защитное и антибликовое покрытие, снабжен заземляющим проводником.

Для контроля излучения дисплеев необходимо проводить измерения по электрической и электромагнитной составляющим электромагнитного поля.

В помещениях, в которых эксплуатируются ПЭВМ, всегда существует опасность возгорания из-за неисправности, например, некоторых частей ПЭВМ, из-за искр при коротком замыкании, плохого контакта в неисправных электросетях, неосторожного обращения людей с огнем и т.п.

По пожарной опасности помещения вычислительных центров относятся к категории В. Пожарную нагрузку ВЦ составляют горючие материалы: изоляционные материалы проводов и кабелей, шкафы, стеллажи, материалы, используемые для эстетической отделки, горючие строительные конструкции, а также различная мебель. Электрические контакты в ПЭВМ и периферийном оборудовании являются их неотъемлемой частью, от правильной работы которой зависит не только нормальное функционирование сетей, устройств и аппаратов, но и состояние пожарной безопасности. Нагрев электрических контактов, который может быть причиной пожара, обусловливается существованием переходного сопротивления между контактирующими элементами.

При предъявлении требований к эксплуатации помещений следует руководствоваться Инструкцией по проектированию зданий и помещений для ЭВМ СНиП-512-78, утвержденной Госстроем 22.12.78 и ГОСТ 12.1.004-91. Сети аварийного освещения и сигнализации проложены отдельно от других силовых и контрольных кабелей. В связи с тем, что каждая ПЭВМ имеет собственную систему охлаждения, нет необходимости в системе воздуховодов. ПЭВМ имеют блокировку, обеспечивающую отключение при остановке систем охлаждения. Работы по ремонту узлов (блоков) ПЭВМ непосредственно в машинном зале, как правило, не допускаются. Профилактическая прочистка ПЭВМ и контрольно-измерительных приборов в каждом случае должна проводиться с письменного разрешения начальника ВЦ и после согласования с пожарной охраной. Один раз в квартал должна проводиться очистка от пыли всех агрегатов машин и их узлов, кабельных каналов.

Рекомендуется осуществлять расстановку ПЭВМ по периметру помещения в целях более быстрой эвакуации людей в случае возгорания.

В помещении ВЦ запрещается следующее:

групповые розетки на сгораемой основе,

панели, ковры и дорожки из синтетических материалов;

горючий материал для акустической отделки стен и потолков;

загромождать пути эвакуации.

После окончания работы, перед закрытием помещения все электрические сети должны быть обесточены. При возникновении пожара в помещении ВЦ применяются ручные огнетушители. С их помощью можно быстро ликвидировать очаг загорания или локализовать огонь до прибытия пожарной команды. Применяются средства, предназначенные для работы в помещениях с электрооборудованием:

ручные углекислотные огнетушители типа ОУ-2,ОУ-5,ОУ-8;

углекислотно-бромэтиловые огнетушители типа ОУБ-7;

порошковые огнетушители типа ОПС-10,ОХП-10;

ручные воздушно-пенные огнетушители типа ОВП-5, ОВП-10.

Психофизиологические факторы, воздействующие на оператора, приводят к его физическим (статическим, динамическим) и нервно-психическим перегрузкам (умственное перенапряжение, перенапряжение анализаторов, монотонность труда, эмоциональные и информационные перегрузки). Характерной при работе с ПЭВМ является такая физическая перегрузка, как длительное статическое напряжение мышц пользователя. Оно обусловлено вынужденным продолжительным сидением в одной и той же рабочей позе, часто неудобной, необходимостью постоянного наблюдения за экраном (напрягаются мышцы шеи, ухудшается мозговое кровообращение), набором большого количества знаков за рабочую смену (это приводит к статическому перенапряжению мышц плечевого пояса и рук). При этом возникает также локальная динамическая перегрузка пальцев и кистей рук.

