TURVALISUS JA KAITSE БЕЗОПАСНОСТЬ Operatsioonisüsteemide teooria alused

Ülevaade Обзор Turvalisuse mõiste. Понятие безопасности Turva süsteemid. Надежные системы Krüptograafia mõiste. Основы криптографии Kasutaja autentifikatsioon. Аутентификация пользователя Rünnakud. Атаки Turvalisuse mehhanismid. Механизм защиты

Sissejuhatus Введение Turvalisus on tänapäeva arvutisüsteemides väga oluline ning tarkvaratootjad pööravad sellele järjest suuremat tähelepanu. Безопасность на сегодняшний день является очень важной и разработчики ПО обращают на это много внимания.

Turvalisuse ja kaitse vajadus Необходимость безопасности и защиты Arvutis talletatud informatsioon on kasutaja intellektuaalne omand ja vajab kaitset nagu iga teine Хранящаяся на компьютере информация является интеллектуальной собственностью пользователя, а потому нуждается в защите, как и любая другая собственность.

Turvalisuse 3 põhikriteeriumit 3 критерия безопасности Data availability confidentialityintegrity

Turvalisuse 3 põhikriteeriumit 3 критерия безопасности Käideldavus | доступность data availability Terviklikkus | целостность integrity Konfidentsiaalsus | конфиденциальность confidentiality

Käideldavus Доступность Andmed peavad olema takistusteta kättesaadavad volitatud kasutajatele Данные должны быть доступны без преград доверенному пользователю Andmed peavad olema õiged Данные должны быть истинными

Terviklikkus Целостность Andmeid ei tohi volitamatult muuta Данные запрещено изменять без доверенности (права) Andmed peavad olema pärit õigest allikast Данные должны быть получены из достоверного источника

Konfidentsiaalsus Конфидециальность Andmed tohivad olla kättesaadavad ainult volitatud kasutajatele Данные должны быть доступны только для пользователей у которых есть доверенность (права)

Ebaturvaline süsteem Небезопасная система Kui mõni põhikriteeriumitest ei ole täidetud Если какой-либо из критериев не выполнен

Turvaohud Угрозы безопасности Füüsiline risk Физический риск Kasutajapoolne risk Риск со стороны пользователя

Füüsiline risk Физический риск Arvutisüsteem võidakse varastada, hävitada; arvutisüsteem muutub kasutatamatuks riistvara rikke. Посягательство с целью кражи или уничтожения; компьютерная система выходит из строя из-за сбоя аппаратных средств или системных изменений.

Juhuslik andmete kaotus Случайная потеря данных Põhised kategooriad. Основные категории 1. Acts of God Tulekahjud, üleujutused jne Пожары, наводнения и т.д. 2. Tarkvara või riistvara vead. Ошибки ПО или оборудования 3. Inimeste faktor Человеческий фактор

Kasutajapoolne risk Риск со стороны пользователя Kasutaja, kellel on liiga suured volitused on samuti turvarisk, seda eriti juhul kui arvutisüsteem ei toeta kasutajaõiguseid või on muu moel kasutajapoolse rünnaku või väärkasutamise vastu turvamata. Пользователь, у которого слишком большие полномочия являются угрозой безопасности, особенно если компьютер не поддерживает пользовательских прав или же любой другой пользователь при атаке или небезопасном использовании компьютера

Kurjasepitsejate kategooriad Категории злоумышленников 1.Juhuslikud, uudishimulikud kasutajad. Случайные любопытные пользователи 2. Spioonid seestpoolt. Шпионы изнутри 3. Enese rikastamise katsed. Попытки личного обогащения 4. Kommerts või sõjaline spionaaz. Коммерческий или военный шпионаж

Turvaohud Угрозы безопасности Füüsiline risk: arvutisüsteem võidakse varastada, hävitada; arvutisüsteem muutub kasutatamatuks riistvara rikke või elektrikatkestuse tõttu jne. Физический риск Kasutajapoolne risk: kasutaja, kellel on liiga suured volitused on samuti turvarisk, seda eriti juhul kui arvutisüsteem ei toeta kasutajaõiguseid või on muu moel kasutajapoolse rünnaku või väärkasutamise vastu turvamata. Риск со стороны пользователя

Kaitse kihid Уровни защиты 1. Hoone | Здание 2.Võrk | Сети 3. Arvuti | Компьютер 4.Operatsioonisüsteem | ОС 5. Rakendus | Приложение 6. Kasutaja | Пользователь 7. Andmed | Данные

Hoone Здание Arvuti on kaitstud füüsilise juurdepääsu eest: lukud, seifid, räkikapid, jne. Здание: защита от физического доступа к компьютеру (замки, сейфы, шкафы, итд.)

