Информационная безопасность Модели управления доступом Разграничение доступа Вычислительные комплексы Учебник по информатике Операционная система Linux Базовые технологии локальных сетей

Информационная безопасность

Общие положения по реализации управления доступом

Все вышеприведенные рассуждения можно оформить в виде следующих общих положений.

1. В общем случае могут быть выделены дискреционный и мандатный механизмы управления доступом. Под дискреционным механизмом управления доступом понимается способ обработки запросов диспетчером доступа, основанный на задании правил разграничения доступа в диспетчере непосредственно матрицей доступа D. Под мандатным механизмом управления доступом, реализующим канонические полномочные модели управления доступом, понимается способ обработки запросов диспетчером доступа, основанный на формальном сравнении меток безопасности субъектов и объектов доступа в соответствии с заданными правилами. Причем мандатный механизм управления доступом корректно может реализо- вывать лишь канонические матрицы доступа.

Для реализации частных матриц доступа на основе мандатных разграничений данный механизм должен функционировать в диспетчере наряду с дискреционным механизмом (что, кстати говоря, задается и формализованными требованиями к механизмам управления доступом).

Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что всем субъектам и объектам доступа сопоставлены метки безопасности. Для дискреционного механизма, реализующего принудительное управление виртуальными каналами, это соответственно означает необходимость задания разграничений для всех субъектов и объектов доступа.

Мандатный механизм управления доступом позволяет корректно реализовать полномочные модели управления доступом при условии, что системой защиты реализуется требование к изоляции программных модулей (процессов) различных пользователей. То же справедливо и для дискреционного механизма, реализующего принудительное управление виртуальными каналами взаимодействия субъектов доступа.

Данное требование относится к процессам прикладных пользователей (которым назначаются метки безопасности). Поэтому, в первую очередь, данное требование выдвигается при реализации системы защиты для ОС семейства UNIX, где одновременно в системе могут быть запущены процессы различных пользователей. Для ОС семейства Windows одновременно запускаются процессы двух пользователей - текущего прикладного пользователя и собственно системы (системные процессы). Однако, так как системные процессы не имеют средств управления пользователем, то выполнение рассматриваемого требования для ОС семейства Windows становится неактуальным.

Так как все функции управления доступом (все матрицы доступа и соответствующие модели) могут быть реализованы дискреционным механизмом, мандатный является частным случаем дискреционного и задает лишь некоторые правила, с одной стороны упрощающие администрирование диспетчера доступа (за счет включения меток безопасности), с другой стороны ограничивающие возможные ошибки в администрировании за счет реализации механизмом управления доступом требования: любой субъект и объект доступа, которому не присвоена метка безопасности автоматически исключается из схемы управления доступа (какой-либо доступ непомеченного субъекта/доступ к непомеченному объекту — невозможны). При этом одно из основных требований мандатного механизма управления доступом -- управление потоками, — может быть реализовано только в рамках канонической модели, т.е. разграничение диспетчером доступа должно осуществляться для всех субъектов ко всем объектам доступа на защищаемом объекте.

5. В общем случае, говоря о требованиях к реализации управления доступом к ресурсам, следует иметь в виду требования к реализуемым моделям и матрицам доступа.

Безопасность компьютерной сети

Сканеры

Когда-то давным-давно жесткие диски персональных компьютеров были объемом всего-навсего 10 Мбайт, а их оперативная память не превышала 640 Кбайт. Модемы работали на скоростях от 300 до 1200 бит/с, и мало кто из пользователей “персоналок” слышал о глобальной компьютерной сети Internet. Конечно, эта сеть существовала уже тогда, но использовалась исключительно в военных целях, а работа с ней осуществлялась только при помощи командной строки. Но не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, которые могли быть задействованы в качестве серверов, были очень дорогими — их стоимость исчислялась цифрами с пятью-шестью нулями (в долларах). Да и сами персональные компьютеры стоили тогда весьма недешево, и были по карману только обеспеченным людям.

Итак, представим себе пригородный район, в котором проживают люди с достатком. Солидные дома с просторными гаражами и аккуратно подстриженными газонами. Близится полночь. На улицах пустынно, в окнах темно. И только одно окно ярко светится в темноте. Там, за персональным компьютером сидит юноша лет 15—17 и обзванивает при помощи модема телефонные номера, которые ему сообщил приятель. В большинстве случаев на другом конце провода оказывается другой модем, и на экране персонального компьютера появляется приглашение зарегистрироваться, т. е. ввести имя и пароль. Каждый раз, получив такое регистрационное приглашение, юноша начинает лихорадочно перебирать различные пары имен и соответствующих им паролей. Наконец, одна пара подходит, и юный взломщик получает возможность управлять удаленным компьютером, сидя дома.

Сейчас уже трудно поверить, что первым компьютерным взломщикам приходилось так напрягаться. Ведь известно, что они очень не любят выполнять рутинную работу и при всяком удобном случае стараются заставить свои компьютеры заниматься такой работой. Поэтому неудивительно, что компьютерные взломщики вскоре создали специальное программное средство, чтобы не набирать вручную дюжину команд. Это программное средство назвали боевым номеронабирателем.

Боевой номеронабиратель представляет собой программу, обзванивающую заданные пользователем телефонные номера в поисках компьютеров, которые в ответ на поступивший звонок выдают регистрационное приглашение. Программа аккуратно сохраняет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Одним из самых известных и совершенных боевых номеронабирателей является TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки).

Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров. Первые сканеры были весьма примитивными и отличались от боевых номеронабирателей только тем, что специализировались исключительно на выявлении компьютеров, подключенных к сети Internet или к другим сетям, использующим протокол TCP/IP. Они были написаны на языке сценариев программной оболочки операционной системы UNIX. Такие сканеры пытались подсоединиться к удаленной хост-машине через различные порты TCP/IP, отправляя всю информацию, которая выводилась на устройство стандартного вывода этой хост-машины, на экран монитора того компьютера, где был запущен сканер.

Ныне сканеры стали весьма грозным оружием как нападения, так и защиты в Internet. Что же представляет собой современный сканер?

Лекции по информатике