Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
йл-ссылка некоторым образом получает дополнительные права доступа, и тем самым осуществляется несанкционированный доступ к исходному файлу. Аналогичная ситуация с подменой файла возникает, если путь к файлу определен не как абсолютный (/bin/sh), а относительный (../bin/sh или $(bin)/sh). Нельзя приуменьшать роль человека при обеспечении безопасности любой системы. Возможно, он даже является слабейшим звеном.
4. Определение способов устранения уязвимостей
Выявленные уязвимости ОС МСВС различаются по характеру проявления и причинам возникновения, что определяет различные способы, применяемые для их устранения.
Поскольку для наиболее полного устранения уязвимости необходимо в первую очередь ликвидировать причину ее появления, то выбор способов и средств устранения должен быть основан именно на сведениях о причинах возникновения той или иной уязвимости. Далее приведены основные способы устранения выявленных уязвимостей, их описания и возможная область применения.
4.1 Применение аппаратных средств защиты
Средства защиты ОС МСВС имеют только программную реализацию, и поэтому для начала их функционирования необходимо в первую очередь загрузить и инициализировать хотя бы базовые компоненты ядра и подсистемы безопасности. Этап начальной загрузки характеризуется тем, что средства защиты ОС еще не запущены, поэтому существует возможность нанесения вреда, как самой ОС (изменение системных файлов, или конфигурации), так и получения доступа к защищённой информации, её модификации или уничтожению.
Таким образом, из вышесказанного можно сделать следующие выводы:
Чисто программные комплексы не обеспечивают защиту от НСД.
Для создания устойчивой и в то же время гибкой системы защиты от НСД следует применять программно-аппаратные комплексы.
Для обеспечения "чистоты операционной среды" необходим контроль сохранности файлов ОС до момента выполнения любых участков кода, записанных на переписываемых носителях.
Существует специальные аппаратные средства (или программно-аппаратные средства), управляющая программа которых неизменна и записана в постоянное запоминающее устройство, которые контролируют процесс загрузки операционной системы до того момента, пока не будут активизированы ее собственные средства защиты информации.
Частично такие функции выполняет BIOS, которая первой получает управление при включении питания или перезагрузке компьютера. Программа BIOS имеет возможность защиты заданных настроек паролем, но эта защита нестойкая, поскольку пароль вместе с другими параметрами настройки хранится в энергозависимой микросхеме КМОП ОЗУ. При сбое в системе питания или намеренного его отключении, все параметры, включая пароль, стираются. На данный момент, существует множество программ, которые позволяют iитывать и изменять информацию, записанную в КМОП ОЗУ.
В связи с этим, для обеспечения безопасности используют средства, гарантирующие чистоту операционной среды и позволяющие осуществлять защиту от НСД к информации при включении компьютера. Они гарантируют неизменность операционной среды в момент включения компьютера, по отношению к состоянию ПО в момент установки средств защиты, методом проверки имитозащитной приставки при каждой загрузке компьютера.
Эти средства осуществляют защиту от НСД к информации, записанной на жесткий диск компьютера. Идентификация и/или аутентификация пользователя происходит, путем запроса пароля, вводимого с клавиатуры, а также подключения элемента Touch Memory (TM), с которого iитывается ключевая информация (КИ). После iитывания КИ программа, записанная в ПЗУ, осуществляет проверку целостности файлов. В случае положительного результата проверки происходит загрузка операционной системы. Иначе повторно запрашивается пароль. Для блокирования доступа к информации о пароле при включенном компьютере программное обеспечение, находящееся на плате, иiезает из адресного пространства компьютера и не может быть iитано никакими программными средствами. Загрузка компьютера при отсутствии адаптера или при неисправном адаптере блокируется.
Алгоритм проверки целостности программного обеспечения основан на современных алгоритмах генерации имитозащитной приставки, что обеспечивает достаточное качество проверки. Ключевыми элементами являются пароль пользователя, пароль установки, а также содержимое TM.
Также, используются средства позволяющие принудительно отключать питание накопителей на гибких магнитных дисках и компакт-дисках во время загрузки операционной системы.
4.2 Удаление компонентов операционной системы
В дистрибутив разработчики включают большое количество компонентов на все случаи жизни, стремясь удовлетворить большинство запросов пользователей. Но в то же время для выполнения повседневной работы конкретному пользователю требуется вполне определенный набор функциональных возможностей, которые обеспечиваются ограниченным количеством компонентов системы.
Поскольку каждый из компонентов является программой, которая может потенциально содержать ошибки, черные ходы, уязвимости и т.п., то наличие в операционной системе дополнительных подсистем, не используемых в работе, создает серьезную угрозу безопасности и надежности.
информационный система уязвимость брандмауэр
4.3 Настройка компонентов и подсистем
После исключения неиспользуемых компонентов в системе остает?/p>