Понятие защищенной операционной системы

Понятие защищенной операционной системы. Подходы к построению защищенных ОС. Аудит безопасности.

Типичные атаки на ОС

1. Сканирование файловой системы

2. Кража ключевой информации.

Простейший случай – подсматривание паролей, набираемых пользователем.

3. Подбор пароля.

4. Сборка мусора. В данном случае восстанавливается информация, которая помечена как удаленная, но реально не удаленная с диска или из памяти.

Например, если в памяти обрабатывался конфиденциальный документ, то после закрытия текстового редактора, можно просканировать память и выделить его.

5. Превышение полномочий. Злоумышленник использует дырки в ПО или ОС и получает полномочия, превышающие те, которые были ему выданы в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени другого пользователя или подмены динамически подгружаемой библиотеки (скрипт МЭЛТ запускался от имени администратора и копировал содержимое файлов в HTML, выдавая их другому пользователю).

6. Программные закладки.

7. Жадные программы. Так называются программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы не могут выполняться или выполняются крайне медленно и неэффективно. Часто запуск жадной программы приводит к краху ОС.

Лекция № 14

Операционная система называется защищенной, если она обеспечивает защиту от основных классов угроз, рассмотренных ранее.

Данная система должна обязательно содержать следующие компоненты:

1. Средства разграничения доступа пользователей к ресурсам.

2. Средства проверки подлинности пользователя.

3. Средства противодействия случайному или преднамеренному выводу операционной системы из строя.

Подходы к построению защищенных ОС.

2 подхода – фрагментарный и комплексный.

При фрагментарном подходе вначале организуется защита от одной угрозы, затем от другой и т.д. Пример фрагментарного подхода – когда берется незащищенная ОС, на нее устанавливается антивирусный пакет, система шифрования, регистрации действий пользователей и т.д.

Основной недостаток – система представляет собой набор разнородных программных продуктов, произведенных различными производителями. Они, как правило, работают независимо друг от друга и трудно реализовать их тесное взаимодействие. Отдельные элементы этих систем могут работать некорректно в присутствии друг друга. Отключив один элемент защиты, злоумышленник может воздействовать и на все остальные элементы.

При комплексном подходе защитные механизмы вносятся в ОС на этапе проектирования ее архитектуры и являются ее неотъемлемой частью. Отдельные части тесно взаимодействуют друг с другом. Поскольку подсистема защиты разрабатывается и тестируется в совокупности, конфликты между отдельными ее компонентами практически невозможны. При сбое одного компонента, наступает крах системы, что не позволяет злоумышленнику отключать остальные функции. Это невозможно реализовать при фрагментарном подходе.

При комплексном подходе защиту проектируют так, что отдельные ее элементы заменяемы и соответствующие программные модули могут быть заменены другими модулями, реализующими соответствующий интерфейс взаимодействия.