Захист інформації в операційних системах

 

♦ Організація входу користувачів у систему

♦ Керування доступом користувачів до даних у UNIX і Windows XP

♦ Аудит подій у системі

♦ Безпека даних на локальному комп'ютері та у мережі

♦ Засоби захисту від атак на систему

 

У цьому розділі йтиметься про особливості розв'язання головних завдань забез­печення безпеки комп'ютерних систем.

 

Основні завдання забезпечення безпеки

Забезпечення безпеки комп'ютерних систем вимагає виконання комплексу завдань, найважливішими серед яких є виконання процедур аутентифікації, авторизації та аудиту, дотримання конфіденційності, доступності та цілісності даних [51].

 

Аутентифікація

Аутентифікація (authentication) [34] - це процес, за допомогою якого одна сто­рона (система) засвідчує, що інша сторона (користувач) є тим, за кого себе видає. Під час аутентифікації потрібне свідчення (credentials), що найчастіше склада­ється з інформації, відомої обом сторонам (наприклад, ним може бути пароль). Користувач, що пред'явив коректне свідчення, дістає позитивну відповідь на ви­могу аутентифікації.

 

Авторизація

Після того як аутентифікація відбулась успішно, користувач починає працювати із системою. Тепер йому може знадобитися доступ до різних ресурсів. Авториза­ція (authorization), або керування доступом (access control) — це процес, за допо­могою якого перевіряють, чи має право користувач після успішної аутентифікації отримати доступ до запитаних ним ресурсів.

Авторизацію здійснюють порівнянням інформації про користувача з інформа­цією про права доступу, пов'язаною із ресурсом. Зазвичай вона містить тип дії та відомості про користувачів, яким дозволено цю дію виконувати. Якщо користувач має право на запитану дію із цим ресурсом, йому надають можливість її виконати.

 

Аудит

Під аудитом (auditing) розуміють збирання інформації про різні події у системі важливі для її безпеки, і збереження цієї інформації у формі, придатній для по­дальшого аналізу. Подіями можуть бути успішні та безуспішні спроби аутентифіка­ції у системі, спроби отримати доступ до об'єктів тощо. Інформацію звичайно збе­рігають у спеціальному системному журналі (system Iog). У деяких системах цей журнал має вигляд текстового файла, інші підтримують його спеціальний формат.

 

Конфіденційність, цілісність і доступність даних

Основним компонентом політики безпеки комп'ютерних систем є дотримання найважливіших характеристик даних.

Конфіденційність (data confidentiality) - можливість приховання даних від стороннього доступу. її зазвичай забезпечують криптографічним захистом даних за допомогою їхнього шифрування.

Цілісність (data integrity) - спроможність захистити дані від вилучення або зміни (випадкової чи навмисної). Технології підтримки цілісності даних також пов'язані із криптографічними методами, вони включають цифрові підписи і ко­ди аутентифікації повідомлень.

Доступність (data availability) - гарантія того, що легітимний користувач пі­сля аутентифікації зможе отримати доступ до запитаного ресурсу, якщо він має на це право. Порушення доступності даних називають відмовою від обслуговуван­ня (denial of service), однієї із цілей політики безпеки є запобігання випадковому або навмисному доведенню системи до такої відмови.

Про ці завдання докладніше йтиметься далі.

 

Базові поняття криптографії

Припустимо, що одна особа збирається відіслати іншій особі повідомлення і хоче бути впевненою в тому, що ніхто інший не зможе його прочитати навіть тоді, ко­ли воно буде перехоплене.

У криптографії повідомлення називають вихідним текстом (plaintext), зміну вмісту повідомлення так, що воно стає недоступним для сторонніх, - шифруванням (encryption), зашифроване повідомлення - шифрованим текстом (ciphertext), а процес отримання вихідного тексту із шифрованого - дешифруванням (decryption).