Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 10 лет назад пользователемРоза Дерюгина
1 Учебный курс Операционные среды, системы и оболочки Лекция 17 Лекции читает доктор технических наук, профессор Назаров Станислав Викторович
2 Операционные системы2 Аудит (auditing) – фиксация в системном журнале событий, происходящих в операционной системе, имеющих отношение к безопасности и связанных с доступом к защищаемым системным ресурсам. Регистрация успешных и неуспешных действий: – Регистрация в системе; – Управление учетной записью; – Доступ к службе каталогов; – Доступ к объекту; – Использование привилегий; – Изменение политики; – Исполнение процессов и системные события. Аудит включается в локальной (групповой) политике аудита. Журнал безопасности содержит записи, связанные с системой безопасности.
3 Операционные системы3
4 Технология защищенного канала Функции защищенного канала: 1.Взаимная аутентификация абонентов при установлении соединения (например, обменом паролями); 2. Защита передаваемых по каналу сообщений от несанкционированного доступа путем шифрования; 3. Подтверждение целостности поступающих по каналу сообщений (например, передачей с сообщением его дайджеста). Канал доступа Публичная сеть Защищенный канал Сеть филиала 1Сеть филиала 2 Схемы образования защищенного канала: 1. Программными средствами, установленными на удаленных компьютерах ЛВС предприятия. 2. Оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями.
5 Операционные системы Технологии аутентификации Сетевая аутентификация на основе многоразового пароля Пароль Р ОФШ 1 ОФШ 2 Сравнение Слово S Слово-вызов S Идентификатор Дайджест d(P) Ответ-дайджест d(S) Идентификатор ID База данных учетной информации SAM ID d(P) Клиентский компьютер Сервер SAM – Security Accounts Manager – менеджер учетных записей. Идентификаторы и пароли пользователей S – слово-вызов - случайное число случайной длины, меняется при каждом вызове. ОФШ2 – параметрическая функция одностороннего шифрования.
6 Операционные системы Аутентификация с использованием одноразового пароля 2. Алгоритм (Лесли Лампорт) основан на необратимой функции Y = f (X), для которой по заданному X легко найти Y, но по известному Y подобрать X невозможно. Вход и выход должны иметь одинаковую длину (например, 128 битов). Пользователь выбирает секретный пароль S и целое число n (n >> 1), означающее количество одноразовых паролей. Пусть n = 4, тогда первый пароль получается n-кратным применением необратимой функции f (X), т.е. P 1 = f (f (f (f (S)))), P 2 = f (f (f (S))) и т. д., таким образом, P i-1 = f (P i ). По известному P 2 легко найти P 1, но невозможно определить P 3. На сервере хранится число P 0 = f (P 1 ), имя пользователя и число 1, указывающее, что следующий пароль равен f (P 1 ). 1. Программная или аппаратная генерация паролей с помощью карточек со встроенным микропроцессором (аппаратный ключ), подключаемых к устройству клиентской станции.
7 Операционные системы7 Алгоритм входа в сеть : 1. Пользователь посылает на сервер свое имя. 2. Сервер высылает в ответ число Машина пользователя отвечает числом P 1, вычисляемым из S, вводимым пользователем. 4. Сервер вычисляет f (P 1 ) и сравнивает его со значением P 0, хранящимся в файле паролей. 5. Если значения совпадают, регистрация разрешается, целое число увеличивается на 1, а P 1 записывается в файл поверх P 0. При следующем входе в систему сервер посылает пользователю число 2, машина пользователя вычисляет P 2, сервер вычисляет f (P 2 ) и сравнивает его с хранящемся в файле значением P 1. Если эти значения совпадают, регистрация разрешается, целое число увеличивается на 1, а P 2 записывается в файл паролей поверх P 1 и т. д.
8 Операционные системы Аутентификация информации Закрытый ключ (D, n) Исходный текст T Шифрование закрытым ключом S = T D mod n Исходный текст T Цифровая подпись S Схема формирования цифровой подписи по алгоритму RSA (асимметричная схема аутентификации) Сообщение посылается в виде пары (T, S). Пользователь, имеющий открытый ключ (E, n), отделяет открытую часть T, расшифровывает цифровую подпись S и проверяет равенство T = S E mod n. Если результат расшифровки цифровой подписи совпадает с открытой частью сообщения, то считается, что документ подлинный. Недостаток: длина подписи равна длине сообщения. (Установление подлинности данных, т.е. защита от навязывания ложной информации)
9 Операционные системы9 Исходный текст T (D,n) Шифрование закрытым ключом S = T D mod n Исходный текст T Цифровая подпись S Шифрование закрытым ключом Y = X D mod n Зашифрованное сообщение Y Дешифрование цифровой подписи, открытый ключ (E,n) Исходный текст T Цифровая подпись S Дешифрование на открытом ключе (E,n) Зашифрованное сообщение Y СРАВНЕНИЕ Передача по сети
10 Операционные системы10 Исходный код программы Т ОФШ Сертификат Зашифрованный дайджест Закрытый ключ (D, n) организации- производителя Дайджест программного кода d(T) Шифрование дайджеста по алгоритму RSA Сертификат организации- производителя Схема получения аутентикода (разработана MS для доказательства аутентичности программ, распространяемых через Интернет) Подписывающий блок [d (T)] D mod n
11 Операционные системы11
12 Операционные системы12
13 Операционные системы Система Kerberos Принципы системы : 1. Все процедуры аутентификации между клиентами и серверами сети выполняются через посредника (Kerberos), которому доверяют обе стороны. 2. Клиент должен доказывать свою аутентичность для доступа к каждой нужной ему службе. 3. Все обмены по сети выполняются с использованием алгоритма шифрования DES. 4. Сетевая служба Kerberos построена по архитектуре клиент- сервер. 5. Доступ к ресурсу состоит из следующих этапов: - (1) определение легальности клиента, логический вход в сеть, получение разрешения на продолжение процесса доступа к ресурсу; - (2) получение разрешения на обращение к ресурсному серверу; - (3) получение разрешения на доступ к ресурсу.
14 Операционные системы14 Kerberos-сервер Аутентификацион- ный сервер Сервер квитанций Kerberos-клиент Файл- сервер Сервер приложений Сервер удаленного доступа Ресурсные серверы Идентификатор, пароль Р Квитанция и ключ сеанса К s Разделяемый ключ К Зашифрованная квитанция (К) шифруются с помощью Р Квитанция: ID k, ID s, t, T, К s, A Многократно используемая квитанция (K RS1 )
15 Операционные системы15 10 законов безопасности компьютеров 10. Если плохой парень может запускать свои программы на Вашем компьютере – это больше не Ваш компьютер. 9. Если плохой парень может изменить настройки операционной системы на Вашем компьютере – это больше не Ваш компьютер. 8. Если плохой парень имеет неограниченный физический доступ к Вашему компьютеру – это больше не Ваш компьютер. 7. Если Вы разрешаете плохому парню загружать исполняемые файлы на Ваш Веб-сайт – это больше не Ваш Веб- сайт. 6. Слабые пароли сводят на нет сильную систему защиты.
16 Операционные системы16 10 законов безопасности компьютеров 5. Машина защищена ровно настолько, насколько Вы уверены в своем администраторе. 4. Зашифрованные данные защищены ровно настолько, насколько защищен ключ шифрования. 3. Устаревший антивирусный сканер не намного лучше, чем отсутствие сканера вообще. 2. Абсолютной анонимности практически не бывает, ни в реальной жизни, ни в Интернете. 1. Технологии – не панацея.
17 Операционные системы17 Тема 7. Сетевые операционные системы 7.1. Сетевые и распределенные операционные системы 7.2. Виды сетевых операционных систем 7.3. Требования, предъявляемые к сетевым операционным системам 7.3. Требования, предъявляемые к корпоративным сетевым операционным системам 7.4. Серверные операционные системы ведущих производителей 7.5. Тенденции на рынке операционных систем 7.6. Операционная система UNIX 7.7. Операционная система Windows 2000
18 Операционные системы18 Литература: Базовый учебник стр. 330 – 383; Л1 стр. 39 – 42; Л2 стр. 115 – 135; Л4 стр. 736 – 776, 836 – 869,
19 Операционные системы Сетевые и распределенные операционные системы Сетевая ОС предоставляет пользователю виртуальную вычислительную систему, работать с которой проще, чем с реальной сетевой аппаратурой. В то же время эта виртуальная система не полностью скрывает распределенную природу своего реального прототипа. Термин сетевая операционная система используется в двух значениях: 1. Совокупность взаимодействующих ОС всех компьютеров сети. 2. Операционная система отдельного компьютера, позволяющая ему работать в сети. В идеальном случае сетевая ОС должна предоставлять пользователю сетевые ресурсы в виде ресурсов единой централизованной виртуальной машины. В этом случае сетевая ОС является распределенной ОС. Распределенная операционная система существует как единая ОС в масштабах всей вычислительной системы. Степень автономности каждого компьютера сети, работающего под управлением сетевой ОС, значительно выше по сравнению с с компьютерами, работающими под управлением распределенной ОС.
20 Операционные системы Виды сетевых операционных систем 1. Сети отделов – используются небольшой группой сотрудников, решающих общие задачи. Имеют 1-2 файловых сервера и не более30 пользователей. Задачи сетевой ОС: разделение локальных ресурсов (приложений, данных, принтеров, модемов). 2. Сети кампусов – соединяют несколько сетей отделов внутри одной территории предприятия. Задачи сетевой ОС: взаимодействие между сетями отделов, доступ к базам данных предприятия, доступ к факс-серверам и серверам скоростных модемов, высокоскоростных принтеров и др. 3. Сети предприятия (корпоративные сети) – объединяют все компьютеры всех территорий отдельного предприятия. Задачи сетевой ОС: предоставлять доступ к информации и приложениям, находящимся в других рабочих группах, других отделах, подразделениях и штаб-квартирах корпорации, обеспечивать широкий набор сервисов –справочную и почтовую службы, средства коллективной работы,поддержку удаленных пользователей, факс-сервис, обработку голосовых сообщений, организацию видеоконференций и др. Особую важность приобретают вопросы безопасности по причинам, связанным с крупномасштабностью сети.
21 Операционные системы Требования, предъявляемые к корпоративным сетевым операционным системам 1. Масштабируемость, т.е. способность обеспечивать работу в широком диапазоне различных количественных характеристик сети. 2. Совместимость с другими продуктами, способность работать в сложной гетерогенной среде интерсети в режиме plug-and-play. 3. Поддержка многообразных ОС конечных пользователей (DOS, UNIX, OS/2, Mac, Windows). 4. Поддержка нескольких стеков протоколов (TCP/IP, IPX/SPX, NetBIOS, DECnet, AppleTalk, OSI), обеспечение простого доступа к удаленным ресурсам и удобных процедур управления сервисами. 5. Поддержка многосерверной сети и эффективная интеграция с другими операционными системами. 6. Наличие централизованной масштабируемой справочной службы. 7. Развитая система сервисов: файл-сервис, принт-сервис, безопасность данных и отказоустойчивость, архивирование данных,служба обмена сообщениями, разнообразные базы данных, вызов удаленных процедур RPC и др. 8. Поддержка сетевого оборудования различных стандартов (Ethernet, Token Ring, ARCnet, FDDI), поддержка стандартов управления сетью.
22 Операционные системы Серверные операционные системы ведущих производителей Windows (Microsoft) Windows NT. Применение Windows NT Server 4.0 в качестве серверной операционной системы во многих случаях было экономически оправданным, что сделало данную операционную систему весьма популярной у малых и средних предприятий она до сих пор активно используется многими компаниями. Windows Windows 2000 является самой популярной операционной системой Microsoft в корпоративном секторе. К серверным операционным системам этого семейства относятся Windows 2000 Server универсальная сетевая операционная система для серверов рабочих групп и отделов, Windows 2000 Advanced Server операционная система для эксплуатации бизнес-приложений и приложений для электронной коммерции и Windows 2000 Datacenter Server ОС для наиболее ответственных приложений обработки данных. Windows 2000 Advanced Server поддерживает кластеризацию и баланс нагрузки, что делает возможным выполнение масштабируемых приложений с непрерывным доступом к данным. Windows 2000 Datacenter Server поддерживает симметричную мультипроцессорную обработку с использованием 32 процессоров, 64 Гбайт оперативной памяти, средства восстановления после отказа на основе четырехузловой кластеризации.
23 Операционные системы23 Windows Server 2003 Windows Server 2003 Web Edition операционная система для поддержки Web- приложений и Web-сервисов, включая приложения ASP.NET (Active Server Pages); Windows Server 2003 Standard Edition сетевая операционная система для выполнения серверной части бизнес-решений и рассчитанная на применение в небольших компаниях и подразделениях, поддерживает до 4 Гбайт оперативной памяти и симметричную многопроцессорную обработки с использованием двух процессоров; Windows Server 2003 Enterprise Edition предназначена для средних и крупных компаний. Она поддерживает серверы на базе 64-разрядных процессоров (до восьми штук) и объем оперативной памяти до 64 Гбайт и выпускается в версиях для 32- и 64-разрядных платформ; Windows Server 2003 Datacenter Edition предназначена для создания критически важных технических решений с высокими требованиями к масштабируемости и доступности. К таким решениям относятся приложения для обработки транзакций в режиме реального времени, а также решения, основанные на интеграции нескольких серверных продуктов. В ОС реализована поддержка симметричной многопроцессорной обработки (до 32 процессоров), а также имеются службы балансировки нагрузки и создания кластеров, состоящих из восьми узлов. Эта ОС доступна для 32- и 64-разрядных платформ.
24 Операционные системы24 UNIX Solaris (Sun Microsystems). Sun Solaris сегодня входит в число самых известных коммерческих версий UNIX. ОС обладает развитыми средствами поддержки сетевого взаимодействия и представляет собой одну из самых популярных платформ для разработки корпоративных решений для нее существует около 12 тыс. различных приложений, в том числе серверов приложений и СУБД почти от всех ведущих производителей. ОС Solaris 9 поддерживает до 1 млн. работающих процессов, до 128 процессоров в одной системе и до 848 процессоров в кластере, до 576 Гбайт физической оперативной памяти, поддержку файловых систем размером до 252 Тбайт, наличие средств управления конфигурациями и изменениями, встроенную совместимость с Linux. HP-UX (Hewlett-Packard). HP-UX 11i имеет средства интеграции с Windows и Linux, средства переноса Java-приложений, разработанных для этих платформ, а также средства повышения производительности Java-приложений. HP-UX 11i поддерживает Linux API, что гарантирует перенос приложений между HP-UX и Linux. Операционная система поддерживает до 256 процессоров и кластеры размером до 128 узлов, подключение и отключение дополнительных процессоров, замену аппаратного обеспечения, динамическую настройку и обновление операционной системы без необходимости перезагрузки, резервное копирование в режиме on-line и дефрагментацию дисков без выключения системы.
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.