Средства защиты от несанкционированного доступа

Комплекс средств защиты (КСЗ) от несанкционированного доступа обеспечивает соответствие уровню безопасности ВЗ со­гласно критериям «Оранжевой книги» (или 4-му классу защи­щенности согласно «Руководящим документам» Гостехкомиссии России) и включает дискреционный и мандатный контроль до­ступа, механизмы идентификации и аутентификации, средства регистрации и учета.

В основе реализации КСЗ лежат следующие архитектурные особенности USIХ:

• защита различных процессов от взаимного влияния за счет ме­ханизма виртуальной памяти;

• обеспечение механизма управления доступом;

• разделение системных функций в USIХ по уровням привилеги­рованности.

Поскольку пользователь не имеет непосредственного доступа к системным задачам и функциям, выполняемым в режиме сис­темы в адресном пространстве ядра USIХ (см. рис. 4.3), обработ­ка всех системных вызовов осуществляется ядром USIХ на сис­темном уровне. Таким образом, все сообщения пользователя к объектам системы (файл, регион, задача, устройство и т.д.) всегда вызывают монитор доступа, который является компонентом яд­ра USIХ (рис. 4.6).

 

 

                        Рис. 4.6. Схема механизма управления доступом

Монитор доступа непосредственно контролирует допусти­мость действий над объектами, проверяет санкционированность каждого обращения пользователя к объектам, исключая возмож­ность обхода себя. Этим достигается полнота КСЗ.

Реализация монитора доступа как программного компонента ядра USIХ обеспечивает защиту от отслеживания его работы, т.е. изолированность монитора.

Модель защиты USIХ обеспечивает контроль на всех этапах обработки данных в системе, что основывается на следующих по­ложениях:

 • USIХ работает только с идентифицированными

• все объекты в системе имеют владельца, входят в какую-либо группу и имеют атрибуты защиты, а также могут иметь список управления доступом и классификационную метку;

• субъект может получить доступ к объекту только в том случае, если доступ будет разрешен всеми уровнями защиты одновре­менно;

• администратор системы может анализировать работу пользова­телей в системе посредством подсистемы регистрации событий;

• субъект не может получить доступ к остаточной информации при первоначальном назначении или при перераспределении оперативной памяти и внешней памяти.

Данная модель препятствует следующим видам нарушений:

• действиям незарегистрированного пользователя;

• действиям над объектом, выходящим за рамки полномочий субъекта;

• действиям нарушителя от имени легального пользователя.

Идентификация и аутентификация пользователя. Каждый пользователь, прежде чем ему будет разрешено работать в ОС USIX, должен идентифицировать себя — зарегистрироваться в системе, указав свое регистрационное имя, назначенное ему ад­министратором КСЗ. Система после этого проводит идентифи­кацию — проверку подлинности имени пользователя.

Основным средством проверки подлинности в ОС USIX яв­ляется пароль. Пароль, вводимый пользователем, сравнивается с паролем, ранее выбранным пользователем; в случае совпадения подлинность пользователя считается доказанной. Пароль выби­рается самим пользователем при первом входе в систему.

Работа с файлами. Набор файлов, к которым пользователю разрешен доступ в системе USIX, оснащенной КСЗ, определяет­ся администратором. Как правило, в него входят файлы, владель­цем которых является пользователь, и файлы, принадлежащие той группе пользователей, в которую входит данный пользова­тель. Также обычно разрешен доступ к файлам и каталогам, кото­рые обеспечивают системный сервис или являются общими для использования (например, каталоги /tmp, /var/tmp открыты для записи и чтения всем пользователям).

Однако, если организация работы ОС USIX предполагает, что в общие каталоги будут помещаться файлы, не предназначенные для всех пользователей, администратор может объявить такие ка талоги многоуровневыми, тем самым ограничивая доступ к фай­лам из этих каталогов пользователям, не обладающим необходи­мыми правами.

Пользователь может управлять дискреционным методом до­ступа к файлам, владельцем которых он является. Иными слова­ми, используя утилиты setacl и getacl, пользователь может объя­вить дополнительных пользователей и/или дополнительные группы пользователей, которым будет разрешен доступ к этим файлам (вид доступа (чтение, запись, выполнение) также регла­ментируется пользователем — владельцем файла).

Однако дополнительные пользователи и дополнительные группы пользователей в этом случае получат доступ к файлу толь­ко тогда, когда эти установки не будут противоречить требовани­ям мандатного принципа контроля доступа к объектам. Иначе го­воря, если мандатный принцип контроля доступа запрещает чи­тать/изменять файл, принадлежащий данному пользователю или кому-либо из дополнительных пользователей, то никакие добав­ления, вносимые владельцем файла в список пользователей, не разрешат доступ к нему новым пользователям. Это происходит потому, что мандатный принцип контроля доступа осуществляет­ся не пользователем, а КСЗ, и пользователь не может изменить права доступа даже для файла, владельцем которого он является.

Если возникает необходимость изменить метку конфиденци­альности файла (на которой и основывается работа мандатного принципа контроля доступа), пользователь должен обратиться к администратору КСЗ.

Работа пользователя с внешними устройствами. В случае воз­никновения необходимости вывода информации на устройство печати или сохранения файла пользователя на гибком диске пользователь должен убедиться, что ему разрешен доступ к дан­ному устройству (принтеру, дисководу), и лишь после этого вы­полнить соответствующую команду.

Как правило, администратор КСЗ уведомляет пользователя о ресурсах системы, доступных для него. Если пользователь хочет получить доступ к устройству, которое ему недоступно, он дол­жен обращаться к администратору КСЗ.

Завершение работы. Важной обязанностью пользователя, рабо­тающего на ОС USIX, оснащенной КСЗ, является защита своего рабочего места (терминала) от несанкционированного использования. Это означает, что пользователь должен прервать сеанс рабо­ты, если он покидает рабочее место или оставляет его без присмо­тра. Завершение сеанса работы осуществляется командой ехit.

⇐ Предыдущая21222324252627282930

Поделиться: