ОПЕРАЦИОННЫЕ СИСТЕМЫ Авторы курса лекций: Зверева Ольга Михайловна, ст. преподаватель каф АСУ Доросинский Леонид Григогрьевич, д-р техн. наук, профессор Екатеринбург 2007 Модуль 1 История развития операционных систем(ОС), понятие и строение ОС Лекция 1. Понятие ОС, история ОС, особенности современного этапа развития ОС Лекция 2. Требование к современным ОС. Функциональные компоненты ОС автономного компьютера Лекция 3. Архитектура ОС. Многослойная и микроядерная архитектуры Лекция 4. Основные подсистемы ОС: подсистема управления процессами и потоками Лекция 5. Основные подсистемы ОС: подсистема управления памятью Лекция 6. Кэширование данных. Дисковая подсистема ОС Лекция 7. Основные подсистемы ОС: файловая подсистема Лекция 8. Основные подсистемы ОС: подсистема безопасности 3 Формируемые компетенции После изучения теоретического материала Модуля 1 необходимо знать: определение и место ОС в программном обеспечении современного компьютера историю появления и развития ОС современное положение дел в области ОС, преимущества и недостатки современных ОС, требования к вновь создаваемым ОС принципы построения современных ОС, архитектурные особенности основные подсистемы ОС, выполняемые ими функции, принципы функционирования, особенности этих подсистем в различных ОС 4 Лекция 8. Основные подсистемы ОС: подсистема безопасности Цели изучения Ознакомиться с основными понятиями теории безопасной системы Изучить основные атаки на операционную систему для обеспечения защиты от подобных атак Овладеть системным подходом к обеспечению безопасности ОС Научиться формировать политику безопасности в системе Понять, каким образом осуществляется оптимальное разграничение доступа в системе Ознакомиться с существующими классификациями защищенных ОС, чтобы в дальнейшем уметь отнести существующие ОС к тому или иному классу систем для определения их уровня безопасности 6 Содержание Основные понятия безопасности Типичные атаки на операционную систему Системный подход к обеспечению безопасности Политика безопасности Основные функции подсистемы безопасности ОС Разграничение доступа к объектам операционной системы Классификация уровней защиты ОС 7 Классификация Безопасность компьютерной системы Безопасность автономного компьютера Сетевая безопасность 8 Безопасная информационная система Это система, которая обладает свойствами конфиденциальности, доступности и целостности. Конфиденциальность (confidentiality) - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). Доступность (availability) - гарантия того, что авторизованные пользователи всегда получат доступ к данным. Целостность (integrity) - гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные. 9 Основные определения Угроза – это действие, которое направлено на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов сети. Реализованная угроза называется атакой. Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. 10 Классификация угроз Угрозы Неумышленные ошибочные действия лояльных сотрудников некорректно работающее ПО или аппаратура Умышленные пассивное чтение данных или мониторинг системы активные действия, направленные на нарушение свойства безопасности 11 Угрозы вычислительных сетях незаконное проникновение в один из компьютеров сети под видом легального пользователя; разрушение системы с помощью программ-вирусов; нелегальные действия легального пользователя; «подслушивание» внутрисетевого трафика. 12 Типичные атаки на ОС Сканирование файловой системы Кража ключевой информации Подбор пароля Сборка мусора Превышение полномочий Атаки класса «отказ в обслуживании» (Dos-атаки). 13 Системный подход к обеспечению безопасности Средства защиты: Морально-этические; Законодательные; Административные; Психологические; Физические; Технические. 14 Политика информационной безопасности Будем называть политикой безопасности набор норм, правил и практических приемов, регулирующих порядок хранения, обработки и передачи ценной информации Отвечает на вопросы: Какую информацию защищать? Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных? Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты? Какие средства использовать для защиты каждого вида информации? 15 Понятие защищенной ОС Операционную систему будем называть защищенной, если она предусматривает средства защиты от основных классов угроз. Защищенная операционная система обязательно должна содержать: средства разграничения доступа пользователей к своим ресурсам; средства проверки подлинности пользователя, начинающего работу с операционной системой; средства противодействия случайному или преднамеренному выводу операционной системы из строя. 