Каталог Рефератов - Разработка предложения по защите информации от несанкционированного доступа в сетях ЭВМ объединения ВВС и ПВО

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Разработка предложения по защите информации от несанкционированного доступа в сетях ЭВМ объединения ВВС и ПВО

ает пользователю учебную базу в виде богатой документации и исходных текстов всех компонент, включая ядро самой ОС;

поддержка протокола TCP\IP и загрузку в память только нужных (используемых) страниц.

ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ:

Требование-1. Данная ОС не сертифицирована для использования в военных организациях;

Требование-2,3.Т. к. является ОС семейства Unix, то вопросы идентификации, аутентификации и авторизации пользователя, безопасности информации и разграничения доступа аналогичны Unix. Поэтому чтобы защитить файлы каждого пользователя от других пользователей в Unix-подобных системах поддерживается механизм, известный, как система прав доступа к файлам. Он позволяет каждому файлу приписывать конкретного владельца [17, 18].

Linux позволяет также совместно использовать файлы нескольким пользователям и группами пользователей, но при необходимости доступ к файлам можно закрыть сразу всем. Однако в большинстве систем по умолчанию другим пользователям разрешается читать чужие файлы, но запрещается изменять или удалять. Важная особенность в том, что в файловой системе все считается файлом (и принтер, и клавиатура, и монитор являются файлами).

Все пользователи в Linux подразделяются:

суперпользователь с неограниченными правами;

обычный пользователь - имеет права с ограничениями, установленными суперпользователем;

специальный пользователь - имеет дополнительные права для работы с конкретным приложением;

псевдопользователь - удаленный пользователь, подключившийся через программу-демон. Не имеет никаких прав, не идентифицируется системой. Его действия определяются возможностями программ-демонов;

владелец - пользователь создавший файл или каталог. Он имеет полный доступ к созданным им объектам, если он сам или суперпользователь не установит ограничения.

Каждый файл имеет конкретного владельца. Но, кроме того, файлами, также владеют конкретные группы пользователей, которые определяются при регистрации пользователей в системе. Каждый пользователь становится членом как минимум одной группы пользователей. Системный администратор может предоставлять пользователю доступ более чем к одной группе. Группы обычно определяются типами пользователей данной машины. Есть также несколько системно-зависимых групп (вроде bin и admin), которые используются самой системой для управления доступом к ресурсам. Очень редко обычный пользователь принадлежит к этим группам.

Права доступа подразделяются на три типа: чтение (r), запись (w) и выполнение (x). Эти типы прав доступа могут быть предоставлены трем классам пользователей: владельцу файла, группе, в которую входит владелец, и всем остальным пользователям. Для просмотра этих прав существуют специальные команды. Каждый файл содержит код защиты, который присваивается файлу при его создании. Код защиты располагается в индексном дескрипторе файла и содержит десять символов, которые определяют право на доступ к нему.

Вот несколько примеров кодов защиты:

rw-r--r--

В строке - rw-r--r - по порядку указаны права владельца, группы и всех прочих. Первый символ прав доступа "-" представляет тип файла. Символ "-" означает, что это обычный файл. Следующие три позиции rw - представляют права доступа, которые имеет владелец файла. Таким образом, владелец может читать файл и писать в него, но не может его выполнять.

Кроме того, он может дать сам себе разрешение на выполнение этого файла, если захочет. Следующие три символа r - представляют права доступа группы для этого файла. Любой пользователь этой группы может только читать файл. Последние три символа представляют ту же комбинацию r--, то есть для всех прочих доступно чтение этого файла и запрещены запись и выполнение.

rwxr-xr-x

Владелец файла может читать, писать и выполнять файл. Члены группы и все прочие пользователи могут читать и выполнять файл.

rw----- -

Владелец файла может читать и писать в файл. Всем остальным доступ к файлу закрыт.

rwxrwxrwx

Все могут читать писать и выполнять файл.

Важно заметить, что права доступа, которые имеет файл зависят также от прав доступа к каталогу, в котором этот файл находится. Например, даже если файл имеет - rwxrwxrwx, другие пользователи не смогут до него добраться, если у них не будет прав на чтение и выполнение каталога, в котором находится файл. Поэтому пользователю не надо заботиться об индивидуальной защите своих файлов, т.к чтобы получить доступ к файлу, злоумышленник должен иметь доступ ко всем каталогам, лежащим на пути к этому файлу, а также разрешение на доступ собственно к этому файлу.

