Стальнов А.Ф., Фомин А.И. Операционные системы. Учебное пособие

Подождите немного. Документ загружается.

251

которым разрешено обращение к файлу. Это ограничение совершенно не

определяет действий с файлом, которые может производить пользователь.

По отношению к каждому файлу ограничения на доступ делят всех поль-

зователей на две группы:

1) пользователи, которым доступен i-файл (множество П

);

2) пользователи, которым i-файл не доступен (множество П

НД

Если множество П

НД

оказывается пустым (П

НД

= ∅), то i-й файл не

имеет ограничений на доступ и защищать его не имеет смысла. Множест-

во П

не может быть пустым, так как не имеет смысла хранить файлы, к

которым не допущен ни один пользователь (при условии, что операцион-

ная система рассматривается как своеобразный пользователь).

Ограничения на полномочия определяют множество операций над

файлом, разрешенных пользователю, имеющему доступ к файлу. Ограни-

чения этого вида определены только для пользователей,

удовлетворяющих

ограничению по доступу.

Обращение пользователя к файлу считается санкционированным, если

файл доступен данному пользователю и задаваемая пользователем опера-

ция соответствует его полномочиям. В противном случае обращение счи-

тается несанкционированным и запрещается.

Запись, содержащая ограничения на доступ к файлу и на полномочия

по операциям с ним, называется ордером защиты. В общем

случае ордер

защиты состоит из кода доступности и кода полномочий, однако один из

этих кодов может отсутствовать. Способы защиты данных во многом за-

висят от принятого способа задания доступности и полномочий.

1.2.1. Задание доступности и полномочий

Для определения доступности файла могут применяться различные ме-

тоды. Практическую реализацию нашли методы

с использованием специ-

альных паролей, матрицы управления доступом и шифрования.

Метод паролей состоит в том, что в каждый ордер, связанный с защи-

щаемым файлом, на место кода доступности записывается некоторый чи-

словой, буквенный или буквенно-цифровой пароль. При обращении к

файлу пользователь должен указать свой пароль. Файл считается доступ-

ным пользователю

, если указанный им пароль совпадает с паролем ордера

защиты.

Метод с использованием матрицы управления доступом заключается в

том, что ордер защиты не имеет кода доступности. Но права доступа за-

даются для каждого пользователя по отношению ко всем файлам с помо-

щью матрицы доступа, строки которой задают имена пользователей, а

столбцы –

имена файлов. При этом файл j считается доступным i-му поль-

зователю, если элемент матрицы Ф

ненулевой, если Ф

= 0, то j-й файл не

доступен i-му пользователю.

252

Метод шифрования состоит в зашифровке данных файлов. Все пользо-

ватели имеют доступ к файлам, но только часть пользователей знает спо-

соб расшифровки данных. Дешифрование (при чтении) файла выполняет-

ся с помощью специального кодового ключа, которым обладает только

пользователь, работающий с данным файлом.

Существующие методы задания полномочий различаются множеством

разрешенных операций, для

которых задаются эти полномочия. По суще-

ству задание полномочий сводится к кодированию прав пользователей на

выполнение отдельных операций. Это кодирование производится с помо-

щью двоичных переменных.

Если право пользователя на i-ую операцию обозначить P

, то полномо-

чия пользователя по отношению к множеству из K операций можно задать

вектором P = (P

, P

, …, P

). Значения компонентов этого вектора опреде-

ляются следующим образом:

⎩

⎨

⎧

случае противном в - 0

разрешена; файлом над операция я-i если ,1

В качестве разрешенных операций могут быть: чтение файла, загрузка

файла для выполнения в качестве программы, запись в файл, уничтожение

файла и т.п. Например, в ОС ЕС все множество разрешенных операций

состоит из двух операций: записи и чтения.

Таким образом, все файлы доступны всем пользователям. Их либо не

защищают

вообще, если полномочия пользователей по отношению к ним

не ограничены, либо они имеют по одному ордеру, содержащему вектор

полномочий, одинаковый для всех пользователей. Например, трансляторы

должны быть защищены от записи со стороны всех пользователей.

Индивидуальные файлы используются только одним пользователем

либо группой пользователей, имеющих одинаковые полномочия. Индиви-

дуальные файлы имеют по

одному ордеру на каждый файл. Этот ордер

включает как код доступности, так и код полномочий.

