Защита информации от несанкционированного доступа 1 страница

• 6.1. Ограничение доступа при загрузке MS-DOS
• 6.2. Защита дискет от копирования
• 6.3. Защита программ на жестком диске
• 6.4. Защита программ от трассировки

В этой главе мы рассмотрим некоторые способы организации защиты информации от несанкционированного копирования и несанкционированного доступа. Практически все эти способы используют специальные методы работы с дисками, поэтому мы и расположили данный материал в книге, посвященной дисковой подсистеме.

Прежде чем начинать проектирование системы защиты от несанкционированного доступа, нужно совершенно четко себе представлять, что именно и от кого вы собираетесь защищать. Это необходимо для правильного выбора средств защиты.

Не существует никаких "абсолютно надежных" методов защиты информации, гарантирующих полную невозможность получения несанкционированного доступа (НСД). Можно утверждать, что достаточно квалифицированные системные программисты, пользующиеся современными средствами анализа работы программного обеспечения (отладчики, дизассемблеры, перехватчики прерываний и т.д.), располагающие достаточным временем, смогут преодолеть практически любую защиту от НСД. Этому способствует "открытость" операционной системы MS-DOS, которая хорошо документирована и предоставляет любой программе доступ к любым программным и аппаратным ресурсам компьютера.

Поэтому при проектировании системы защиты от НСД следует исходить из предположения, что рано или поздно эта защита окажется снятой. Целью проектирования, по мнению авторов книги, должен быть выбор такого способа защиты, который обеспечит невозможность получения НСД для заранее определенного круга лиц и в течение ограниченного времени.

Например, если вы собираетесь защитить от копирования коммерческую версию вашей программы, вам необязательно защищать эту версию от копирования "навсегда" - стоимость такой защиты может превысить стоимость самой программы. Вполне достаточно, чтобы способ защиты было невозможно "разгадать" к моменту появления следующей версии вашей программы, так как в новой версии вы сможете изменить этот способ.

Короче говоря, уровень защиты должен быть таким, чтобы было бы выгоднее купить программу, а не заниматься снятием защиты от копирования.

Иногда защищать программы от копирования вообще нецелесообразно. Фирма Microsoft в основном не защищает от копирования свои программные продукты. Для привлечения покупателей она устанавливает низкие цены на свои изделия и обеспечивает сопровождение на высоком уровне. Новые версии программ продаются зарегистрированным пользователям со значительными скидками. Эти версии появляются достаточно быстро, поэтому имеет смысл покупать новые версии, а не копировать старые.

Таким образом, для выбора способа организации защиты от НСД и от копирования необходим индивидуальный подход в каждом конкретном случае.

Все средства защиты от НСД можно разделить на аппаратные и программные.

Аппаратные средства защиты могут быть реализованы в виде специальных модулей, устанавливаемых в слоты расширения материнской платы компьютера, либо подключаемых к последовательному порту ввода/вывода. Эти модули могут содержать однокристальные микро-ЭВМ или специальные заказные микросхемы, выполняющие обмен кодовыми последовательностями с программой. Можно также использовать специальные версии BIOS.

В нашей книге мы будем рассматривать только программные средства защиты от НСД, так как они доступны, не требуют специального оборудования и вместе с тем дают неплохие результаты.

Мы рассмотрим программные средства, которые блокируют доступ к компьютеру для всех посторонних лиц еще на этапе загрузки операционной системы, опишем способы защиты от копирования дискет, защиты от копирования программ, находящихся на жестком диске.

Кроме того, небольшой раздел этой главы посвящен вопросам защиты программ от отладки. Те участки программ, которые отвечают за защиту от НСД, желательно составлять таким образом, чтобы они работали по-разному в зависимости от того, выполняются они в реальном времени, или под управлением какого-либо отладчика, например, CodeView.

Приведенный в этой главе перечень способов защиты от НСД не претендует на полноту, мы продемонстрируем лишь основные приемы защиты от НСД и приведем некоторые программы. Вы сможете использовать их в таком виде, как они есть или в измененном вами виде. Проблема защиты информации от НСД неисчерпаема, приступая к ее решению, помните о вечной борьбе брони и снаряда.

Вопрос 28: Структура сетевой ОС.

Структура сетевой операционной системы

Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети в значительной степени автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам - протоколам. В узком смысле сетевая ОС - это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети.