Võrk Сеть Arvuti on kaitstud avalikust võrgust tulevate võimalike rünnete eest (tulemüür) Компьютер защищён он возможной угрозы из внешней сети (брандмауэр)

Arvuti Компьютер kaitsemeetodid riistvara tasemel (dubleeritud riistvarakomponendid, riistvara tasemel autentimine, riistvaraline krüpteerimine) аппаратные средства защиты (дублированные аппаратные компоненты, аутентификация на аппаратном уровне, аппаратное шифрование)

Operatsioonisüsteem Операционная система kaitsemeetodid OS'i tasemel (kasutaja- ja kerneli töörežiim, autentimine ja autoriseerimine, failisüsteemi kaitse, rühmapoliitika, krüpteerimine, tulemüür, sisseehitatud kaitsevahendid soovimatute süsteemimuudatuste vastu, jne.) методы защиты на уровне ОС (режимы работы ядра - пользовательский и привилегированный, защита файловой системы, групповая политика, шифрование, брандмауэр, встроенные механизмы защиты от нежелательных изменений системы, итд.)

Rakendus Приложения Rakenduse tasemel andmekaitse ja rakendused andmete kaitseks (viirusetõrje, varundamine, jne.) Защита на уровне приложений и программы для защиты данных (антивирус, резервное копирование, итд.)

Kasutaja Пользователь Kasutajate koolitused, juurdepääsuõiguste määramine ja monitooring Обучение пользователей, установка прав доступа и мониторинг

Andmed Данные Konkreetse andmeobjekti kaitse juurdepääsunimekirjadega või krüpteeringuga. Защита конкретного объекта данных посредством списка прав доступа или шифрованием.

OSI KAITSEMEHHANISMID МЕХАНИЗМЫ ЗАЩИТЫ В ОС

OSi kaitsemehhanismid Механизмы защиты в ОС Kaasaegsetesse operatsioonisüsteemidesse on sisseehitatud mitmeid kaitsemehhanisme turvakriteeriumite täitmiseks В современной операционной системе встроено множество механизмов для обеспечения безопасности

OSi kaitsemehhanismid Механизмы защиты в ОС 1.kasutaja- ja kerneli töörežiim | пользовательский и привилегированный режим 2. Autoriseerimine | авторизация 3.failisüsteemi kaitse | защита файловой системы 4.Rühmapoliitika | групповая политика 5.Krüpteerimine | шифрование 6.Tulemüür | брандмауэр 7. sisseehitatud kaitsevahendid soovimatute süsteemimuudatuste vastu | встроенные механизмы защиты от нежелательных изменений системы

Kernelirežiim ja kasutajarežiim Пользовательский и привилегированный режим Mitmetegumiline OS peab tagama protsesside omavahelise isoleerituseja eraldama kasutaja protsessid kerneli omadest, et tagada eri protsesside konfidentsiaalsus ja süsteemi stabiilne töö. Многозадачная ОС должна изолировать процессы друг от друга и отделять пользовательские процессы от процессов ядра, для того чтобы обеспечить конфиденциальность процессов и стабильность работы системы.

Kernelirežiim Режим пользователя Kasutaja protsesside isoleerimiseks ja mäluruumi kaitseks piirangud: Ограничения по изоляции пользовательских процессов и защите памяти: kasutajaprotsessid kasutavad ainult neile määratud mälu osa | пользователи используют выделенную им часть памяти programmi koodi sisaldavat mäluala kaitsmine kirjutamisoperatsioonide eest | защита программного кода от записи Mälu tühjendamine eelmise protsessi andmetest | освобождение памяти от данных предыдущего процесса.

