В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 56
Текст из файла (страница 56)
247 Близким к инференции является другой способ добывания конфиденциальных сведений — агрегирование. Под агрегированием понимается способ получения более важных сведений по сравнению с важностью тех отдельно взятых данных, на основе которых и получаются эти сведения. Так, сведения о деятельности одного отделения или филиала корпорации обладают определенным весовым коэффициентом. Данные же за всю корпорацию имеют куда большую значимость.
Если инференция и агрегирование являются способами добывания информации, которые применяются не только в отношении баз данных, то способ специального комбинирования разрешенных занросав используется только при работе с базами данных. Использование сложных, а также последовательности простых логически связанных запросов позволяет получать данные, к которым доступ пользователю закрыт.
Такая возможность имеется, прежде всего, в базах данных, позволяюших получать статистические данные. При этом отдельные записи, поля (индивидуальные данные) являются закрытыми. В результате запроса, в котором могут использоваться логические операции А)х!Р, ОВ, ХОТ, пользователь может получить такие величины, как число записей, сумма, максимальное или минимальное значение. Используя сложные перекрестные запросы и имеющуюся в его распоряжении дополнительную информацию об особенностях интересующей записи (поля), злоумышленник путем последовательной фильтрации записей может получить доступ к нужной записи.
5.4.3. Обеспечение ИБ в ОС 1)ОБ и %1г (1)0%8 Обеспечение ИБ производится через реализацию мониторов безопасности. При этом необходимо, первую очередь, корректно выбрать уровень семантического представления для объекта, который защишается. Обычно при построении монитора безопасности объекта (МБО) на уровне операционной среды им является файл. При реализации МБО в прикладной системе (в частности, в СУБД) объектом является, как правило, семантическая единица типа записи базы данных. Технически МБО для РОЯ реализуется в вице резидентной программы, являющейся «обработчиком» прерывания нп 21п.
Кроме того, РОВ позволяет реализовать файловые операции как через указатели, так и через Г!1е Сов!го! В!оск (ЕСВ). Второй механизм сохранился практически без изменений с ранних версий МЯ-РОЯ и в настояшее время прикладными программами практически не используется (исключение составляют только внутренние команды, в частности, РЕ(). 248 Приведем пример реализации «обработчика». Данная демонстрационная программа выводит в текстовом экране (в верхнем левом углу) имена открываемых (иа синем фоне) и уничтожаемых (иа красном фоне) файлов.
Программа должна быть скомпилирована в СОМ-файл. Для получения визуального эффекта для '1»(1(х(Р0%5 95/98 данную программу необходимо запустить или до запуска графической оболочки, или после выполнения «Перезагрузить компьютер в режиме МЯ-РОВ» (в РОВ-окне данная программа работать ие будет). Обеспечение безппасиости для%1(х(РОФЯ 95/98. Оио осуществляется через механизм встраивания в цепочку обработки файловых операций с использованием механизма )ЕЯ Мапааег, Этот механизм предоставляет собой интерфейс для присоединения собственных «обработчиков» избранных файловых операций. Рассмотрим реализацию процедуры журналирования запуска и открытия исполняемых модулей, реализованную внутри виртуального драйвера УХР. Основной проблемой нормальной работы мониторов безопасности является выполнение корректных операций с за(цищаемыми объектами (в данном случае — с исполняемыми файлами и журналом) внутри кода мониторов.
В рассматриваемой программе вводится специальный флаг А)геа((у 1п Нос(гег, который указывает, что при перехвате файловых операций управление попадает сразу же на их предыдущий обработчик. Затем необходимо обратить внимание иа работу с журналом (файл с:'1(ев( !08.в95). Журнал после помещения в него очередной записи закрывается (что иеобхолимо лля отказоустойчивости — пропадание питания или неустранимый сбой приложения ие привелуг к потере записи) и затем снова открывается (для того чтобы какое-либо приложение ие смогло открыть его и блокировать запись со стороны вгабв 95.ЪХР). Приведенный пример является типовым для написания мониторов безопасности систем.
Для активизации данного ЪХР можно использовать два способа. Первый способ заключается в том, что в секцию Еп(1386 файла зуьтетйп( добавляется строка вида г(еу1се = пугь к файлу ЧХР. Второй способ заключается в динамической загрузке драйвера. Оиа выполняется следующим фрагментом кода: ((тдс1ис(е <вес(1о.