16 Принципы политики безопасности минимального уровня привилегий на доступ к данным; использование комплексного подхода к обеспечению безопасности + баланс надежности защиты всех уровней; использование средств, которые при отказе переходят в состояние максимальной защиты; принцип единого контрольно-пропускного пункта; принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. 17 Основные функции подсистемы защиты операционной системы разграничение доступа; идентификация, аутентификация и авторизация; криптографические функции; аудит; управление политикой безопасности; сетевые функции. 18 Идентификация, аутентификация и авторизация Идентификация субъекта доступа заключается в том, что субъект сообщает системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя. Аутентификация это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор. При авторизации субъекта операционная система выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе. 19 Криптографические функции Пара процедур – шифрование и дешифрирование – называется криптосистемой. В современных алгоритмах шифрования предусматривается наличие параметра – секретного ключа. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью. 20 Классификация криптосистем Криптосистемы Симметричные секретный ключ зашифровки совпадает с секретным ключом расшифровки Асимметричные секретный ключ зашифровки не совпадает с секретным ключом расшифровки 21 Аудит (определение) Аудит (audit) – фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. 22 Аудит (необходимость аудита) Необходимость включения в защищенную ОС функций аудита диктуется следующими обстоятельствами: Подсистема защиты ОС, не обладая интеллектом не способна отличить случайные ошибки пользователей от злонамеренных действий. Администраторы ОС должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Если администратор ОС обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась 23 Аудит (требования к системе) 1. 2. 3. 4. 5. Подсистема аудита ОС должна удовлетворять следующим требованиям: Только сама ОС может добавлять записи в журнал аудита. Ни один субъект доступа, в том числе и сама ОС, не имеет возможности редактировать и удалять отдельные записи в журнале аудита. Только пользователи-аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита. Только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. При переполнении журнала аудита ОС аварийно завершает работу. 24 Аудит (обязательно регистрируемые события) попытки входа/выхода из системы; попытки изменения списка пользователей; попытки изменения политики безопасности, в том числе и политики аудита. 25 Разграничение доступа (определения) Объектом доступа (или просто объектом) будем называть любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Методом доступа к объекту называется операция, определенная для некоторого объекта. Субъектом доступа (или просто субъектом) будем называть любую сущность, способную инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа). 26 Разграничение доступа (определения) Для объекта доступа может быть определен владелец субъект, которому принадлежит данный объект и который несет ответственность за конфиденциальность содержащейся в объекте информации, а также за целостность и доступность объекта. Правом доступа к объекту будем называть право на выполнение доступа к объекту по некоторому методу или группе методов. Говорят, что субъект имеет некоторую привилегию, если он имеет право на доступ по некоторому методу или группе методов ко всем объектам операционной системы, поддерживающим данный метод доступа. 27 Правила разграничения доступа Правила разграничения доступа должны удовлетворять следующим требованиям: Правила разграничения доступа, принятые в операционной системе, должны соответствовать аналогичным правилам, принятым в организации, в которой установлена операционная система. Правила разграничения доступа не должны допускать разрушающие воздействия субъектов доступа, не обладающих соответствующими привилегиями, на операционную систему, выражающиеся в несанкционированном изменении, удалении или другом воздействии на объекты, жизненно важные для обеспечения нормального функционирования операционной системы. Любой объект доступа должен иметь владельца - присутствие ничейных объектов – объектов, не имеющих владельца, недопустимо. Присутствие недоступных объектов – объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, непозволительно. Утечка конфиденциальной информации недопустима 28 Избирательное разграничение доступа Система правил избирательного или дискреционного разграничения доступа формулируется следующим образом: Для любого объекта операционной системы существует владелец. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. Для каждой тройки субъект – объект - метод возможность доступа определена однозначно. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа. 29 Матрица доступа Строки этой матрицы представляют собой объекты, столбцы – субъекты (или наоборот). В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права, предоставленные группе субъектов для доступа к данному объекту, предоставляются каждому субъекту группы. Вместе с каждым объектом доступа хранятся его атрибуты защиты, описывающие, кто является владельцем объекта и каковы права доступа к данному объекту различных субъектов. Атрибуты защиты фактически представляют собой совокупность идентификатора владельца объекта и строку матрицы доступа в кодированном виде. 30 Матрица доступа (способы кодирования строки) Вектор доступа (UNIX ) – вектор фиксированной длины, разбитый на несколько подвекторов. Каждый подвектор описывает права доступа к данному объекту некоторого субъекта. Список доступа (Windows 2000/XP) – список переменной длины, элементами которого являются структуры, содержащие: идентификатор субъекта; права, предоставленные этому субъекту на данный объект; различные флаги и атрибуты. 31 Полномочное разграничение доступа без контроля информационных потоков Для любого объекта операционной системы существует владелец. Владелец объекта может произвольно ограничивать доступ других субъектов к данному объекту. Для каждой тройки субъект – объект - метод возможность доступа определена однозначно. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект 32 Полномочное разграничение доступа без контроля информационных потоков (продолжение) В множестве объектов доступа операционной системы выделяется подмножество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. Чем выше числовое значение грифа секретности, тем секретнее объект. Нулевое значение грифа секретности означает, что объект несекретен. Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Нулевое значение уровня допуска означает, что субъект не имеет допуска.. Если: объект является объектом полномочного разграничения доступа, гриф секретности объекта строго выше уровня допуска субъекта, обращающегося к нему, субъект открывает объект в режиме, допускающем чтение информации, то доступ субъекта к объекту запрещен независимо от состояния матрицы доступа. 33 Классификация уровней защиты ОС (американская классификация) D1. Этот критерий не предъявляет никаких требований. Этому критерию удовлетворяют все системы, не удовлетворяющие более высоким критериям. C1. В операционной системе поддерживается избирательный контроль доступа. Пользователь, начинающий работать с системой, должен подтвердить свою подлинность (аутентифицироваться). Базовым критерием является критерий С2. В1. Известен под названием «Полномочный контроль доступа» (Маndatory Асcеss Соntrol). В основе этих систем лежит полномочное разграничение доступа. B2. Усиливает требования критерия В1. Подсистема защиты систем, удовлетворяющих критерию В2, реализует формально определенную и четко документированную модель безопасности. Осуществляется контроль скрытых каналов утечки информации. Существуют также критерии В3 и А1, но ничего не известно о наличии операционных систем, удовлетворяющих этим критериям. 34 Базовый уровень безопасности С2 (требования) Средство защищенной регистрации в системе требует, чтобы пользователь идентифицировал себя посредством ввода уникального идентификатора и пароля, прежде чем ему будет предоставлен доступ к системе. Избирательное разграничение доступа позволяет владельцу ресурса определять, кто имеет доступ к данному ресурсу и что они могут с ним делать. Владелец определяет это, назначая права доступа пользователю или группе пользователей. Аудит обеспечивает возможность обнаружения и регистрации важных событий, имеющих отношение к защите, или любой попытки создания, использования или удаления системных ресурсов. Защита памяти предотвращает чтение информации, записанной кем– либо в память, после того как этот блок памяти был возвращен ОС. Перед повторным использованием память реинициализируется. 