Инструмент системного аудита
Вопросы информационной безопасности не могут успешно решаться, если нет средств контроля за происходящими событиями, поскольку только имея хронологическую запись всех производимых пользователями действий, можно оперативно выявлять случаи нарушения режима информационной безопасности, определять причины нарушения, а также находить и устранять потенциально слабые места в системе безопасности. Аудит (auditing) — это запись определенных событий в журнал безопасности (security log). Кроме того, наличие аудита в системе играет роль сдерживающего фактора: зная, что действия фиксируются, многие злоумышленники не рискуют совершать заведомо наказуемых действий.
Программные средства, осуществляющие такой контроль, называются средствами аудита. Поскольку в информационной системе предприятия имеется несколько функциональных уровней, на каждом из них желательны средства мониторинга событий. Сегодня наличие механизмов аудита является обязательным требованием к крупным программным продуктам, работающим на любом из уровней.
Аудит невозможен без идентификации и аутентификации пользо-вателей. С этой целью при входе в систему программой аудита пользователю присваивается уникальный идентификатор, ассо-циируемый с пользовательскими процессами, который остается неизменным в течение всего сеанса работы пользователя. Регистра-ционные действия выполняются специализированным аудит-демоном, который проводит запись событий в регистрационный журнал в соответствии с текущей конфигурацией. Демон – программа, которая контролирует работу другой программы и время от времени прерывает ее работу, не разрушая саму программу. Аудит-демон стартует в процессе загрузки системы.
Каждое событие принадлежит какому-либо классу аудита. Такое деление упрощает анализ большого количества событий. Принадлежность событий к классам и набор классов могут быть сконфигурированы системным администратором. Для любого класса устанавливается один из трех флагов аудита: аудит в случае успешного выполнения действия, аудит неудачных попыток, безусловный аудит.
Доступность данных
Одним из компонентов информационной безопасности является доступность. Доступность возможность получения необходимых пользователю данных или сервисов за разумное время. Однако существует вероятность сбоя в результате неправильных действий пользователя, аппаратной ошибки или иных причин. Это вынуждает обращаться к дополнительным средствам для увеличения надежности системы и соответственно доступности данных.
Средством повышения производительности и надежности дисковых систем является использование избыточных массивов RAID разных уровней. RAID (Redundant Arrays of Independent Discs) – это избыточный массив независимых дисков, на который возлагается задача обеспечения отказоустойчивости и повышения производи-тельности. Для реализации технологии RAID создается псевдодрайвер, который помещается между пользовательскими приложениями и драйверами дисковых подсистем. Псевдодрайвер принимает пользовательские запросы на ввод/вывод и прозрачным для приложений образом переадресует их реальным устройствам. С точки зрения пользователя, происходит увеличение скорости и надежности работы дисков без каких-либо аппаратных модификаций.
Увеличение надежности — одна из основных составляющих обеспечения доступности информационных ресурсов. Другой составляющей является систематическое резервное копирование программ и данных с целью минимизации ущерба при возможных сбоях. Эта задача становится достаточно сложной в условиях работы с распределенными ресурсами сети.
Ядро безопасности (ЯБ) ОС — набор программ, управляющих частями операционной системы, ответственными за безопасность. ЯБ реализует политику обеспечения безопасности операционной системы. Данная политика состоит из множества правил надзора и охраны взаимодействий между субъектами (процессы) и объектами (файлы, устройства, ресурсы межпроцессорного взаимодействия).
ЯБ выделяет два типа полномочий: полномочия ядра и полномочия подсистем.
Полномочия – право субъекта (терминала, программы, системы) осуществлять те или иные процедуры над защищенными объектами (файлами, устройствами, ресурсами).
Полномочия ядра ассоциируются с процессами. Они позволяют процессу выполнить определенные действия, если процесс обладает необходимой привилегией.
Полномочия подсистем ассоциируются с пользователями. Они позволяют пользователю выполнять определенное действие посредством команд, отнесенных к подсистеме.
Подсистема — набор файлов, устройств и команд, служащих определенной цели. Полномочия ядра заносятся в «множество полномочий», ассоциированное с каждым процессом. Полномочия устанавливаются по умолчанию; пользователь может их и переустановить.
В некоторых системах защита реализуется при помощи программы, называющейся монитором обращений. При каждой попытке доступа к некоторому ресурсу система сначала просит монитор обращений проверить законность данного доступа. Монитор обращений обращается к таблицам политики и принимает решение. Рассмотрим окружение, в котором работает монитор обращений.
Домены защиты
Компьютерная система содержит множество «объектов», которые требуется защищать. Это может быть аппаратура (например, центральный процессор, сегменты памяти, диски или принтеры) или программное обеспечение (например, процессы, файлы, базы данных).
У каждого объекта есть уникальное имя, по которому к нему можно обращаться, и набор операций, которые могут выполнять с объектом процессы. Так, с файлом могут выполняться операции read и write.
Очевидно, что для ограничения доступа к объектам требуется определенный механизм. Более того, этот механизм должен предоставлять возможность не полного запрета доступа, а ограничения в пределах подмножества разрешенных операций. Например, процессу А может быть разрешено читать, но не писать файл F.
Чтобы обсудить различные механизмы защиты, полезно ввести концепцию домена. Домен – множество пар “объект – права доступа”. Каждая пара указывает объект и некоторое подмножество операций, которые могут быть с ним выполнены. Права доступа означают в данном контексте разрешение выполнить одну из операций. Домен может соответствовать одному пользователю или группе пользователей.
На рис. 1 показаны три домена, содержащие объекты и разрешения [RWX — Read, Write, eXecute — чтение, запись выполнение] для каждого объекта. Обратите внимание на то, что объект Принтер 1 одновременно присутствует в двух доменах. Хотя это и не изображено в данном примере, один и тот же объект может иметь в различных доменах разные разрешения.
Рис. 1. Три домена защиты
В каждый момент времени каждый процесс работает в каком-либо одном домене защиты. Другими словами, имеется некоторая коллекция объектов, к которым он может получить доступ, и для каждого объекта у него есть определенный набор разрешений. Во время выполнения процессы имею право переключаться с одного домена на другой. Правила переключения между доменами в большой степени зависят от системы.
Важным вопросом является то, как система отслеживает, какой объект какому домену принадлежит. Можно себе представить большую матрицу, в которой рядами являются домены, а колонками — объекты. На пересечении располагаются ячейки, содержащие права доступа для данного домена к данному объекту. Пример такой матрицы показан в табл. 1. При наличии подобной матрицы операционная система может для каждого домена определить разрешения к любому заданному объекту.
Таблица 1
Матрица защиты
Переключение между доменами также может быть легко реализовано при помощи все той же матрицы, если считать домены объектами, над которыми возможна операция enter (вход). В табл. 2 представлена
та же матрица, что и в предыдущей таблице, но с тремя доменами, выступающими и в роли объектов. Процессы могут переключаться с домена 1 на домен 2, но обратно вернуться уже не могут. Другие переключения доменов в данном примере не разрешены.
Таблица 2
Матрица защиты с доменами объектов