Внутренние средства защиты современных операционных систем, используемые на заводе ОАО "ММЗ" - Программирование, компьютеры и кибернетика отчет по практике
Главная
Программирование, компьютеры и кибернетика
Внутренние средства защиты современных операционных систем, используемые на заводе ОАО "ММЗ"
Описание структур и служб предприятия ОАО "Марийский Машиностроительный Завод". Обзор ряда операционных систем, которые обеспечивают работу его служб и подразделений. Угрозы безопасности, классификация их по принципу оказываемого на ОС воздействия.
посмотреть текст работы
скачать работу можно здесь
полная информация о работе
весь список подобных работ
Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Внутренние средства защиты современных операционных систем, используемые на заводе ОАО «ММЗ»
Обеспечение информационной безопасности является сегодня одним из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.
Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики - отечественные антивирусы считаются одними из лучших в мире.
С точки зрения информационной безопасности многие компании сегодня напоминают крепости, окруженные несколькими периметрами мощных стен. Однако практика показывает, что информация все равно утекает. Отсюда вытекает необходимость разработки эффективной и экономически выгодной системы безопасности информационных систем предприятия.
В данной работе будут описаны внутренние средства защиты современных операционных систем, используемые на заводе ОАО «ММЗ»
Главными задачами сетевой ОС являются разделение ресурсов сети (например, дисковые пространства) и администрирование сети. Системный администратор определяет разделяемые ресурсы, задаёт пароли, определяет права доступа для каждого пользователя или группы пользователей. Отсюда сетевые ОС делят на сетевые ОС для серверов и сетевые ОС для пользователей.
Существуют специальные сетевые ОС, которым приданы функции обычных систем (например, Windows NT, liniux) и обычные ОС (Windows XP, windows 7), которым приданы сетевые функции. Практически все современные ОС имеют встроенные сетевые функции.
Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети в значительной степени автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам - протоколам. Эти протоколы обеспечивают основные функции сети: адресацию объектов, функционирование служб, обеспечение безопасности данных, управление сетью. В узком смыслесетевая ОС - это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети. В зависимости от того, как распределены функции между компьютерами сети, сетевые операционные системы, а следовательно, и сети делятся на два класса: одноранговые и двухранговые, которые чаще называют сетями с выделенными серверами.
Если компьютер предоставляет свои ресурсы другим пользователям сети, то он играет роль сервера. При этом компьютер, обращающийся к ресурсам другой машины, является клиентом. Компьютер, работающий в сети, может выполнять функции либо клиента, либо сервера, либо совмещать обе функции. Если выполнение серверных функций является основным назначением компьютера, то такой компьютер называется выделенным сервером. В зависимости от того, какой ресурс сервера является разделяемым, он называется файл-сервером, факс-сервером, принт-сервером, сервером приложений и т.д. Выделенный сервер не принято использовать в качестве компьютера для выполнения текущих задач, не связанных с его основным назначением, так как это может уменьшить производительность его работы как сервера. На выделенных серверах желательно устанавливать ОС, специально оптимизированные для выполнения определенных серверных функций. Поэтому в подобных сетях с чаще всего используются сетевые операционные системы, в состав которых входит нескольких вариантов ОС, отличающихся возможностями серверных частей. Например, сетевая ОС Novell NetWare имеет серверный вариант, оптимизированный для работы в качестве файл-сервера.
2.2 Угрозы безопасности операционных систем
Обеспечение безопасности любого объекта невозможно без предварительного детального изучения перечня угроз, которым он подвержен. Не является исключением и операционная система. При определении и классификации потенциальных угроз ОС особое внимание следует уделять условиям, в которых она работает, а также задачам, которые предназначена решать. Например, если ОС установлена на одном из серверов бухгалтерии, либо в кабинете мастера в первую очередь выделяют угрозы атаки на сетевое программное обеспечение. Если же операционная система функционирует на одном из компьютеров, обеспечивающих электронный документооборот завода, то вполне понятно, что опаснейшей угрозой будет угроза несанкционированного доступа к важной информации
Классификация по типу реализованной злоумышленником уязвимости: 1. Ошибки при проектировании и программировании ОС, а также недокументированные возможности установленного программного обеспечения. Сюда следует отнести и так называемые "люки" - специально или непреднамеренно встроенные в систему "служебные входы", позволяющие миновать систему безопасности. 2. Неправильная политика безопасности. Чаще всего под этим понятием подразумевают ошибки системного администратора.
