1

Идентификация и аутентификацияАвторизация и разграничение доступа

Аудит системы защитыСетевые и распределенные ОС

Раздел 6Обеспечение безопасности

в операционных системах

2

Защитные механизмы ОС

3

Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем.

Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности; т.е. проверка, является ли подключающийся субъект тем, за кого он себя выдает.

Идентификация и аутентификация

4

Классическая процедура идентификации и аутентификации

5

Методы, основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля.

Методы, основанные на использовании уникального предмета: ключа, электронной карты, жетона и др.

Методы, основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.

Методы, основанные на информации, ассоциированной с пользователем, например, с его координатами.

Классификация методов аутентификации

по используемым средствам

6

Авторизация – предоставление субъекту прав на доступ к объекту.

Средства авторизации контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые были определены администратором, а также осуществляют контроль возможности выполнения пользователем различных системных функций.

По сути авторизация в ОС – это не то иное, как разграничение доступа к объектам операционной системы.

Авторизация

7

Даже самая лучшая система защиты рано или поздно будет взломана. Обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения.

Как правило, поведение взломщика отличается от поведения легального пользователя. Иногда эти различия можно выразить количественно, например, подсчитывая число некорректных вводов пароля во время регистрации.

Основным инструментом выявления вторжений является запись данных аудита. Отдельные действия пользователей протоколируются, а полученный протокол используется для выявления вторжений.

Выявление вторжений

8

Аудит системы защиты заключается в регистрации специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы.

К числу таких событий обычно относят следующие:вход в систему или выход из системы;операции с файлами;обращение к удаленной системе;смена привилегий или иных атрибутов безопасности.

Аудит системы защиты применяет следующие методы:выборочное протоколирование событий;сканирование системы на наличие слабых мест в системе

безопасности

Аудит системы защиты

9

Группа D. Минимальная защитаКласс D. Минимальная защита

Группа С. Дискреционная защитаКласс С1. Дискреционная защитаКласс С2. Управление доступом

Группа В. Мандатная защитаКласс В1. Защита с применением меток безопасностиКласс В2. Структурированная защитаКласс В3. Домены безопасности

Группа А. Верифицированная защитаКласс А1. Формальная верификация

Классы безопасности компьютерных систем

согласно «Оранжевой книге» США

10

Сетевые и распределенные ОС

11

Оперативный обмен даннымиРазделение аппаратных средствРазделение программного обеспеченияОбщение пользователей

Причины объединения компьютеровв сети

12

Сетевая операционная система играет роль интерфейса, экранирующего от пользователя все детали низкоуровневых программно-аппаратных средств сети.

В сетевых ОС для того, чтобы задействовать ресурсы другого сетевого компьютера, пользователи должны знать о его наличии и уметь это сделать.Каждая машина в сети работает под управлением своей локальной ОС, отличающейся от ОС автономного компьютера наличием дополнительных сетевых средств (программной поддержкой для сетевых интерфейсных устройств и доступа к удаленным ресурсам), но эти дополнения существенно не меняют структуру ОС.

Понятие сетевой ОС

13

Распределенная операционная система внешне выглядит как обычная автономная система.Пользователь не знает и не должен знать, где его файлы хранятся, на локальной или удаленной машине, и где его программы выполняются. Он может вообще не знать, подключен ли его компьютер к сети.Распределенная ОС является единой ОС в масштабах вычислительной системы. Каждый компьютер сети, работающий под управлением распределенной ОС, выполняет часть функций этой ОС.

В настоящее время практически все сетевые ОС еще очень далеки от истинной распределенности.

Понятие распределенной ОС

14

Сетевые ОСПользователь должен знать, что компьютер находится в

сети, где находятся удаленные ресурсы и как до них добраться

От автономной операционной системы отличается наличием дополнительной сетевой части

Распределенные ОСПользователь работает как в автономной операционной

системеОперационная система полностью отличается от

автономных ОС и функционирует на всех компьютерах сети

Сетевые и распределенные ОС

15

Сетевая ОС может рассматривается как набор ОС отдельных компьютеров, составляющих сеть, причем на разных компьютерах сети могут выполняться одинаковые или разные ОС. Каждая из этих ОС принимает независимые решения о создании и завершении своих собственных процессов и управлении локальными ресурсами. Но также и включает взаимно согласованный набор коммуникационных протоколов для организации взаимодействия процессов, выполняющихся на разных компьютерах сети, и разделения ресурсов компьютеров между пользователями сети.

С другой стороны, если ОС отдельного компьютера позволяет ему работать в сети, т.е. предоставлять свои ресурсы в общее пользование и потреблять ресурсы других компьютеров, то такая ОС отдельного компьютера также называется сетевой ОС.

Две позиции рассмотрениясетевых ОС

16

Средства управления локальными ресурсами – реализуют функции ОС автономного компьютера.

Сетевые средства:Серверная часть ОС – средства для

предоставления локальных ресурсов и услуг в общее пользование;

Клиентская часть ОС – средства запроса доступа к удаленным ресурсам и услугам;

Транспортные средства ОС – совместно с коммуникационной системой обеспечивают передачу сообщений между компьютерами.

Функциональные компоненты сетевой ОС

17

В основе взаимодействия локальных процессов лежит использование разделяемой памяти, а в основе взаимодействия удаленных процессов – передача сообщений

Информация между удаленными процессами зачастую передается через процессы-посредники, обитающие на компьютерах, отличных от компьютеров получателя и отправителя

Удаленное взаимодействие должно строиться исходя из первоначального предположения о ненадежности связи

Адреса взаимодействующих процессов должны быть уникальны в рамках всей сети

Необходимо обеспечить взаимоисключения процессов при обращении к линии связи между компьютерами

Отличия взаимодействия удаленныхи локальных процессов

18

виде почтовых сообщенийсодержании служебной информацииформате представления служебной информации

Понятие протоколаДля обмена почтовыми сообщениями

между людьми соответствующие службы связи должны договориться о:

Для взаимодействия удаленных процессов сетевые части операционных систем также

должны руководствоваться определенными соглашениями

(поддерживать определенные протоколы)

19

Многоуровневая модель построения

сетевых вычислительных систем

Интерфейс пользователя

Hardware

N

0

20

Многоуровневая модель построения

сетевых вычислительных систем

руководитель

секретарь

канцелярия

почта

доставка

руководитель

секретарь

канцелярия

почта

доставка

Текст

Копия,адрес

Рег. номер,упаковка

Служебные пометки

21

Многоуровневая модель построения

сетевых вычислительных систем

Формальный перечень правил, определяющих последовательность и формат сообщений, которыми обмениваются сетевые компоненты вычислительных систем, лежащие на одном уровне, называется сетевым протоколом.

Протоколы соседних уровней, находящихся в одном узле (т.е. вертикальные протоколы), взаимодействующие друг с другом в соответствии с четко определенными правилами и с помощью стандартизованных форматов сообщений, называются интерфейсами.

Вся совокупность вертикальных и горизонтальных протоколов (т.е. интерфейсов и сетевых протоколов) называется семейством протоколов или стеком протоколов.

22

Модель OSI/ISO

сеансовый

транспортный

сетевой

канальный

физический

сеансовый

транспортный

сетевой

канальный

физический

приложений

представления

приложений

представления

1

2

3

4

5

6

7

1

2

3

4

5

6

7

Компьютер 1 Компьютер 2

Функции уровней модели OSI/ISO

Обобщение

26

Удачи на зачетах и экзаменах!

Спасибо за внимание!