Демидов А.В. 2008 г. Операционные системы Лекция 7 Основы безопасности ОС.

Презентация:



Advertisements
Похожие презентации
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ «МАТИ» - РОСИЙСКИЙ ГОСУДАРСТВЕННЫЙ.
Advertisements

Демидов А.В г. Операционные системы Лекция 6 Буфер оперативной памяти, Организация памяти.
Демидов А.В г. Операционные системы Лекция 4 Работа с файлами.
Базовые методы обеспечения безопасности. Мы рассмотрим наиболее распространенные дополнительные меры, повышающие защищенность системы: контроль повторного.
Администрирование RAS серверов. RAS (Remote Access Server) сервер – это сервер удаленного доступа. Используется для соединения компьютеров по коммутируемым.
ОКБ САПР okbsapr.ru InfoSecurity, 2011 Организация защищенной работы с USB- накопителями.
«Особенности файловой системы WinFS» Сравнение с предыдущими файловыми системами.
Выполнила: ученица 11 класса «А» Белозерских Валентина.
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
Основные понятия информационной безопасности Выполнила: студент ВМИ-256, Майя Кутырева Проверила: Анастасия Валерьевна Шамакина, программист отдела распределенных.
. Имя метафайла Назначение метафайла SMFT Сам Master File Table SMFTmirr Копия первых 16 записей MFT, размешенная посередине тома SLogFile Файл поддержки.
11 класс (c) Angelflyfree, Основные определения Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
11 класс (c) Angelflyfree, Основные определения Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Классификация ОС. Операционные системы могут различаться особенностями реализации внутренних алгоритмов управления основными ресурсами компьютера (процессорами,
Понятие об операционной системе (ОС). Что происходит сразу после включения питания ПК? При включении питания процессор обращается в микросхему ПЗУ (постоянное.
Слайд 68 ЗАЩИТНЫЕ МЕХАНИЗМЫ И СРЕДСТВА У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 1 – Тема 3.
Операционные системы и среды. Схема устройства жесткого диска Дорожка N Сектор (блок) Пластина 1 Пластина 2 Цилиндр 0 сторона Диск – одна или несколько.
Лекция 20 Авторизация и аутоидентификация. Определение Аутентифика́ция (Authentication) проверка принадлежности субъекту доступа предъявленного им идентификатора;
Клиент банка под атакой © 2009, Digital Security.
Лекция 6 Понятие операционных систем Учебные вопросы: 1. Характеристики ОС 2. Свободные и проприетарные ОС.
Транксрипт:

Демидов А.В г. Операционные системы Лекция 7 Основы безопасности ОС

Демидов А.В г. Контрольные вопросы Алгоритмы чтения информации с жесткого диска? Опишите принцип адресации файлов в ФС FAT32. Опишите структуру и функции MFT в ФС NTFS. Какие типы атрибутов файлов поддерживает NTFS? Опишите принцип адресации файлов в UNIX V. Сравните назначение прав доступа в ФС FAT32, NTFS и UNIX V FS. Каким образом реализована поддержка длинных имен файлов в VFAT? Какие ограничения существуют на загрузочный раздел WinNT и почему?

Демидов А.В г. Контрольные вопросы Принцип локальности Методы организации памяти Адресация памяти при сегментно-страничной структуре Методы предотвращения тупиков

Демидов А.В г.

Типы вирусов Viruses Resident Non-resident Trojans Macros Cross-site scripting

Демидов А.В г. Угрозы безопасности confidentiality availability Integrity Активные Пассивные Проникновение Несанкционированные действия Вредоносное ПО

Демидов А.В г. Orange book D Minimal Protection C Discretionary Protection C1 Discretionary Security Protection C2 Controlled Access Protection B Mandatory Protection B1 Labeled Security Protection B2 Structured Protection B3 Security Domains A Verified Protection A1 Verified Design

Демидов А.В г. рекомендации для проектирования системы безопасности Проектирование системы должно быть открытым. Не должно быть доступа по умолчанию. Нужно тщательно проверять текущее авторство. Давать каждому процессу минимум возможных привилегий. Защитные механизмы должны быть просты, постоянны и встроены в нижний слой системы, это не аддитивные добавки. Важна физиологическая приемлемость.

Демидов А.В г. Криптография Методы шифрования с секретным или симметричным ключом (DES, TripleDES) Методы шифрования с открытым или асимметричным ключом (RSA)

Демидов А.В г. Аутентификация CHAP (Challenge Handshake Authentication Protocol)

Демидов А.В г. Авторизация способы управления доступом: дискреционный (избирательный) полномочный (мандатный).

Демидов А.В г. Матрица доступа Список прав доступа. Access control list Мандаты возможностей. Capability list lock-key

Демидов А.В г. Выявление вторжений Аудит вход или выход из системы; операции с файлами (открыть, закрыть, переименовать, удалить); обращение к удаленной системе; смена привилегий или иных атрибутов безопасности. Сканирование короткие или легкие пароли; неавторизованные set- uid программы; неавторизованные программы в системных директориях; долго выполняющиеся программы; нелогичная защита как пользовательских, так и системных директорий и файлов; потенциально опасные списки поиска файлов; изменения в системных программах.

Демидов А.В г. Анализ некоторых популярных ОС MS DOS NetWare OS/2 UNIX Windows NT Local Security Authority, LSA Security Account Manager, SAM Security Reference Monitor, SRM

Демидов А.В г. Философия и архитектура NT против UNIX с точки зрения безопасности

Демидов А.В г. Windows vs UNIX Open Source vs дизассемблер Удаленный доступ Комплектность штатной поставки Механизмы аутентификации Повышение своих привилегий Угроза переполнения буфера Доступ к чужому адресному пространству Межпроцессорные коммуникации

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX качество и полнота документирова ния документиров ана поверхностно документиров ана весьма обстоятельно доступность исходных текстов исходные тексты недоступны исходные тексты доступны

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX сложность анализа высокаяумеренная распространенн ость существует весьма ограниченное количество представителей NT, причем наблюдается ярко выраженная преемственность дыр от одних версий системы к другим существует огромное количество разнообразных клонов, причем ошибки одной версии системы зачастую отсутствуют в остальных

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX сложность кодакод излишне сложен код предельно прост поддержка удаленного администриров ания частично поддерживае т поддерживает

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX комплектность штатной поставки содержит минимум необходимых приложений содержит огромное количество приложений, в том числе и не протестирован ных механизмы аутентификации устойчив к перехвату паролей передает открытый пароль

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX использование привязки не использует использует выполнение привилегирова нных операций выполняется операционно й системой выполняется самим приложением со временным повышением привилегий

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX модель пользователей иерархическаяодноуровневая защита от переполнения буфера отсутствует, причем сама ОС написана на языке, провоцирующ ем такие ошибки

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX возможность доступа в адресное пространство чужого процесса имеется, разрешена по умолчанию отсутствует возможность отладки процессов имеется, разрешена по умолчанию имеется, но связана с рядом ограничений

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX возможность отладки активных процессов имеется, но требует наличия соответствую щих привилегий отсутствует удаленный доступ к именованным каналам естьнет

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX создание подложных именованных каналов есть, можно создать и канал, и даже подложный экземпляр уже открытого канала есть, можно создать лишь подложный канал защита именованных каналов от нежелательных подключений отсутствует

Демидов А.В г. Windows vs UNIX характеристикаNTUNIX защита сокетов от нежелательных подключений отсутствует возможность эмуляции ввода в более привилегирова нный процесс имеетсяотсутствует