Реферат Звіт з курсової роботи
Вид материала | Реферат |
- Вимоги до курсової роботи з методики навчання іноземних мов І культур (2011рік) Загальна, 41.77kb.
- Критерії оцінювання якості виконання курсової роботи, 191.13kb.
- Методичні рекомендації щодо виконання курсової роботи 5 Структура І зміст курсової, 608.92kb.
- Методичні рекомендації для студентів спеціальності 03050901 «Бухгалтерський облік», 1826.99kb.
- Методичні рекомендація до написання курсової роботи з політекономії (економічній теорії), 237.18kb.
- Реферат тема курсової роботи «Міжнародна міграція робочої сили: суть, форми, види,, 334.71kb.
- Реферат текст курсової роботи 33 с., 33 джерела, 100.61kb.
- Реферат пояснювальна записка до курсової роботи, 495.62kb.
- Реферат об'єктом дослідження даної курсової роботи служить протокол динамічної маршрутизації, 654.46kb.
- Реферат об'єктом дослідження даної курсової роботи служить протокол динамічної маршрутизації, 552.98kb.
1.3.2 Ненавмисні загрози
Цей вид загроз виникає в результаті некомпетентних дій, наприклад, користувача чи адміністратора системи, що не був навчений належним образом, не мають документацію та не розуміють важливість належних процедур захисту. Користувач може занижувати гриф таємності даних, пробувати використовувати пакет бази даних, щоб виконати просту модифікацію чи зіпсувати файл. Адміністратор системи може стати суперкористувачем та змінювати захист на файлі паролю чи на критичному системному програмному забезпеченні. Через неуцтво різного роду користувачів зруйноване та загублено багато більше коштовної інформації, чим через злочинні наміри.
1.3.3 Навмисні загрози
Ці загрози цікаві та заслуговують висвітлення в печаті. Проти них створені кращі програми захисту. Злочинці входять у дві категорії: сторонні та присвячені особи. Деякі типи неправомочних дій здійсненні тільки деякими типами злочинців. Наприклад, перехоплення та декодування електромагнітних випромінювань, чи виконання визначеного криптографічного аналізу можуть виконувати тільки так називані "висококваліфіковані злочинці", що мають істотні ресурси обчислювальних засобів, грошей, часу, та персоналу.
1.4 Захист операційних систем
Мається багато різних типів протидії — методів захисту комп'ютерів та інформації.
Розглядаючи поняття "комп'ютерний захист", використовується його значення в широкому змісті: захист комп'ютерів та всього зв'язаного з ними. По ходу розвитку що викладається, він конкретизує це поняття. Комп'ютерний захист - захист інформації, збереженої в комп'ютерній системі (на противагу захисту інформації в лініях зв'язку, чи захист фізичного устаткування безпосередньо). Комп'ютерний захист зосереджується на вимогах операційної системи, якою керують ті, хто може звертатися до системи та даних, збереженим у ній.
Захист зв'язку - захист інформації, що передається по телефону, електромагнітними хвилями довжиною від дециметрів до міліметрів, через супутник, чи будь-якими іншими засобами. Цей елемент захисту зосереджується на доступі до мережі комп'ютерних систем, та технологіях, що підвищують захист систем при підключення до зовнішнього світу.
Фізичний захист - захист фізичного комп'ютерного устаткування від ушкодження природними явищами та втручаннями. Фізичні методи захисту включають як старомодні блокування та ключі, так і більш просунуті технології подібно спеціалізованим платам та біометричним пристроям.
1.5 Огляд концепцій захисту
Розглянемо концепції захисту, що наведені в «Оранжевій Книзі». «Оранжева Книга» - американський стандарт для систем захисту. В курсовій роботі наведений приклад американської моделі захисту ОС.
