بسته به هدف و کاربرد مورد نظر، توزیع های لینوکس را می توان به دسته های مختلفی تقسیم کرد. گروه هدف. سرورها، آموزش، بازی ها و چند رسانه ای از دسته بندی های محبوب توزیع های لینوکس هستند.

برای کاربرانی که نگران امنیت هستند، توزیع‌های مختلفی وجود دارد که طراحی شده‌اند حفاظت تقویت شدهحریم خصوصی. این ساخت‌ها تضمین می‌کنند که فعالیت مرور شما ردیابی نمی‌شود.

با این حال، انتخاب ما نه تنها شامل توزیع‌هایی با تمرکز بر حریم خصوصی، بلکه توزیع‌هایی برای تست نفوذ نیز می‌شود. این بیلدها به طور خاص برای تجزیه و تحلیل و ارزیابی امنیت سیستم و شبکه طراحی شده‌اند طیف وسیعابزارهای تخصصی برای آزمایش سیستم ها برای آسیب پذیری های احتمالی.

یک توزیع مبتنی بر اوبونتو که برای تست نفوذ طراحی شده است. به دلیل استفاده از XFCE به عنوان مدیر پنجره استاندارد، بسیار سریع کار می کند.

مخازن راه حل های نرم افزاریبه طور مداوم به روز می شوند تا کاربر همیشه با آخرین نسخه های ابزارهای داخلی سروکار داشته باشد که به شما امکان می دهد تجزیه و تحلیل برنامه های وب، تست استرس، ارزیابی آسیب پذیری های احتمالی، امتیازات و موارد دیگر را انجام دهید.

بر خلاف سایر توزیع ها که شامل یک مجموعه بزرگ است برنامه های کاربردی مختلف، Backbox چنین افزونگی ندارد. اینجا فقط پیدا خواهید کرد بهترین ابزاربرای هر وظیفه یا هدف فردی همه ابزارها در دسته بندی ها طبقه بندی شده اند و یافتن آنها را آسان می کند.

ویکی پدیا ارائه می دهد بررسی های کوتاهبسیاری از ابزارهای داخلی اگرچه Backbox در ابتدا صرفاً برای اهداف آزمایشی ایجاد شد، اما این توزیع همچنین از شبکه Tor پشتیبانی می کند که به پنهان کردن حضور دیجیتال شما کمک می کند.

کالی

احتمالاً بیشترین توزیع محبوببرای تست نفوذ، بر اساس Debian Wheezy. توسعه یافته توسط Offensive Security Ltd و ادامه پروژه قبلی BackTrack Linux است.

Kali به صورت تصاویر ISO 32 و 64 بیتی موجود است که می توان آنها را روی یک USB یا CD رایت کرد یا حتی روی هارد دیسک یا نصب کرد. درایو حالت جامد. این پروژه نیز پشتیبانی می کند معماری ARMو می تواند حتی روی یک تخته هم اجرا شود کامپیوتر Raspberry Pi و همچنین شامل تعداد زیادی ابزار تجزیه و تحلیل و تست است. دسکتاپ اصلی Gnome است، اما Kali به شما اجازه می دهد یک تصویر ISO سفارشی با محیط دسکتاپ متفاوت ایجاد کنید. این توزیع بسیار قابل تنظیم حتی به کاربران اجازه می دهد تا هسته لینوکس را مطابق با نیازهای خاص خود تغییر داده و بازسازی کنند.

محبوبیت Kali را می توان با این واقعیت قضاوت کرد که این سیستم یک پلت فرم سازگار و پشتیبانی شده برای MetaSpoilt Framework است - ابزار قدرتمند، که به شما امکان می دهد کدهای اکسپلویت را روی یک کامپیوتر راه دور توسعه و اجرا کنید.

در دسترس برای ماشین های 32 بیتی و 64 بیتی، یک توزیع تست نفوذ مبتنی بر لینوکس جنتو است. کاربران جنتو می توانند به صورت اختیاری پنتو را نصب کنند که در بالای سیستم اصلی نصب می شود. توزیع مبتنی بر XFCE است و از ذخیره تغییرات پشتیبانی می کند، بنابراین وقتی درایو USB قطع شود، همه تغییرات اعمال شده برای جلسات بعدی ذخیره می شوند.

ابزارهای داخلی به 15 دسته مختلف مانند Exploit، Fingerprint، Cracker، Database، Scanner و غیره تقسیم می شوند. بر اساس جنتو، توزیع مجموعه ای از ویژگی های امنیتی را از جنتو به ارث برده است که به شما امکان می دهد تنظیمات امنیتی اضافی و کنترل دقیق تری بر روی توزیع انجام دهید. می توانید از ابزار برنامه یاب برای کشف سریع برنامه های واقع در دسته های مختلف استفاده کنید.

