Обеспечение компьютерной безопасности

Существует две технологии проектирования доверенного программного обеспечения (ПО):

· иерархическое проектирование основано на принципе: "механизм защиты должен быть простым, единым и находится на самом низком уровне системы". При чем иерархическое проектирование может поддерживать многослойную иерархическую структуру подсистем защиты. Такая структура имеет следующие преимущества:

1. Упрощается структура доверенного программного обеспечения

2. Верификация безопасности более высокого иерархического уровня системы может опираться на верификацию безопасности более низких уровней иерархии.

В качестве уровня можно рассматривать программы приложения, где помещаются программы сервисы приложений пользователя не являющихся частью операционной системы (О.С);

Уровень О.С., где располагаются компоненты О.С.;

Уровень аппаратного обеспечения помещается ПО в строенное в аппаратное обеспечение.

· Модульное или горизонтальное проектирование, как правило, облегчает декомпозицию системы в ходе ее анализа. В современных системах доверенное программное обеспечение представляет собой множество отдельных взаимосвязанных модулей, выполняющих различные функции. Совокупность таких моделей, образующих доверенное программное обеспечение, определяет так называемый периметр защиты. Модули включают в периметр защиты, если функциональность компоненты влияет на доказательство безопасности системы. Кроме описанных выше, можно выделить следующие дополнительные принципы:

1. Принцип наименьших привилегий. Субъекту даны только те привилегии, которые необходимы для решения задач. При выделении дополнительных привилегий они изымаются после выполнения задачи.

2. Принцип безопасных умолчаний. Данный принцип говорит о том, что по умолчанию доступа к объектам системы не должно быть. Все права доступа должны быть определены явно.

3. Принцип простоты разработки. Для уменьшения вероятности ошибок, обеспечения процесса верификации, тестирования механизмов безопасности.

4. Принцип полного контроля доступа. Контроль выполняется не только при первом доступе, но при каждой последующей операции доступа.

5. Принцип открытой разработки. Безопасность системы не должна быть основана на секретности разработки.

Системы, основанные на секретности разработки, не обеспечивают эффективной защиты от квалифицированных пользователей.

6. Принцип разделения привилегий. Механизмы, предоставляющие доступ к ресурсам системы, не должны принимать решения о доступе, базируясь на единичном условии.

7. Принцип минимального количества разделяемых механизмов. Механизмы, предоставляющие доступ к ресурсам системы, не должны быть разделяемыми. О.С. реализуют этот принцип за счет технологии виртуальных машин.

8. Принцип психологической преемственности. Механизмы не должны требовать значительных вычислительных ресурсов, должны быть легко конфигурируемы и представлять пользователям информацию в удобной форме. Не должны провоцировать собственные отключения.

3. Модели секретности

В моделях секретности рассматривают два механизма:

1. дискреционный (произвольный) контроль и управление доступом.

2. мандатный подход

Дискреционное управление доступом представляет разграничения доступа между поименованными субъектами и поименованными объектами.

Передача прав доступа к объектам определяется на основании правил конкретной дискреционной модели. Основой в дискреционной модели доступа к объектам является матрица доступа, которая является концептуальной моделью со спецификацией прав доступа.

Матрица дискреционного контроля доступа

RW- право доступа пользователя на чтение

W- право доступа пользователя по чтению

О- управление доступа к файлу для других пользователей

Х- право на выполнение процесса (execute)

Индивидуальное разрешение, которые могут быть представлены индивидуальными правами, могут иметь следующие функции: reade, write, execute, delete, change Permission, take owner ship.

3.1 Модель Харисона, Рузо и Ульмана

Пусть имеется конечный набор прав R={r1..rn}, конечный набор субъектов S0, конечный набор объектов Оn. Субъект может быть одновременно и объектом, команда, х- формальные элементы (параметры) указывающие на объект. Элементы матрицы доступа являются правами доступа. Состояние системы изменяется при изменении матрицы М. Запросы к системе можно выразить в форме if.