1§ - Довірена система
2§ - Довірена обчислювальна основа
3§ - Політика безпеки
4§ -Ядро захисту
5§ - Модель захисту
1.5.1 Довірена система
Оранжева Книга використовує термін "довірені системи" частіше ніж "безпечні системи". Слова дійсно мають різне значення. Не існує систем цілком безпечних. Будь-яка система може бути зламана при наявності відповідних засобів та визначеного часу. Але системам можна довіряти трохи більше чим іншим, якщо змусити їх робити те, що ми хочемо від них та переконатися, що вони будуть робити це постійно.
Центральна концепція Оранжевій Книги - те, що цю довіру можна вимірити, щоб оцінювати систему, що відповідає визначеному набору критеріїв захисту та заслуговує деяку повну оцінку захисту.
Оранжева Книга визначає довірену систему в так:
... система, що використовує достатні апаратні та програмні засоби, щоб дозволити її використання для обробки одночасно несекретної та секретної інформації для різноманітного числа користувачів без порушення привілеїв доступу.
1.5.2 Довірена обчислювальна основа
Концепція довіреної обчислювальної основи (TCB) є найважливішим у понятті довіреної системи. Оранжева Книга використовує термін TCB, щоб звернутися до механізмів, що організують захист у системі. Книга визначає TCB у такий спосіб:
Усі механізми захисту в комп'ютерній системі, включаючи апаратні засоби, програмуєме устаткування, та програмне забезпечення, в цілому відповідає за підтримку політики безпеки.
Це створює основне середовище захисту та забезпечує додаткові послуги користувача, необхідні для довіреної комп'ютерної системи. Здатність довіреної обчислювальної основи правильно виконувати політику безпеки залежить винятково від механізмів TCB та від правильного введення системним адміністративним персоналом параметрів (наприклад, диспетчерський дозвіл користувача), зв'язаних з політикою безпеки.
1.5.3 Політика безпеки
Політика безпеки - набір правил та дій, що спрямовані на керування, захист, та розподіл критичної інформації в організації. Це - структура, у якій система забезпечує довіру. Політика безпеки звичайно оперує термінами: суб'єкти й об'єкти. Суб'єкт - дещо активне в системі. Приклади суб'єктів - користувачі, процеси та програми. Об'єкт - те, на що діє суб'єкт. Приклади об'єктів - файли, каталоги, пристрої, рознімання, та вікна.
Оранжева Книга визначає політику безпеки в такий спосіб:
З огляду на визначені суб'єкти й об'єкти, повинний діяти набір правил, що використовуються системою, щоб визначити, чи можна даному суб'єкту (наприклад, користувачу) дозволяти доступ до визначеного об'єкта (наприклад, файлу).
На кожнім рівні захисту, що починається з B1, Оранжева Книга вимагає усе більш та більш формальну (математично точну) модель політики безпеки системи, поряд з доказом, якій збільшується, якщо проектування систем є сумісним з цією моделлю.
Формальний доказ - закінчений та переконливий математичний параметр, що доводить що система безпечна, чи принаймні, що система виконує політику безпеки для вашої системи. Наприклад, це математично показує умови, при яких деякі суб'єкти (наприклад, користувачі) можуть звертатися до деяких типів об'єктів (наприклад, файлам), та доводить, що користувачі не можуть обходити ці умови доступу.
Маючи на увазі, що традиційні системні іспити перевіряють правильність проектування систем та виконання, формальна перевірка ефективно зменшує операційну систему до теореми, та заміняє поступово іспит зі строгим математичним доказом. Формальна перевірка - фундаментальна частина стадій виконання проекту.
1.5.4 Ядро захисту
Ядро захисту - концепція, яка розроблена Роджером Шеллом у 1972, є механізмом операційної системи, що фактично здійснює концепцію монітора посилання. Ядро захисту - основа довіреної обчислювальної основи (TCB) — ресурс в обчислювальній системі, що контролює всі дії операційної системи відповідно до політики безпеки системи.
1.5.5 Модель системи захисту
Механізми, необхідні для виконання політики безпеки, звичайно відповідають визначеній моделі системи захисту. Модель захисту виражає вимоги захисту системи точно та без замішання.
