Физика атомного реактора Сопротивление материалов Математика решение задач Информатика Атомная энергетика безопасность Электротехника и электроника

Построение авторизации механизм парольной защиты средствах защиты ОС процедура идентификации ввод идентификатора и пароля биометрические характеристики модель защиты права доступа диспетчер доступа каноническая модель метки безопасности

Проведение аудита безопасности информационных систем. Работы по аудиту безопасности ИС состоят из последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита автоматизированной системы:
o инициирования процедуры аудита;
o сбора информации аудита;
o анализа данных аудита;
o выработки рекомендаций;
o подготовки аудиторского отчета.

Практический анализ современных ОС в контексте принятой классификации угроз преодоления разграничительной политики доступа

Проиллюстрируем отмеченные классы угроз простыми примерами и проанализируем возможность противодействия им современными универсальными ОС.

Под некорректностью механизма управления доступом к ресурсам (в отличие от ошибки в реализации механизма) будем понимать возможность появления (или существование) канала НСД к информации, обусловленного в идеологически неверном определении его задач и функций, что критически сказывается на реализации механизма. Например, ранее отмечалось, что важнейшим механизмом защиты является обеспечение замкнутости программной среды. При этом должны рассматриваться возможности запуска программ из всех объектов доступа, а не только с жесткого диска, в частности, с локальных и сетевых устройств ввода, общих папок (разделяемых ресурсов файловой системы).

Разграничение доступа на запуск программ только из объектов файловой системы, располагаемых на жестком диске, является некорректным решением задачи обеспечения замкнутости программной среды. Подобный недостаток, например, присущ ОС Windows NT/2000, где невозможно установить атрибут доступа «на исполнение» к устройствам ввода. Таким образом, важнейший механизм защиты — механизм обеспечения замкнутости программ- ной среды, противодействующий скрытым угрозам, — здесь не может быть реализован без физического отключения устройств ввода в принципе. Гораздо хуже ситуация обстоит для ОС семейства N! X. ввиду невозможности установить атрибут «исполнение» на каталог (в том смысле, что в UNIX для каталога этот атрибут не несет в себе необходимой функциональности).

Другой примернекорректности механизма замкнутости программной среды — невозможность разграничить исходящий доступ к общим папкам.

Некорректность администрирования механизма управления доступом к ресурсу может быть проиллюстрирована следующими примерами. Право разделять (делать доступными из сети) общие папки и устройства, например, для ОС Windows 95/98/Ме предоставляется пользователю, что в принципе не позволяет администратору реализовать разграничительную политику доступа к ресурсам при защите компьютера в составе ЛВС. Далее, при использовании на защищаемом компьютере приложения, обладающего встроенными механизмами защиты (например, СУБД), появляется несколько уровней администрирования безопасностью, при этом не решается задача централизации подобной системы управления.

Неполнота набора механизмов управления доступом делает современные ОС уязвимыми. В частности, без разграничений доступа для субъекта «процесс» трудно обеспечить какую-либо серьезную защиту информации. Так, для ОС семейства Windows существуют системные процессы, запускаемые под текущим пользователем. При этом невозможно разграничить доступ для системного процесса.

Относительно скрытых угроз можем отметить, что они, в первую очередь, связаны с некорректностью реализации механизма обеспечения замкнутости программной среды, который, как отмечалось, большинством современных универсальных ОС реализован не в полном объеме.

Аудит безопасности информационной системы
В число дополнительных задач аудита ИС могут также входить выработка рекомендаций по совершенствованию политики безопасности организации и постановка задач для ИТ персонала, касающихся обеспечения защиты информации.

Авторизация парольный вход Права доступа Экспертные системы и экспертный анализ