Принцип обеспечения безопасности вычислений

Обеспечение безопасности при выполнении вычислений является желаемым свой­ством для любой многопользовательской системы. Правила безопасности опреде­ляют такие свойства, как защита ресурсов одного пользователя от других и уста­новление квот по ресурсам для предотвращения захвата одним пользователем всех системных ресурсов (таких как память).

Обеспечение защиты информации от несанкционированного доступа является обя­зательной функцией многих операционных систем. Для решения этой проблемы чаще всего используется механизм учетных записей. Он предполагает проведение аутен­тификации пользователя при его регистрации на компьютере и последующую авто­ризацию, которая определяет уровень полномочий (прав) пользователя (об аутенти­фикации и авторизации пользователей см. главу 1). Каждая учетная запись может входить в одну или несколько групп. Встроенные группы, как правило, определяют

288______________________________ Глава 9. Архитектура операционных систем

права пользователей, тогда как создаваемые администратором группы (их называют группами безопасности) используются для определения разрешений в доступе пользо­вателей к тем или иным ресурсам. Имеющиеся учетные записи хранятся в специаль­ной базе данных, которая бывает доступна только для самой системы. Для этого файл базы данных с учетными записями открывается системой в монопольном режиме, и доступ к нему со стороны любого пользователя становится невозможным. Делается это для того, чтобы нельзя было получить базу данных с учетными записями. Если получить файл с учетными записями, то посредством его анализа можно было бы узнать пароль пользователя, по которому осуществляется аутентификация.

Во многих современных операционных системах гарантируется степень безопас­ности данных, соответствующая уровню С2 в системе стандартов США. Основы стандартов в области безопасности были заложены в документе «Критерии оцен­ки надежных компьютерных систем». Этот документ, изданный в США в 1983 году. Национальным центром компьютерной безопасности (National Computer Security Center), часто называют Оранжевой книгой.

В соответствии с требованиями Оранжевой книги безопасной считается система, которая «посредством специальных механизмов защиты контролирует доступ к ин­формации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, за­пись, создание или удаление информации».

Иерархия уровней безопасности, приведенная в Оранжевой книге, помечает низ­ший уровень безопасности как D, а высший — как А.

В класс D попадают системы, оценка которых выявила их несоответствие требова­ниям всех других классов.

Основными свойствами, характерными для систем класса С, являются наличие подсистемы учета событий, связанных с безопасностью, и избирательный конт­роль доступа. Класс (уровень) С делится на два подуровня: уровень С1 обеспечи­вает защиту данных от ошибок пользователей, но не от действий злоумышленни­ков. На более строгом уровне С2 должны присутствовать:

- средства секретного входа, обеспечивающие идентификацию пользователей путем ввода уникального имени и пароля перед тем, как им будет разрешен доступ к системе;

- избирательный контроль доступа, требуемый на этом уровне, позволяет вла­дельцу ресурса определить, кто имеет доступ к ресурсу и что он может с ним делать (владелец делает это путем предоставления разрешений доступа пользо­вателю или группе пользователей);

- средства аудита (auditing) обеспечивают обнаружение и запись важных собы­тий, связанных с безопасностью, или любых попыток создать системные ресур­сы, получить доступ к ним или удалить их;

- защита памяти заключается в том, что память перед ее повторным использова­нием должна инициализироваться.

На этом уровне система не защищена от ошибок пользователя, но поведение его мо­жет быть проконтролировано по записям в журнале, оставленным средствами аудита.

Микроядерные операционные системы_________________________________ 289

Системы уровня В основаны на помеченных данных и распределении пользовате­лей по категориям, то есть реализуют мандатный контроль доступа. Каждому пользователю присваивается рейтинг защиты, и он может получать доступ к дан­ным только в соответствии с этим рейтингом. Этот уровень в отличие от уровня С защищает систему от ошибочного поведения пользователя.

Уровень А является самым высоким уровнем безопасности, он требует в дополне­ние ко всем требованиям уровня В выполнения формального математически обо­снованного доказательства соответствия системы требованиям безопасности.

Различные коммерческие структуры (например, банки) особо выделяют необхо­димость учетной службы, аналогичной той, что Предлагают государственные ре­комендации С2. Любая деятельность, связанная с безопасностью, может быть от­слежена и тем самым учтена. Это как раз то, что требует стандарт для систем класса С2 и что обычно нужно банкам. Однако коммерческие пользователи, как правило, не хотят расплачиваться производительностью за повышенный уровень безопасности. Уровень безопасности А занимает своими управляющими механиз­мами до 90 % процессорного времени, что, безусловно, в большинстве случаев не­приемлемо. Более безопасные системы не только снижают эффективность, но и существенно ограничивают число доступных прикладных пакетов, которые соот­ветствующим образом могут выполняться в подобной системе. Например, для опе­рационной системы Solaris (версия UNIX) есть несколько тысяч приложений, а для ее аналога уровня В — только около ста.