Був розроблений цілий ряд різних моделей захисту. Моделі, розроблені для високо безпечних систем типово виражаються математично та часто використовують теорію набору, щоб описати правила для системного доступу.
1.5.6 Модель Bell - LaPadula
Посилаючись на Оранжеву Книгу, автор описує модель системи захисту інформації. Критерії оцінки системи захисту, описані в Оранжевій Книзі, засновані на моделі кінцевого автомата, розробленій Девідом Беллом та Леонардом Лападулой у 1973 році за підтримкою Відділу електронних систем (ESD) американських ВПС. Модель Bell - LaPadula - перша математична модель багаторівневої системи комп'ютерної безпеки. Оранжева Книга описує Модель Bell - LaPadula як формальну модель визначення стану політики комп'ютерного захисту, що описує набір системних правил доступу. У цій формальній моделі, об'єкти в комп'ютерній системі розділені на абстрактні набори суб'єктів та об'єктів. Системний стан вважається "безпечним", якщо єдині дозволені режими доступу суб'єктів до об'єктів - відповідно до визначеної політики безпеки.
Щоб визначати, чи дійсно дозволений визначений режим доступу, порівнюється диспетчерський дозвіл суб'єкта з класифікацією об'єкта, та робиться висновок щодо того, чи уповноважений суб'єкт для визначеного режиму доступу (наприклад, читання чи запис). Схема диспетчерського дозволу виражена в табличних термінах.
Оранжева Книга визначає чотири широких ієрархічних рівня захисту в порядку збільшення довіри:
D Мінімальний захист
C Контрольований захист
B Примусовий захист
A Перевірений захист
1.6 Додаткові типи захисту операційних систем
Конфеденційність. Шифрування надійний спосіб збереження інформації. Навіть якщо хто має доступ до вашого комп'ютер чи до зашифрованого файлу, то йому буде надзвичайно важко з'ясувати те, що знаходиться у файлі.
Точність чи цілісність. Шифрування дозволяє забезпечити точність та цілісність інформації. На додаток до збереження інформаційної таємниці, деякі типи алгоритмів шифрування захищають проти підробки чи втручання. Цей тип обробки визначає навіть найменша зловмисна чи недбала зміна в інформації.
Автентичність. Шифрування також дозволяє переконатися, що інформація справжня. Деякі методи шифрування дозволяють абсолютно підтверджувати, хто послав інформацію. Це надзвичайно важливо для фінансових чи юридичних угод. Пізнавальна методика це стає популярним інструментом шифрування - цифрове представлення. Цифрове представлення унікальне для кожної угоди та не може бути підроблено.
Шифри Заміни заміняють фактичні біти, символи, чи блоки символів за визначеним правилом (наприклад, один символ заміняє іншим).
Звичайно, алфавіти шифру - великий комплекс. Іноді алфавіт буде мати багаторазові заміни символу, іноді алфавіт буде включати заміни, що не означають нічого, іноді використовуються поперемінно чи в комбінації кілька алфавітів.
2. Операційні системи
Операційні системи, які на сьогоднішній день найрозповсюджені та які користуються попитом у користувачів це – LINUX, UNIX, Windows XP Professional, Windows XP Home та другі.
У своїй курсові роботі я б хотіла дослідити та розглянути детальніше операційну систему Windows XP Professional.
2.1 LINUX
Відповідей на питання "А що ж таке Linux?" можна знайти превелику множину. Дуже багато хто вважає, що Linux - це тільки ядро, тобто частина коду системи Linux, прочитувана в пам'ять машини при завантаженні. Воно відповідальне за запуск процесів, розподіл пам'яті, роботу із зовнішніми пристроями і т.д. На відміну від багатьох інших багатозадачних операційних систем, ядро в системі Linux пасивне, тобто нічого не робить, поки його про це не "попросять".