Ввести новые права:

Enter r into (s,o) - внесение права r в ячейку (s,o) матрицы доступа

При этом новая

=S, =O, [s, o]=[s, o]

xS yO(x, y)(s, o)

[x,y]=[x,y]

Удаление субъекта delete:

Delete r from (s, o)

=S, =O, [s, o]=[s, o]-r

xS yO(x, y)(s, o)

[x, y]=[x, y]

Создание субъекта create:

Create subject S

=S{S}, =O{S},

y [s, y]=

x [x, s]=

xS, yO [x, y]=[x, y]

Создание объекта:

Create object O

=S, =O{S}

y [o, y]=

y [x, o]=

xS, yO [x, y]=[x, y]

Убрать субъект:

Destray subject S

S=-{S}, O= -{O}

y [s, y]=

x [x, y]=[x,y]

xS, yO [x, y]=[x, y]

Убрать объект:

Destray object O

=S, =O-{O}

x [x, o]=

xS, yO [x, y]=[x, y]

Take(t) grant(G) - модель создается для иллюстрации и доступа. Модель является представлением системы в виде направленного графа, в котором вершинами являются субъекты, объекты представляют окружность. Направленные дуги графа обозначают права, которые имеет объект по отношению к другому. Кроме обычных прав К добавляются еще два права take (t) и grant (g) изменяющих права доступа. Модель обеспечивает множество правил переписания графа, позволяющих изучить изменения графа вследствие передачи прав и изменения состояния системы. Изменение состояния системы выполняется с использованием правил переписания графа. Пусть имеется х обладает правом t по отношению z, а z обладает правом b по отношению к у. Тогда правило Take определяет новый граф. Правило b от х к субъекту у, то есть х берет право b по отношению у от х.

Правило Grant: пусть в этом случае z является субъектом. Субъект z имеет право g по отношению х и b по отношению к у. z задает право b по отношению к у для х.

Правило Create представляет или определяет новый граф, который позволяет добавить еще одну вершину с правом b по отношению к х.

Правило Remove: пусть х и у вершины графа. Х является субъектом. Пусть имеется некоторое право , которое является частью или входом в b.

3.2 Управление доступом

Контроль полномочий доступа подразумевает передачу полномочий другим субъектам. Эта передача соответствует праву own, а методы передачи могут быть:

· Иерархический

· Концепция владельца

· Концепция laissez - faire

· Центральный

Иерархический метод основан на действиях администратора, который контролирует все полномочия по всем объектам в системе. Передача полномочий доступа осуществляется делегированием полномочий отдельным субъектам.

Преимущество иерархической структуры заключается в том, что все полномочия контролируются доверенным единым пользователем. Концепция владельца ассоциируется с единственным пользователем, имеющим полномочия контроля с объектом. Владелец всегда полностью контролирует, созданный им объект и не может передать полномочия контроля другому объекту. Но он может изменить право доступа к объекту в любой момент.

Концепция владельца рассматривается как иерархия с двумя уровнями:

1. контроля права доступа

2. безусловным контролем полномочий

3.3 Реализация дискреционного контроля доступа

Дискреционный контроль доступа предполагает выполнение следующих требований:

· все субъекты и объекты должны быть однозначно идентифицированы

· для любого объекта должен быть определен пользователь владелец

· владелец объекта должен обладать правом, определяющим право доступа к объекту со стороны любых субъектов

· должен существовать привилегированный пользователь, обладающий правом полного доступа к любому объекту. Это свойство определяет невозможность существования потенциально недоступных объектов, владелец, которых отсутствует. Но реализация права полного доступа к любому объекту по средствам назначения себя и его владельцем не позволяет привилегированному пользователю использовать свои полномочия незаметно для реального владельца.

Дискреционное управление доступом реализуется в виде матрицы доступа.

Достоинства:

1. простая реализация

2. хорошая изученность

3. реализуемость в О.С.

