Теорія операційної системи

:: Меню ::

Головна
Представлення даних в обчислювальних системах
Машинні мови
Завантаження програм
Управління оперативною пам'яттю
Сегментна і сторінкова віртуальна пам'ять
Комп'ютер і зовнішні події
Паралелізм з точки зору програміста
Реалізація багатозадачності на однопроцесорних комп'ютерах  
Зовнішні пристрої
Драйвери зовнішніх пристроїв
Файлові системи
Безпека
Огляд архітектури сучасних ОС

:: Друзі ::

Карта сайту
 

:: Статистика ::

 

 

 

 

 

Формулювання завдання

  А хлопчик-юзер пішов пити пиво із злими інтернетчикамі, а ті йому і говорять: "Та какой-ти крутий хаксор. Пошаную ти зламав, факт. А ось цей сервак спробуй зламати". І у вікно показують. А навпроти півняка коштує будівлю, з написом "Пошта". І хлопчик-юзер пішов пошту ламати. А па пошті, мабуть, сніффер стояв, так що через п'ять хвилин менти-модератори приїхали і так отмодерілі хлопчика-юзера, що з тих пір про нього нічого невідомо.
Vitar Velazquez

Ідеальна система безпеки повинна забезпечувати повністю прозорий санкціонований доступ до даних і непереборні труднощі при спробах доступу несанкціонованого. Крім того, вона повинна надавати легку і гнучку систему управління санкціями; у багатьох випадках буває також корисно відстежувати всі спроби несанкціонованого доступу.
На жаль, не дивлячись на величезну практичну важливість, єдиній і зв'язній теорії безпеки обчислювальних систем на сей день не розроблено. Частково це пояснюється складністю і різносторонністю завдання: несанкціонований доступ до даних, наприклад, може дістати не лише шляхом видаленого "злому" обчислювальної системи, але і за допомогою фізичного викрадання комп'ютера або носіїв даних, або за допомогою підкупу співробітника організації, що має доступ до даних. Отже, ідеальна система безпеки повинна передбачати засоби захисту від всіх способів несанкціонованого доступу, що фізично реалізовуються.
Ідеальна система безпеки, що розуміється таким чином, мабуть, фізично не решшзуєма. В кращому разі удається виключити окремі способи, але для ідеального вирішення завдання це потрібно зробити по відношенню до всіх способів діставання несанкціонованого доступу. На практиці зазвичай виходять з вимог "розумної достатності" або економічної доцільності: з одного боку, вартість установки і експлуатації систем безпеки не повинна перевершувати цінності даних, що захищаються. З іншою, "економічно ідеальна" система безпеки має бути досить складною, для того, щоб вигоди потенційного зломщика від діставання доступу були нижчі за витрати на подолання захисту.
Практичне вживання цього критерію вимагає оцінки вартостей і їх порівняння. Використання як показника цін зв'язано з серйозною методологічною складністю, яку коротко можна описати таким чином: ринкова ціна будь-якого предмету — це ціна, по якій володарі такого предмету, що бажають його продати, реально можуть його продати, а що бажають купити — відповідно, можуть купити. У нашому ж випадку, володар об'єкту, що захищається, часто зовсім не має наміру його продавати, а ті, від КТО він захищається, не планують його купувати. Навіть якщо повний еквівалент об'єкту, що захищається, може бути куплений, потрібна для цього сума є лише нульовим наближенням для оцінки реального збитку пострадавшего або прибутку зломщика.
І у тому випадку, коли об'єкт, що охороняється, — це гроші (наприклад, база даних з рахунками клієнтів банку), втрати від його викрадання або порушення цілісності часто значно перевершують безпосередньо втрачену при цьому суму грошей. Так, банк, пострадавший, від злому системи управління рахунками втрачає не лише перекладену на рахунок зломщика суму, але і довіру клієнтів.
Багато хто з об'єктів, з якими вимушений мати справу розробники систем безпеки, взагалі не можуть бути куплені. Всі приклади конфіденційних даних, перерахованих на початку цієї глави, відносяться саме до цієї категорії. Якщо об'єкт, що охороняється, в принципі не купується і не продається, то його ціна просто не визначена (що, втім, не означає, що такий об'єкт свідомо не можна оцінити).
Критерієм ухвалення рішення в такій ситуації можуть бути лише: суб'єктивне вирішення власника об'єкту, що охороняється, порівнює вартості об'єкту і вартості охоронних систем або ті або інші уявлення про суб'єктивну систему цінностей самого зломщика, що оцінює можливі прибутки і витрати.
Формулюючи такі вистави, розробник архітектури безпеки вимушений брати до уваги також і людей, для яких розтин чужих систем безпеки є самоціллю, свого роду спортом. Обговорення питання про те, чи можна охарактеризувати систему цінностей таких людей як збочену, відведе нас далеко від теми книги. Для цілей подальшого обговорення поважно відзначити, що класифікація цих людей як збоченців і навіть заочна постановка ним того або іншого мозговедчеського діагнозу ніяк не може захистити нас від них самих і результатів їх діяльності.
Таким чином, замовник системи безпеки вимушений приймати рішення, в основі якого лежать непіддатливі строгому обгрунтуванню і, можливо, невірні уявлення про системи цінностей інших людей. Завдання, що стоїть перед ним, знаходиться в близькій спорідненості із завданням, яке вирішує підприємець, що намагається оцінити ринкові перспективи того або іншого товару. Як і підприємець, замовник системи безпеки в разі ухвалення невірного рішення ризикує зазнати серйозних матеріальних втрат, тому ухвалення рішення про структуру і вартість