Обычно пользователи UNIX-подобных систем весьма открыты всеми своими файлами, т.к почти всегда файлам устанавливается защита - rw-r--r--, а каталогам устанавливаются права доступа drwxr-xr-x, что позволяет другим пользователям ходить с правами экскурсантов по этим каталогам, но ничего в них не менять и не записывать. Для установления и изменения прав доступа к каталогам и файлам существуют специальные команды.

Кроме того, в ОС Linux существует понятие жестких и символических связей (возможность одному файлу задавать сразу несколько имен). Если меняется что-то в одном файле, то эти же изменения произойдут и в другом. Так же они дают возможность создавать ложные ссылки на несуществующие файлы, что может ввести злоумышленника в заблуждение;

Требование-4. В О.С. Linux применяется так же и шифрование данных. В частности пароли хранятся в системе в зашифрованном виде. Существуют специальные программы, позволяющие прятать зашифрованные данные в файлах картинок и звуков где в байте используются не все биты. Это ограничивает возможности у злоумышленника возможности по анализу важной информации на компьютере.

Требование-5. Принципы защиты от несанкционированного воздействия ПО и драйверов, а так же возможности контроля целостности программного и информационного обеспечения, файловой системы аналогичны принципам, реализованным в ОС UNIX. Существует ряд команд для проверки файловой системы на наличие поврежденных и испорченных файлов;

Требование-6. Элементарная защита от злоумышленных действий пользователей заключается в том, что обычные пользователи в общем случае ограничены и не могут причинить вред кому-либо другому в системе (включая саму систему), кроме самих себя. Права доступа к файлам в системе организованы таким образом, что простой пользователь не может удалить или изменить файл в каталогах, которые все пользователи используют совместно. Однако это не относится к суперпользователю. Поэтому неопытный пользователь, обладая правами суперпользователя способен полностью вывести систему из строя. Это является серьезным недостатком в системе разграничений прав доступа. В общем же случае Linux обладает теми же средствами защиты от злоумышленных действий пользователей, что и ОС UNIX;

Требование-7. Возможности учета, регистрации, отображения и документирования фактов атак аналогичны возможностям ОС UNIX;

Требование-8. Возможность блокировки процесса или пользователя совершающего НСД не реализована.

ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ:

Требование-9. Встроенные средства удаления остаточной информации отсутствуют, что увеличивает вероятность НСД;

Требование-10. Возможность ограничения числа попыток входа в систему отсутствует;

Требование-11. В Linux, так же как и в UNIX реализована дискреционная модель доступа. И реализована она не в полном объёме, т.к нельзя разграничивать права доступа для суперпользователя;

Требование-12. Эргономические требования аналогичны ОС UNIX. Но существует целый ряд графических интерпретаторов облегчающих графический интерфейс системы (например KDE, XWindow).

Таким образом, в Linux явно просматриваются общие черты с Unix - подобными ОС, но в свою очередь существуют и отличия. В итоге использование данной ОС как защищенной от НСД является вполне возможным.

2.3.4 ОС МСВС 3.0
ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ:

Требование-1. ОС МСВС 3.0 так же относится к Unix - подобным и обладает развитыми средствами управления доступом пользователей к ресурсам ОС. Это единственная ОС сертифицированная у нас для использования в военных организациях. Этому значительно способствовала открытость исходного кода что исключает встроенные жучки и возможность доработки О.С. под определенные задачи. Другими словами, это "рабочий стол", то есть совокупность программ, технологий и документации, облегчающая пользователю работу в ОС и управление ресурсами своего компьютера. Для этого существуют следующие средства: набор взаимосвязанных приложений, различные операции графического интерфейса, многократное использование компонент, возможность просмотра результатов работы программы и многое другое. Эта среда основана на среде рабочего стола MacOS или Window95/NT.

KDE - это рабочая среда для всех видов Unix, включающая файл-менеджер, менеджер окон, систему справки, систему настройки, бесчисленное количество утилит, инструментов и все возрастающее число приложений, включая, но не ограничиваясь клиентами email и новостей, графическими программами, просмотрщиками файлов в форматах postscript, dvi и т.д.

KDE может поддерживать несколько различных рабочих столов со своими окнами, между которыми можно переключаться, это увеличивает и оптимизирует рабочее пространство. Возможна так же работа с командной строкой, изменение прав доступа к файлу, редактирование списка автозапуска программ при входе в KDE [20].

