F.I.SH
|
Guruh
|
Abdullaxo’jayev Davronxo’ja
|
640 - 19
|
Amaliyot 11. Operatsion tizim platforma va dasturlash tilini
tanlash uslublari tahlili.
Fayl tizimining tuzilishi katta ahamiyatga ega. Misol uchun, ixtiyoriy kirish nazorati bilan OSda har bir fayl unga kirish huquqlarining ixtiyoriy ro‘yxati bilan birga saqlanishi kerak va, masalan, faylni nusxalashda, ACL, shu jumladan, barcha atributlar avtomatik ravishda fayl tanasi bilan birga ko‘chirilishi kerak.
Asosan, xavfsizlik choralari Osga oldindan o‘rnatilgan bo‘lishi shart emas-qo‘shimcha himoya mahsulotlarini o‘rnatish uchun juda muhim imkoniyat. SHunday qilib, MS-DOS faqat ishonchsiz tizimi tufayli CMOS vositalari va hokazo yuklash sohasida yozishni harakat kuzatish orqali viruslar bilan kurashish uchun kompyuter va/yoki qattiq diskka kirish parollarini tekshirish uchun takomillashtirilgan bo‘lishi mumkin.
MS-DOS
MS-DOS OS i80x86 protsessorining haqiqiy rejimida (real-mode) ishlaydi. Dasturiy modullarni izolyatsiya qilish bo‘yicha talabni bajarish mumkin emas (xotira uchun apparat himoyasi yo‘q). Himoya qilish uchun himoyasiz joy, shuningdek, FAT fayl tizimi bo‘lib, fayllarga kirishni cheklash bilan bog‘liq atributlarga ega bo‘lishni nazarda tutmaydi. SHunday qilib, MS-DOS himoyalangan OS ierarxiyasidagi eng past darajada.[3]
NetWare, IntranetWare
Modullarni bir-biridan ajratmaslik haqidagi eslatma NetWare ish stantsiyasiga nisbatan ham amal qiladi. Biroq, NetWare-bu tarmoq operatsion tizimi, shuning uchun boshqa mezonlardan foydalanish mumkin. Bu hozirgi vaqtda C2 sinfiga sertifikatlangan yagona tarmoq operatsion tizimi. NetWare xavfsizlik tizimining eng zaif qismini - server konsolini ajratish juda muhim va keyin ma’lum bir amaliyotga rioya qilish ushbu tarmoq operatsion tizimining xavfsizlik darajasini oshirishga yordam beradi. Xavfsiz tizimlarni yaratish qobiliyati ishlaydigan ilovalarning soni aniqlanganligi va foydalanuvchi o‘z ilovalarini ishga tushirish qobiliyatiga ega emasligi bilan bog‘liq.
OS/2
OS / 2 i80x86 protsessorining himoyalangan rejimida (himoyalangan-mode) ishlaydi. Dasturiy modullarni izolyatsiya qilish ushbu protsessorga o‘rnatilgan xotira muhofazasi mexanizmlari yordamida amalga oshiriladi. SHuning uchun MS-DOS tipidagi tizimlarning yuqorida ko‘rsatilgan tubsizligidan ozoddir. Biroq, OS / 2 ruxsatsiz kirishdan himoya qilish talablarini hisobga olmagan holda ishlab chiqilgan va ishlab chiqilgan. Bu, birinchi navbatda, fayl tizimiga ta’sir qiladi. OS/2 HPFS (high performance file system) va FAT fayl tizimlarida acl joylari yo‘q. Bundan tashqari, maxsus dasturlar uzilishlarni taqiqlash qobiliyatiga ega. SHunday qilib, OS / 2 sertifikati har qanday himoya sinfiga mos kelishi mumkin emas.
MS-DOS, Mac os, Windows, OS/2 kabi operatsion tizimlar D (to‘q sariq kitobga ko‘ra) xavfsizlik darajasiga ega deb hisoblashadi. Ammo, aniq bo‘lishi uchun, bu Osni D xavfsizlik darajasidagi tizimlar deb hisoblash mumkin emas, chunki ular hech qachon sinovdan o‘tmagan.
Unix
UNIXning ommabopligi va xavfsizlik masalalari bo‘yicha tobora ko‘proq xabardorligi dasturiy mahsulotlarning harakatchanligi, moslashuvchanligi va ochiqligini saqlab, OS xavfsizligining maqbul darajasiga erishish zarurligini anglashga olib keldi. Unix Unix tabiatidan kelib chiqqan tajribali foydalanuvchilarga ma’lum bo‘lgan xavfsizlik nuqtai nazaridan bir nechta zaif joylarga ega. Biroq, yaxshi tizim boshqaruvi bu zaiflikni cheklashi mumkin.
Unix xavfsizligi haqida ma’lumot ziddiyatli. Unix dastlab foydalanuvchilarni identifikatsiya qilish va kirishni ajratish edi. Ma’lum bo‘lishicha, Unix-dagi ma’lumotlarni himoya qilish vositalari takomillashtirilishi mumkin va bugungi kunda ko‘plab UNIX klonlari C2 xavfsizlik sinfiga mos kelishi mumkin.
