В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 61
Текст из файла (страница 61)
Гораздо хуже (Л~1Х относится к физическим сбоям на дисках. В обоих случаях монтирование дефектной файловой системы может привести систему к фатальному сбою, вызвать дальнейшее повреждение данных в импортированной файловой си- 266 стеме или повреждение других файловых систем из-за побочных эффектов. Известно, что стоимость восстановления системы выше стоимости ее сопровождения. Вторая проблема с импортированными файловыми системами может возникнуть из-за установленных разрешений файлов и справочников, которые могут быть недопустимы для вашей системы. В этом случае для выявления установок различных битов (зегцЫ, зегяЫ, зйсКу) можно воспользоваться соответствующей командой (например, псйесК).
Для поиска неправильных установок для файлов владельцев и групп в импортированной файловой системе можно предложить только ручной просмотр. В соответствии с требованиями по классу защиты ОС должна изолировать защищаемые ресурсы в той мере, в какой это диктуется требованиями контроля и подотчетности. Целостность системы должна контролироваться ОС. В ОС ~3)х)1Х контроль целостности системы производится рядом команд.
Приведем без описания основной перечень команд для контроля и поддержки целостности системы: 1пгеяг)гу, аиг1зсК, Йхгпоя, срз, ГсЬсК, зпипсК„аигйсКге, ЬсК. Практика показывает, что данный набор команд является достаточно полным для контроля и восстановления целостности системы. Стандартная последовательность действий после возникновения сбоя в системе или каких-либо других отклонений следующая: 1) выполнение проверки файловой системы; 2) составление контрольного отчета; 3) проверка базы данных аутентификации; 4) проверка разрешений лля системных файлов. Системные средства восстановления целостности системы работают до определенного предела.
Был проведен следующий эксперимент: 1) всем файлам системы был назначен владелец гоог; 2) у всех файлов системы были установлены права доступа со значением по умолчанию системной переменной ипгпазК. В результате этих действий системными средствами не удалось восстановить нормальные права доступа и владельцев файлов. Такой эксперимент имеет под собой весьма жизненную основу, например при размножении системы на другие компьютеры по сети. Поэтому единственным способом дублирования системы на другие компьютеры следует считать использование команды срю. Права доступа и владельцы некоторых файлов по умолчанию не соответствуют базе данных контроля целостности системы. Авторами не исследовались вопросы влияния этих несоответствий на безопасность и целостность работы системы.
267 Будем считать, что действие контролируется, если можно вычислить реального пользователя, который его осуществил. Концептуально при построении ОС ОХ!Х некоторые действия нельзя контролировать на уровне действий реального пользователя. Например, пользовательские бюджеты, такие как 1р, сгоп или ццср, используются анонимно и их действия можно обнаружить только по изменениям в системной информации. Система контроля регистрирует события в системе, связанные с защитой информации, записывая их в контрольный журнал.
В контрольных журналах возможна фиксация проникновения в систему и неправильного использования ресурсов. Контроль позволяет просматривать собранные данные лля изучения видов доступа к объектам и наблюдения за действиями отдельных пользователей и их процессов. Попытки нарушения защиты и механизмов авторизации контролируются. Использование системы контроля дает высокую степень гарантии обнаружения попыток обойти механизмы обеспечения безопасности. Поскольку события, связанные с защитой информации, контролируются и учитываются вплоть до выявления конкретного пользователя, система контроля служит сдерживающим средством для пользователей, пытающихся некорректно использовать систему. В соответствии с требованиями к надежным системам ОС должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым ОС.
При этом должна быть возможность регистрации следующих событий: ° использование механизма ИА; ° внесение объектов в адресное пространство пользователя (например, открытие файла); ° удаление объектов; ° действий администраторов и других событий, затрагивающих ИБ. Каждая регистрационная запись должна включать в себя следующие поля. 1. Дата и время события.
2. Идентификатор пользователя. 3. Тип события. 4. Результат действия. Для событий ИА регистрируется также идентификатор устройства. Для действий с объектами регистрируются имена объектов. Поддерживаемые типы событий и их содержание при ИА представлены в табл. 5.2. Система контроля использует системные вызовы и утилиты для классификации действий пользователей, подразделяя их на события различного типа.