Классификация по принципу оказываемого на операционную систему воздействия: 1. Использование легальных каналов доступа к информации - доступ к файлу со стороны пользователя, не имеющего права на его чтение. Данная ситуация возможна при неправильной установке прав доступа пользователей. То есть, в том случае, если пользователь получает права, которых, согласно политике безопасности иметь не должен. 2. Использование скрытых каналов доступа к информации - ситуация возможна, когда злоумышленник использует недокументированные возможности операционной системы. 3. Создание новых каналов получения информации - использование специализированного ПО, заранее установленного в систему. Классификация по характеру воздействия на операционную систему: 1. Пассивное воздействие - наблюдение атакующего за процессами, происходящими в системе. 2. Активное воздействие - непосредственное воздействие злоумышленника на процессы, происходящие в операционной системе (удаление файлов, изменение прав доступа и т.д.). Отметим также классификацию по цели осуществляемой атаки: 1. Деструктивные действия по отношению к операционной системе - полное разрушние, либо уничтожение отдельных частей. 2. Несанкционированное чтение информации. 3. Несанкционированное изменение информации. 4. Несанкционированное уничтожение информации. Помимо приведенных принципов классификации угроз, перечислим еще несколько: используемые технические средства атаки, объект атаки в составе ОС, способ воздействия на объект атаки, специфика действий атакующего и т.д.
Иерархия структуры организации представлена на рисунке 1.
Рисунок 1 - Иерархия структуры организации
Помещение организации находится на третьем этаже, имеет один вход.
Материал стен здания - кирпич. Перекрытия в здании кирпичные. Высота помещения составляет 3 м. Входная дверь в отдел выполнены из натурального массива, оснащены врезными механическими замками.
Окна в помещениях изготовлены из профиля ПВХ и оснащенные двойными стеклопакетами. Внутри помещения на всех окнах установлены вертикальные тканевые жалюзи.
Каждое помещение организации оборудовано подвесным потолком, на котором установлен дымовой оптико-электронный извещатель ИП 212-39 «АГАТ». Шлейфы сигнализации от охранных и пожарных датчиков уходят на приемно-контрольный прибор Гранит-16, который соединен с оборудованием централизованного управления охранно-пожарной сигнализацией завода.
Розетки электропитания с напряжением 220В подведены к щиткам однофазной сети, являющейся частью трехфазной сети.
В помещении находится алюминиевый радиатор заводского отопления.
2.5 Описание используемых средств обработки информации
В организации используются следующие технические средства обработки информации:
ПК на базе процессора AMD X2 250, 4 Гб ОЗУ, 500 Гб ПЗУ, DVD+RW, сетевая карта Ethernet 1Gbit, 21'' LCD монитор Proview, клавиатура, мышь.
ПК на базе процессора Intel Core 2 Duo, 4 Гб ОЗУ, 320 Гб ПЗУ, DVD+RW, сетевая карта Ethernet 1Gbit, 21” LCD монитор Acer, клавиатура, мышь.
29 ПК на базе процессора Intel Core 2 Duo, 2 Гб ОЗУ, 160 Гб ПЗУ, DVD+RW, сетевая карта Ethernet 1Gbit, 21” LCD монитор Sony, клавиатура, мышь.
Мини-АТС TDA Panasonic KX-TDA100 (KX-TDA100RU)
ИБП АPC Smart-UPS RT SURT10000XLI, 2 шт.
HP ProLiant DL360 G7 на базе Intel Xeon Processor с 4 ГБ ОЗУ и 500 ГБ ПЗУ, 1 сетевая Ethernet 10 Gbps.
К данному серверу подключены линии связи от провайдера.
2. Интранет сервер (dhcp/ldap/dns, fileserver)
HP Proliant DL585 G6 на базе AMD Opteron с 32 ГБ ОЗУ и 5 ТБ ПЗУ, 1 сетевая Ethernet 10 Gbps.