Програми використовують ядро для задоволення своїх потреб і виконання операцій, пов'язаних із зверненням до ресурсів комп'ютера. З погляду процесів, ядро можна розглядати як набір резидентних в пам'яті програм і структур даних для виконання дій, зв'язаних з використанням ресурсів системи. Задача викликає процедури ядра. Такого роду виклики в Linux називаються системними.
Процес, що здійснив системний виклик, припиняється, поки останній не буде завершений. При цьому говорять, що програма знаходиться в режимі роботи "система". Процес, зайнятий обробкою своїх локальних структур даних, працює в режимі "користувач". Всі процеси в системі працюють паралельно, використовуючи один центральний процесор за принципом розділення часу. Кожному з них привласнюється певний пріоритет. Чим він вищий, тим більше "уваги" приділяє ОС задачі.
Але одне тільки ядро даремне для користувача. Хоча ядро, поза сумнівом, основа ОС Linux, користувачу весь час доводиться працювати з прикладними програмами.
Ці програми не менш важливі, ніж саме ядро. Тому Linux слідує розглядати як сукупність ядра і основних прикладних програм, які звичайно встановлені на кожному комп'ютері з цією операційною системою. Об'єднання ядра і прикладних програм в єдине ціле виявляється і в назві системи: GNU/Linux. GNU- це проект по створенню комплексу програм, подібного тому, що звичайно супроводжує Unix-подобную систему. Для будь-якої людини, що раніше користувалася іншою Unix-подобной системою, Linux не покажеться чимось особливим. Проте Unix вельми сильно відрізняється від таких операційних систем, як MS Windows, MacOS і навіть MS-DOS, при створенні другої версії якої розробниками було дуже багато позаїмствовано з Unix (наприклад, деревовидна структура каталогів, перенаправлення введення-висновку і т.д.).
2.2 UNIX
UNIX зародився в лабораторії Bell Labs фірми AT&T більше 20 років тому. У той час Bell Labs займалася розробкою розрахованої на багато користувачів системи розділення часу MULTICS (Multiplexed Information and Computing Service) спільно з MIT і General Electric, але ця система потерпіла невдачу, частково через дуже амбітні цілі, що не відповідали рівню комп'ютерів того часу, а частково і через те, що вона розроблялася на мові PL/1, а компілятор PL/1 затримувався і взагалі погано працював після своєї появи, що запізниться.
Найбільший вплив на уніфікацію версій UNIX зробили такі стандарти як SVID фірми AT&T, POSIX, створений під егідою IEEE, і XPG4 консорціуму X/Open. У цих стандартах сформульовані вимоги до інтерфейсу між додатками і ОС, що дає можливість додаткам успішно працювати під управлінням різних версій UNIX. Незалежно від версії, загальними для UNIX рисами є:
- розрахований на багато користувачів режим із засобами захисту даних від несанкціонованого доступу,
- реалізація мультипрограмної обробки в режимі розділення часу, заснована на використовуванні алгоритмів витесняющей багатозадачності (preemptive multitasking),
- використовування механізмів віртуальної пам'яті і свопінгу для підвищення рівня мультипрограмування,
- уніфікація операцій введення-висновку на основі розширеного використовування поняття "файл",
- ієрархічна файлова система, створююча єдине дерево каталогів незалежно від кількості фізичних пристроїв, використовуваних для розміщення файлів,
- переносимість системи за рахунок написання її основної частини на мові З,
- різноманітні засоби взаємодії процесів, у тому числі і через мережу,
- кешування диска для зменшення середнього часу доступу до файлів.
2.3 Windows XP Professional та рекомендовані параметри безпеки
Однією з найбільш поширених в даний час клієнтських операційних систем є Microsoft Windows XP. Саме про захист клієнтського комп'ютера (комп'ютера домашнього або офісного користувача) і йтиме мова.