Групповые файлы используются несколькими пользователями с раз-

личными полномочиями. Каждый групповой файл имеет столько ордеров,

сколько различных по полномочиям обращений он допускает. Эти ордера

различаются как кодами доступности, так и кодами полномочий. Наличие

ордеров с

различными кодами доступности, но с одинаковыми кодами

полномочий допустимо, но нецелесообразно. Ордера с одинаковым кодом

доступности, но с различными кодами полномочий недопустимы, так как

это порождает неопределенность процедур защиты.

253

1.2.2. Реализация защиты

Реализация защиты от несанкционированного обращения производится

с помощью специального модуля файловой системы, обращение к кото-

рому происходит при открытии файла, нуждающегося в защите.

Файлы, требующие защиты, помечаются специальным признаком, на-

зываемым признаком защиты, который указывает на необходимость об-

ращения к модулю защиты. Этот признак размещается в справочнике фай-

лов. Кроме того, признак защиты J

дублируется в метке файла. Дублиро-

вание J

в метке файла при наличии его в справочнике файлов использует-

ся для обращения к модулю защиты, если обращение к файлу производит-

ся минуя справочник. Ордера защиты либо располагаются в справочнике

файлов, либо организуются в виде специального файла ордеров.

С целью сокращения затрат времени на выполнение процедур защиты

контроль доступности и

контроль полномочий выполняются на разных

этапах.

Проверка доступности файла осуществляется один раз при обращении

к справочнику файлов для поиска на этапе его открытия. При обнаруже-

нии в элементе справочника признака защиты осуществляется обращение

по признаку защиты (рис.5.4).

Если произошло обращение к модулю защиты, а признак защиты не ра-

вен единице, то

это свидетельствует об ошибке в системных программах.

Информация об этой ошибке должна быть немедленно выдана оператору

ЭВМ.

Начало

= 1

Выдача

ошибки

оператору

Процедура

проверки

доступа

Доступен

файл?

Определение

полномочий

Размещение

обращения

Подготовка

данных

о запрете

Конец

Да

Нет Да

Нет

Рис.5.4. Алгоритм защиты

254

При правильном обращении производится проверка доступности файла

с использованием ордеров защиты (символ 3 и 4). Для доступных файлов

осуществляется выборка векторы полномочий (символ 5). Однако провер-

ка полномочий на этом этапе не производится, так как еще не известно,

какие операции будут выполняться над файлом. Проверка полномочий

осуществляется при появлении требования на действия с файлом

, когда

будет задан вид операции.

После выборки полномочий операционная система санкционирует об-

ращение к файлу (символ 6). При этом модулем защиты выполняются не-

которые дополнительные действия. К таким действиям относятся: уста-

новка признака положительного завершения процедуры защиты для по-

следующего контроля по признаку в метке файла; подсчет количества об-

ращений к

файлу и выдача пользователю даты последнего обращения к

файлу для дополнительного контроля.

В случае установления недоступности файла формируется информация

о попытке несанкционированного обращения к файлу (символ 7) и произ-

водится выход для последующего снятия задания.

В рассмотренном алгоритме защиты (рис. 5.4) символ 3 соответствует

процедуре проверки доступности файла. Реализация этой процедуры с ис-

пользованием

различных методов имеет ряд особенностей.

Ордера защиты сами могут иметь дополнительную защиту. Защита ор-

деров осуществляется специальным кодом, хранящимся вместе с ордером.

Эта защита делается для того, чтобы исключить возможность обращения

другими программами к ордерам, кроме модуля защиты.

При реализации защиты по методу паролей ордера защиты, относящие-

ся к одному

файлу, объединяются в список. Этот список размещается в

соответствующем элементе справочника файлов. Признаком того, что не-

который элемент содержит список, является условие J

= 1.

Проверка доступности файла сводится к следующим действиям:

1) Переход на начало списка ордеров.

2) Последовательное сравнение пароля, заданного пользователем, с па-

ролями ордеров защиты.

При совпадении паролей доступность файла считается установленной,

выбирается вектор полномочий и контроль прекращается. Если список ор-

деров исчерпан, а совпадение паролей не произошло, то обращение счита-

ется

некорректным. В этом случае пользователь может повторить пароль.

Если и повторно пароль не совпадает с ордером, то фиксируется попытка

несанкционированного обращения к файлу.

Этот метод обеспечивает наиболее простую процедуру контроля дос-

тупности файлов. Его недостатком является хранение пароля у пользова-

теля и необходимость обмена им с операционной системой при каждом

обращении

к файлу, что способствует разглашению паролей. Кроме того,

пользователю, имеющему доступ к нескольким файлам, необходимо хра-

нить много паролей.