3.1 Используемые Операционные системы на предприятии ОАО «ММЗ»
На заводе используют много разных операционных систем начиная от windows 98 который установлен на компьютере в библиотеке до ОС NetWare (Linux) на которой построен сервер.
Операционная система UNIX - многопользовательская, многозадачная ОС, включает достаточно мощные средства защиты программ и файлов различных пользователей. ОС UNIX является машинно-независимой, что обеспечивает высокую мобильность ОС и легкую переносимость прикладных программ на компьютеры различной архитектуры. Важной особенностью ОС семейства UNIX являются ее модульность и обширный набор сервисных программ, которые позволяют создать благоприятную операционную обстановку для пользователей-программистов (т. е. система особенно эффективна для специалистов -- прикладных программистов).Независимо от версии общими для UNIX чертами являются многопользовательский режим со средствами защиты данных от несанкционированного доступа; реализация многозадачной обработки в режиме разделения времени; переносимость системы путем написания основной части на языке Си
Сетевая операционная система NetWare. -- это сетевая операционная система и набор сетевых протоколов, которые используются в этой системе для взаимодействия с компьютерами-клиентами, подключёнными к сети предприятия ОАО «ММЗ». Операционная система. NetWare является закрытой операционной системой, использующей кооперативную многозадачность для выполнения различных служб на компьютерах с архитектурой Intel x86. В основу NetWare была положена очень простая идея: один или несколько выделенных серверов подключаются к сети и предоставляют для совместного использования своё дисковое пространство в виде «томов».
В качестве клиентских операционных систем используються ОС windows нчиная от windows xp до windows 8.
Встроенных средств защиты Операционных систем Windows довольнотаки достаточное количество чтобы оградить пользователя от возможных сетевых угроз, таких как хищение конфиденциальных данных или заражение вредоносным кодом.
К примеру возьмем ОС windows 7 Она содержит ряд технологий по защите пользователя от различных сетевых угроз, например от вредоносных программ. ОС Windows 7 содержит следующие новые и усовершенствованные технологии, обеспечивающие повышенную защиту компьютера: * контроль учетных записей (UAC); * средства биометрической защиты; * защитник Windows; * средство удаления вредоносных программ (MSRT); * брандмауэр Windows; * технология AppLocker. Контроль учетных записей
Начнем с контроля учетных записей. Контроль учетных записей (UAC) появился в ОС Windows Vista с целью упрощения использования учетных записей, не обладающих административными привилегиями. В состав UAC входят несколько технологий: учетная запись защищенного администратора (PA), запросы на повышение прав, виртуализация реестра, виртуализация файловой системы и уровни целостности Windows. Хотя использование защищенной учетной записи администратора более безопасно, чем использование незащищенной, все же безопаснее всего для повседневных задач выбирать учетную запись обычного пользователя. Многое из того, что в предыдущих версиях Windows требовало административных привилегий, в Windows Vista доступно обычным пользователям. Благодаря использованию для повседневных задач учетной записи со стандартными правами снижается риск, что вредоносное ПО установит нежелательную программу или внесет опасные изменения в систему. В ОС Windows 7 можно выбрать тип уведомлений UAC и частоту их появления.
Имеется четыре основных уровня, настроить которые можно в соответствующем разделе центра поддержки.
* всегда уведомлять в следующих случаях.При выборе этого варианта UAC будет запрашивать подтверждение при установке программ и внесении любых изменений в параметры Windows.
* уведомлять только при попытках программ внести изменения в компьютер. В этом случае UAC выдает предупреждения, только когда программы вносят изменения в компьютер, но не когда это делает пользователь.
Этот уровень в Windows 7 используется по умолчанию.
* Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол). На этом уровне подтверждение запрашивается только при внесении изменений программами, но безопасный рабочий стол для этого не используется, так что текущий рабочий стол не затемняется при выдаче запроса.
* никогда не уведомлять в следующих случаях. При этом значении UAC не выдает никаких запросов, когда программы устанавливают ПО или вносят изменения в систему, а также когда пользователь пытается внести в параметры Windows изменения административного уровня. Использовать его не рекомендуется.
