Контрольная работа по "Безопасность работы персонального компьютера"

5. Обеспечить наличие  средств отладки и тестирования  в конечных продуктах. Для решения  этой проблемы можно использовать  только организационные меры. Все  системы, для которых безопасность  имеет решающее значение, должны (кроме всего прочего) иметь  сертификат, подтверждающий, что в  них отсутствуют подобные возможности.  Естественно, что полную ответственность  за выполнение этого требования  может взять на себя только  разработчик. 

6. Минимизировать ошибки  администрирования. Эта проблема  связана с человеческим фактором  и не может быть решена чисто  техническими средствами. Для минимизации  вероятности появления подобных  ошибок необходимо обеспечивать  средства управления безопасностью  и контроля доступа удобным  и практичным интерфейсом, по  возможности использовать автоматизированные  системы управления. Кроме того, можно предусмотреть специальные  средства верификации, проверяющие  конфигурацию ВС на предмет  неадекватного администрирования.

 

 

5. Обеспечение  ИБ операционной системы WINDOWS.

В основе Windows 7 лежит такая же, как и в Windows Vista, система безопасности, включающая все процедуры и технологии безопасной разработки ПО (Security Development Lifecycle). Несколько лет назад она сделала предыдущую версию Windows самой безопасной за всю историю клиентских изданий ОС от Microsoft за счет применения новых функций. К ним относились защита ядра от изменений, технологии DEP (предотвращение выполнения данных), UAC (контроль учетных записей) и другие элементы безопасности. В новой версии Windows 7 эти элементы безопасности системы получили логическое развитие и существенные усовершенствования.

Защита дисков компьютера

Впервые технология BitLocker, обеспечивающая криптографическую защиту размещенной на жестком диске конфиденциальной информации, появилась в операционной системе Windows Vista. Суть ее заключалась в шифровании системного раздела целиком. Таким образом, при ее использовании злоумышленник, не обладающий ключом, не мог не только получить доступ к данным, но даже и запустить саму систему. Этим обеспечивалась надежная защита конфиденциальных данных от несанкционированного доступа.

Windows 7 спроектирована и разработана в соответствии с жизненным циклом разработки системы безопасности Майкрософт (SDL) и обеспечивает выполнение требований стандарта Common Criteria ("Общие критерии", международный стандарт по компьютерной безопасности, представляющий методику оценки уровня защищенности продукта относительно определения вендором условий сертификации (окружения и модели злоумышленника), что необходимо для получения сертификата Evaluation Assurance четвертого уровня и соответствия стандарту FIPS 140-2 ("Требования безопасности для криптографических модулей", используется в США для описания требований к системам криптографии для защиты информации ограниченного доступа, то есть, не секретной).

В Windows 7 технология BitLocker получила свое дальнейшее развитие. В частности в новой операционной системе появился специальный мастер (BitLocker Drive Preparation Tool), который автоматически подготавливает компьютер к использованию системы шифрования. Он создает новый системный раздел (минимальный размер его сократился с 1,5 Гб до 100 Мб) и переносит туда все необходимые загрузочные файлы. При этом к данному разделу не назначается буква, то есть он остается скрытым от пользователя и не мешает ему в работе. Кроме того, такой подход исключает возможность случайного изменения загрузочных файлов. Стоит отметить, что Microsoft ведет работу с OEM-партнерами и системными интеграторами по соответствующей разбивке дисков новых компьютеров. В этом случае пользователь сможет использовать BitLocker сразу же после приобретения ПК с предустановленной на него Windows 7.

Другими улучшениями в  работе BitLocker стали возможность криптографической защиты нескольких разделов компьютера, а также функция централизованного восстановления информации при утере ключа шифрования. С помощью DRAs (Data Recovery Agent – агент восстановления данных) при соответствующих настройках групповых политик ИТ-отдел компании получил возможность легко расшифровать любой диск на корпоративном компьютере. Эта возможность гарантирует сохранность информации при утере ключа шифрования, что отсутствовало в Windows Vista.

Шифрование мобильных  накопителей

В последнее время очень  широкое распространение получили мобильные накопители, в частности, Flash-диски. Сотрудники компаний используют их для хранения и переноса различной информации, включая конфиденциальную. При этом возникает серьезный риск несанкционированного доступа к этим данным, поскольку Flash-диски малогабаритны, они часто теряются. В результате информация может попасть к злоумышленникам.