255

Особенность реализации метода с использованием матрицы управления

доступом состоит в том, чтобы установить связи пользователя с файлами.

В методе паролей эта связь устанавливается с помощью кода доступно-

сти. Здесь этот код не используется, а ордера защиты содержат только ко-

ды полномочий.

Ордера защиты при реализации этого метода объединяются в матрицу

полномочий

, которая может одновременно использоваться и для управле-

ния доступом (рис. 5.5).

Шифр

пользо-

вателя

Код режима файла

Рис. 5.5. Матрица полномочий

В этом случае нет необходимости иметь отдельную матрицу управле-

ния доступом, поскольку недоступность файла может кодироваться нуле-

выми значениями компонентов вектора полномочий.

Строка такой матрицы задает коды полномочий пользователя на мно-

жестве всех файлов (ордер пользователя). Столбец – коды полномочий

всех пользователей по отношению к одному файлу.

Полномочия одного

пользователя по отношению к одному файлу задаются вектором полномо-

чий (P

), определенным на множестве допустимых операций с файлом.

Для сокращения объема матрицы полномочий и времени поиска в ней

все файлы в зависимости от их доступности разбиваются на группы. Каж-

дой группе присваивается определенный код режима (R

). Тогда матрица

будет определять полномочия пользователей по отношению не к каждому

файлу, а к группам файлов, заданным кодами режима.

При реализации этого метода ордера защиты удобнее связывать не с

файлами, а с пользователями. Для этого имя или шифр пользователя

снабжается ссылкой на ордер пользователя. При допуске пользователя к

работе с

ЭВМ выбирается ссылка, которая является первым входом в мат-

рицу полномочий.

256

Элементы справочника файлов, нуждающихся в защите, также снаб-

жаются признаком защиты. Однако вместо ссылки на ордер они имеют

только код режима, который является вторым входом в матрицу полномо-

чий.

Проверка доступности файла производится следующим образом:

1. При обнаружении J

= 1 выбирается код режима файла (R*).

2. По ссылке выбирается ордер пользователя.

3. В ордере пользователя отыскивается вектор полномочий, соответст-

вующий режиму R*.

4. Вектор полномочий сравнивается с нулем.

При совпадении этого вектора с нулем обращение считается коррект-

ным.

Защита с помощью матрицы полномочий не связана с обменом паро-

лями, что повышает надежность защиты. Однако

этот метод требует

сложной процедуры установления полномочий при образовании новых

файлов и при допуске к машине новых пользователей. Этот метод может

найти широкое применение в информационно-вычислительных системах

(ИВС), где существует строгая иерархия пользователей и определены их

полномочия к имеющимся в ИВС файлам.

Возможности файловой системы NTFS по ограничению доступа к

файлам и каталогам

Благодаря наличию механизма расширенных атрибутов, в NTFS имен-

но с их помощью реализованы ограничения в доступе к файлам и катало-

гам. Эти дополнительные атрибуты, использованные для ограничения в

доступе к файловым объектам, назвали атрибутами безопасности. При ка-

ждом обращении к такому объекту сравнивается специальный список прав

доступа, приписанный ему, со специальным

системным идентификатором,

несущим информацию о том, от имени кого осуществляется текущий за-

прос к файлу или каталогу. Если имеется в списке необходимое разреше-

ние, то действие выполняется, в противном случае система сообщает об

отказе.

Файловая система NTFS имеет следующие разрешения, которые могут

быть приписаны любому файлу и/или каталогу, и которые называются

ин-

дивидуальными разрешениями. Это разрешения

Read (прочитать), Write

(записать),

eXecute (выполнить), Delete (удалить), Change Permissions

(изменить разрешения), и

Take Ownership (стать владельцем). Соответст-

вующие этим разрешениям действия можно выполнять, только если для

данного пользователя или для группы (к которой он принадлежит) имеет-

ся одноименное разрешение. Комбинации этих индивидуальных разреше-

ний и определяют те действия, которые могут быть выполнены с файлом

или каталогом (табл. 5.1).