Odatda, Unix xavfsizligi haqida gapirganda, UNIX serverining tarkibiy qismlaridan biri bo‘lgan avtomatlashtirilgan tizimlarning xavfsizligini hisobga oladi. Bunday tizimning xavfsizligi global va mahalliy tarmoqlarni himoya qilish, telnet va rlogin/rsh kabi masofaviy xizmatlarning xavfsizligi va tarmoq konfiguratsiyasida autentifikatsiya qilish, X Window ilovalari xavfsizligi bilan bog‘liq. Tizim darajasida identifikatsiya va audit vositalarining mavjudligi muhimdir.
Unix-da, foydalanuvchi nomi bilan ataladigan foydalanuvchilar ro‘yxati mavjud bo‘lib, unga muvofiq kirishni ajratish tizimi qurilishi mumkin.
UNIX operatsion tizimida himoyaga muhtoj bo‘lgan ma’lumotlar asosan fayllarda ekanligiga ishonishadi.
Muayyan faylga nisbatan barcha foydalanuvchilar uchta toifaga bo‘linadi:
* fayl egasi;
* egasi guruhi a’zolari;
* boshqa foydalanuvchilar.
Ushbu toifalarning har biri uchun kirish tartibi fayl bilan ishlash huquqini belgilaydi, ya’ni:
* o‘qish huquqi;
* yozish huquqi;
* ijro etish huquqi (kataloglar uchun - qidirish huquqi).
Natijada, to‘qqiz (3x3) bitni himoya qilish har bir faylning ACL ni aniqlash uchun etarli bo‘ladi.
SHunga o‘xshab, UNIX OS ning boshqa ob’ektlari, masalan, semaforlar, ajratilgan xotira segmentlari va boshqalar himoyalangan.
Ushbu turdagi huquqlar fayllar bilan ishlashning maqbulligini aniqlash uchun etarli. Misol uchun, faylni o‘chirish uchun tegishli katalogga yozish huquqiga ega bo‘lishingiz kerak. YUqorida aytib o‘tilganidek, faylga kirish huquqi faqat ochilish bosqichida tekshiriladi. Keyingi o‘qish va yozish operatsiyalari bilan tekshirish amalga oshirilmaydi. Natijada, fayl ochilgandan so‘ng faylga kirish rejimi o‘zgartirilsa, bu faylni allaqachon ochgan jarayonlarga ta’sir qilmaydi. Bu holat xavfsizlik nuqtai nazaridan himoyasiz joy.
Faqat uch turdagi kirish sub’ektlarining mavjudligi: egasi, guruhi, qolganlari - "foydalanuvchi aniqligi bilan", ayniqsa katta konfiguratsiyalar uchun huquqlarni topshirishni qiyinlashtiradi. UNIX-Solarisning mashhur turida shaxsiy foydalanuvchilar yoki guruhlarga kirish huquqini alohida o‘rnatishga imkon beruvchi erkin foydalanishni boshqarish ro‘yxatlarini (ACL) ishlatish mumkin.
Barcha foydalanuvchilar orasida maksimal imtiyozlarga ega bo‘lgan root foydalanuvchisi alohida mavqega ega. Unga kirishni ajratishning odatiy qoidalari qo‘llanilmaydi-u kompyuterdagi barcha ma’lumotlarga ega.
UNIXda tizimni boshqarish vositalari mavjud - xavfsizlikka tegishli hodisalarning xronologik rekordi. Bunday hodisalar odatda quyidagilarni o‘z ichiga oladi: dasturlarning alohida serverlarga murojaatlari; tizimga kirish/chiqish bilan bog‘liq voqealar va boshqalar. Odatda ro‘yxatga olish faoliyati syslog-Demon tomonidan amalga oshiriladi, u hozirgi konfiguratsiyaga muvofiq ro‘yxatga olish jurnaliga hodisalarni qayd etadi. Syslog-Demon tizimni yuklash jarayonida boshlanadi.
SHunday qilib, UNIX OS xavfsizligi C2 sinfiga mos kelishi mumkin. SHu bilan birga, yuqori darajadagi xavfsizlikning avtomatlashtirilgan tizimlarini ishlab chiqish katta mehnat xarajatlari bilan bog‘liq bo‘lishi mumkin.[6]
XULOSA: Barcha foydalanuvchilar orasida maksimal imtiyozlarga ega bo‘lgan root foydalanuvchisi alohida mavqega ega. Unga kirishni ajratishning odatiy qoidalari qo‘llanilmaydi-u kompyuterdagi barcha ma’lumotlarga ega.
UNIXda tizimni boshqarish vositalari mavjud - xavfsizlikka tegishli hodisalarning xronologik rekordi. Bunday hodisalar odatda quyidagilarni o‘z ichiga oladi: dasturlarning alohida serverlarga murojaatlari; tizimga kirish/chiqish bilan bog‘liq voqealar va boshqalar. Odatda ro‘yxatga olish faoliyati syslog-Demon tomonidan amalga oshiriladi, u hozirgi konfiguratsiyaga muvofiq ro‘yxatga olish jurnaliga hodisalarni qayd etadi. Syslog-Demon tizimni yuklash jarayonida boshlanadi.
SHunday qilib, UNIX OS xavfsizligi C2 sinfiga mos kelishi mumkin. SHu bilan birga, yuqori darajadagi xavfsizlikning avtomatlashtirilgan tizimlarini ishlab chiqish katta mehnat xarajatlari bilan bog‘liq bo‘lishi mumkin.
Do'stlaringiz bilan baham: |