Когда завершается сеанс, KDE запоминает, какие приложения были открыты, а также расположение окон, так что в следующий раз при открытии сеанса все будет загружено (это свойство называется управлением сеансами). Приспособленные к KDE приложения восстанавливают свое состояние в соответствии с тем, которое было при завершении последнего сеанса работы.

ОС МСВС 3.0 обладает широкими возможностями поиска файлов на компьютере. Возможен поиск файла по известным фрагментам его имени, а так же поиск по более сложным критериям (дата изменения, тип файла, содержание текста, размер текста);

Требование-2,3. Так как МСВС 3.0 относится к Unix-подобным, то и вопросы идентификации, аутентификации и авторизации пользователя при входе в систему, а так же возможности по созданию учетных записей пользователей, рабочих групп с разными правами доступа и наделению конкретных пользователей привилегиями, аналогичны рассмотренным ранее в Unix и Linux.

Для настройки средств защиты информации от НСД в МСВС 3.0 применяются специальные утилиты. Для регистрации пользователей в ОС используется программа useradmin. Она позволяет управлять пользователями и группами. При добавлении нового пользователя определяются его привилегии, категории и уровни объектов, к работе с которыми он будет допущен. Особенностью является возможность включения пользователя как в группы к которым он принадлежит, так и к которым он не принадлежит, что позволяет более жестко ограничивать пользователей правами доступа. А при создании пользователя администратор может определять привилегии, категории и уровни объектов, к работе с которыми будет допущен этот пользователь. Для конфигурирования всех параметров базовой сетевой конфигурации используется программа netadmin. Так же для управления мандатным механизмом применяется программа macadmin, а для управления файлами используется программа Fileadmin

МСВС 3.0 поддерживает различные типы файловых систем включая файловые системы ОС семейства Windows (FAT, NTFS);

Требование-4. Возможности по криптографической защите данных аналогичны возможностям свойственным ОС Unix и Linux;

Требование-5. Построение средств защиты от НСД в ОС МСВС 3.0 базируется на требованиях ГТК и МО РФ. В СЗИ ОС МСВС 3.0 предлагается три эшелона защиты:

со стороны сети: грамотный подбор программ сетевых служб, входящих в дистрибутив (наименее подверженных сетевых атакам), защита от сканирования;

со стороны локального пользователя: надежная идентификация, аутентификация и надежное разграничение доступа;

контроль целостности файловой системы и соответственно всей системы в целом.

Система защиты информации от НСД в ОС МСВС 3.0 представляет собой комплексную систему, включающую средства защиты и утилиты настройки средств защиты информации к которым относятся подгружаемые аутентификационные модули (ПАМ), фильтр пакетов, система контроля целостности и система защиты от сканирования портов. ПАМ имеет возможность сильно изменять защиту системы. Можно либо не иметь никакой защиты либо ставить абсолютную защиту.

Для контроля целостности в ОС создается база данных по файлам, в которой хранятся такие атрибуты как: размер, время создания, владелец, группа, права и т.д. Эти атрибуты должны оставаться неизменными в процессе нормальной жизнедеятельности системы, а любое изменение одного из них является сигналом опасности. А возможность подмены нарушителем программы или внедрения в систему "троянского коня" всегда существует.

Обычно чтобы судить о безопасности данных информации о файле недостаточно, злоумышленник может подделать и размер, и права, и владельца, и время создания файла. Поэтому существует еще дополнительная сигнатура - результат применения какой-нибудь односторонней функции к содержимому файла. Сигнатур может быть несколько. Специальная программа (aide. conf) периодически проверяет соответствие данных базы с данными реальной файловой системы и в случае обнаружения несоответствия администратору выдается предупреждение. Основной конфигурационный файл этой программы находиться в корневом каталоге. В файле можно указать множество параметров, но для начала достаточно только тех, которые указывают какие файлы добавлять в базу и какие атрибуты сохранять при этом. Он содержит набор строк, каждая из которых есть имя файла и далее через пробел его атрибуты и сигнатуры. База защищается системой разграничения доступа. Указываются координаты входной и выходной баз данных. Баз две, потому, что вновь создаваемая не совпадает с рабочей. Это еще один элемент защиты. Нарушитель не сможет заменить рабочую базу на фальшивую. Более того, базы могут располагаться на каком-нибудь центральном сервере;

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.