Защита сетевых операционных систем


Операционная система и аппаратные средства сети обеспечивают защиту ресурсов сети, одним из которых является сама ОС, т.е. входящие в нее программы и системная информация. Поэтому в сетевой ОС ЛВС должны быть так или иначе реализованы механизмы безопасности.
Принято различать: пассивные объекты защиты (файлы, прикладные программы, терминалы, области оперативной памяти и т.п.); активные субъекты (процессы), которые могут выполнять над объектами определенные операции.
Защита объектов реализуется операционной системой посредством контроля за выполнением субъектами совокупности правил, регламентирующих указанные операции. Указанную совокупность иногда называют статусом защиты. Операции, которые могут выполняться над защищенными объектами, принято называть правами доступа, а права доступа субъекта по отношению к конкретному объекту — возможностями. В качестве формальной модели статуса защиты в ОС чаще всего используется так называемая матрица контроля доступа.
Достаточно простым в реализации средством разграничения доступа к защищаемым объектам является механизм колец безопасности.
Защита файлов в ОС организована следующим образом. С каждым файлом связывается множество прав доступа: чтение, обновление и (или) выполнение (для исполняемых файлов). Владелец файла, т.е. создавшее его лицо, пользуется но отношению к файлу всеми правами. Часть этих прав он может передать членам группы — лицам, которым он доверяет сведения, имеющиеся в файле.
Доступ к ресурсам ОС чаще всего ограничен средствами защиты по паролям. Пароль может быть использован и в качестве ключа для шифрования-дешифрования информации в пользовательских файлах. Сами пароли также хранятся в зашифрованном виде, что затрудняет их выявление и использование злоумышленниками. Пароль может быть изменен пользователем, администратором системы либо самой системой по истечении установленного интервала времени.

Обеспечение безопасности распределенных баз данных (РБД) косвенно реализуется сетевой ОС. Однако все указанные механизмы и средства инвариантны конкретным способам представления информации в БД. Подобная инвариантность приводит к тому, что в случае непринятия специальных мер все пользователи СУБД имеют равные права по использованию и обновлению всей информации, имеющейся в базе данных.
В то же время указанная информация, как и при ее неавтоматизированном накоплении и использовании, должна быть разбита на категории по грифу секретности, группам пользователей, которым она доступна, а также по операциям над нею, которые разрешены указанным группам. Реализация этого процесса требует разработки и включения в состав СУБД специальных механизмов защиты.
Принятие решения о доступе к той или иной информации, имеющейся в РБД, может зависеть от следующих факторов: времени и точки доступа; наличия в БД определенных сведений; текучести состояния СУБД; полномочий пользователя; предыстории обращения к данным.
В первом случае доступ к БД с каждого терминала ЛВС может быть ограничен некоторым фиксированным отрезком времени.
Во втором случае пользователь может получить из БД интересующие его сведения только при условии, что база данных содержит некоторую взаимосвязанную с ними информацию определенного содержания.
В третьем случае обновление информации в некоторой БД может быть разрешено пользователю только в те моменты времени, когда она не обновляется другими пользователями.
В четвертом случае для каждого пользователя прикладной программы устанавливаются индивидуальные права на доступ к различным элементам базы данных. Эти права регламентируют операции, которые пользователь может выполнять над указанными элементами. Например, пользователю может быть разрешен отбор элементов БД, содержащих информацию о товарах, предлагаемых на бирже, но запрещено обновление этих сведений.
В основе пятого из перечисленных факторов лежит то обстоятельство, что интересующую его информацию пользователь может получить не непосредственным отбором тех или иных элементов БД, а косвенным путем, т.е. посредством анализа и сопоставления ответов СУБД на последовательно вводимые запросы (команды на обновление данных). В связи с этим для обеспечения безопасности

информации в БД в общем случае необходимо учитывать предысторию обращения к данным. 
<< | >>
Источник: под ред. С.Я. Казанцева, Н.М. Дубининой. Информатика и математика для юристов: учебник для студентов вузов, обучающихся по юридическим специальностям. 2010

Еще по теме Защита сетевых операционных систем:

  1. Уровни взаимодействия сетевых систем Интернета
  2. 48. Содержательные и операционные компоненты мышления
  3. Операционный Метасистема элемент управления
  4. РАЗДЕЛ II ОПАСНОСТИ ТЕХНИЧЕСКИХ СИСТЕМ И ЗАЩИТА ОТ НИХ
  5. Вопрос 2. Система социальной защиты населения.
  6. ГЛАВА 7. СИСТЕМЫ ЛАКОКРАСОЧНЫХ ПОКРЫТИЙ ДЛЯ ЗАЩИТЫ САМОЛЕТОВ И ВЕРТОЛЕТОВ
  7. Палеолит, онтогенез и нарушения операционной стороны мышления у современного человека
  8. 4. Защита населения и территорий в ЧС 4.1. Единая государственная система предупреждения и ликвидации ЧС
  9. Вопрос 65. Понятие и система гражданско-правовых способов защиты права собственности
  10. Глава 12 СЕТЕВОЙ АНАЛИЗ
  11. СЕТЕВОЙ АНАЛИЗ