از آنجایی که توزیع مبتنی بر جنتو است، برای به کار انداختن کارت شبکه و سایر اجزای سخت افزاری نیاز به دستکاری هایی است. هنگام دانلود، گزینه تایید را انتخاب کنید و همه دستگاه های خود را راه اندازی کنید.

بر اساس اوبونتو، این توزیع برای تشخیص نفوذ و نظارت بر امنیت شبکه طراحی شده است. برخلاف سایر توزیع‌های تست نفوذ که ماهیت تهاجمی‌تر دارند، بیشتر یک سیستم دفاعی است.

با این حال، پروژه شامل تعداد زیادی ازابزارهای تهاجمی موجود در سایر توزیع های تست نفوذ و همچنین ابزارهای نظارت بر شبکه مانند ابزار شناسایی بسته Wireshark و ابزار تشخیص نفوذ Suricata.

Security Onion بر اساس XFCE ساخته شده است و شامل همه موارد است برنامه های کاربردی لازمدر Xubuntu موجود است. Security Onion برای آماتورها در نظر گرفته نشده است، بلکه برای متخصصان با تجربه ای در نظر گرفته شده است که سطح دانش خاصی در زمینه نظارت بر شبکه و جلوگیری از نفوذ دارند. خوشبختانه، این پروژه به طور مداوم با آموزش های دقیق و فیلم های آموزشی برای کمک به نرم افزارهای تعبیه شده پیچیده همراه است.

کین

حساب پیش فرض: root:blackarch. BlackArch بیش از 4 گیگابایت حجم دارد و چندین نسخه متفاوت دارد مدیران پنجرهاز جمله Fluxbox، Openbox، Awesome.

برخلاف سایر توزیع‌های تست نفوذ، BlackArch می‌تواند به عنوان یک ابزار تست نفوذ نیز استفاده شود. افزایش حریم خصوصی. علاوه بر ابزارهای مختلف تجزیه و تحلیل، نظارت و آزمایش، توزیع همچنین شامل ابزارهای ضد ردیابی، به ویژه sswap و ropeadope برای پاک کردن ایمن محتویات فایل swap و گزارش‌های سیستم، و بسیاری دیگر از برنامه‌های حفظ حریم خصوصی است.

توسعه یافته توسط شبکه برنامه نویسی و امنیت فناوری اطلاعات ایتالیا، Frozenbox، مبتنی بر دبیان، می تواند برای تست نفوذ و حفظ حریم خصوصی استفاده شود. مانند BlackArch، Parrot Security OS یک توزیع انتشاری است. ورود پیش فرض برای یک جلسه Live root:toor است.

تصویر زنده ای که نصب می کنید چندین گزینه بوت را ارائه می دهد، مانند حالت مداوم یا حالت مداوم با رمزگذاری داده ها. علاوه بر ابزارهای تحلیلی، این توزیع شامل چندین برنامه برای ناشناس ماندن و حتی نرم افزارهای رمزنگاری می شود.

محیط دسکتاپ قابل تنظیم Mate رابط جذابی را ارائه می دهد و سیستم عامل امنیتی Parrot حتی بر روی ماشین هایی با رم 2 گیگابایتی بسیار سریع اجرا می شود. چندین ابزار مفید در سیستم تعبیه شده است، به عنوان مثال، apktool ابزاری برای اصلاح فایل های APK است.

برای کاربرانی که به حفظ حریم خصوصی اهمیت می دهند، این توزیع دسته خاصی از برنامه ها را ارائه می دهد که در آن کاربران می توانند گشت و گذار ناشناس در اینترنت را فعال کنند. شبکه های Tor) با یک کلیک.

JonDo

اشتباه تایپی پیدا کردید؟ Ctrl+Enter را فشار دهید

ناشناس ماندن آنلاین همیشه مانند وبگردی ایمن نیست. مهم حفظ حداکثر است اطلاعات فنیدر مورد دستگاه شما از چشمان کنجکاو، به طوری که مهاجمان نتوانند از آسیب پذیری های سیستم شما سوء استفاده کنند و داده های محرمانه شما را بدزدند و از آن برای اهداف خود استفاده کنند، که می تواند عواقب جدی داشته باشد.

اگر می‌خواهید به صورت آنلاین ناشناس بمانید و از داده‌های خود محافظت کنید، در این مقاله به امن‌ترین توزیع‌های لینوکس می‌پردازیم تا به شما در این امر کمک کند.

استفاده از اکثر ابزارهای ذکر شده در این مقاله کاملا رایگان است. علاوه بر آنها، گزینه های پولی نیز وجود دارد، مانند VPN، اما اینها ابزار رایگانکار خود را خیلی بهتر انجام دهند نیاز به امنیت در اینترنت به طور مداوم در حال افزایش است، همیشه خطر حملات سایبری و استراق سمع توسط سازمان های اطلاعاتی وجود دارد. جای تعجب نیست که چندین توزیع بلافاصله ایجاد شد و ابزارهایی را با هم ترکیب کردند که حداکثر ناشناس بودن را در شبکه ارائه می کنند.

