Вбудовані засоби захисту ОС - Системний аналіз уразливостей сервера резервного копіювання мережевий
Основним завданням вбудованих засобів ОС є контроль доступу користувачів. Засоби контролю доступу на рівні системи виконують такі функції:
- реєстрація невдалих спроб входу до системи
- Створення паролів для віддаленого входу в систему
- тимчасове блокування віддаленого входу до системи
- Захист входу в систему
При реєстрації користувача в системі здійснюється перевірка реєстраційних даних користувача на основі інформації, що міститься в реєстраційному записі користувача.
Програма перевіряє введені користувачем ім'я та пароль. Якщо введене користувачем ім'я відсутнє у файлі паролів або якщо введений пароль не відповідає імені, вхід до системи забороняється. Якщо введене користувачем ім'я є у файлі паролів і введений користувачем пароль відповідає імені, то користувачеві надається доступ до системи.
Вбудовані засоби захисту інформації в мережевих ОС доступні, але не завжди можуть повністю вирішити проблеми, що виникають на практиці. Наприклад, мережні ОС NetWare 3.x, 4.x дозволяють здійснити надійний «ешелонований» захист даних від апаратних збоїв та пошкоджень. Система SFT (System Fault Tolerance – система стійкості до відмов) фірми Novell передбачає три основні рівні.
- SFT Level I. Перший рівень передбачає, зокрема, створення додаткових копій FAT і Directory Entries Tables, негайну верифікацію кожного новозаписаного на файловий сервер блоку даних, а також резервування на кожному жорсткому диску близько 2% від об'єму диска. При виявленні збою дані перенаправляються в зарезервовану область диска, а збійний блок позначається як поганий і надалі не використовується.
- SFT Level II міститьдодатково можливості створення "дзеркальних" дисків, а також дублювання дискових контролерів, джерел живлення та інтерфейсних кабелів.
- SFT Level III дозволяє використовувати у локальній мережі дубльовані сервери, один із яких є «головним», а другий, що містить копію всієї інформації, вступає в роботу у разі виходу «головного» сервера з ладу.
- Система контролю та обмеження прав доступу в мережах NetWare (захист від несанкціонованого доступу) також містить декілька рівнів.
- Рівень початкового доступу (включає ім'я та пароль користувача, систему облікових обмежень типу явного дозволу або заборони роботи, допустимого часу роботи в мережі, місця на жорсткому диску, який займає особисті файли даного користувача, і т.д.).
- Рівень прав користувачів («персональні» обмеження на виконання окремих операцій та/або обмеження на роботу даного користувача як члена певного підрозділу в окремих частинах файлової системи мережі).
- Рівень атрибутів каталогів та файлів (обмеження на виконання окремих операцій типу видалення, редагування або створення, що йдуть з боку файлової системи та стосуються всіх користувачів, які намагаються працювати з даними каталогами чи файлами).
- Рівень консолі файл-сервера (блокування клавіатури файл-сервера на час відсутності адміністратора мережі до введення їм спеціального пароля).
Однак покладатися на цю частину системи захисту в ОС NetWare можна не завжди. Свідченням є численні інструкції в Internet і готові доступні програми, що дозволяють зламати ті чи інші елементи захисту від несанкціонованого доступу. Те ж зауваження справедливе стосовно інших потужних мережевих ОС із вбудованими засобамизахисту (Windows NT, UNIX).
Справа в тому, що захист інформації - це лише частина з численних завдань, які вирішуються мережевими ОС. Виділення однієї з функцій на шкоду іншим (при зрозумілих розумних обмеженнях на обсяг, який займає ця ОС на жорсткому диску) не може бути магістральним напрямком розвитку таких програмних продуктів загального призначення, якими є мережні ОС.
У той же час у зв'язку з гостротою проблеми захисту інформації спостерігається тенденція інтеграції (вбудовування) окремих засобів, що добре зарекомендували себе і стали стандартними в мережеві ОС або розробка власних «фірмових» аналогів відомим програмам захисту інформації. Так, у мережній ОС NetWare 4.1 передбачена можливість кодування даних за принципом «відкритого ключа» (алгоритм RSA) з формуванням електронного підпису для пакетів, що передаються по мережі.
Спеціалізовані програмні засоби захисту інформації від несанкціонованого доступу мають в цілому кращі можливості та характеристики, ніж вбудовані засоби мережевих ОС. Крім програм шифрування, є багато інших доступних зовнішніх засобів захисту. З найчастіше згадуваних слід зазначити такі дві системи, що дозволяють обмежити інформаційні потоки.
Firewalls – брандмауери (дослівно firewall – вогненна стіна). Між локальною та глобальною мережами створюються спеціальні проміжні сервери, які перевіряють і фільтрують весь трафік мережного/транспортного рівнів, що проходить через них. Це дозволяє різко знизити загрозу несанкціонованого доступу ззовні до корпоративних мереж, але не усуває цю небезпеку зовсім. Більш захищений різновид методу - це спосіб маскараду (masquerading), коли весь трафік, що виходить з локальної мережі, посилається відімені firewall-сервера, роблячи локальну мережу практично невидимою.
Виходячи з аналізу вбудованих в ОС засобів захисту слід висновок, що вбудовані засоби ОС використовуються тільки за відсутності альтернатив, причиною чого може служити, наприклад низький бюджет на забезпечення інформаційної безпеки.