Рис. 1.1. Структура сетевой ОС

В сетевой операционной системе отдельной машины можно выделить несколько частей (рисунок 1.1):

• Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, пла­нирования и диспетчеризации процессов, управления процессорами в мультипроцессорных машинах, управления пери­ферийными устройствами и другие функции управления ресурсами локальных ОС.
• Средства предоставления собственных ресурсов и услуг в общее пользование - серверная часть ОС (сервер). Эти средства обес­печивают, например, блокировку файлов и записей, что необходимо для их совместного использования; ведение спра­вочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам.
• Средства запроса доступа к удаленным ресурсам и услугам и их использования - клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей, при этом запрос поступает от приложения в локальной форме, а передается в сеть в другой форме, соответствующей требо­ваниям сервера. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо.
• Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адреса­цию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., то есть яв­ляется средством транспортировки сообщений.

В зависимости от функций, возлагаемых на конкретный компьютер, в его операционной системе может отсутствовать либо клиентская, либо серверная части.

На рисунке 1.2 показано взаимодействие сетевых компонентов. Здесь компьютер 1 выполняет роль "чистого" клиента, а ком­пьютер 2 - роль "чистого" сервера, соответственно на первой машине отсутствует серверная часть, а на второй - клиентская. На рисунке отдельно показан компонент клиентской части - редиректор. Именно редиректор перехватывает все запросы, поступающие от прило­жений, и анализирует их. Если выдан запрос к ресурсу данного компьютера, то он переадресовывается соответствующей подсистеме локальной ОС, если же это запрос к удаленному ресурсу, то он переправляется в сеть. При этом клиентская часть преобразует запрос из локальной формы в сетевой формат и передает его транспортной подсистеме, которая отвечает за доставку сообщений указанному серверу. Серверная часть операционной системы компьютера 2 принимает запрос, преобразует его и передает для выполнения своей локальной ОС. После того, как результат получен, сервер обращается к транспортной подсистеме и направляет ответ клиенту, выдав­шему запрос. Клиентская часть преобразует результат в соответствующий формат и адресует его тому приложению, которое выдало запрос.

Рис. 1.2. взаимодействие компонентов операционной системы при взаимодействии компьютеров

На практике сложилось несколько подходов к построению сетевых операционных систем (рисунок 1.3).

Рис. 1.3. Варианты построения сетевых ОС

Первые сетевые ОС представляли собой совокупность существующей локальной ОС и надстроенной над ней сетевой обо­лочки. При этом в локальную ОС встраивался минимум сетевых функций, необходимых для работы сетевой оболочки, которая выпол­няла основные сетевые функции. Примером такого подхода является использование на каждой машине сети операционной системы MS DOS (у которой начиная с ее третьей версии появились такие встроенные функции, как блокировка файлов и записей, необходимые для совместного доступа к файлам). Принцип построения сетевых ОС в виде сетевой оболочки над локальной ОС используется и в совре­менных ОС, таких, например, как LANtastic или Personal Ware.

Однако более эффективным представляется путь разработки операционных систем, изначально предназначенных для работы в сети. Сетевые функции у ОС такого типа глубоко встроены в основные модули системы, что обеспечивает их логическую стройность, простоту эксплуатации и модификации, а также высокую производительность. Примером такой ОС является система Windows NT фирмы Microsoft, которая за счет встроенности сетевых средств обеспечивает более высокие показатели производительности и защи­щенности информации по сравнению с сетевой ОС LAN Manager той же фирмы (совместная разработка с IBM), являющейся надстрой­кой над локальной операционной системой OS/2.

Нужно ли рассказывать о:

- Одноранговые сетевые ОС и ОС с выделенными серверами

- ОС для рабочих групп и ОС для сетей масштаба предприятия

Вопрос 29: Классификация угроз безопасности ОС.

Классификация угроз безопасности ОС:

1. по цели реализации:

несанкционированное чтение информации

несанкционированное изменение информации

несанкционированное удаление информации

полное или частичное разрушение ОС (разрушение – это комплекс воздействий от кратковре­менного вывода отдельных модулей из строя до физических стираний системных файлов)

2. по принципу воздействия

§ использование известных каналов получения информации (несанкционированное чтение фай­лов, доступ к которым запрещен)

§ использование скрытых каналов получение информации (использование недокументирован­ных функций)

§ создание новых каналов получения информации (при разработке системы (какие-либо за­кладки))

3. по характеру воздействия на ОС

активное воздействие

пассивное воздействие (наблюдение за процессами)

4. по типу использования слабой защиты

ü использование неадекватной политики безопасности, в том числе ошибки администратора

ü использование ошибок и недокументированных возможностей программного обеспечения (служебные закладки)