35 Windows 2000/XP и уровень С2 Требования безопасности по уровню С2 для этих систем выглядят следующим образом: в BIOS компьютера установлен пароль на загрузку; на жестких дисках используется только файловая система NTFS; запрещено использование паролей короче шести символов; запрещен гостевой доступ; запрещен запуск любых отладчиков; запрещено выключение компьютера без предварительной аутентификации пользователя; запрещено разделение между пользователями ресурсов сменных носителей информации (гибких дисков и CD-ROM). 36 Основные недостатки американской классификации совершенно не рассматриваются криптографические средства защиты информации; практически не рассматриваются вопросы обеспечения защиты системы от атак, направленных на временный вывод системы из строя (атаки класса «отказ в обслуживании»); не уделяется должного внимания вопросам защиты защищаемой системы от негативных воздействий программных закладок и компьютерных вирусов; недостаточно подробно рассматриваются вопросы взаимодействия нескольких экземпляров защищенных систем в локальной или глобальной вычислительной сети; 37 Классификация Гостехкомиссии ГРУППА 3. Однопользовательские системы. Класс 3Б. Проверка подлинности пользователя при входе в систему. Регистрация входа и выхода пользователей из системы. Учет используемых внешних носителей информации. Класс 3А. Выполняются все требования класса 3Б. Регистрация распечатки документов. Физическая очистка очищаемых областей оперативной и внешней памяти. 38 Классификация Гостехкомиссии (продолжение) ГРУППА 2. Многопользовательские системы, в которых пользователи имеют одинаковые полномочия доступа ко всей информации. Класс 2Б. Проверка подлинности пользователя при входе в систему. Регистрация входа и выхода пользователей из системы. Учет используемых внешних носителей информации. Класс 2А. Выполняются все требования класса 2Б. Избирательное разграничение доступа. Регистрация событий, потенциально опасных для поддержания защищенности системы. Физическая очистка очищаемых областей оперативной и внешней памяти. Наличие подсистемы шифрования конфиденциальной информации, использующей сертифицированные алгоритмы. 39 Классификация Гостехкомиссии (продолжение) ГРУППА 1. Многопользовательские системы, в которых пользователи имеют различные полномочия доступа к информации. Класс 1Д. Проверка подлинности пользователя при входе в систему. Регистрация входа и выхода пользователей из системы. Учет используемых внешних носителей информации. Класс 1Г. Выполняются все требования класса 1Д. Избирательное разграничение доступа. Регистрация событий, потенциально опасных для поддержания защищенности системы. Физическая очистка очищаемых областей оперативной и внешней памяти. Класс 1В. Выполняются все требования класса 1Г. Полномочное разграничение доступа. Усилены требования к подсистеме регистрации событий, потенциально опасных для поддержания защищенности системы. Интерактивное оповещение администраторов системы о попытках несанкционированного доступа. Класс 1Б. Выполняются все требования класса 1В. Наличие подсистемы шифрования конфиденциальной информации, использующей сертифицированные алгоритмы. Класс 1А. Выполняются все требования класса 1Б. Различные субъекты доступа имеют различные ключи, используемые для шифрования конфиденциальной информации. 40 Информационное обеспечение лекции Литература по теме: 1. Олифер В. Г. Сетевые операционные системы : учебник / В. Г. Олифер, Н. А. Олифер. – СПб. : Питер, 2001. – 544 с. 2. Гордеев А. В. Операционные систем: Учебник для вузов. 2-е изд./ А. В. Гордеев. – Спб.: Питер. 2005. – 415 с. 3. Дейтел Г. Введение в операционные системы: В 2 т. /Пер. с англ. Л. А. Теплицкого, А. Б. Ходулева, В. С. Штаркмана: Под ред. В. С. Штаркмана. – М.: Мир, 1987. 4. Уэли М. Запускаем Linux / Уэли М , ЛайлхамерК., Доусон Т.,Кауфман Л., 4-е издание. - Пер. с англ. – СПб.:Символ-Плюс, 2004. – 736с. Электронный адрес: [email protected] 41 Операционные системы Курс лекций является частью учебно-методического комплекса «Операционные системы», авторский коллектив: Зверева Ольга Михайловна, старший преподаватель кафедры «Автоматизированные системы управления» Доросинский Леонид Григорьевич, д-р техн. наук, профессор, зав. кафедрой «Автоматизированные системы управления Учебно-методический комплекс подготовлен на кафедре АСУ РИ-РТФ ГОУ ВПО УГТУ-УПИ Никакая часть данной презентации не может быть воспроизведена в какой бы то ни было форме без письменного разрешения авторов 42