Не секрет, що будь-яку атаку простіше починати з клієнтського робочого місця, оскільки основна увага в питаннях захисту адміністратори традиційно приділяють серверам локальних мереж. Поза сумнівом, на робочих місцях необхідний і антивірусний захист, і посилені заходи ідентифікації і аутентифікації користувачів. Проте насамперед необхідно все ж таки забезпечити захист за допомогою вбудованих засобів операційної системи.
2.3.1 Настройка системи безпеки Windows XP
Операційна система Windows XP володіє розвиненою системою безпеки, яка, проте, потребує настройки. Сподіваємося, ви розумієте, що система Windows XP повинна встановлюватися на розділах NTFS, що застосування файлової системи Fat32 не рекомендується, виходячи з принципів безпеки (вбудовані засоби безпеки просто не можуть бути реалізовані за умови застосування Fat32). У разі застосування файлової системи FAT 32 майже всі затвердження даного розділу втрачають для вас всяке значення. Єдиний спосіб включити всі дозволи файлової системи — це перетворити диск у формат NTFS.
Після чистої установки Windows XP пропоновані за умовчанням параметри безпеки працюють як перемикачі типу "включить-виключить". Такий інтерфейс носить за умовчанням назву "Простий загальний доступ" (Simple File Sharing).
Така конфігурація володіє низьким рівнем безпеки, практично співпадаючої із стандартною конфігурацією Windows 95/98/me.
Якщо вас не влаштовує така конфігурація, ви можете скористатися всією потужністю дозволів для файлів в стилі Windows 2000. Для цього відкрийте довільну теку в Провіднику і виберіть Сервіс > Властивості теки (Tools > Folder options). Перейдіть на вкладку Вигляд, знайдіть в списку прапорець Використовувати простою загальний доступ до файлів (рекомендується) (Use File Sharing (recommended)) — і зніміть його.
2.3.2 Властивості теки
Коли ви вимикаєте простий загальний доступ, в діалоговому вікні властивостей будь-якої теки з'являється вкладка Безпека. Аналогічно здійснюється видача дозволів на файли. Всі дозволи зберігаються в списках управління доступом (Access Control List — ACL).
При установці і видаленні дозволів керуйтеся наступними основними принципами:
- Працюйте за схемою зверху "вниз"
- Зберігаєте загальні файли даних разом
- Працюйте з групами скрізь, де це тільки можливо
- Не користуйтеся особливими дозволами
- Не давайте користувачам більшого рівня повноважень, чим це абсолютно необхідно (принцип мінімізації повноважень).
- Настройка операційної системи
Як вже було сказано, не можна настроювати вбудовані засоби безпеки на файловій системі Fat32. У зв'язку з цим необхідно або на етапі установки операційної системи (розмітки диска) вибрати файлову систему NTFS, або приступити до перетворення файлової системи відразу ж після установки ОС.
2.3.4 Перетворення файлової системи
Щоб перетворити диск з FAT (Fat32) в NTFS, скористайтеся утилітою Convert. Синтаксис команди:
CONVERT том: /fs:ntfs [/V] [/Cvtarea:імя_файла] [/Nosecurity] [/X]
де:
том — визначає букву диска (з подальшою двокрапкою) точку підключення або ім'я тому;
/Fs:ntfs — кінцева файлова система: NTFS;
/V — включення режиму виведення повідомлень;
/Cvtarea:імя_файла — указує безперервний файл в кореневій теці для резервування місця для системних файлів NTFS;
/Nosecurity — параметри безпеки для перетворюваних файлів і тек будуть доступні для зміни всім;
/X — примусове зняття цього тому (якщо він був підключений). Всі відкриті дескриптори цього тому стануть неприпустимими.
Якщо у вашій організації використовується велика кількість комп'ютерів, необхідно продумати процес автоматизації установки ОС.
Існує два варіанти автоматизації процесу установки:
Автоматизована установка. В цьому випадку використовується пакетний файл і сценарій (званий файлом відповідей) — завдяки цьому відключаються запити операційної системи, а необхідні дані вибираються з файлів відповідей автоматично. Існує п'ять режимів автоматичної установки.