Нервно-психические перегрузки являются следствием информационного взаимодействия человека с ЭВМ. Они обусловлены неудовлетворительными условиями зрительного восприятия информации (изображения), несогласованностью параметров информационных технологий с психофизиологическими возможностями человека, необходимостью постоянного наблюдения за информационными символами, быстрого анализа динамично меняющейся информации, принятия адекватных решений и реализации соответствующих корректирующих воздействий. К основным нервно-психическим перегрузкам человека, работающего с ПЭВМ, относятся: повышенные зрительные напряжения, умственные и нервно-эмоциональные перегрузки, длительная концентрация внимания, монотонность труда.

В условиях ВЦ на оператора также воздействуют химические опасные и вредные факторы. К ним относится ряд веществ и соединений, которые могут оказывать разнообразные негативные воздействия на организм человека: токсические, раздражающие, сенсибилизирующие, канцерогенные, мутагенные, а также влияющие на репродуктивную функцию. Наличие химических факторов в помещениях с ПЭВМ в основном обусловлено широким применением полимерных и синтетических материалов для покрытия пола, отделки интерьера, при изготовлении мебели, ковровых изделий, радиоэлектронных устройств и их компонентов, изолирующих элементов систем электропитания и т.д. Кроме того, технология производства средств вычислительной техники предусматривает применение всевозможных покрытий на основе лаков, красок, пластиков, синтетических смол. При работе электронные устройства нагреваются из-за тепловыделения, что способствует увеличению концентрации вредных веществ и соединений в воздухе рабочей зоны. При этом в воздухе может образоваться повышенное содержание формальдегида, фенола, полихлорированных бифенилов, аммиака, двуокиси углерода, озона, хлористого винила и других токсичных соединений.

К группе биологических вредных факторов, которые могут привести к заболеванию или ухудшению состояния здоровья пользователя, относится повышенное содержание в воздухе рабочей зоны патогенных микроорганизмов (бактерий, вирусов и др.). Они могут появиться в помещении с большим количеством работающих при недостаточной вентиляции, например, в период эпидемий.

По результатам проведенного выше анализа можно сделать вывод о том, что при работе в ВЦ на оператора ПЭВМ действует множество опасных и вредных факторов. Часть из них находится в пределах допустимых норм, и их воздействие на организм человека незначительно. Некоторые факторы проявляются достаточно редко и только при определенных условиях (пожар, поражение электрическим током). Однако, остается еще достаточно большая группа неблагоприятных воздействий, которые носят регулярный характер и поэтому существенно влияют на здоровье. Одним из них является воздействие на оператора ПЭВМ электромагнитного поля.

Разработка мероприятий по обеспечению минимального воздействия электромагнитного поля при обработке информации на ПЭВМ

Одним из основных факторов, действующих на пользователя, являются электромагнитные поля. На рабочих местах с ПЭВМ можно выделить два вида пространственных полей: поля, создаваемые собственно ПЭВМ, и поля, порожденные другими окружающими рабочее место источниками.

Современная ПЭВМ является энергонасыщенным аппаратом с потреблением электроэнергии до 200-250 Вт, содержащим несколько электро- и радиоэлектронных устройств с различными физическими принципами действия. Поэтому она создает вокруг себя поля с широким частотным спектром и пространственным распределением, такие как электростатическое поле, переменные низкочастотные электрические поля и переменные низкочастотные магнитные поля.

Электростатическое поле (ЭСП) возникает за счет наличия электростатического потенциала (ускоряющего напряжения) на экране ЭЛТ. При этом появляется разность потенциалов между экраном дисплея и пользователем ПЭВМ. Наличие ЭСП в пространстве вокруг ПЭВМ приводит, в том числе, к тому, что пыль из воздуха оседает на клавиатуре и затем проникает в поры на пальцах, вызывая заболевание кожи рук. ЭСП вокруг пользователя ПЭВМ зависит не только от полей создаваемых дисплеем, но также от разности потенциалов между пользователем и окружающими предметами. Эта разность потенциалов возникает, когда заряженные частицы накапливаются на теле в результате ходьбы по полу с ковровым покрытием, при трении материалов одежды друг о друга и т.п.