5. по способу воздействия на объект атаки

непосредственное воздействие

превышение пользователя своих полномочий

работа от имени другого пользователя

использование результатов работы другого пользователя

6. по способу действия злоумышленника

· можно работать в интерактивном режиме (пошагово, вручную)

· либо в пакетном режиме

7. по объекту атаки

ОС в целом

Объект ОС (пользователи, процессы, запущенные от их имени)

Каналы передачи данных

8. по использованным средствам атаки

штатные средства ОС без использования дополнительного программного обеспечения

программное обеспечение третьих фирм

специально разработанное программное обеспечение

9. по состоянию атакуемого объекта на момент состояния (хранение, передача, обработка инфор­мации)

Вопрос 30: Понятие защищенной ОС. Подходы к построению защищенной ОС.

ОС называется защищенной, если она предусматривает средства защиты от основных классов угроз (см. выше). ОС частично-защищенная, если предусматриваются не все средства защиты.

Политика безопасности – это набор норм, правил и практических приемов, регулирующих порядок хранения и обработки ценной информации. В отношении ОС политика безопасности определяет то, какие пользователи могут работать, к каким доступ, какие события должны регистрироваться в журнале событий и т.д.

Адекватная политика безопасности – это такая политика безопасности, которая обеспечивает доста­точный уровень безопасности ОС. Адекватная политика безопасности – это необязательно та политика безопасности, при которой достигается максимальный уровень защищенности ОС. Два подхода к созданию защищенной ОС:

1. комплексный (механизм защиты внедряется на стадии разработки ОС; на момент создания сис­темы должна быть продумана линия зашиты)

2. фрагментальный (простота, но система не гарантирует защиты от комплексных угроз). Пре­имущества: защиты организуется одним модулей, относительная дешевизна.

Стандарт защищенности (оранжевая книга):

1) отсутствие криптографических средств защиты информации

2) отсутствие вопросов защиты типа «отказ в обслуживании»

3) отсутствие защиты от программных закладок

4) недостаточно рассматриваются вопросы взаимодействия нескольких экземпляров защищен­ных систем в локальной или глобальной сети

Документы:

1. средства вычислительной техники (СВТ) (защита от MSD информации, показатели защищенно­сти от MSD информации). Рассматриваются требования к обеспечению защищенности отдель­ных программно-аппаратных компонентов (элементов) и защищенных комплексных систем. Под СВЧ понимаются не только аппаратные средства, но и совокупность программ и техниче­ских элементов систем обработки данных, способных функционировать самостоятельно либо в составе других систем. Для СВЧ 7 классов защищенности.

2. автоматическая система (АС) (защита от MSD информации, классификация АС и требования по защите информации). Все АС делятся на 3 группы. В каждой существует своя иерархия.

Группа 3 – однопользовательские системы. Делятся на 2 класса.

Класс 3Б – осуществляется проверка подлинности доступа при входе в систему, регистрация входа и выхода, учет используемых носителей (диски и т.д.)

Класс 3А – выполняются все требования класса 3Б + регистрация распечатки документов и физиче­ская очистка очищаемой аппаратной области и внешней памяти.

Группа 2:

Класс 2В – многопользовательские системы, в которых пользователи имеют равные права.

Класс 2Б – проверка подлинности пользователей, регистрация и т.д. (как в 3Б).

Класс 2А – выполняются все требования 2Б, избирательные разграничения доступа, регистрация со­бытий, потенциально опасных для поддержания защищенности системы, физическая очистка внешней и оперативной памяти, наличие подсистемы шифрования конфиденциальной информации, использование сертифицированных алгоритмов.

Группа 1 – многопользовательские системы, в которых пользователи имеют различные полномочия доступа информации.

Класс 1Д – должна проверяться подлинность пользователя, регистрация входа и выхода, учет внеш­них носителей информации.

Класс 1Г – предыдущие + избирательные разграничения доступа, регистрация событий, потенци­ально опасных для поддержания безопасности, и физическая очистка очищаемой аппаратной области и внешней памяти.

Класс 1В – предыдущие + полномочные разграничения доступа, усилены требования для поддержа­ния опасных для поддержания защищенности системы, интерактивное оповещение администратора системы о попытках несанкционированного доступа.

Класс 1Б – предыдущие + наличие подсистемы шифрования конфиденциальной информации и ис­пользование сертифицированных алгоритмов.

Класс 1А – предыдущие + различные субъекты доступа используют различные ключи.

Если ОС сертифицирована по некоторому классу защищенности, то это не означает, что информа­ция хранится и обрабатывается в этой системе согласно классу защищенности. Безопасность определяется не только архитектурой ОС, но и политикой безопасности. Сертификация ОС по некоторому классу защиты, как правило, сопровождается составлением требо­ваний к адекватной политике безопасности при неукоснительном выполнении которой защищенность ОС будет соответствовать требованиям защищенности класса защиты.

UNIX: Для выполнения требования С2 необходимо:

запретить вход в систему без ввода пароля;

использовать только файловую систему NTFS;

запрещать использовать пароль из символов менее 6 символов;

запрещать иммуляцию приложений OS/2 и POSIX;

запрещать анонимный и гостевой доступ;

запрещать доступ любых отладчиков;

тумблер питания и перезагрузка недоступна пользователю;

запрещать завершение работы ОС без входа пользователя в систему;

политика безопасности в отношении журнала аудита таким образом, что при переполнении жур­нала безопасности ОС перестанет работать. Восстановление работы только с именем и пра­вами администратора;

запрещено разделение между пользователями ресурсов сменных носителей информации;

запись в системный каталог и файлы инициализации разрешена только администратору и систем­ным процессам.

Вопрос 31: Архитектура Windows NT. Основные модули Windows NT.

Архитектура Windows NT

Window NT – 32-разрядная с приоритетом вытесняющая многозадачность.

Размер приложений – 4 Гб (2 для кода, 2 для данных).

Приоритет говорит о том, что используется квантование и т.д.

Архитектура:

Начиналась с нуля.

1. Сохранение интерфейса Windows 3.0, 3.11

2. Сохранение поддержки существующей файловой системы FAT.

3. Возможность использования программ, написанных на других ОС.

Поддерживает файловые системы: NTFS, FAT, STFS, FAT 32.

4. Обладает переносимостью, может работать на CISK, RISK процессорах архитектуры.

5. Каждая команды занимает адресное пространство операндов (уточнить).

6. У RISK команд меньше, в CISK более сложная архитектура, выполняется яза несколько тактов.

7. Масштабированность: эта ОС не привязана к однопроцессорной архитектуре компьютера.

8. Однородная система безопасности: средства безопасности изначально заложены.

9. Возможность распределенной обработки приложений.

10. Надежность и отказоустойчивость (в режиме пользователей защищена от несанкционированного доступа).

11. Возможность локализации (возможность поддержки различных иностранных языков).

12. Расширяемость (можем добавить произвольный модуль, изменить или удалить).

При разработке ОС использовалась концепция микроядра.

ОС разделена на подсистемы, который выполняют определенный набор сервисных функций.

Часть работают в системе пользователей, часть – в системе ядра.

Приложение, переведенное в нулевой уровень, может обращаться к адресному пространству другого (в системе ядра; в сис­теме пользователей нельзя, здесь приложения выполняются независимо).

Часть системы, работающая в системе ядра, называется исполнительной частью (NT executive).

WIN 32 может взаимодействовать с сервисами.

1. Менеджер объектов создает, удаляет и управляет объектами.

2. Менеджер ссылок устанавливает правила защиты на локальные машины.

3. Менеджер процессов создают, удаляет, приостанавливает, возобновляет процессы, хранит информацию о каждом про­цессе.

4. СВЛП LPC – вызов LPC и RPC (удаленные процедуры).

5. Менеджер виртуальной памяти управляет сегментной архитектурой.

Менеджер ввода-вывода поддерживает различные файловые системы, входят драйверы устройств и т.д. Также есть FAT, менеджер cash, менеджер контроллеров.

HAL – уровень аппаратных абстракций – создаваемый ……………, скрывающий особенности и различия аппаратуры от верхних уровней ОС. Благодаря этому, аппаратные средства выглядят аналогично с точки зрения ОС.

Ядро работает в привилегированном режиме и никогда не выгружается из памяти.

POSIX, WIN 32, OS\2 работают в режиме пользователя, каждая подсистема опрашивает каждый запрос.

Центральная подсистема WIN 32 – доставляет компонентам и приложениям набор функций для использования. Обеспе­чивает графический интерфейс и управляет вводом-выводом для приложений.

Ядро управляет двумя типами объектов:

Объекты диспетчеризации (1)

Управляющие объекты (2)

(1) хранятся сигнальные состояния (включен - выключен), управляет диспетчеризацией.

(2) Используется для операций управления ядра.

Объекты диспетчеризации Управляющие процессы

1) EVENT 1) ASGNERONOUS

2) NUTANT 2) INTERRURT

3) MUTEX 3) PROCESS

4) SEMAPHONE 4) PROFILE

5) THREAD

6) TIMER

Объекты диспетчеризации:

EVENT – для записи местонахождения событий и синхронизации с некоторым выполнением действий.