Kasutajarežiim Режим ядра Kernelirežiim käivitatakse protsessori priviligeeritud käivitusrežiimis, mis tagab juurdepääsu kõigile protsessori käskudele ja kogu süsteemimälule. Процесс, запущенный в режиме ядра, имеет доступ ко всем командам процессора и всему адресному пространству памяти.

Kasutajarežiim Режим ядра Mitmekasutaja OS'i kaitsemehhanism algab kasutajate loomisest, kellel on juurdepääs süsteemi kasutamiseks ja sellele järgneb ressurssidele juurdepääsuõiguste määramine kasutajatele. В многопользовательской системе механизм защиты начинается с создания учетной записи для доступа к использованию системы и назначению прав по использованию ресурсов.

Krüpteerimine Шифрование OS tasemel kaitsemehhanismid on pidevalt täiustunud ja hõlmavad krüpteerimisvahendeid, mida kasutatakse üle erinevate OS'i toimimise mehhanismide nagu kasutaja autentimisel, võrguühenduste loomisel, massmäluseadmetel ja eemaldatavatel mäluseadmetel andmete kaitseks jne. Механизмы защиты на уровне ОС постоянно совершенствуются, и теперь включают средства шифрования, применяемые при разных видах деятельности ОС, таких как аутентификация пользователей, установка сетевого соединения, защиты данных на массовых и съёмных носителях итд.

Krüpteerimine Шифрование Krüptograafia mõiste hõlmab sõnumi teisendamist krüpteeritud sõnumiks, kasutades salastatud võtit Понятие криптографии включает преобразование некого сообщения в закодированное сообщение, использую секретный ключ.

Krüpteerimine Шифрование Krüptograafiline mehhanism toetub võtmete salastatusele, tagamaks krüpteeritud sõnumite salastatuse, samas kui krüpteerimise ja dekrüpteerimise algoritmid on üldiselt avalikud.Krüptograafilise süsteemi puhul on krüpteerimis- ja dekrüpteerimisvõtmed seotud matemaatilise valemiga. Основываясь на секретности ключа, механизм шифрования обеспечивает секретность сообщения, хоть сами алгоритмы зашифрования и расшифрования открыты. В криптосистеме ключ для шифрования связан с математической функцией.

Krüpteerimine Шифрование Sümmeetriline kripteerimine | Симметричное Andmete turvamisel kasutatakse andmete krüpteerimiseks ja hilisemal dekrüpteerimisel sama võtit шифрование и расшифрованные проводится с использованием одного и того же секретного ключа. Asümmeetriline krüpteerimine | Ассиметричное On kasutusel võtmepaarid (salajane, avalik). Avaliku võtmega krüpteeritud andmete dekrüpteerimiseks on vaja kasutada salajast võtit ning vastupidi. используется пара ключей - открытый и закрытый. Для расшифрования зашифрованного открытым ключом сообщения нужно использовать закрытый ключ, и наоборот

Krüptograafia alused. Основы криптографии Avatud tekst ja šifreeritud tekst. Открытый текст и шифрованный текст

Šifreerimine salavõtiga. Шифрование с секретным ключом Monoalfabeetiline vehatus. Моноалфавитная замена Iga täht vahetatakse teisega tähega. Каждая буква заменяется другой буквой Kui me teame šifreerimise võtit Зная ключ шифрования, On kerge leida dešifreerimise võtit. Легко найти ключ дешифрации Шифрование называется симметричным. Šifreerimine on sümmeetriline.

Šifreerimine avatu võtmega. Шифрование с открытым ключом Paari võtme loomine – avaliku- ja privaatvõtme Создается пара ключей – открытый и закрытый ключ Avalik võtit publitseeritakse. Открытый ключ публикуется Privaatvõtit ei publitseerita. Закрытый не публикуется Privaatvõti šifreerib. Публичный ключ шифрует Privaatvõti dešifreerib. Приватный дешифрует

Krüpteerimine Шифрование Asümmeetriline krüpteerimine ressursinõudlik aссиметричное шифрование занимает много ресурсов Suured admemahud krüpteeritakse andmed sümmeetrilise võtmega ja sümmeetrilise krüpteerimise võti edastatakse asümmeetriliselt krüpteeritunainfo vastuvõtja avaliku võtmega большие объёмы данных шифруют симметричным ключом, а ключ симметричного шифрования передают в ассиметрично зашифрованном виде, с помощью открытого ключа получателя..