В данном вычислительном центре используются мониторы LG Studioworks 575N. Они соответствуют международному стандарту MPR II. В соответствии с ним в этих моделях приняты специальные меры по снижению потенциала экрана, однако они обеспечивают требуемую норму лишь в установившемся режиме работы дисплея. Соответственно, подобный дисплей имеет повышенный уровень электростатического потенциала экрана в течение 20-30 секунд после своего включения и до нескольких минут после выключения, что достаточно для электризации пыли и близлежащих предметов. Это приводит к усилению загрязнения частей ПЭВМ, что отрицательно сказывается на ее работе и ухудшает здоровье оператора. Для предотвращения этого необходимо:

не реже одного раза в неделю осуществлять протирание частей ПЭВМ;

закрывать ПЭВМ в нерабочие время (в ночное время суток и обеденный перерыв);

не реже двух раз в месяц осуществлять влажную уборку помещения.

необходимо на все мониторы установить фильтры с защитой по электростатическому полю, для ослабления влияния на оператора высокоинтенсивных импульсов электростатического поля.

Источниками переменных электрических полей в ПЭВМ являются узлы, в которых присутствует высокое переменное напряжение, и узлы, работающие с большими токами.

По частотному спектру электромагнитные поля разделяют на две группы:

поля в диапазоне частот от 50 Гц до 2 кГц, источниками которых являются блок сетевого питания и блок кадровой развертки дисплея;

поля в диапазоне частот от 15 кГц до 80 кГц, источниками которых являются блок строчной развертки и импульсный блок сетевого питания ЭВМ.

Стандарт MPR II на мониторы определяет, что электромагнитные поля имеют деформированную диаграмму направленности - максимум направлен в сторону задней стенки монитора.


Рис. 7.3 - Монитор с деформированным ЭМП


Расположение ПЭВМ в вычислительном центре таково, что ни один из операторов ПЭВМ не испытывает воздействия ЭМП со стороны задней стенки монитора. Однако, расстояние между боковыми стенками рядом расположенных мониторов следует увеличить до 1.2 м.

Из-за наличия одной общей линии питания происходит увеличение магнитной составляющей поля в диапазоне 5 Гц - 2 кГц. Наличие двух фаз в ВЦ позволяет организовать несколько раздельных линий питания.

Потенциально возможными факторами могут быть также рентгеновское и ультрафиолетовое излучение ЭЛТ дисплея ПЭВМ. Однако стандарт MPR II мониторов определяет спецификацию на экраны электронно-лучевой трубки, по которому он изготавливается из специального свинцового стекла и имеет знак «Low Radiation».

Поля, порожденные посторонними источниками, определяются особенностями этих источников, положением их по отношению к рабочему месту. Основной источник - сеть электропитания, дающая существенный вклад на частоте 50 Гц и ее гармониках. В данном ВЦ используется одна линия питания, идущая по половине периметра помещения. Отсутствие экранирования и размещение ее на уровне пользователя вызывает воздействие электромагнитного поля на оператора. Для исключения этого необходимо:

изменить топологию расположения линии питания, так чтобы, она была удалена от оператора на максимальное расстояние;

использовать специальный экранированный кабель, либо использовать металлические трубки, которые необходимо будет заземлить.

Приведенные выше меры позволяют существенно снизить влияние электромагнитных полей на оператора ПЭВМ.

Заключение

В соответствии с заданием данной дипломной работы, был проведен анализ уязвмостей операционной системы МСВС.

Были рассмотрены встроенные механизмы защиты информации, определен перечень основных уязвимостей и методов их устранения.

Проведены экспериментальные работы по устранению найденных уязвимостей.

Так же был проведен обзор инструментальных средств проверки качества устранения уязвимостей.

Проект содержит расчеты по безопасности и экологичности проекта. Приведен расчет затрат на разработку проекта.



Введение На сегодняшний день, одной из сторон научно - технической революции является быстрое развитие компьютерных технологий. Это привело к значительно

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