Когда технология UAC только появилась, частая выдача запросов приводила к тому, что ее отключали. В Windows 7 количество запросов на повышение прав сократилось, поскольку обычным пользователям разрешено выполнять больший круг действий. А при использовании учетной записи защищенного администратора некоторые программы из состава Windows 7 самостоятельно могут выполнить повышение, не выдавая запроса. Рекомендуется как минимум оставить значение по умолчанию -- Уведомлять только при попытках программ внести изменения в компьютер, а также рассмотреть вопрос о его повышении до Всегда уведомлять в тех средах, где клиентские компьютеры часто подключаются к публичным сетям или где безопасность имеет высокий приоритет. Меньшая частота выдачи запросов повышает шансы вредоносного ПО внести нежелательные изменения в компьютер.
Средства биометрической защиты В состав Windows 7 входит биометрическая платформа Windows (Windows Biometric Framework), которая обеспечивает единообразное представление сканеров отпечатков пальцев и других биометрических устройств в форме, удобной высокоуровневым приложениям, а также позволяет в единой манере использовать приложения по анализу отпечатков пальцев. В предыдущих версиях Windows сканеры отпечатков пальцев поддерживались как средство входа в систему. Такими сканерами сейчас оборудованы многие переносные компьютеры, но для их работы требовались драйверы и специальное программное обеспечение. Теперь поддержка таких устройств является частью Windows 7, и для их работы ничего кроме драйвера не требуется. Защитник Windows
Защитник Windows -- это служба защиты от шпионского ПО, впервые появившаяся в качестве необязательного загружаемого компонента Windows® XP. Теперь эта служба интегрирована в Windows® и по умолчанию запускается автоматически, помогая в защите от шпионских программ и другого нежелательного ПО. Шпионские программы могут незаметно попасть на компьютер в любой момент при подключении к Интернету, а также при установке какой-либо программы со съемного диска. Защитник Windows обеспечивает и защиту в реальном времени, и полное сканирование по расписанию. Когда программа пытается внести изменения в защищенную часть Windows 7, защитник Windows запрашивает у пользователя согласие на эти изменения, чтобы предотвратить возможную установку шпионской программы. Средство удаления вредоносных программ
Средство удаления вредоносных программ (MSRT) -- это небольшая исполняемая программа, разработанная для обнаружения и устранения отдельных особо опасных видов вредоносных программ с компьютеров под управлением Windows.
Каждый месяц на веб-сайтах Microsoft Update, Windows Update, WSUS и центра загрузок Майкрософт появляется новая версия этого средства. Будучи запущенным, средство MSRT в фоновом режиме сканирует компьютер и создает отчет по обнаруженным заражениям. Эта программа не устанавливается в операционной системе и не имеет параметров групповой политики.
Средство MSRT не является антивирусным приложением корпоративного класса. Оно не обеспечивает возможностей по централизованному мониторингу, созданию отчетности и контролю.
Брандмауэр из состава Windows 7 использует тот же подход, что брандмауэр ОС Windows Vista, фильтруя как входящий, так и исходящий трафик, что обеспечивает защиту на случай непредвиденного поведения компонентов системы. Интерфейс консоли брандмауэра Windows в режиме повышенной безопасности также не изменился. В нем для упрощения настройки и уменьшения числа конфликтов с политиками сведены средства фильтровки входящего и исходящего трафика, а также параметры IPsec-сервера и изоляции домена. Брандмауэр Windows в режиме повышенной безопасности поддерживает следующие профили.
* Профиль домена. Этот профиль вступает в силу, когда компьютер подключается к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер.
* Общий профиль. Этот профиль по умолчанию применяется для компьютера, не подключенного к домену. Его параметры должны накладывать самые сильные ограничения, поскольку компьютер подключается к публичной сети, где безопасность нельзя гарантировать в той степени, что в контролируемой ИТ-среде.