NUTANT – один из двух объектов, который используется ядром для контроля над общим монопольным доступом к ре­сурсам; применяется для обеспечения в пользовательском режиме механизма взаимного исключения.

MUTEX – второй объект, который используется ядром для контроля над общим монопольным доступом к ресурсам; ис­пользуется в режиме ядра. Служит для обеспечения беступиковых механизмов.

SEMAPHONE – используется для управления доступа к ресурсу. Через него может проходить определенное число нитей управления.

THREAD – выполняет программный код. Каждая нить управления связана с объектом процесса.

TIMER – фиксированный ………………………. и прерывание операций по timeout.

Управляющие процессы:

Асинхронный вызов процесс использует для прерывания управления определенной нити управления и передаче управления вызывающей процедуре в определенном режиме работы процессора – ASG.

INTERRURT – для соединения источника прерывания и процедуры обслуживания прерывания.

PROCESS – объект, описывающий процесс. Содержит указатель на карту адресов, список готовых нитей управле­ния, базовые приоритеты, свойства времени, статистика.

PROFILE – используется для определения времени выполнения внутри блока кода.

Ядро не обеспечивает поведение жизни в линии политики. Этим занимается исполняющая система.

Диспетчер объектов:

Тип объектов включает:

- Определенный системой тип данных

- Список операций, которые могут быть выполнены от данного объекта

- Набор атрибутов

Прежде чем процесс получит управление объектов, должен получить его описатель через диспетчер объектов. Описатель хранит информацию управления доступом и указатель ……..

Диспетчер объектов управляет глобальным …………….. имен.

Имена могут иметь следующие типы объектов:

- Объекты каталога

- Объекты типа данных

- Объекты симфора и события

- Объекты процесса и нити управления

- Объекты порта

- Объекты файла

Каждый объект состоит из двух частей:

- Заголовок (стандарт.)

- Тело (определяется типом объекта)

Вопрос 32: Архитектура Windows NT. Уровень аппаратных абстракций.

Ядро работает в привилегированном режиме и никогда не удаляется из памяти. Обратиться к ядру можно только посредством прерывания. Ядро расположено над уровнем аппаратных абстракций (Hardware Abstraction Level HAL), который концентрирует в одном месте большую часть машинно-зависимых процедур. HAL располагается между NT executive и аппаратным обеспечением и скрывает от системы такие детали, как контроллеры прерываний, интерфейсы ввода/вывода и механизмы взаимодействия между процессорами. Такое решение позволяет легко переносить Windows NT с одной платформы на другую путем замены только слоя HAL.

Вопрос 33: Исполняющая система Windows NT.

Структурно Windows NT может быть представлена в виде двух частей: часть операционной системы, работающая в режиме пользователя, и часть операционной системы, работающая в режиме ядра (рисунок 8.1).

Часть Windows NT, работающая в режиме ядра, называется executive - исполнительной частью. Она включает ряд компонент, которые управляют виртуальной памятью, объектами (ресурсами), вводом-выводом и файловой системой (включая сетевые драйверы), взаимодействием процессов и частично системой безопасности. Эти компоненты взаимодействуют между собой с помощью межмодульной связи. Каждая компонента вызывает другие с помощью набора тщательно специфицированных внутренних процедур.

Поддержку защищенных подсистем обеспечивает исполнительная часть - Windows NT executive, которая работает в пространстве ядра и никогда не сбрасывается на диск. Ее составными частями являются:

• Менеджер объектов. Создает, удаляет и управляет объектами NT executive - абстрактными типами данных, используемых для представления ресурсов системы.
• Монитор безопасности. Устанавливает правила защиты на локальном компьютере. Охраняет ресурсы операционной системы, выполняет защиту и регистрацию исполняемых объектов.
• Менеджер процессов. Создает и завершает, приостанавливает и возобновляет процессы и нити, а также хранит о них информацию.
• Менеджер виртуальной памяти.
• Подсистема ввода-вывода. Включает в себя следующие компоненты:

1.

· менеджер ввода-вывода, предоставляющий средства ввода-вывода, независимые от устройств;

· файловые системы - NT-драйверы, выполняющие файл-ориентированные запросы на ввод-вывод и транслирующие их в вызовы обычных устройств;

· сетевой редиректор и сетевой сервер - драйверы файловых систем, передающие удаленные запросы на ввод-вывод на машины сети и получающие запросы от них;