KAITSE ARVUTIVIIRUSTE EEST ЗАЩИТА ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ

Kaitse arvutiviiruste eest Защита от компьютерных вирусов Pahavara hõlmab programme, mis on tahtlikult loodud süsteemi ohustamiseks. К вредоносным относятся программы, которые намеренно созданы для угрозы системы. Levivad arvutist arvutisse kas võrgu teel või eemaldatavate mäluseadmete kaudu Такие программы распространяются от компьютера к компьютеры либо по сети, либо через cъёмные носители информации.

Pahavara Вредоносное ПО Kõige levinumateks pahavara näideteks on: Примерами самых распространённых видов вредоносных программ являются tagauksed, чёрный ход Trooja hobused, троянские кони viirused вирусы ussviirused, черви

Tagauks Чёрный ход Backdoor programm, mis võimaldab juurdepääsu arvutisüsteemile, minnes mööda tavalistest autentimise kontrollidest. это программа, позволяющая получить доступ к компьютерной системе, минуя обычный проверку аутентификации.

Tagauks Чёрный ход Varjatud kasutajanimi, mis ei ole seotud parooliga, nii et igaüks saab ühenduda süsteemiga ning kasutada seda kasutajanime. Чёрным ходом часто являются имя пользователя без связанного с ним пароля, так что каждый может войти в систему под этим пользовательским именем. Tagaukse võib tekitada pahavara, mis käivitatakse süstemis. Чёрный ход может быть организован вредоносным ПО, запущенном на компьютере

Trooja hobune Троянский конь on programmi osa, mis on peidetud peremeesprogrammi sisse. часть программы, скрытая внутри программы-носителя

Trooja hobune Троянский конь Sageli on peremeesprogramm väliselt kahjutu ja ligitõmbav. Часто программа-носитель внешне кажется безвредной. Kui see käivitatakse kasutaja poolt, siis Trooja hobune võib teha kõike seda, mis on lubatud kasutajal: kustutada või muuta andmeid või tekitada tagaukse. Когда пользователь запускает такую программу, троянский конь может делать всё то, что дозволено пользователю: стирать и изменять данные или организовывать чёрные хода.

Trooja hobune Троянский конь Trooja hobused on internetis laialt levinud, peidetud allalaetavasse tarkvarasse või e-kirjade manustesse, maskeeritud dokumentideks või piltideks. Троянские кони широко распространены в Интернете, будучи замаскированными в доступные к скачиванию программы, документы, картинки или приложения к письмам.

Viirus Вирус programm, mis võib kahjustada või hävitada kasutajate või süsteemi andmeid ning on suuteline ise ennast paljundama, nakatades oma programmiga teisi süsteemis olevaid programme. это программа, способная навредить пользователю или системе, и имеющая свойство размножатся, заражая другие программы в системе.

Uss Червь Ussviirused on üks viiruste eriliik. Erinevalt tavalisest viirustest suudavad ussviirused leida ja rünnata interneti kaudu haavatavaid arvuteid. Червь это разновидность вируса. В отличие от вирусов, черви способны находить и атаковать через интернет уязвимые компьютеры.

Nuhkvara Шпионское программы on kasutaja privaatsust ohustav pahavara liik, mis üritab kasutaja teadmata salvestada infot kasutaja käitumisest, et seda kuidagi ära kasutada - näiteks turunduse eesmärkidel.. это разновидность вредоносных программ, собирающих в неведении пользователя информацию о его поведении с целью дальнейшего использования, например в коммерческих целях

Reklaamvara Рекламное ПО on sarnane nuhkvarale ja installeerub kasutaja arvutisse analoogseid teid pidi. Reklaamvara eesmärk on näidata kasutajale soovimatut reklaami. устанавливается на компьютер также, как и шпионское ПО. Целью рекламного ПО является показ нежелательной рекламы.