* Частный профиль. Этот профиль будет использоваться, только если пользователь с правами локального администратора назначит его сети, ранее использовавшей общий профиль. Делать это рекомендуется только для доверенных сетей. В Windows 7 в отличие от предыдущих версий может быть несколько активных профилей, по одному на сетевой адаптер. Если разные сетевые адаптеры подключены к разным сетям, для каждого из них выбирается тип профиля, подходящий этой сети -- частный, общий или доменный. Допустим, сидя в кафе, где есть беспроводная точка доступа, вы устанавливаете VPN-подключение к корпоративной сети. Тогда общий профиль будет продолжать защищать сетевой трафик, не относящийся к VPN-туннелю, а профиль домена -- трафик, проходящий по нему. Это также позволяет разрешить проблему сетевых адаптеров, не подключенных к сетям -- им будет назначаться общий профиль, поскольку сеть подключения неизвестна, а остальные сетевые адаптеры компьютера будут продолжать использовать тот профиль, который соответствует их сети. Технология AppLocker Windows 7 включает в себя обновленную и улучшенную версию политик ограниченного использования программ -- технологию AppLocker. Она проще в использовании, а ее новые возможности и расширяемость снижают затраты на управление и позволяют контролировать доступ к таким файлам, как сценарии, файлы установщика Windows, исполняемые файлы и файлы DLL. AppLocker настраивается в рамках домена с помощью групповой политики или на локальном компьютере в оснастке локальных политик безопасности.
BitLocker Drive Encryption- позволяет шифровать данные на съемных носителях, таким образом защищая информацию на них от кражи или разглашения. BitLocker To Go проводит проверку подлинности посредством паролей или смарт-карт, а в случае если пользователь забыл или потерял ключ, можно воспользоваться паролем восстановления, записанным отдельно в виде файла, либо из резервной копии в Active Directory. Альтернативный метод восстановления - Data Recovery Agent, который позволяет шифровать все устроства с учетом единого ключа доступа, которым впоследствии можно открыть любое устройство зашифрованное в пределах вашего предприятия. Управление средой Bitlocker To Go осуществляется посредством групповых политик, при помощи которых, к примеру, можно заблокировать функцию записи на незашифрованых носителях, тем самым обеспечив защищенность всех, выходящих за пределы офиса, данных. Все это позволяет использовать технологию BitLocker для более широкого круга задач по защите данных.
· предотвращение неавторизованного доступа к данным на потерянных, украденных или ненадлежащим образом списанных съемных устройствах.
· интеграция с доменными службами Active Directory®, позволяющая удаленно предоставлять ключи восстановления на случай, если пользователь забудет пароль или потеряет смарт-карту
· Поддержка агентов восстановления данных (DRA) - нового механизма защиты ключей, записываемыйх на каждый шифруемый диск. Благодаря ему прошедшие проверку подлинности администраторы смогут всегда иметь доступ к защищенным томам.
· Запрет записи на съемные носители без шифрования
Операционные системы переодически обновляються ,чтобы залатать кое какие дыры что тоже дает плюс к безопасности.
3.3 Встроенные средства защиты в операционной системе NETWARE
NetWare - это специализированная ОС, которая с самого начала проектировалась для оптимизации сетевого сервиса и, в первую очередь, доступа к удаленным файлам. Такие приложения, как электронные таблицы и текстовые процессоры, будут лучше работать под управлением ОС общего назначения, а приложения типа сервера печати, сервера баз данных и коммуникационного сервера, которые обеспечивают управление разделяемыми ресурсами, будут лучше работать под NetWare. Но, чтобы добиться такого эффекта, приложения для NetWare нужно писать тщательно, осознавая последствия их совместной работы на сервере, чтобы одно приложение не подавляло другие из-за слишком интенсивного захвата процессорного времени.
Кроме повышения производительности - основной цели разработки семейства ОС NetWare разработчики ставили перед собой цели создания открытой, расширяемой и высоконадежной операционной системы, обеспечивающей высокий уровень защиты информации.
В системах NetWare предусмотрен ряд функций, обеспечивающих надежность системы и целостность данных. Ниже я перечислил ряд функции, которые обеспечивают защиту всех частей сервера: от устройств хранения данных до критичных файлов прикладных программ. Наличие таких функций позволяет NetWare обеспечить очень высокий уровень надежности сети.
Средства обеспечения надежности SFT I:
· Проверка чтением после записи. После записи на диск каждый блок данных немедленно считывается в память для проверки читаемости. Первоначальное содержание блока не стирается до окончания проверки. Если данные не читаются, они записываются в другой блок диска, а первый блок помечается как дефектный.