257

Таблица 5.1

Соответствие стандартных и индивидуальных разрешений в NTFS

Соответствующие им комбинации

индивидуальных разрешений NTFS

Стандартные

разрешения NTFS

Для каталогов Для файлов

No access

(нет доступа)

Нет никаких разреше-

ний

Нет никаких разреше-

ний

List

(просмотр)

Read, eXecute Нет никаких разреше-

ний

Read

(чтение)

Read, eXecute Read, eXecute

Add

(добавление)

Write, eXecute Нет никаких разреше-

ний

Add & Read

(чтение и добавление)

Read, Write, eXecute Read, eXecute

Change (изменение) Read, Write, eXecute,

Delete

Read, Write, eXecute,

Delete

Full Control

(полный доступ)

Все разрешения Все разрешения

Изначально всему диску, а значит, и файлам, которые на нем создают-

ся, присвоены все индивидуальные разрешения для группы Everyone (все).

То есть, любой пользователь, имея полный набор индивидуальных разре-

шений на файлы и каталоги, может изменять их по своему усмотрению,

т.е. ограничивать других пользователей в правах доступа. Если изменить

разрешения на каталог, то новые файлы, создаваемые в нем, будут полу-

чать и соответствующие разрешения: они будут наследовать разрешения

своего родительского каталога.

Имеются так называемые стандартные разрешения, которые, по замыс-

лу разработчиков, следует использовать для указания наиболее распро-

страненных комбинаций индивидуальных разрешений. Поясним эти стан-

дартные разрешения с помощью таблицы, расположенной

на следующей

странице. Помимо этих стандартных разрешений можно использовать

специальные. Они определяются как явная комбинация индивидуальных

разрешений.

Фактические разрешения для пользователя, которые он будет иметь на

файл или каталог, определяются как сумма разрешений, которые он полу-

чает как член нескольких групп. У этого общего правила есть исключение.

Разрешение No Access (нет

доступа) имеет приоритет над остальными.

Оно запрещает любой доступ к файлу или каталогу, даже если пользова-

телю, как члену другой группы, дано необходимое разрешение. Можно

сказать, что это стандартное разрешение означает не отсутствие разреше-

ний, а наложение явного запрета, и что оно отменяет для пользователя или

258

группы все разрешения, установленные в остальных строках списка прав

доступа.

Каталоги обычно обладают теми же разрешениями, что и находящиеся

в них файлы и папки, хотя у каждого файла могут быть свои разрешения.

Разрешения, которые имеются у файла, имеют приоритет над разреше-

ниями, которые установлены на каталог, в котором находится этот файл

Например, если создается каталог внутри другого каталога, для которого

администраторы обладают правом полного доступа, а пользователи – пра-

вом чтения, то новый каталог унаследует эти права. То же относится и к

файлам, копируемым из другого каталога или перемещаемым из другого

раздела NTFS.

Если каталог или файл перемещается в другой каталог того же

раздела

NTFS, то атрибуты безопасности не наследуются от нового каталога. Дело

в том, что при перемещении файлов в границах одного раздела NTFS из-

меняется только указатель местонахождения объекта, а все остальные ат-

рибуты (включая атрибуты безопасности) остаются без изменений.

Три следующих важных правила помогут определить состояние прав

доступа при перемещении или копировании

объектов NTFS:

при перемещении файлов в границах раздела NTFS сохраняются ис-

ходные права доступа;

при выполнении других операций (создании или копировании файлов,

а также их перемещении между разделами NTFS) наследуются права дос-

тупа родительского каталога;

при перемещении файлов из раздела NTFS в раздел FAT все права

NTFS теряются.

2. Система безопасности операционной системы

По мере

компьютеризации общества в электронную форму переносится

все больше и больше данных, конфиденциальных по своей природе: бан-

ковские счета и другая коммерческая информация, штабные документы и

т. д. Проблема защиты пользовательских данных от нежелательного про-

чтения или модификации встает очень часто и в самых разнообразных си-

туациях – от секретных баз данных Министерства

обороны до архива лич-

ной переписки.

Совершенствование средств доступа к данным и их совместного ис-

пользования всегда порождает и дополнительные возможности несанкцио-

нированного доступа. Наиболее ярким примером являются современные

глобальные сети, которые предоставляют доступ к огромному богатству

информационных сред. Эти же сети представляют серьезную угрозу безо-

пасности подключающихся к сети

организаций. Основная специфика уг-

розы заключается в том, что в таких сетях злоумышленнику значительно

259

легче обеспечить свою анонимность даже в случае обнаружения факта

“взлома”.