Недостатки:

1. статичность разграничений доступа, т.е невозможность изменения права доступа к открытому объекту.

2. не обеспечивает защиту от утечки конфиденциальной информации

CO - объект с конфиденциальной информацией, владелец которого является хороший пользователь

PO - объект с исходным кодом программы, содержит закладку ("троянский конь"), владелец которой нехороший пользователь

NU - нарушитель

Нарушитель NU создает ситуацию, при которой владелец объекта с конфиденциальной информацией запускает программу из объекта PO, активируя тем самым закладку, которая имеет в этом случае права доступа NU, читает информацию PO, после этого NU читает информацию конфиденциальную из РО.

3.4 Мандатное управление доступом

Мандатный подход требует ограничения:

1. все объекты и субъекты должны быть однозначно идентифицированы;

2. должен существовать линейно упорядоченный набор меток конфиденциальности и соответствующие им степени доступа;

3. каждому объекту должна быть присвоена метка конфиденциальности;

4. каждому субъекту должна быть присвоена степень доступа;

5. в процессе своего существования каждый субъект должен иметь свой уровень конфиденциальности объектов, в котором данный субъект получил доступ;

6. должен существовать привилегированный пользователь, имеющий полномочия на удаление любого объекта в системе;

7. понизить метку конфиденциальности объекта может только субъект, имеющий доступ к объекту и обладающий специальной привилегией;

8. право на чтение информации из объекта получает только тот субъект, степень допуска которого не больше метки конфиденциальности данного объекта;

9. право на запись информации в объект получает только тот субъект, уровень конфиденциальности которого не меньше метки конфиденциальности данного объекта;

Основной целью мандатного правления является предотвращение утечки информации. Для мандатного подхода характерно, если начальное состояние системы было безопасно и все переходы в системе из одного состояния в другое не нарушают правило разграничения доступа, то любое состояние системы безопасно.

Достоинства:

· высокая надежность работы системы, так как разграничение доступом к объектам контролируется,

· простота правил определения разграничения доступом.

Недостатки:

· сложность программной реализации, которая увеличивает вероятность внесения ошибки и появление каналов утечки информации,

· снижение эффективности, так как проверка прав доступа субъекта к объекту выполняется не только при открытии объекта, но и перед выполнением любой операции,

· создаются дополнительные неудобства, связанные с невозможностью изменением информации в не конфиденциальном объекте, если тот процесс использует не конфиденциальную информацию.

В оранжевой книге выделено 2 класса защищенности, в которых реализовано дискреционное управление, и 3 в которых мандатное.

Мандатное управление доступом основано на метках конфиденциальности информации и офисном разрешении допуска субъектов. Под уровнем секретности будет пониматься атрибут, который может быть ассоциирован с сущностью системы, может быть ассоциирован степенью критичности в смысле безопасности. Этот атрибут может обозначать степень ущерба от нарушителя безопасности или чувствительность, которая определяет ценность ресурса или важность или может учитывать его уязвимость. Совокупность линейно упорядоченных уровней системы секретности образует классификацию:

· по уровню общедоступности для служебного использования,

· степень доверия определяющей уровень секретности функции, отражающие объекты и субъекты на уровне секретности, можно определить на множестве субъектов и объектов.

Кроме уровня секретности вводится множество категорий, которые определяют тип информации. Например, категория для прессы ядерный, стратегический.

Множество уровней секретности образует решетку по отношению к операции упорядочивания.

SC - множество уровней секретности

- операция упорядочивания элементов на этом множестве уровней элементов. Это отношение рефлексивно, транзитивно и ассиметрично. При этом для каждого множества SC существует верхняя граница над этим уровнем.

SCс=мах (А,В)

1. АС и ВС

2. АВ и BD CDDSC

Классической моделью мандатного управления доступом является модель Белла и Лападула. В основе модели Белла и Лападула лежит работа с документами в правительстве США.

Субъектам с низким уровнем секретности не позволяют читать информацию из объектов с высоким уровнем секретности. Субъектам не позволяют размещать информацию имеющую более низкий уровень секретности.