· Дублирование каталогов. NetWare хранит копию структуры корневого каталога. Если портится основная структура, то начинает использоваться резервная.
Средства обеспечения надежности SFT II:
· Зеркальное отображение дисков, подключенных к одному дисковому контроллеру (Disk Mirroring).
· Дуплексирование дисков, подключенных к различным дисковым контроллерам (Disk Duplexing).
· Система отслеживания транзакций (TTS).
Средства обеспечения надежности SFT III заключаются в полном динамическом зеркальном отображении двух серверов, которые могут находится на значительном удалении друг от друга (при использовании оптоволоконного кабеля для межсерверной связи - до 4 км).
Средства защиты информации встроены в NetWare на базовых уровнях операционной системы. Поскольку NetWare использует на файл-сервере особую структуру файлов, то пользователи не могут получить доступ к сетевым файлам, даже если они получат физический доступ к файл-серверу.
Операционные системы NetWare содержат механизмы защиты следующих уровней:
· защита информации о пользователе;
В версии NetWare 3.12 пароли хранятся на сервере в зашифрованном виде. Пароль, задаваемый пользователем, передается по кабелю также в зашифрованном виде, что обеспечивает защиту от попыток узнать пароль путем "прослушивания" сети.
В версии NetWare 4.x использована более надежная схема идентификации пользователя при логическом входе в сеть, основанная на использовании технологии защиты RSA public key/private key. При использовании этой технологии пароль и личный ключ пользователя никогда не передаются по кабелям, что полностью исключает возможность узнать чужой пароль. В службу каталогов NDS также введен новый уровень управления доступом, который может быть введен в действие администратором в любой части сети.
С точки зрения защиты ОС NetWare не делает различия между операционными системами рабочих станций. Станции, работающие под управлением DOS, Windows, OS/2, Macintosh и UnixWare, обслуживаются совершенно одинаково, и все функции защиты применяются ко всем операционным системам, которые могут использоваться в сети NetWare.
Linux представляет собой свободно распространяемое ядро Unix-подобной системы, при помощи большого числа добровольцев со всей сети Internet. Linux обладает всеми свойствами современной Unix-системы, включая настоящую многозадачность, развитую подсистему управления памятью и сетевую подсистему.
Анализ рисков на уровне ОС показывает, что наибольшую опасность представляют действия злоумышленников, связанные с кражей или подбором паролей. Защита паролей поэтому должна занимать ведущее место в системе защиты любой ОС.
Защита паролей - область, в которой Linux существенно отличается от многих коммерческих версий Unix и других ОС, причем в лучшую сторону.
В большинстве современных реализаций Linux программа passwd не позволяет пользователю вводить легко разгадываемые пароли путем предупреждения о потенциальной опасности пароля (ввод пароля при этом, к сожалению, не блокируется). Для проверки устойчивости ансамбля конкретного пароля к подбору существует немало программ. Причем используются они с успехом как системными администраторами, так и взломщиками. Наиболее распространенные представители этого класса программ - Crack и John Ripper. Стоит отметить, что эти программы требуют дополнительного процессорного времени, но эта потеря вполне оправдана - замена слабых паролей значительно снижает вероятность проникновения в систему.
Linux обеспечивает защиту паролей с помощью трех основных механизмов:
3. Механизм подключаемых модулей аутентификации PAM (Pluggable Authentication Modules).
Кратко рассмотрим суть этих механизмов.
В Linux для шифрования паролей традиционно используется алгоритм DES. При попытке пользователя зарегистрироваться в системе введенный им пароль шифруется и затем сравнивается с записью в парольном файле. При совпадении система разрешает доступ. В программе шифрования паролей используется однонаправленное шифрование (достигается за счет того, что ключом для шифрования пароля является сам пароль). К сожалению, в настоящее время алгоритм DES уязвим к атаке со стороны мощных компьютеров (использование прямого перебора или подбора в большинстве случаев приводит к отгадыванию паролей). Поэтому для Linux были разработаны дополнительно к шифрованию еще два мощных механизма защиты.
