Защита от несанкционированного доступа. Классы операционных систем по отношению к степени защиты.

Программное обеспечение по степени защиты делится на следующие классы:

Класс D – защита отсутствует и пользователь имеет неограниченный доступ ко всем ресурсам (MS-DOS).

Класс C – наиболее популярный подкласс C2, общая характеристика:

Доступ с паролем и с именем. При работе с БД класса С пользователь, получив доступ к какой-нибудь таблице, получает доступ и ко всем имеющимся в ней данным. К этому классу относится большинство ОС. Например, UNIX, WINDOWS NT, 3.5, 2000 и др. Они сертифицированы C2.

Рассмотрим основные требования данного класса:

1-Владелец ресурсов должен иметь возможность контроля доступа к нему.

2-ОС должна защищать находящиеся в памяти и принадлежащей одному процессу данные от случайного использования их другими процессами. Например, WINDOWS NT Server защищает участок памяти так, что его содержимое не может быть прочитано даже после того, как процесс освободил его, а при удалении файла с диска запрещен доступ к его данным, даже если пространство удаленного файла выделено новому файлу.

3-Система должна иметь возможность уникальным образом идентифицировать каждого пользователя с целью отслеживания всей его деятельности.

4-Администраторы должны иметь возможность аудита всех событий связанных с защитой, но такими правами должен обладать ограниченный круг администраторов.

5-Система должна защищать себя от несанкционированной модификации работающей системы.

Дополнительные уточняющие требования:

1-Возможность контроля администратором, затем какие и кем используются ресурсы.

2-Возможность включение пользователей в группы и возможность установки времени работы и др.

3-Возможность аудита таких событий, как попытка регистрации, попытка получения доступа к файлам, принтерам и другим устройствам.

4-Блокировка учётных записей при неверной регистрации.

5-Установление срока жизни и правил использования паролей.

Необходимо отметить, что стандарты защиты при удаленном доступе еще не определены, реально это решает администратор. К этим вопросам относят: дозвон, сетевая маршрутизация, фильтрация сетевых потоков или сервисов, сетевая регистрация или аутентификация, передача файлов, электронная почта, связь с INTERNET и др.

Ключевыми элементами подсистемы защиты WINDOWS NT являются:

Распредитель локальной безопасности LSA (Local Security Authority).

Обязанности:

1-Предоставление пользователям доступа в систему.

2-Создание маркеров доступов в процессе регистрации.

3-Управление интерактивным процессом аутентификации пользователя.

4-Управление локальной политики защиты.

5-Контроль политики аудита.

6-Запись сообщений аудита, посылаемых справочным мониторам защиты в журнал защиты.

Менеджер защиты учетных записей SAAM (Security Account Authority Manager). Он работает с БД защиты учетных записей и в сети может быть несколько таких БД.

Справочный монитор защиты SRM (Security Reference Monitor). Он нужен для усиления политики авторизации доступа и аудита и обеспечивает защиту объектов или ресурсов от несанкционированного доступа или модификации.

Класс B – БД этого класса позволяет использовать дифференцированный доступ к данным для различных пользователей даже внутри одной таблицы. Улучшенный с точки зрения безопасности стандартные ОС производят многие фирмы. Например:

DEC,

Hewlett-Packard,

Santa Cruz Operation, Sun.

Класс A – наиболее защищенные ОС рекомендуется только при построении сетевой защиты от внешнего мира. Создают брандмауэры. Вероятность несанкционированного входа в систему возрастает при её перегрузках. Например, при перегрузке ОС в результате массового подключения к ней пользователей. Хакеры иногда создают сходные ситуации, направляя поток сообщений, который ОС не в состоянии корректно обработать, в результате создается открытый канал для доступа. От администраторов при этом требуется следующее:

1-Своевременное обновление программного обеспечения. Как правило, при выпуске новых версий становится общедоступная информация об ошибках предыдущей, в том числе и система защиты.

2-Соблюдение всех правил конфигурирования программного обеспечения.

3-Проведение административных мероприятий.

Защита данных от перехвата:

ФАПСИ разделяет коммуникации на три канала:

1 Класс – локальные сети, расположенные в «зоне безопасности». «Зона безопасности» (территории с ограниченным доступом и экранированным оборудованием и линиями).

2 Класс – каналы вне «зоны безопасности» защищенные организационно механическими мерами. Например, оптоволоконный кабель, в нем перехват затруднен.

3 Класс – незащищенные каналы связи общего пользования.

Брандмауэры – каждый брандмауэр имеет собственную философию защиты. Общим является то, что они делят окружающий мир на два лагеря:

· Внутренний (доверенный пользователям).

· Внешний (всех остальных).

69. Логическая организация файловой системы.

Выделяют две основные модели (обе иерархические):

1-Модель дерево (MS-DOS).

2-Модель сеть (UNIX).

 

Пользователь работает на уровне логических записей.

 

Логическая запись – это наименьший элемент данных, который доступен пользователю для выполнения различных операций.