Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
Такой эксперимент имеет под собой весьма жизненную основу, например при размножении системы на другие компьютеры по сети. Поэтому единственным способом дублирования системы на другие компьютеры следует считать использование команды cpio.
Права доступа и владельцы некоторых файлов по умолчанию не соответствуют базе данных контроля целостности системы. Авторами не исследовались вопросы влияния этих несоответствий на безопасность и целостность работы системы.
267
Будем считать, что действие контролируется, если можно вычислить реального пользователя, который его осуществил. Концептуально при построении ОС UNIX некоторые действия нельзя контролировать на уровне действий реального пользователя. Например, пользовательские бюджеты, такие как 1р, сгоп или uucp, используются анонимно и их действия можно обнаружить только по изменениям в системной информации.
Система контроля регистрирует события в системе, связанные с защитой информации, записывая их в контрольный журнал. В контрольных журналах возможна фиксация проникновения в систему и неправильного использования ресурсов. Контроль позволяет просматривать собранные данные для изучения видов доступа к объектам и наблюдения за действиями отдельных пользователей и их процессов. Попытки нарушения защиты и механизмов авторизации контролируются. Использование системы контроля дает высокую степень гарантии обнаружения попыток обойти механизмы обеспечения безопасности. Поскольку события, связанные с защитой информации, контролируются и учитываются вплоть до выявления конкретного пользователя, система контроля служит сдерживающим средством для пользователей, пытающихся некорректно использовать систему.
В соответствии с требованиями к надежным системам ОС должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым ОС. При этом должна быть возможность регистрации следующих событий:
• использование механизма ИА;
• внесение объектов в адресное пространство пользователя (например, открытие файла);
• удаление объектов;
• действий администраторов и других событий, затрагивающих ИБ.
Каждая регистрационная запись должна включать в себя следующие поля.
1. Дата и время события.
2. Идентификатор пользователя.
3. Тип события.
4. Результат действия.
Для событий ИА регистрируется также идентификатор устройства. Для действий с объектами регистрируются имена объектов. Поддерживаемые типы событий и их содержание при ИА представлены в табл. 5.2.
Система контроля использует системные вызовы и утилиты для классификации действий пользователей, подразделяя их на события различного типа. Например, при возникновении события типа «DAC Denials* (отказ доступа при реализации механизма изби-
268
Таблица 5.2 Поддерживаемые типы событий и их содержание при ИА
№ п/п Тип Содержание
1 Startup / Shutdown Старт (загрузка) / выгрузка системы
2 Login I Logout Успешный вход и выход из системы
3 Process Create / Delete Создание / уничтожение процесса
4 Make Object Available Сделать объект доступным (открыть файл, открыть сообщения, открыть семафор, монтировать файловую систему и т.д.)
5 Map Object to Subject Отобразить объект в субъект (выполнение программы)
6 Object Modification Модификация объекта (запись в файл и т.д.)
7 Make Object Unavailable Сделать объект недоступным (закрыть файл, закрыть сообщение, закрыть семафор, размонтировать файловую систему и т.д.)
8 Object Creation Создание объекта (создание файла/сообщения/семафора и т.д.)
9 Object Deletion Удаление объекта (удаление файла/сообщения/семафора и т.д.)
10 DAC Changes Изменение разграничения доступа (изменение доступа к файлу, сообщению, семафору, изменение владельца и т.д.)
11 DAC Denials Отказ доступа (отсутствие прав доступа к какому-либо объекту)
12 Admin / Operator Actions Действия (команды) системных администраторов и операторов
13 Insufficient Authorization Процессы, которые пытаются превысить свои полномочия
14 Resource Denials Отказы в ресурсах (отсутствие необходимых файлов, превышение размеров памяти и т.д.)
15 IPC Functions Посылка сигналов и сообщений процессам
16 Process Modifications Модификации процесса (изменение эффективного идентификатора процесса, текущего справочника процесса и т.д.)
17 Audit Subsystem Events События системы контроля (разрешение/запрещение системного контроля и модификация событий контроля)
18 Database Events События базы данных (изменение данных безопасности системы и их целостности)
269
Окончание табл. 5.2
№ п/п Тип Содержание
19 Subsystem Events События подсистемы (использование защищенных подсистем)
20 Use of Authorization Использование привилегий (контроль действий с использованием различных привилегий)
рательного разграничения доступа) регистрируются попытки такого использования объекта, которые не допускаются разрешениями для этого объекта. Иными словами, если пользовательский процесс пытается писать в файл с доступом «Только для чтения», то возникает событие типа «DAC Denials*. Если просмотреть контрольный журнал, то можно увидеть повторяющиеся попытки доступа к файлам, на которые не получены разрешения.