При рассмотрении безопасности информационных систем обычно вы-

деляют две группы проблем: безопасность компьютера и сетевая безопас-

ность. К безопасности компьютера относят все проблемы защиты дан-

ных, хранящихся и обрабатывающихся компьютером, который рассматри-

вается как автономная система. Эти проблемы решаются средствами

опе-

рационных систем и приложений, таких как базы данных, а также встро-

енными аппаратными средствами компьютера. Под сетевой безопасно-

стью понимают все вопросы, связанные с взаимодействием устройств в

сети, это прежде всего защита данных в момент их передачи по линиям

связи и защита от несанкционированного удаленного доступа в сеть. И хо

тя подчас проблемы компьютерной и сетевой безопасности трудно отде-

лить друг от друга, настолько тесно они связаны, совершенно очевидно,

что сетевая безопасность имеет свою специфику.

Автономно работающий компьютер можно эффективно защитить от

внешних покушений разнообразными способами, например, просто запе-

реть на замок клавиатуру или снять жесткий накопитель и поместить его

сейф. Компьютер, работающий в сети, по определению не может полно-

стью отгородиться от мира, он должен общаться с другими компьютера-

ми, возможно, даже удаленными от него на большое расстояние, поэтому

обеспечение безопасности в сети является задачей значительно более

сложной. При работе в сети логический вход чужого пользователя в ваш

компьютер

является штатной ситуацией. Обеспечение безопасности в та-

кой ситуации сводится к тому, чтобы сделать это проникновение контро-

лируемым – каждому пользователю сети должны быть четко определены

его права по доступу к информации, внешним устройствам и выполнению

системных действий на каждом из компьютеров сети.

2.1. Основные понятия безопасности

2.1.1. Конфиденциальность, целостность

и доступность данных

Безопасная информационная система – это система, которая, во-

первых, защищает данные от несанкционированного доступа, во-вторых,

всегда готова предоставить их своим пользователям, а в-третьих, надежно

хранит информацию и гарантирует неизменность данных. Таким образом,

безопасная система по определению обладает свойствами конфиденци-

альности, доступности и целостности.

Конфиденциальность (confidentiality) – гарантия того

, что секретные

данные будут доступны только тем пользователям, которым этот доступ

разрешен (такие пользователи называются авторизованными).

260

Доступность (availability) – гарантия того, что авторизованные пользо-

ватели всегда получат доступ к данным.

Целостность (integrity) – гарантия сохранности данными правильных

значений, которая обеспечивается запретом для неавторизованных поль-

зователей каким-либо образом изменять, модифицировать, разрушать или

создавать данные.

Требования безопасности могут меняться в зависимости от назначения

системы, характера используемых данных и типа возможных угроз. Труд

но представить систему, для которой были бы не важны свойства целост-

ности и доступности, но свойство конфиденциальности не всегда является

обязательным. Например, при публикации информации в Интернете на

Web-сервере с целью сделать ее доступной для самого широкого круга

людей, то конфиденциальность в данном случае не требуется. Однако тре-

бования целостности

и доступности остаются актуальными.

Понятия конфиденциальности, доступности и целостности могут быть

определены не только по отношению к информации, но и к другим ресур-

сам вычислительной сети, например внешним устройствам или приложе-

ниям. Существует множество системных ресурсов, возможность “неза-

конного” использования которых может привести к нарушению безопас-

ности системы. Например, неограниченный

доступ к устройству печати

позволяет злоумышленнику получать копии распечатываемых докумен-

тов, изменять параметры настройки, что может привести к изменению

очередности работ и даже к выводу устройства из строя. Свойство конфи-

денциальности, примененное к устройству печати, можно интер-

претировать так, что доступ к устройству имеют те и только те пользова-

тели, которым

этот доступ разрешен, причем они могут выполнять только

те операции с устройством, которые для них определены. Свойство дос-

тупности устройства означает его готовность к использованию всякий раз,

когда в этом возникает необходимость. А свойство целостности может

быть определено как свойство неизменности параметров настройки данно-

го устройства. Легальность использования сетевых устройств

важна не

только постольку, поскольку она влияет на безопасность данных. Устрой-

ства могут предоставлять различные услуги: распечатку текстов, отправку

факсов, доступ в Интернет, электронную почту и т. п., незаконное потреб-

ление которых, наносящее материальный ущерб, также является наруше-

нием безопасности системы.

Любое действие, которое направлено на нарушение конфиденциально-

сти, целостности и

/или доступности информации, а также на нелегальное

использование других ресурсов сети, называется угрозой.

Реализованная угроза называется атакой.

Риск – это вероятностная оценка величины возможного ущерба, кото-

рый может понести владелец информационного ресурса в результате ус-

пешно проведенной атаки. Значение риска тем выше, чем более уязвимой