Копіювання диска (клонування). В цьому випадку запускається утиліта підготовки системи до копіювання (sysprep.exe), яка видаляє ідентифікатор безпеки (Security Identifier — SID). Потім диск копіюється за допомогою програми клонування дисків, наприклад Ghost (www.symantec.com/ghost) або Drive Image (www.powerquest.com/driveimage). Після копіювання буде виконана "стисла" процедура установки (5-10 хвилин).
Ви встановили операційну систему, проте найважча і тривала частина роботи ще попереду.
Згідно документації установка ОС займає близько години — але насправді установка, настройка, установка всіх критичних патчів (оновлень) займе, по меншій, мірі 4-5 годин (це за умови, що всі патчи вже є на жорсткому диску або CD-ROM і вам не потрібно витягати їх з інтернету).
Отже, операційну систему ви встановили. Для подальшої установки патчів є два шляхи: користатися службою автоматичного оновлення Windows Update. Цей шлях досить добре описаний в літературі і яких-небудь зусиль з боку програміста не вимагає. Проте припустимо, що у вашій організації хоч би 20 комп'ютерів. У такому разі вам доведеться скористатися цією службою 20 разів. Це не самий кращий спосіб, але якщо у вас швидкий канал і керівництво не проти такого способу викидання грошей, то цей шлях вам може і підійти.
Проте врахуйте, що при переустановленні ОС все доведеться витягати наново;
скористатися яким-небудь сканером безпеки для пошуку необхідних патчів (оновлень).
Для прикладу розглянемо безкоштовний сканер Microsoft Base Security Analyzer (у даній статті детально не розглядатиметься питання про методи роботи з даним сканером). Даний сканер можна безкоштовно завантажити з сайту Microsoft з розділу Technet.
До початку тестування необхідно буде витягувати файл mssecure.xml файл з microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Файл mssecure.xml повинен бути поміщений в ту ж теку, де розгорнений Microsoft Base Security Analyzer. Результатом сканування буде перелік необхідних патчів, які ви повинні будете встановити на конкретному ПК.
На мій погляд, зручніше застосовувати комерційні сканери безпеки типу LAN Guard Network Scanner або Xspider.
LAN Guard Network Scanner
Цей сканер призначений для пошуку уязвімостей в комп'ютерних мережах не тільки на базі Windows. Проте в нашому випадку можна легко скористатися їм для пошуку уязвімостей на окремому комп'ютері. Вам буде рекомендовано відвідати конкретні сторінки бюлетеня безпеки від Microsoft.
Результат роботи LAN Guard Network Scanner
У такому разі набагато простіше встановлювати оновлення, з'являється також можливість дізнатися, для усунення який саме уразливості створено дане оновлення.
Варто досліджувати ці кроки докладніше:
1. Аналіз. Подивитеся на поточне середовище і потенційні погрози. Визначите патчи, які слід інсталювати, щоб скоротити кількість погроз вашому середовищу.
2. План. Встановите, які патчи потрібно інсталювати, щоб стримувати потенційні погрози і "прикрити" виявлені вразливі місця. Визначитеся, хто здійснюватиме тестування і інсталяцію і які кроки слід провести.
3. Тестування. Проглянете доступні патчи і розділите їх на категорії для вашого середовища.
4. Інсталяція. Інсталюйте потрібні патчи, щоб захистити це середовище.
5. Моніторинг. Перевірте всі системи після інсталяції патчів, щоб упевнитися у відсутності небажаних побічних ефектів.
6. Перегляд. Важливою частиною всього процесу є ретельний перегляд нових патчів і вашого середовища, а також з'ясування того, які саме патчи потрібні вашій компанії. Якщо під час перегляду ви виявите необхідність в нових патчах, почніть знову з першого кроку.
Примітка: настійно рекомендується зробити резервну копію всієї робочої системи до інсталяції патчів.