системи безпеки цілком можна вважати різновидом підприємницького рішення.
Ухвалення підприємницьких рішень в спільному випадку є завданням, що не формалізується і не алгоритмізується. В усякому разі, для її формалізації і алгоритмізації необхідно, не мало не багато, створити ПОВНУ універсальну формальну алгоритмічну модель людської психіки, яка повністю описала б поведінку не лише підприємця але і всіх його потенциатьних ділових партнерів (а в разі системи безпеки — і всіх потенційних зломщиків цієї системи). Навіть якщо це завдання в принципі і вирішувана, то, в усякому разі, вона знаходиться далеко за межами можливостей сучасної науки і сучасних обчислювальних систем. Можливо, цей факт і є фундаментальною причиною, по якій теорія систем безпеки є логічно незв'язним поєднанням емпіричних, теоретичних або "інтуїтивно очевидних" рекомендацій різного рівня обгрунтованості.
Не дивлячись на всі методологічні і практичні складнощі, з якими зв'язано застосування економічної оцінки до систем безпеки, принаймні, деякі практично важливі рекомендації цей підхід нам може дати.
По-перше, ми можемо стверджувати, що хороша система безпеки має бути збалансованою, причому перш за все з точки зору зломщика: вартості всіх мислимих доріг діставання доступу до системи мають бути порівнянні. І, навпаки, мають бути порівнянні вартості заходів щодо забезпечення захисту від проникнення різними способами. Безглуздо ставити броньовані ворота у поєднанні з дерев'яним забором.
Це міркування, втім, у жодному випадку не повинне утримувати нас від вживання \;ор, які при невеликій вартості незвичайно утрудняють несанкціонований доступ. Принцип збалансованості необхідно застосовувати в першу чергу до дорогих, але при цьому помірно ефективним заходам.
Друга корисна рекомендація — це рада: якщо це виправдано за вартісними свідченнями, робити системи безпеки багатошаровими або, використовуючи військову термінологію, ешелонованими. Пройшовши зовнішній шар захисту (наприклад, здолавши брандмауер і встановивши пряме з'єднання з одним з серверів приватної мережі компанії), зломщик повинен діставати доступ не безпосередньо до даних, а лише до наступного шару захисту (наприклад, засобам аутентифікації ОС або серверного застосування).
Третя рекомендація певною мірою протіворечит двом попереднім і свідчить, що враховуючи компоненти вартості експлуатації системи безпеки, не можна забувати про ті дії, які ця система вимагає від співробітників організації. Якщо вимоги безпеки надмірно обтяжливі для них, то вони можуть спробувати здійснити операцію, яку в неокласичній економіці називають екстерналізацией витрат (наприклад, висунути ультимативну вимогу — або ви знімаєте найбільш дратівливі з вимог, або підвищуєте зарплату, або ми всі звільнимося).
Неприємніша для розробника системи безпеки перспектива — це відмова (не завжди свідомий) від виконання вимог, що створює неконтрольовані діри в системі безпеки. Наприклад, ключі можуть оставляться під доріжкою, паролі — записуватися на приліплених до монітора папірцях, конфіденційні дані — копіюватися на недостатньо захищені настільні або переносні комп'ютери і так далі
Надалі в цій главі ми обговорюватимемо ту підмножину завдання забезпечення безпеки, з яким практично стикаються розробники програмного забезпечення і системні адміністратори. А саме, в більшості випадків ми передбачатимемо, що приміщення, де розміщена обчислювальна система, захищене від несанкціонованого проникнення, а персоналу, який має прямий або видалений доступ до системи, до певної міри можна довіряти. Причина, по якій ми приймаємо ці припущення, абсолютно прозаїчна: у більшості сучасних організацій за забезпечення такої безпеки відповідає не системний адміністратор а зовсім інші люди. На практиці, хоча системний адміністратор і не зобов'язаний бути за сумісництвом фахівцем в питаннях охорони і підбору персоналу, але повинен так чи інакше взаємодіяти з цими людьми, виробляючи погоджену і збалансовану політику захисту організації.
Не слід вважати, що ці допущення дозволять вирішити перераховані завдання ідеально або, тим паче, що вони можуть бути вирішені ідеально. Не означають ці припущення також і того, що без дозволу цих завдань системний адміністратор взагалі не може приступати до роботи — більш того, ми розглянемо і деякі підходи до рішення нашої задачі за ситуації, коли ці припущення виконуються лише частково або не виконуються зовсім. Більшість таких підходів засновані на шифруванні і електронному підписі даних.
Навіть у такому обмеженому формулюванні завдання забезпечення безпеки зовсім не просте і вимагає додаткової декомпозиції. Завдання управління доступом до даних і операцій над ними розбивають на дві основні підзадачі: аутентифікацію (перевірку, що користувач системи дійсно є тим, за КТО себе видає) і авторизацію (перевірку, чи має той, за КТО себе видає користувач, право виконувати дану операцію).

 

:: Реклама ::

 

:: Посилання ::


 

 

 


Copyright © Kivik, 2017