Учитывая все это, разработчики реализовали в Windows 7 новую возможность, получившую название BitLocker To Go. Она предназначена для криптографической защиты любых мобильных накопителей с файловыми системами FAT, FAT32 и ExFAT. В качестве алгоритма шифрования используется AES с длиной ключа 128 (по умолчанию) или 256 бит. Это обеспечивает действительно надежную защиту записанной на Flash-диск информации. Подключение и разблокировка зашифрованного мобильного накопителя осуществляется с помощью пароля или смарт-карты.

Стоит отметить, что BitLocker To Go совместима с предыдущими версиями операционной системы Microsoft – Windows XP и Windows Vista. Для подключения зашифрованных накопителей и чтения с них информации на компьютерах с этими ОС используется специальная утилита.

Контроль использования  ПО

ИТ-отделы всех компаний стараются  с помощью различных средств  контролировать использование ПО сотрудниками. В противном случае работники смогут устанавливать на рабочих компьютерах потенциально опасные утилиты, загруженные с интернета, нелицензионные программы, игры. В результате возникает угроза безопасности корпоративной сети, снижается производительность труда и т.д.

Для того чтобы помочь решить данную проблему, в Windows 7 появилась новая технология под названием AppLocker. Она предназначена для контроля единой корпоративной политики в области использования программного обеспечения. Принцип ее действия основан на создании правил, разрешающих или запрещенных запуск тех или иных программ, скриптов и инсталляционных пакетов. Стоит отметить, что AppLocker может работать в режиме аудита, когда она не блокирует запуск запрещенных приложений, а только делает соответствующую запись в журнал, доступный ответственному сотруднику.

Управление безопасностью

Технологии BitLocker, BitLocker To Go и AppLocker могут работать в Windows 7 на отдельном компьютере и, в принципе, не требуют наличия Active Directory. Однако использование последней, а также групповых политик, позволяет настраивать централизовано данные возможности, и распространять их действие на все компьютеры, входящие в корпоративную сеть. Кроме того, Active Directory позволяет добавить к технологиям безопасности некоторые дополнительные функции.

Так, например, для BitLocker это может быть резервное копирование информации, необходимой для доступа к защищенным дискам, включая пароль, установленный при шифровании, пароль владельца TPM, идентификационные данные компьютера и т.д. Впервые эта возможность появилась еще в Windows Vista, однако в Windows 7 она получила дальнейшее развитие в форме DRAs.

Использование Active Directory и групповых политик для настройки BitLocker To Go позволяет администраторам запретить записывать данные на незашифрованные мобильные накопители. Их можно будет подключать к компьютерам, но в режиме "только для чтения". Если же сотрудник хочет перенести информацию на свой Flash-диск, он обязательно должен будет зашифровать его.

Работают Active Directory и групповые политики и вместе с AppLocker. С их помощью создаваемые правила, которые определяют разрешенное и запрещенное ПО, могут распространяться на все компьютеры, работающие в организации. Таким образом, Active Directory и групповые политики действительно позволяют осуществлять централизованное управление возможностями, направленными на обеспечение безопасности корпоративной информационной системы.

Для обеспечения безопасности компьютера Windows позволяет заблокировать его на время отсутствия пользователя на рабочем месте и настроить экранную заставку, защищенную паролем.

Изменение настройки системы  безопасности на компьютере обеспечивает средство «Параметры безопасности» - правила  для одного или нескольких компьютеров  для защиты ресурсов или сети. С  помощью средства «Параметры безопасности»  можно изменить параметры безопасности нескольких компьютеров, зависящих  от измененного объекта групповой  политики, с компьютера, присоединенного  к домену.

Параметры безопасности позволяют  контролировать следующие действия:

•          проверку подлинности пользователей  при входе в сеть или в компьютер;

•          ресурсы, которые пользователи могут  использовать;

•          включение и отключение записи действий пользователя или группы в журнале  событий;

•          принадлежность к группам.

Для обеспечения целостности, подлинности и конфиденциальности данных, а также защиты от повторений для трафика TCP/IP используется IPSec (Internet Protocol Security). Управление IPSec осуществляется посредством политики IPSec, для настройки и назначения которой используется оснастка «Управление политикой безопасности IP».