Rootkit nakatab operatsiooni süsteemi kerneli tasemel ja võib muuta OS'i baasfunktsionaalsust või käivitada enda sõltumatu OS'i, mis on nähtamatu kasutajale ja enamikule viirusetõrjetarkvaradest. заражает ОС на уровне ядра, что даёт ему возможность изменить базовую функциональность ОС или запустить собственную независимую ОС, прозрачную для пользователя и большинству антивирусам.

Süsteemi kaitse Защита системы Süsteemi kaitseks pahavara eest peab olema kasutajana teadlik ohtudest ja proaktiivselt kaitsma süsteemi nakatumise eest. Для защиты системы от вредоносных программ, пользователь должен знать об опасностях и превентивно защищать систему от заражения..

Tegevused pahavarast hoidumiseks Действия для защиты от вредоносных программ 1.Viirusetõrjetarkvara kasutamine | Использование антивируса 2.Operatsioonisüsteemi turvaparanduste regulaarne installeerimine | Регулярная установка обновлений средств безопасности 3.Tulemüüri kasutamine | Использование брандмауэра 4. Veebilehitseja turvaseadete kasutamine võimalikult kõrgel kaitsetasemel | Настройка веб-обозревателя на высокий уровень защиты 5.Operatsioonisüsteemi kaitsemehhanismide rakendamine | Применение механизмов безопасности ОС 6. Kasutaja teadlikkuse tõstmine |Повышение сознательности пользователей

Viirusetõrjetarkvara kasutamine Использование антивируса programm, mis on pidevalt aktiivne ja otsib süsteemist pahavara ning on võimeline seda eemaldama ükskõik millisest failist ja käivitatavast programmist. это постоянно активная программа, которая ищет в системе вредоносные программы и способна удалить их из любого файла или запускаемой программы.

Turvaparanduste regulaarne installeerimine Регулярная установка обновлений eemaldab OS'i turvaaugud, mida pahavara loojad saavad ära kasutada, et enda tooteid süsteemi süstida. средств безопасности позволяет закрыть бреши в безопасности ОС, которые могут быть использованы создателями вредоносных программ для внедрения их в систему.

Tulemüüri kasutamine Использование брандмауэра tulemüür võimaldab blokeerida sissetulevad ja väljaminevad võrgupordid, mida arvutikasutaja rakendused ei kasuta ning kaitsta nii võimalike võrgurünnete eest. брандмауэр позволяет заблокировать входные и выходные сетевые порты, которые пользовательские программы не используют, защищая тем самым от возможных сетевых атак.

Veebilehitseja turvaseadete kasutamine Настройка веб-обозревателя на высокий уровень защиты võimalikult kõrgel kaitsetasemel - kuna kaasajal tuleb enamus viiruseid interneti teel ja veebilehitseja on aken internetti siis tuleb seda maksimaalselt turvata tundmatute veebilehekülgede ja veebirakenduste eest. поскольку большинство вирусов распространяются по Интернету, а веб- обозреватель является окном в него, следует его максимально обезопасить от сомнительных веб-страниц и приложений

Kasutaja teadlikkuse tõstmine Повышение сознательности пользователей kasutaja peab omama teadlikkust ja mõistma ohte, mis teda varitsevad ja hoidma enda töökeskkonna ohutust. пользователь должен осознавать, какие опасности его окружают, и защищать своё рабочее окружение от них.

Kasutaja teadlikkuse tõstmine Повышение сознательности пользователей Tuleb hoiduda:Следует воздержаться от - vabavara ja muude kahtlaste rakenduste installeerimisest arvutisse, установки сомнительного бесплатного ПО -mitte avada e-kirja manuseid kui kiri on saabunud tundmatult saatjalt, не открывать прикрепления к письмам от неизвестных лиц -sisestama oma kasutajanime ja parooli ootamatult avanenud veebilehe või sõnumivahetusrakenduse aknas. Не передавать своё пользовательское имя и пароль через электронную почту или мгновенные сообщения.

IDENTIFITSEERIMINE JA AUTENTIMINE ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ

Autoriseerimine Авторизация Identifitseerimine Идентификация Autentimine Аутентификация Kasutaja identifitseerimine ja autentimine on kaks erinevat toimingut. Идентификация и аутентификация пользователя это разные действия.