Например, при возникновении события типа «ПАС Оеп1а!з» (отказ доступа при реализации механизма изби- 268 Таблица 5.2 Поддерживаемые типы событий и их содержание при ИА 155 и/и Тип Содержание Еод)п / Еодонг ОЬ)ссг Сгеапоп ОЬ)есг Рс!е1юп 10 РАС СЬапясв РАС Реп)а15 12 Ксаонгсе Рсрба15 14 1РС Рцпшюпз 15 РагаЬаас Ечспга 269 51анир / БЬигг)о5чп Ргосеж Сгеаге / Ре!еге Майе ОЬ)есг Ача11аЫ е Мар ОЬ)есг го БиЬ)есс ОЬ)есг Моб)бса11оп МаКе ОЬ)ссг () пача11аЫ е Айп1п / Орегагог Асбопа ! пзнй)с)еп1 Ангйопхабоп Ргосс55 М001йсщ1оп5 Анб)1 бнЬ5уагегп Ечепгя Старт (загрузка) / выгрузка системы Успешный вхол и выход из системы Создание / уничтожение процесса Сделать объект лоступным (открыть файл, открытьсообщения, открытьссмафор, монтировать файловую систему и т.д.) Отобразить объект в субъект (выполнение программы) Модификация объекта (запись в файл и т.д.) Сделать объект недоступным (закрыть файл, закрыть сообщение, закрыть семафор, размонтировать файловую систему и т.д.) Создание объекта (создание файла/сообщения/семафора и т.д.) Удаление объекта (удаление файла/сообщения/семафора и т.д.) Измененис разграничения доступа (изменсние доступа к файлу, сообщению, семафору, изменение владельца и т.д.) Отказ доступа (отсутствие прав доступа к какому-либо объекту) действия (команды) системных администраторов и операторов Процессы, которые пытаются прсвысить свои полномочия Отказы в ресурсах (отсутствие необходимых файлов, превышение размеров памяти и т.д.) Посылка сигналов и сообщений процессам Модификации процесса (изменение эффективного идентификатора процесса, текущего справочника процесса и т.л.) События системы контроля (разрешение/запрещение системного контроля и модификация событий контроля) События базы данных (изменение данных безопасности системы и их целостности) Окончание табл.
5.2 рательного разграничения доступа) регистрируются попытки такого использования объекта, которые не допускаются разрешениями для этого объекта. Иными словами, если пользовательский процесс пытается писать в файл с доступом «Только для чтения», то возникает событие типа «1лАС Веп1а1з». Если просмотреть контрольный журнал, то можно увидеть повторяющиеся попытки доступа к файлам, на которые не получены разрешения.
Сущее твенно ~ ювышает эффективносз ь контроля наличие регистрационного идентификатора пользователя (ШП)). После прохождения пользователем процедур идентификации и аутентификации, т.е. непосредственного входа в систему, каждому процессу, создаваемому пользователем, присваивается регистрационный идентификатор пользователя. Данный идентификатор сохраняется несмотря на переходы от одного пользовательского бюджета к другому с помощью команд типа вш Каждая контрольная запись, генерируемая системой контроля, содержит для кажлого процесса регистрационный идентификатор наряду с эффективным и реальным идентификаторами пользователя и группы. Таким образом, оказывается возможным учет действий пользователя.
Рассмотрим реализацию механизма контроля для ядра. Данный механизм генерирует контрольные записи исходя из деятельности пользовательских процессов с помощью системных вызовов ядра. Каждый системный вызов ядра содержит строку в таблице, где указывается его связь с вопросами защиты информации и какому типу события он соответствует. Кроме того, используется таблица кодов ошибок, позволяющая классифицировать системные вызовы на конкретные события, связанные с защитой информации. Например, системный вызов ореп классифицируется как событие «Сделать объект доступным>. Если пользователь выполняет системный вызов ореп для файла /цп)х и данный системный вызов завершается успешно, то генерируется контрольная запись об этом событии.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