(1> ((1вс1дг(е <итпс(оив.Ь> ((1вс1дс(е <вСс(11Ь.Ь> тсс парада() ( ((((ИРРК ЬСЧхР =- 0; // Динамически загружаем драйвер всаь1в95.ЧХР ЬСЧхР = свеа ер11е( ~1~1.~1ввав1в95.ЧХР, 0,0,0, 249 СВЕАТЕ НЕН, Г11Е ЕЬАО ВЕЕЕТЕ ОН СЕОЕЕ, О); 11(ПСИХО == 1НЧАЬ|В НАНЭЕЕ ЧАЕОЕ) ( ргьпСГ( Невозможно открыть виртуальный драйвер устройства ясас1я95.ЧХЭ!1п ); ех1п(-1); рг1ппг( драйвер успешно загружен1п ); С1ояеиапс)1е()тСЧХЭ); еснпп (О); Идентификация и аутентификация (ИА) в ОС %1Х!)О%8 ХТ. Сущность этих процелур состоит в том, что при входе в систему пользователь передает в системную функцию нойон()яег свое имя, пароль и имя рабочей станции или домена, в котором данный пользователь зарегистрирован. Если пользователь успешно идентифицирован, то функция !.оЕоп()ьег возвращает указатель на маркер доступа пользователя, который в дальнейшем используется при любом его обращении к защищенным обьектам системы.
Механизм ИА пользователя в ОС %!)чг!30%А ) (Т реализуется специальным процессом %!п!окоп, который активизируется на начальном этапе загрузки ОС и остается активным на протяжении всего периода ее функционирования. Ядро операционной системы регулярно проверяет состояние данного процесса, и в случае его аварийного завершения происходит аварийное завершение работы всей операционной системы. Помимо идентификации пользователя %!п!окоп реализует целый ряд других функций, таких как переключение рабочих полей (г(ея)ггор), активизация хранителей экрана, а также ряд сетевых функций.
Процесс %1п!окоп состоит из следующих модулей: ° ядро процесса %!п!одоп. ехе; ° библиотека б1ХА: (ОгарЫс Ыеп((бса((оп апс( Ац(епбсайоп— графическая библиотека ИА); линамическая библиотека функций, используемых для локальной идентификации пользователя (идентификации пользователя на рабочей станции); ° библиотеки сетевой поддержки ()х)е(ног)г РгоуЫег Е)! Ея), реализующие «удаленную» идентификацию пользователей (идентификацию пользователей, обращающихся к ресурсам сервера через сеть). Библиотека О!ХА и библиотеки сетевой поддержки являются заменяемыми компонентами процесса %!п1ояоп. Конфигурация библиотек сетевой поддержки определяется протоколами и видами сервиса поддерживаемой сети. При этом конфигурация библиотеки О!ХА определяется требованиями к механизму локальной идентификации.
250 В каждый момент времени технологического процесса %1п!одоп может находиться в одном из состояний, представленных на рис. 52к Когда пользователь еще не вошел в систему, %1п!одоп находится в состоянии 1, пользователю предлагается идентифицировать себя и предоставить подтверждающую информацию (в стандартной конфигурации — пароль).
Если информация, введенная пользователем, дает ему право входа в систему, то активизируется оболочка системы (как правило, Ргоягагп Мапаяег) и %1п!одоп переключается в состояние 2. Хотя в состоянии 1 ни один пользователь не может непосредственно взаимодействовать с системой, в случае, если на рабочей станции запущен Яегуег Бегу)се, пользователи могут обращаться к ресурсам системы через сеть. Когда пользователь вошел в систему, Мп1ойоп находится в состоянии 2. В этом состоянии пользователь может прекратить работу, выйдя из системы, или заблокировать рабочую станцию.
В первом случае %1п1одоп завершает все процессы, связанные с завершающимся сеансом и переключается в состояние 1. Во втором случае %1п1ойоп выводит на экран сообщение о том, что рабочая станция заблокирована, и переключается в состояние 3. В состоянии 3%1п!одоп выводит на экран приглашение пользователю идентифицировать себя и разблокировать рабочую станцию. Это может сделать либо заблокировавший ее пользователь, либо администратор. В первом случае система возвращается в то состояние, в котором находилась непосредственно перед блоки- Рис. 52к Структурная схема технологического процесса аутентификации 251 ровкой, и переключается в состояние 2. Во втором случае все процессы, связанные с текущим сеансом, завершаются и %!и!окоп переключается в состояние Е Когда рабочая станция заблокирована, фоновые процессы, запущенные пользователем до блокировки, продолжают выполняться.