Identifitseerimine ja autentimine Идентификация и аутентификация IdentifitseerimineAutentimine Juurdepääsukontroll Esimene operatsioon, mille teostab kasutaja end arvutiga ühendades, on kasutaja Identifitseerimine Teine on autentimine

Identifitseerimine. Идентификация Kasutaja peab sisestama süsteemi oma kasutajanime, isikukoodi, vmt. Ja see identiteet peab olema registreeritud OS'i kasutajate andmebaasis. Пользователь вводит имя пользователя, личный код, итд. Этот идентификатор должен быть зарегистрирован в базе данных пользователей.

Autentimine Аутентификация Kasutaja identiteedi kontroll - süsteemkontrollib, kas kasutaja on see, kellena ta ennast süsteemile esitab. система проверяет, является ли пользователь тем, за кого себя выдаёт.

Autentimine Аутентификация nõutakse kasutajalt enda identiteedi tõestamist : от пользователя требуется подтвердить свою личность: Midagi, mida kasutaja teab Что-то, что пользователь знает Midagi, mis kasutajal on Что-то, что у пользователя есть Miski, mis kasutaja on Что-то, чем пользователь является

Autentifikatsioon parooliga. Аутентификация с использованием пароля (a) Edukas sisseloogimine. Успешный вход (b) Login on hüljatud. Логин отвергнут (c) Login on hüljatud peale parooli sisestamist. Логин отвергнут после ввода пароля

Autentifikatsioon parooliga. Аутентификация с использованием пароля LBL - U.S. Dept. of Energy research lab

Autentifikatsioon parooliga. Аутентификация с использованием пароля Juhusliku numbri kasutamine kaitsmiseks lahtimurdmist. Использование случайного числа для защиты от взлома Salt Password,,,,

Smart kaardid Смарт-карты

Digitaalsed signaturid. Цифровые подписи Allkiri plokki arvestamine. Вычисление блока подписи Mis on saaja pool. То, что имеет получатель (b)

Biomeetrilised andmed Биометрические данные

Tugev autentimine Сильная аутентификация

Juurdepääsukontroll Контроль доступа Juurdepääsukontroll määrab ära kas ja millistele spetsiifilistele süsteemiressurssidele on kasutajal juurdepääsuõigus ja mis tasemel on juurdepääsuõigus subjektile lubatud. Контроль доступа обозначает, к каким системный ресурсам пользователь имеет право доступа и на каком уровне право доступа разрешено.

Juurdepääsukontroll Контроль доступа Arvutisüsteemis igal objektil on: unikaalne nimi, mille kaudu temale viidatakse komplekt operatsioone, mida protsessid saavad objektiga teostada. В компьютерной системе у каждого объекта есть: имя, по которому к нему обращаются, набор операций, которые процесс может с объектом совершать.

Kaitsedomeen. Домен безопасности Struktuur mis määratleb igale protsessile komplekti kaitseõigusi. Iga kaitse õigus on esindatud paariga (ressurss, õiguste komplekt) ja sisaldab ressurssi, millele protsessil on ligipääs ja komplekti lubatud operatsioone, mida protsess võib täita sellel ressursil. Cтруктура, обозначающая для каждого процесса комплект прав защиты. Каждое право защиты представлено парой (ресурс, комплект прав) и содержит ресурс, к которому у процесса есть доступ, и на комплект разрешённых операций, которые процесс может выполнять с этим ресурсом.

Näidis Пример Maatriksi read esindavad kaitsedomeene ja veerud esindavad ressursse. Ряды матрицы представляют домены безопасности, а колонки представляют ресурсы. Igas lahtris on komplekt õiguseid, mida antud kaitsedomeen võib konkreetse objektiga teostada. В каждой клетке содержится набор прав, которые данный домен безопасности может совершать с конкретным объектом DomeenFailAFailBFailCPrinter DDom. 1Dom. 2Dom. 3 1Lugemine Käivitamine Kirjutamine Ümber- lülitumine 2 Lugemine Ümberlülitumine 3Lugemine Kirjutamine Kirjutamine

Kontrmeetmed Контрмеры Ограничение времени входа Callback Ограничение числа попыток входа База данных логинов Простое имя и пароль как ловушка