 

6. Обеспечение  ИБ в операционной системы  Linux и UNIX.

Операционная система (ОС) Linux является Unix-подобной ОС. В прошлом вычислительные мощности ОС Unix и данные располагались на одной системе и ее закрытость была гарантией безопасности данных. Однако в широко распространенной в настоящее время архитектуре "клиент/сервер" и операционная система, и приложения используют при работе сеть. В этих системах безопасность сетевых приложений напрямую связана с безопасностью сети и систем в этой сети.

Исторически Unix-подобные операционные системы имеют открытый код, то есть его может изучать и совершенствовать любой человек. С точки зрения безопасности это имеет как положительные, так и отрицательные качества. С одной стороны можно проверить код на наличие некорректных, недокументированных или зловредных компонентов, но с другой стороны – это сложная задача, которую должен выполнять коллектив высококвалифицированных программистов и которая не может быть выполнена обычным пользователем, например, коммерческим предприятием.

Кроме того, вопросам безопасности на момент разработки ОС Unix не придавалось серьезного значения, и многие черты слабой архитектуры безопасности были перенесены в Unix-подобные ОС, в том числе в Linux. С другой стороны открытость кода и гибкость Linux позволяют дополнить ее дополнительными программными модулями, усиливающими информационную безопасность.

Ниже рассмотрены основные механизмы безопасности Linux.

Управление полномочиями пользователей

Linux является многопользовательской ОС. Для обеспечения безопасности системы важно знать существующие категории пользователей и то, каким образом организована работа пользователей и какие права им предоставлены.

В Linux существует три типа пользователей:

1) системный администратор  – корневой пользователь (root), суперпользователь: обладает полным контролем над работой всей системы, имеет доступ ко всем файлам системы и исключительное право запускать определенные программы;

2) обычные пользователи: могут входить в систему, создавать  файлы и работать с ними  в своих каталогах; имею ограниченный доступ к файлам и каталогам на компьютере и не могут выполнять многих операций системного уровня; могут объединяться в группы пользователей с одинаковыми полномочиями;

3) системные учетные записи: используются ОС для собственных  целей.

Пользователь или группа пользователей может обладать правом на чтение (r), запись (w) и выполнение файла (е) (по аналогии определяются и  права для работы с каталогами). Основное правило для назначения прав доступа к файлам – это  наложение наиболее жестких ограничений  и, при необходимости, добавление прав определенным пользователям или  группам.

Пользователь может устанавливать  атрибуты файлов или каталогов, повышающие их защиту. Например, атрибут "i" (immutable) означает, что файл нельзя модифицировать, удалять, переименовывать или устанавливать к нему ссылки; атрибут "s" используется для полного стирания информации файла с жесткого диска при его удалении.

Для регулирования работы с жестким диском нескольких пользователей  предусмотрены квоты на использование  пространства жестких дисков. Квота  – это ограничение на число  используемых пользователем блоков диска и индексных дескрипторов.

Кроме того, для пользователей  можно устанавливать ограничения  системных ресурсов: размер файлов ядра, сегмента данных, максимального  времени использования центрального процессора, количества открытых файлов и т.п.

 

Парольная защита

Каждый пользователь ОС Linux имеет пароль доступа к системе. В ранних версиях Linux пароли хранились в файле etc/passwd, а в более поздних – в файле теневых паролей etc/shadow, к которому права на чтение предоставлены только корневому пользователю. Пароли хранятся в зашифрованном виде, что предотвращает простое ознакомление с паролями в случае злонамеренного захвата указанных файлов. Для криптографического преобразования паролей могут использоваться различные алгоритмы шифрования и хеширования, например, DES и MD5. При вводе пользователем имени и пароля система преобразует пароль по заданному алгоритму и сравнивает со значением, хранящимся в файле паролей.

Предусмотрены механизмы  периодической (в том числе принудительной) смены паролей пользователей. Важное значение имеют и другие организационно-технические меры управления паролями: ограничение минимальной длины пароля, запрет выбора тривиальных паролей, использование разных паролей на разных компьютерах и т.п.

 

Дополнительные методы обеспечения  безопасности

К другим методам повышения  безопасности относятся следующие  механизмы: