Угрозы безопасности Windows NT и методы защиты

Уязвимость и связанные с ней угрозы представляются в виде цепочки:

- Уязвимость

- Угроза

- Последствия (атака)

Угроза – это возможная опасность, потенциальная или реально существующая, в содержании какого–либо деяния (действия или бездействия), направленное против объекта защиты, проявившегося в опасности искажения или потери информации.

Угрозы безопасности информации – хищение, модификация, уничтожение, нарушение доступности, отрицание подлинности и навязывание ложности.

Источник угрозы безопасности как субъекты, так и объекты.

Источники угроз как внутри защищенного объ­екта, так и вне его.

Угрозы, как возможные опасности совершения какого-либо действия, направленное против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящей к нарушению информации на объекте.

Каждой угрозе могут быть сопоставлены различные уязвимости.

Классификация угроз безопасности ОС:

1. по цели реализации:

- несанкционированное чтение информации

-несанкционированное изменение информации

- несанкционированное удаление информации

-полное или частичное разрушение ОС (разрушение – это комплекс воздействий от кратковременного вы­вода отдельных модулей из строя до физических стираний системных файлов)

2. по принципу воздействия

- использование известных каналов получения информации (несанкционированное чтение файлов, дос­туп к которым запрещен)

- использование скрытых каналов получение информации (использование недокументированных функ­ций)

- создание новых каналов получения информации (при разработке системы (какие-либо закладки))

3. по характеру воздействия на ОС

активное воздействие

пассивное воздействие (наблюдение за процессами)

4. по типу использования слабой защиты

- использование неадекватной политики безопасности, в том числе ошибки администратора

- использование ошибок и недокументированных возможностей программного обеспечения (служеб­ные закладки)

5. по способу воздействия на объект атаки

-непосредственное воздействие

-превышение пользователя своих полномочий

-работа от имени другого пользователя

-использование результатов работы другого пользователя

6. по способу действия злоумышленника

- можно работать в интерактивном режиме (пошагово, вручную)

- либо в пакетном режиме

7. по объекту атаки

- ОС в целом

- Объект ОС (пользователи, процессы, запущенные от их имени)

- Каналы передачи данных

8. по использованным средствам атаки

- штатные средства ОС без использования дополнительного программного обеспечения

- программное обеспечение третьих фирм

-специально разработанное программное обеспечение

9. по состоянию атакуемого объекта на момент состояния (хранение, передача, обработка информации).

ОС называется защищенной, если она предусматривает средства защиты от основных классов угроз (см. выше).

ОС частично-защищенная, если предусматриваются не все средства защиты.

Политика безопасности – это набор норм, правил и практических приемов, регулирующих порядок хранения и обработки ценной информации.

В отношении ОС политика безопасности определяет то, какие пользователи могут работать, к каким доступ, какие события должны регистрироваться в журнале событий и т.д.

Адекватная политика безопасности – это такая политика безопасности, которая обеспечивает достаточный уро­вень безопасности ОС. Адекватная политика безопасности – это необязательно та политика безопасности, при которой достигается максимальный уровень защищенности ОС.

Два подхода к созданию защищенной ОС:

1. комплексный (механизм защиты внедряется на стадии разработки ОС; на момент создания системы должна быть продумана линия зашиты)

2. фрагментальный (простота, но система не гарантирует защиты от комплексных угроз). Преимуще­ства: защиты организуется одним модулей, относительная дешевизна.

Стандарт защищенности (оранжевая книга):

1) отсутствие криптографических средств защиты информации

2) отсутствие вопросов защиты типа «отказ в обслуживании»

3) отсутствие защиты от программных закладок

4) недостаточно рассматриваются вопросы взаимодействия нескольких экземпляров защищенных систем в ло­кальной или глобальной сети

Основные функции Win32 API.

Win32 API – интерфейс программирования приложений.

Это набор базовых функций для поддержки процессов, потоков, управления памятью и т.д.

CreateProcess – создает новый процесс и его главный поток.

ExitProcess – завершает выполнение процесса и всех его потоков.

GetCurrentProcess – возвращает псевдодескриптор текущего процесса.

DuplicateHandle – создание копии объекта ядра.

GetCurrentProcessID – возвращает идентификатор текущего процесса.

GetExitCodeProcess – получение статуса окончания процесса.

GetPriorityClass – возвращает класс приоритета текущего процесса.

OpenProcess – возвращает дескриптор процесса по его идентификатору.

SetPriorityClass – устанавливает класс приоритета для текущего процесса.