Файл: Безопасность серверных операционных систем.pdf

Факт наличия ценность данных был осознан людьми очень давно – недаром переписка влиятельных личностей издавна была объектом пристального внимания их недругов. Именно в то время возникла задача защиты переписки. Для решения этой задачи использовались самые разнообразные методы, одним из которых была тайнопись – умение составлять сообщения так, чтобы его смысл был доступен только посвященным в тайну. Существуют свидетельства зарождения тайнописи еще в доантичные времена. На протяжении всей своей многовековой истории данный вид искусства служил немногим, в основном верхушке общества, не выходя за пределы резиденций глав государств, посольств и разведывательных миссий. Но несколько десятилетий назад информация приобрела самостоятельную коммерческую ценность и стала широко распространенным товаром, следовательно, ее необходимо защищать. Возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.

В данной работе рассмотрено само понятие контроля доступа и его основные задачи. Во второй части работы были рассмотрены методы защиты информации. Были рассмотрены основные виды угроз информационной безопасности, а также основные методы борьбы с ними. В качестве основных методов защиты были выделены ограничение доступа, разграничение и контроль доступа, разделение привилегий на доступ, идентификация и установление подлинности объекта, криптографические преобразования информации, а также правовые и организационные методы защиты информации.

1. Доступ к данным

1.1. Контроль доступа

Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.

Контроль доступа является одним из самых важных элементов защиты ПК и информации на нём. Доступ к защищённой информации должен быть ограничен, чтобы только люди, которые имеют право доступа, могли получать эту информацию. Компьютерные программы и во многих случаях чужеродные компьютеры посредством локальной сети, Интернета, беспроводной сети могут получить секретную информацию, которая не предназначена им. Это может нанести как финансовые, так и информационные потери^{^[1]}.

В связи с этим необходим механизм контроля доступа к защищённой информации. Сложность механизмов контроля доступа должна быть в паритете с ценностью информации, то есть чем более важной или ценной информация является, тем более сложными должны быть механизмы контроля доступа.

Основными механизмами контроля доступа являются идентификация и аутентификация^{^[2]} [1, 3].

1.2. Задачи, решаемые ограничением доступа

1.2.1. Блокирование доступа к настройкам операционной системы

Непродуманные действия начинающих пользователей часто приводят к тем или иным проблемам в работе отдельных приложений или операционной системы. Как показывает практика, для немалой категории пользователей лучше вообще запретить всё, что только можно запретить, иначе ни о какой стабильной работе на компьютере не может быть и речи. И это понятно, ведь достаточно всего лишь случайно удалить, например, драйвер монитора, как изображение на экране перестанет радовать глаз. Если же удалить принтер, то печать документов станет невозможной, а при изменении сетевых настроек компьютер перестанет работать в локальной сети и т.п. Для предотвращения подобных ситуаций необходимо блокировать все действия пользователя, которые могут повлечь за собой неработоспособность компьютера^{^[3]}.

Кроме того, имеется немало настроек, изменение которых не имеет столь неприятных последствий, но вызывает определенные неудобства у других пользователей. К таким настройкам относятся, в частности, параметры свойств экрана, способ отображения файлов и папок, наличие определенных ярлыков на рабочем столе и в меню «Пуск», внешний вид стандартных папок и ярлыков и т.п. Наибольшее число проблем такие, казалось бы, неопасные на первый взгляд изменения вызывают в учебных заведениях, где учащиеся и студенты считают своим долгом настроить компьютер экстраординарным образом, нимало не заботясь о том, что, например, экстравагантное оформление экрана может вызывать у других пользователей утомление и головную боль, а измененный вид папок «Мой компьютер», «Корзина» и пр. потребует у них много времени на поиск и открытие. В итоге получается, что для пользы дела приходиться блокировать возможность подобных изменений настроек, ибо в противном случае о плодотворном образовательном процессе довольно быстро придется забыть^{^[4]}.

Ограничив доступ разумными рамками, можно предотвратить совершение пользователями таких действий, которые так или иначе могут привести к нестабильности работы системы или к неудобству выполнения тех или иных операций^{^[5]} [2, 4, 6].

1.2.2. Защита файлов и папок операционной системы и установленных приложений

Нередко бывает, что недостаточно подготовленные пользователи умудряются в мгновение ока удалить с компьютера папки с файлами операционной системы или какого-либо приложения, или, что еще хуже, переместить их в неизвестное место, не заметив при этом даже названия удаляемой или перемещаемой папки. Часто это имеет место в учебных учреждениях, особенно при изучении тем работы с файловой системой в среде Windows или в файловых менеджерах. Результат оказывается плачевным, так как далеко не всегда юных экспериментаторов удается вычислить до момента очистки корзины, и в итоге немало времени уходит на восстановление информации. С перемещением еще хуже, ведь вначале приходится опытным путем выяснять, что же все-таки было перемещено, а затем искать соответствующие папки по всему диску и возвращать их на место^{^[6]}.

Конечно, информацию в обоих случаях чаще всего удается восстановить, но это требует спокойной обстановки и немалого времени. Поэтому гораздо разумнее при помощи соответствующих утилит настроить параметры так, чтобы, например, папки с конкретными приложениями были недоступны, но в то же время сами приложения можно было запускать^{^[7]} [4, 6].