Второе правило размещения "троянского коня", т.е. запись на более низкий уровень секретности запрещается. На одинаковом уровне секретности субъектам доступна соответствующая информация.

Пусть S - множество субъектов, О - множество объектов, L- решетка уровней секретности.

ОS - будут характеризоваться множеством, - множество состоит из упорядоченных пар [F,M]. М - матрица доступа субъектов к объектам.

F- определяет уровни секретности аргументов или субъектов, объектов. Множество запросов R состоит из переходов Т(VR)V. Будут определяться декартовым произведением предыдущего состояния на запрос и переход на новое состояние.

Недостатки модели Белла - Лападула устраняются за счет дополнительного обеспечения, что приводит к усложнению программ, и как правило к дополнительному контролю за скрытыми каналами утечки информации, которые характерны для MAC контроля доступом.

3.5 Модель китайской стены

Выражает динамическое изменение прав доступа. Модель построена следующим образом: сначала определено понятие "китайской стены", а затем множество правил, декларирующих то, что ни один субъект не может получить доступ к данным по некорректную сторону стены.

Основной политикой является утверждение о том, что субъект может получить доступ к информации, не входящей в конфликт с любой информацией, к которой он имел доступ до этого. Пусть существует 3 класса конфликтов интересов: (a,b,c),(d,e,f),(g,h,i). Изначально субъект имеет доступ к любому множеству от a до i , но если субъект получил доступ к множеству e, то согласно второму классу конфликтов интересов ему запрещен доступ к множеству d и f. Формально это правило может быть выражено следующим образом пусть S-множество субъектов, О - множество объектов, CD - множество объектов, принадлежащих одной компании, COI - класс, описывающий конфликт интересов, PR(S) -множество объектов к которым S имел доступ по чтению. Тогда правило безопасности для китайской стены имеет вид:

- S может читать О, если и только если существует О1, для которого SO` CD(O`)=CD(O);

- для всех О1 со свойством О1 принадлежащих PR(S) следует COI(O`)=COI(O);

- O содержит общедоступную информацию, т.е. доступ по чтению предоставляется субъекту, если доступ к запрашиваемому ресурсу был предоставлен и он не входит в конфликт с запрашиваемым классом. По записи доступ разрешен, если он разрешен простым правилом безопасности и не существует объекта, который может быть прочитан из множества данных, отличного от того, в которое производиться запись и содержащего не общедоступную информацию.

При создании мандатной модели категории целостности, которая так же как в модели Белла-Лападула образует решетку. Модель целостности Биба аналогично модели Белла-Лападула имеет аналогичные правила. Например, целостности записи наверх может представлять угрозу в том случае, если субъект с низким уровнем целостности искажает или уничтожает данные, лежащие на более высоком уровне целостности. Это может быть сформулировано следующими примерами:

- нет чтения снизу (no read down);

- нет записи наверх (no write up);

По направлению эти правила являются противоположными правилам Белла-Лападула.

Достоинства:

- наследует те положительные характеристики модели Белла-Лападула, включая простоту, интуитивность, доходчивость модели при проектировании;

- модель Биба также подразумевает монотонное изменение уровней целостности, т.е. уровни остаются неизменными или снижаются, модель не предусматривает повышение целостности.

3.6 Модель целостности Кларка Вильсона

Модель основана на анализе методов управления документооборотом в неавтоматизированном офисе коммерческой организации. Основой для модели являются транзакции, состоящие из последовательности операций, переводящих систему из одного состояния в другое.

Объекты в модели представлены в виде конечного множества данных -D, данные разделяются на два множества: одно- обладает целостностью (контролируется целостность) -CDI (constrained data items); второе- данные не контролируются на целостность - UDI (unconstrained data items);

CDI U UDI= D,

CDI ? UDI=Ш.

Субъекты включены в модель как множество компонентов, которые могут инициировать транзакцииTP (transformation procedure). В модели так же определена процедура утверждения целостности IVP (integrity verification procedure).

Модель Кларка Вильсона можно рассматривать как набор из девяти правил:

1) в системе должны иметься IVP, подтверждающие целостность любой CDI/ Простейшим методом подтверждения целостности является проверка контрольной суммы CDI;

2) применение любой TP к любому CDI должно сохранять целостность этого CDI;

3) только TP могут вносить изменения в CDI; процедуры и действия, не являющиеся TP не могут изменяться CDI;

4) субъекты могут инициализировать только определенные TP над определёнными CDI. Это правило предполагает, что система должна определять и поддерживать некоторые отношения между TP и CDI, так называемые KBM - тройки, которые имеют аргумент(s,t,d), это обозначает, что субъекту S разрешается применить к TP по имени - t, к CDI- d, если это правило не определено, то процедура невозможна! Это правило гарантирует, что всегда можно определить, кто может изменить CDI и как это изменение может произойти;

5) КВМ - тройки должна проводить политику разделения обязанностей субъектов;

6) специальные TP могут превращать UDI в CDI, т.е. повышать целостность данных ( специальные TP);

7) каждое применение TP должно регистрироваться в специальном CDI, доступным только для добавления информации. В данной CDI необходимо записывать информацию, достаточную для восстановления работы системы, это правило требует введения специального регистрационного журнала, который храниться в определенном CDI;

8) система должна распознавать субъекты, пытающиеся инициализировать TP. Этот механизм помогает определить атаки подмены;

9) система должна разрешать производить изменения в списке авторизации только специальным субъектам. Это правило гарантирует, что основная защита, определяемая КВМ тройкой, не будет обойдена злоумышленником, пытающимся изменить содержание такого списка.

Эти 9 правил определяют: как может быть проверена целостность, как и кем, могут изменяться CDI , и как UDI могут быть превращены в CDI.

3.7 Модель Липкера

Модель Липкера представляет собой объединение моделей Белла-Лападула с моделью Биба и представляет собой реализацию требований к разработке программного обеспечения и последующего его использования.

Правила:

1) пользователи не имеют права на разработку программного обеспечения, а используют существующее прикладное программное обеспечение;

2) программисты разрабатывают и тестируют программы в системе, не обрабатывающие критичные данные, т.е. без проверок на целостность, безопасность;

3) для внесения разработанных программ в систему используется специально разработанный механизм;

4) механизм, описанный в 3) должен контролироваться, а результаты фиксироваться в журнале аудита;

5) администраторы системы должны иметь возможность доступа к данным аудита и функциям администрирования системы.

В модели определены два уровня безопасности:

- высший (управление и аудит) на этом уровне находятся функции управления системой и аудит системы;

- низший(SL) информация на данном уровне может читать любой процесс;

В модели определено 5 категорий:

1) разработка D (Development) - к данной категории относятся разработанные и тестируемые прикладные программы;

2) прикладные программы PC ( Production Code) - к данной категории относятся прикладные программы, используемые в системе;

3) критичные данные PD (Production Data) - к данной категории относятся данные, целостность которых контролируется;

4) разрабатываемые системные программы SD ( System Development) - к данной системной категории относятся разрабатываемые и тестируемые системные программы;

5) средства разработки T (Software Tools)- к данной категории относятся прикладные программы, используемые для разработки приложений и не участвующие в разработке критичных данных.

4. Идентификация и аутентификация

Для того чтобы политики разграничения доступа могли связать пользователей системы с их представлением в вычислительной системе, необходимо наличие некоторого механизма, позволяющего определить соответствие пользователей и их представлений. Данный механизм называется идентификация/ аутентификация.

Под идентификацией понимается присвоение субъектом и объектом доступа идентификатора и сравнения предъявленного с перечнем присвоенных идентификаторов. Идентификация состоит из процедур, позволяющих внешним по отношению к некоторой вычислительной системы агентам уведомлять систему об их личности. При этом разделяются понятие уведомления системы и гарантии того, что это уведомление корректно. В результате идентификацию объединяют со вторым понятием аутентификацией, которое гарантирует корректность идентификационной последовательности.

Под аутентификацией понимается проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. Под информацией аутентификации понимается информация, используемая для установления подлинности запрашиваемой личности.

Методы обычно включают:

1. метод проверки правильности данных, дающий доказательство или выражающий доверие факту, что личность, о которой сообщалось - допустима;

2. функции добавления новых идентификаторов в систему с обеспечением соответствующей информации аутентификации, а так же удаление устаревшей и соответствующей им информации аутентификации из системы;

3. функции генерации, изменения и просмотра авторизированными пользователями информации аутентификации;

4. функции проверки целостности и предотвращения неавторизированного использования информации аутентификации;

5. функции ограничения количества попыток ввода для некорректной информации аутентификации.

Выделяются три метода аутентификации:

1) аутентификация, основанная на обладании предметом (карточкой, ключом...);

2) аутентификация, основанная на воплощенных характеристиках;

3) аутентификация, основанная на знаниях.

Биометрическая аутентификация основана на аутентификации в распознавании некоторой характеристики являющейся неотъемлемой частью агента: голос, отпечатки пальцев, сетчатая оболочка глаза. Этот метод относится к биометрическим системам.

Парольная аутентификация - это аутентификация, основанная на знаниях. Под паролем понимается конфиденциальная информация, обычно состоящая из строки символов.

В парольной аутентификации предъявляют ряд требований как к администраторам и пользователям, так и к механизму аутентификации.

Требования к администратору:

1) требование к администратору системы (инициализация парольной системы). Многие системы поставляются с встроенными учетными записями, администратор должен заменить все встроенные в систему учетные записи;

2) администратор должен сгенерировать пароли всех новых учетных записей и проинформировать об этом пользователей;

3) пользователь может забыть пароль, или администратор может обнаружить, что пароль скомпрометирован, для решения подобных проблем администратор должен иметь возможность изменения пароля любого пользователя даже не зная забытого пароля;

4) не в один из моментов функционирования системы два пользователя не могут иметь два одинаковых идентификатора или знать для них пароль;

5) администратор отвечает за своевременное удаление учетных записей из системы.

Требования к пользователям системы:

1) пользователи несут ответственность за тайну пароля и докладывают администратору обо всех нарушениях безопасности, т.е. помогают администратору обнаружить нарушения;

2) пароли должны меняться периодически и пользователи должны помнить пароли;

Требования к механизму аутентификации:

1) при внутреннем хранении паролей база данных паролей должна быть защищена, а пароли должны быть зашифрованы. При проверке паролей их не расшифровывают, а сравнивают как зашифрованное значение кэш-функции;

2) система не должна отображать пароли, вводимые пользователями;

3) количество попыток неуспешного входа в систему должно быть ограничено;

4) система должна регистрировать использование и смену пароля, при этом сами пароли не регистрируются;

5) при входе в систему с некоторой учетной записью пользователь должен быть оповещен о времени последнего входа в систему с этой учетной записью, месте последнего входа и результате последнего входа с этой учетной записью. В этом же документе должна быть приведена оценка пароля со следующими параметрами:

L - максимальное время жизни пароля, M - длина пароля, А - количество символов в пароле, Р - вероятность того, что пароль может быть подобран за время его жизни, R - количество возможных попыток подбора в единицу времени, S - количество паролей, которое может создать генератор,

S=Am

G- количество попыток подбора, то вероятность того, что пароль может быть подобран за

L S=G/P = LЧR/P, M=logA(LЧR/P); P=10-6, Pкр=10-20.

4.1 Реализация подсистемы идентификации /аутентификации в Windows 2000

Поддержку механизмов идентификации/аутентификации осуществляет диспетчер учетных записей (Security Account Manager - SAM). База данных SAM представляет собой один из кустов реестра Windows 2000, находящийся в ветви HKey_Local_Machine.База данных SAM находиться в файле winnt\root\system32\config\sam. Доступ к данным для обычных пользователей и групп запрещен. Пароли в базе данных SAM хранятся в виде двух 16-тибайтовых последовательностях, которые зашифрованыt кэшированные пароли системы Windows2000 и системы LAN Manager. В Windows 2000 пароль в виде строки символов Unicode преобразуется с использованием кэш-функции RSA MD-4, а полученное 16-тибайтовое число шифруется по алгоритму DES. Стандарт системы LAN считается одним из слабых мест парольной системы Windows 2000, поскольку пароль состоит из двух частей 14-тибайтового пароля, которые обрабатываются независимо, поэтому имеется возможность оценить длину пароля > или < 8 символов, а длинный пароль эквивалентен двум коротким, а это облегчает взлом.

Процедуру интерактивного входа с механизмом идентификации/аутентификации можно представить следующим образом:

- пользователь набирает комбинацию: CTRl/ALT/DEL, которая обрабатывается системой на низком уровне и препятствует созданию программ, маскирующихся под системный процесс входа и перехватывающих введение пароля;

- в диалоговом окне пользователь вводит пользовательское имя и пароль, и имя домена, на котором происходит вход в систему и это зависит от места нахождения пользовательской учетной записи. Процесс входа в систему вызывает пакет аутентификации.

5. Аудит

Под аудитом понимается использование автоматизированных механизмов, вызывающих создание и хранение в защищенном компьютерном журнале записей деятельности вычислительной системы.

Учетность - свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.

Механизм аудита:

1) просмотр:

· попыток доступа к отдельным объектам;

· активности процессов и пользователей;

· использование механизмов защиты системы;

2) обнаружение попыток обхода механизмов защиты авторизированными пользователями и нарушителями;

3) для выявления использования привилегий больших, чем необходимо пользователю;

4) для использования в качестве мер защиты сообщений нарушителям, о том, что их действия фиксируются;

5) для использования в качестве гарантии надежности для авторизированных пользователей, что все попытки обхода системы защиты будут зафиксированы.

Пользователи механизма аудита:

- аудиторы;

- пользователи механизма аудита.

Аудиторы - настраивают механизмы аудита, выбирая события в системе, которые надо фиксировать и выполняют анализ этих событий. Обычно эти функции выполняет системный администратор.

Пользователи - не только генерируют события аудита, но и знают, что механизм аудита присутствует, т.е. не будут нарушать правила безопасности.

Механизм аудита регистрирует следующие операции:

1) доступ субъектов к объектам;

2) использования механизмов администрирования вычислительной системы;

3) действия администратора и других привилегий пользователей;

4) вывод документов на печать и др. события, которые могут повлиять на безопасность вычислительной системы.

Записи аудита:

- дата и время события;

- идентификатор пользователя;

- тип события;

- результат события.

К подсистеме аудита могут быть предъявлены следующие дополнительные требования:

- сжатие данных;

- ведение нескольких журналов аудита;

- представление данных аудита в удобной форме.

5.1 Реализация подсистемы аудита Windows 2000

Существует 3 журнала:

1) системный журнал, который ведется для критичных событий

2) (сбой системы, отказ компонентов);

3) журнал приложений, события в который добавляют приложения пользователей;

4) журнал безопасности, фиксируются записи о событиях, относящихся к безопасности.

Категории событий аудита

1) Privilege user -использование привилегий;

2) System-системные события;

3) Object access-доступ к объектам;

4) Logon- вход в систему;

5) Policy change- изменение политики безопасности, и др.

Для просмотра событий имеются средства просмотра событий аудита и администратор может определить реакцию системы на переполнение журнала аудита, которое может быть представлено:

- остановка системы;

- запрет функционирования системы аудита;

- удаление старых записей;

6. Уязвимость

Уязвимость - это некоторая слабость, которую можно использовать для нарушения безопасности системы или содержащейся в ней информации.

Уязвимости могут возникать из-за следующих причин:

1) логическая ошибка, которая может содержаться в операционной системе или пользовательском приложении (ошибка реализации механизма безопасности);

2) слабость, т.е. такой механизм, что его использование при определенных условиях приводит к нарушению безопасности (устаревшее аппаратное программное обеспечение, небезопасная конфигурация) ;

3) некорректное использование системы, пользователи системы сами нарушают политику безопасности, которая создает условия для успеха атаки.

Уязвимость характеризуется:

1) ошибка и тип ошибки, приводящей к образованию уязвимости;

2) последствия, т.е. степенью компрометации безопасности системы (получение нарушителем прав администратора, получение доступа к системе с правами авторизированного пользователя, получение несанкционированного доступа к защищенным файлам, отказ системы или её функциональной части в обслуживании);

3) авторизация (права, необходимые нарушителю для осуществления атаки и определения его уровня возможностей);

4) местонахождение (представляет необходимость физического доступа нарушителя для проведения атаки):

- доступ к системному серверу;

- доступ к сети;

При проектировании систем процесс занесения уязвимости состоит из следующих этапов (процедур):

1) обнаружение уязвимостей;

2) оповещение пользователей;

3) присвоение уязвимости идентификатора, на основе которого она будет распознаваться или именоваться;

4) предложение для включения в список уязвимостей новых уязвимостей;

5) модификация (изменение) характеристик уязвимостей;

6) публикация (оповещение списка уязвимостей);

7) переоценка (изменение списка уязвимостей).

6.1 Ошибки, приводящие к уязвимости

1) ошибки синхронизации (несовпадение событий);

2) ошибки проверки условий;

3) ошибки проверки входных данных;

4) ошибка переполнения буфера, данные выходят за пределы буфера и ссылки за продолжение работы программы, за пределом буфера могут быть перехвачены злоумышленником. Атаки на переполнение буфера могут быть связаны с:

- адрес возврата из функции (управление может быть передано на код нарушителя);

- указатель на функцию;

- указатель на данные.

5) ошибки администрирования:

- ошибки конфигурации;

- ошибки окружения.

6.2 Поиск уязвимостей в процессе разработки и анализа систем

Поиск уязвимостей может осуществляться в два этапа:

1) анализ исходных текстов программ (статика);

2) динамический анализ безопасности программ.

При статическом анализе решаются следующие задачи:

1) исследование структуры программ;

2) выделение набора стандартных функций;

3) выявление способов и целей взаимодействия программы с внешними устройствами и ресурсами;

4) поиск типовых уязвимостей;

5) поиск разрушающих средств в коде программы.

Динамический анализ: исследование поведения программы под воздействием разнообразной входной информации с обеспечением полного контроля использования внешних устройств и системных ресурсов.

К средствам динамического анализа относятся:

- автоматизированные отладчики;

- средства мониторинга.

Отладчики:

1) программа NuMegaBoundsChecker осуществляет детальный анализ ошибок программирования на С++, диагностирует ошибки в статической памяти, в стеке и "куче".

Позволяет спроектировать трассу отлаживаемого приложения в виде дерева функций с указанием адреса вызова, значения аргументов и результатов вывода;

2) программа Rational Software Purify - служит отладчиком, оптимизатором, проверяет элементы Ole и Activex, библиотеки системы компоновки (MFC); компоненты Visial Basic, Internet и приложения Microsoft Office, приложения, выполняющиеся в режиме эмуляции WinCe под управлением Windows NT.

Кроме динамического анализа исполняемого кода существуют программы мониторинга, обращения к файловой системе и системному реестру: Filemon, Regmon.

Комбинация графической среды пользователя и драйвер-устройств; драйверы регистрируют в системе и перехватывают обращения к системе и системному реестру, при этом отсеиваются обращения всех запущенных приложений; оболочка пользователя служит для отображения информации о перехваченных обращениях и настройки драйверов.