Суть этого механизма проста: парольный файл, даже зашифрованный, доступен только системному администратору, права на чтение которого принадлежат только суперпользователям. Для реализации подобной схемы защиты в Linux используется набор программных средств Shadow Suite. В большинстве дистрибутивов Linux механизм <теневых паролей> по умолчанию не задействован (кроме, пожалуй, RedHat). Но именно Linux выгодно отличает наличие новейшего механизма, с помощью которого можно легко организовать мощную систему защиты. Это технология подключаемых модулей аутентификации ( PAM ).
Модули безопасности - это набор открытых библиотек, предназначенных для выполнения набора функций (ввод пароля или проверка его подлинности). Любая программа, использующая систему защиты, может использовать PAM-модули и обеспечить в результате любой уровень безопасности. При использовании этого новейшего механизма программист концентрирует свое внимание на решении прикладной задачи. Ему не надо изобретать систему защиты, при этом также гарантируется, что он в этой системе не наставит <дыр>.
Ниже представлена общая схема работы PAM
Сильно упрощенная схема аутентификации в приложении, использующем PAM, выглядит следующим образом:
1. Приложение инициализирует библиотеку PAM (libpam.so)
2. PAM в соответствии с конфигурационным файлом для приложения обращается к требуемым модулям
3. Модули выполняют возложенные на них действия
4. Приложению возвращается результат операции
Дополнительные средства защиты Linux
Для контроля целостности данных, которая может быть нарушена в результате как локальных, так и сетевых атак, в Linux используется пакет Tripwire. При запуске он вычисляет контрольные суммы всех основных двоичных и конфигурационных файлов, после чего сравнивает их с эталонными значениями, хранящимися в специальной базе данных. В результате администратор имеет возможность контролировать любые изменения в системе. Целесообразно разместить Tripwire на закрытом от записи гибком магнитном диске и ежедневно запускать.
Безусловно, что для повышения конфиденциальности полезно хранить данные на дисках в зашифрованном виде. Для обеспечения сквозного шифрования всей файловой системы в Linux используются криптографические файловые системы CFS (Cryptographic File System) и TCFS (Transparent Cryptographic File System).
Отрадно отметить, что многие из перечисленных средств включены в состав последних дистрибутивов Linux.
В рамках Linux разработана мощная интегрированная система защиты, способная обеспечить безопасность систем, работающих в различных условиях (от домашних компьютеров до банковских систем). Благодаря самому духу разработки Linux различные заплатки в системе защиты появляются гораздо быстрее, чем это происходит в коммерческих ОС, и это делает Linux идеальной платформой для построения надежных вычислительных систем.
Специалисты по безопасности ОС считают, что будущее именно за технологией подключаемых модулей аутентификации (PAM), разр
Внутренние средства защиты современных операционных систем, используемые на заводе ОАО "ММЗ" отчет по практике. Программирование, компьютеры и кибернетика.
Пиво Эсса Цена В Магните
Курс Лекций На Тему Прибыль Организации (Предприятия)
Физиологические свойства синапсов, их классификация
Реферат: Children Who Suffer From Domestic Violence Essay
Реферат Режим Дня И Эффективность Обучения Студента
Критерии Физического Здоровья Реферат
Примеры Сочинений Тарас Бульба
Реферат Параллельная Работа Двух Трансформаторов
Реферат На Тему Витамины И Здоровье
Реферат: Особенности жизнедеятельности организмов
Курсовая работа по теме Современные банковские услуги и инновации
Социальная Структура Общества Курсовая Работа
Реферат по теме Формы государства. Индия
Сочинение Написанное В Тетради
Электронное Обучение В Италии Реферат
Курсовая Работа На Тему Конкуренция – Основной Регулирующий Механизм Рынка
Реферат: Стихотворения 20
Реферат: John Grisham Essay Research Paper POOR BOY
Дипломная работа по теме Управление затратами предприятия
Реферат: Аллотропные модификации углерода
Введение в базы данных - Программирование, компьютеры и кибернетика лекция
Галикарнасский Мавзолей - Культура и искусство реферат
Разработка настенного годичного календаря - Журналистика, издательское дело и СМИ курсовая работа