1.2.3. Контроль за использованием приложений и ограничение времени доступа

Необходимость такого контроля и ограничений по времени, как правило, возникает в учебных учреждениях, когда необходимо ограничить студентов перечнем изучаемых по программе программных продуктов, и на домашних компьютерах при доступе к ним детей, чтобы регулировать перечень допустимых приложений и время сидения ребенка за компьютером^{^[8]}.

Самое простое для решения данной проблемы — воспользоваться специализированной утилитой, которая позволит четко определить, какие программы и в какое время можно запускать, а какие — нельзя никогда и ни при каких обстоятельствах^{^[9]} [1, 3].

1.2.4. Защита персональных данных

Проблема защиты персональных файлов и папок неизбежна, если за компьютером работает несколько человек. Такая ситуация может возникнуть дома, например, при необходимости оградить ребенка от непредназначенной ему информации, а может и на работе, где даже при наличии у каждого пользователя собственного компьютера возможны моменты, когда приходится пускать за свой ПК другого сотрудника. В обоих случаях совсем не хочется демонстрировать посторонним какие-то свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно», а просто потому, что никто не любит вмешательства посторонних в свои дела^{^[10]}.

Есть и более важная сторона вопроса. Всегда ли вы можете спокойно доверить свои материалы кому бы то ни было? Скорее всего, нет, ведь совсем не исключено, что ваши файлы и папки могут оказаться удаленными или измененными неподготовленным пользователем по чистой случайности. А заблокировав доступ к ним, вы можете не переживать, что с вашими документами что-либо случится по вине постороннего^{^[11]}.

Кроме того, не стоит сбрасывать со счетов и то, что, если ваши материалы представляют какую-то коммерческую ценность, не исключена ситуация, что ими захотят воспользоваться в неблаговидных целях^{^[12]}.

Все эти проблемы исключаются путем создания секретных папок или даже секретных дисков с персональной информацией, которые, в зависимости от варианта ограничения доступа и от выбранного приложения, могут быть как полностью скрытыми от других пользователей, так и видимыми, но недоступными для них. В обоих случаях другие пользователи без знания вашего пароля не смогут получить доступ к данным материалам, изменить или удалить их^{^[13]} [1, 4, 6, 7].

1.2.5. Блокирование доступа к компьютеру

При работе в офисе даже при наличии собственного компьютера пользователи не в состоянии находиться рядом с компьютером постоянно, и потому нередки ситуации, когда включенный компьютер оказывается без присмотра. К сожалению, такими моментами могут воспользоваться заинтересованные в ваших материалах сотрудники^{^[14]}.

Первый приходящий в голову способ обезопасить себя от таких незваных гостей — установить пароль на заставку, но это совсем не лучший вариант, так как при перезагрузке пароль с заставки можно снять без особых проблем. Гораздо надежнее — полностью заблокировать компьютер при помощи специальных программных средств, которые никого (а иногда даже администратора) не подпустят к компьютеру без знания пароля даже при перезагрузке Windows в безопасном режиме^{^[15]} [4, 7].

1.2.6. Блокирование доступа к устройствам

Встроенные механизмы распределения прав доступа и задания политик безопасности в ОС семейства Windows не позволяют контролировать доступ к потенциально опасным устройствам: дисководам и CD-ROM, а также к FireWire и инфракрасным портам, к WiFi- и Bluetooth-адаптерам и пр. В то же время использование неавторизованных устройств представляет немалую угрозу безопасности данных. С одной стороны, данные могут быть похищены, ведь при открытом доступе нет никакой сложности в том, чтобы записать информацию на внешний носитель, а с другой — данные на компьютере могут быть видоизменены. Вариантов тут много. Например, сетевые и локальные компьютеры часто страдают от вирусов, троянов и других вредоносных программ, нередко заносимых со сменных носителей. Не менее неприятна ситуация бесконтрольной установки ПО^{^[16]}.

Конечно, можно целиком отключить устройства в BIOS на каждом компьютере, но это не выход, ибо данная операция требует массу времени и в случае необходимости работы с устройством придется каждый раз обращаться в BIOS и вновь включать это устройство. И здесь гораздо важнее контролировать доступ к устройствам, введя разумные ограничения в зависимости от конкретной ситуации. Можно, например, установить доступ «Только чтение» для части сменных носителей и ограничить установку с них ненужных программ^{^[17]} [3, 8].

2. Методы защиты информации

2.1. Угрозы безопасности

С позиции обеспечения безопасности информации в компьютерных системах такие системы целесообразно рассматривать в виде единства трех компонент, которые оказывают взаимное влияние друг друга.

Схема данных компонент представлена на рисунке 1.

Рис. 1. Компоненты компьютерных систем

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности^{^[18]}.

Под угрозой безопасности информации понимается потенциально возможное явление, процесс или событие, имеющие возможность привести к уничтожению, утрате доступности, конфиденциальности или целостности информации.

Схематически классификация угроз безопасности информации представлена на рисунке 2.

Рис. 2. Угрозы безопасности информации в компьютерных системах

Угрозы, не связанные с преднамеренными действиями злоумышленников и реализующиеся в случайные моменты времени, называют случайными или непреднамеренными^{^[19]} [2].

2.2. Методы защиты информации

При наличии простых средств хранения и передачи информации существовали и до сих пор не потеряли значения такие методы ее защиты от преднамеренного доступа, как: