SunOS (стр. 6 из 8)

Безопасность

Безопасность — насущная проблема для любой распределенной информационной среды. По мере того, как увеличивается степень распределенности аппаратных и программных компонентов, возрастает и уязвимость индивидуальных систем. Нарушения безопасности могут быть как преднамеренными, так и случайными. К преднамеренным нарушениям относятся "прослушивание" сети, работа под чужим именем (маскарад), манипуляции с данными.

В операционной среде Solaris реализованы разнообразные защитные механизмы, контролирующие доступ пользователей к файлам, базам данных и системным ресурсам (см. Рис. 4 ).

Рисунок 4. Четыре стороны "периметра безопасности" Solaris.

Solaris обеспечивает безопасность в масштабах разнородной сети, а не на уровне отдельных систем. Solaris в состоянии поддержать разные модели безопасности, что позволяет гибко настраиваться на текущие и перспективные запросы заказчиков. Перечислим некоторые новые возможности ОС Solaris по контролю доступа, шифрованию и аутентификации:

• NFS Kerberos 5 — средство аутентификации пользователей в сети.
• RPCSEC_GSS — модифицированная реализация удаленного вызова процедур, поддерживающая новые, более мощные средства обеспечения аутентификации, конфиденциальности и целостности. Реализация соответствует спецификациям GSS-API.
• Архитектура со сменными модулями аутентификации позволяет встраивать новые механизмы аутентификации без изменения таких команд, как login, ftp или telnet.
• В Solaris использована самая популярная реализация DNS-сервиса — Berkeley Internet Name Daemon (BIND) версии 4.9.4.
• Средства безопасности Solaris обеспечивают следующие типы защиты:
• Контроль входа в систему служит для проверки подлинности пользователей и позволяет защититься от маскарада.
• Управление доступом к системным ресурсам и подотчетность действий пользователей — это средства, служащие для разграничения доступа к ресурсам и данным в пределах системы. В этой области наиболее часто происходят случайные нарушения безопасности.
• Сервисы, приложения и утилиты безопасности на уровне взаимодействия клиент/сервер позволяют защититься от прослушивания сети. Этот тип защиты включает базовые средства управления доступом к сервисам типа rlogin, telnet и другим удаленно доступным сервисам.
• Управление сетевым доступом защищает от вторжений из внешней среды, например, через Интернет. Этот тип защиты реализуют дополнительные продукты, такие как FireWall-1 и SunScreen SPF-100.

Средства безопасности Solaris дают пользователям прозрачный доступ к ресурсамвсей компании, а администраторам — необходимые инструменты для защиты сети от нарушений безопасности. Усовершенствования контроля доступа, совместимые со спецификациями SVID (System V Interface Definition), делают систему Solaris более устойчивой по отношению к вторжениям неавторизованных пользователей и позволяют клиентам реализовать более изощренные политики управления паролями с применением таких средств, как шифрование, контроль сроков действия, автоматическое истечение срока действия для файлов и системных ресурсов.

Средства обеспечения безопасности

В Solaris 2.6 списки управления доступом (Access Control List — ACL) встроены непосредственно в операционную систему, что позволяет организовать самый тонкий контроль доступа к файлам (с точностью до отдельного пользователя).

Инструмент Automated Security Enhancement Tool (ASET) автоматически выполняет проверки соблюдения выбранной политики безопасности и имеет простой административный интерфейс. Модуль Basic Security Module (BSM) реализует средства безопасности уровня С2 согласно классификации "Оранжевой книги" Национального центра компьютерной безопасности (NCSC) США. BSM полезен для неправительственных организаций, которые хотели бы учитывать системную деятельность на уровне индивидуальных пользователей.

ONC+ Federated Security

ONC+ Federated Security реализует в Solaris поддержку ряда популярных технологий аутентификации — обычные средства Unix, аутентификацию по методу Диффи-Хелмана и Kerberos — для подсистем Secure RPC и Secure NFS. Мощные средства аутентификации и проверки полномочий, включая безопасную смену паролей и контроль сроков действия, предоставляет также сервис NIS+.

Более высокий уровень защиты может потребоваться для организаций, которые используют глобальные транзакции по открытым IP-сетям, например, публикуют WWW-документы или участвуют в коммерческих транзакциях через Интернет. Для таких сетей имеется ряд дополнительных продуктов, обеспечивающих весьма продвинутые механизмы защиты.

FireWall-1 и SunScreen SPF-100

Solstice FireWall-1 — это межсетевой экран TCP/IP, который защищает сеть от внешнего доступа, используя передовую технологию фильтрации пакетов. FireWall-1 отмечает подозрительные коммуникации и попытки доступа, руководствуясь заданной системным администратором политикой безопасности. FireWall-1 предоставляет адекватные средства безопасности, которые полностью удовлетворят потребности многих организаций.