این توزیع ها در ابتدا متخصصان باریک را هدف قرار می دادند، اما اخیراً محبوبیت زیادی به دست آورده اند. با توجه به تقاضای چنین سیستم هایی از سوی کاربران، آنها به طور مداوم در حال توسعه هستند و سیستم های جدید اضافه می شوند، شاید اکنون بیش از بیست مورد از آنها وجود داشته باشد، اما ما تنها بهترین توزیع های لینوکس ایمن را در نظر خواهیم گرفت.

اکثر آنها از نرم افزار Tor برای ناشناس بودن استفاده می کنند که واقعی را ارائه می دهد سطح بالاناشناس بودن، بر خلاف ارائه دهندگان VPN که هنوز آدرس IP واقعی شما را می دانند.

اما یک VPN هنوز مزایای زیادی دارد که در برخی موارد آن را به بهترین گزینه تبدیل می کند. اگر سرعت اتصال برای شما مهم است یا می خواهید فایل ها را از طریق P2P انتقال دهید، VPN در اینجا برنده خواهد شد.

قبل از بررسی امن‌ترین توزیع‌های لینوکس، بیایید در مورد ناشناس بودن Tor صحبت کنیم. Tor یا The Onion Router یک پروتکل رمزگذاری استاندارد است که توسط نیروی دریایی ایالات متحده توسعه یافته است.

نرم افزار Tor با چندین گره کار می کند و این اطمینان و ناشناس بودن بالا را تضمین می کند. هنگام عبور از یک گره تصادفی، داده ها هر بار دوباره رمزگذاری می شوند و تنها در آخرین گره کاملاً رمزگشایی می شوند. توسعه دهندگان Tor همچنین مسئول ایجاد توزیع Tails هستند که ادوارد اسنودن توصیه می کند.

اکنون به VPN برگردید. معمولاً اینها خدمات پولی هستند، پیدا کردن یک VPN خوب و رایگان بسیار دشوار است. کیفیت سرویس VPN به ارائه دهنده بستگی دارد، اما به عنوان یک قاعده، سرعت سرورهای VPN بسیار سریعتر از Tor است.

1. Tails - LiveCD ناشناس

اگر می خواهید در اینترنت ناشناس بمانید، Tails یک انتخاب عالی است. هدف اصلی آن این است که مطمئن شوید هنگام وبگردی هیچ ردپای دیجیتالی از خود باقی نمی گذارید. این یکی از رایج ترین توزیع هایی است که برای ناشناس ماندن استفاده می شود و تنها توزیعی است که تمام اتصالات اینترنت از طریق Tor هدایت می شوند.

معمولا Tails روی فلش USB نصب می شود، تمام اطلاعات در رم ذخیره می شود و پس از اتمام کار، پاک می شود. این سیستم عامل مبتنی بر دبیان است و با مجموعه بزرگی از ابزارهای منبع باز عرضه می شود. کد منبعبه خصوص برای حفظ حریم خصوصی طراحی شده است. هنگامی که سیستم بسیار شبیه به ویندوز 8 به نظر می رسد، از جعل آدرس MAC و استتار ویندوز پشتیبانی می کند.

دم استفاده می کند نسخه قدیمی Gnome که بدون امکان سفارشی سازی و بهبود بیشتر زشت و مینیمال به نظر می رسد، زیرا فایل ها بین جلسات ذخیره نمی شوند. شاید برای خیلی ها این موضوع مهم نباشد، زیرا Tails کار خود را انجام می دهد. توزیع دارای اسناد عالی است و می توانید آن را در وب سایت رسمی بخوانید.

2.JonDo Live-DVD

JonDo Live-DVD یک راه حل تجاری برای ناشناس ماندن آنلاین است. به روشی مشابه Tor کار می کند، داده های شما نیز از طریق یک سری سرورهای مختلط JonDonym منتقل می شود. در هر گره، داده ها دوباره رمزگذاری می شوند. این جایگزین عالیبرای Tails، به خصوص اگر به دنبال چیزی با محدودیت کمتر هستید رابط کاربری.

مانند Tails، توزیع مبتنی بر Debian است و همچنین شامل یک جعبه ابزار ناشناس و متداول ترین برنامه های کاربردی است.

JonDo Live-DVD است خدمات پولی، برای استفاده تجاری این برنامه برای مشاغل مورد نظر است، سریعتر از Tails است و از ذخیره فایل ها نیز پشتیبانی نمی کند.

اگر به چیزی کاملا متفاوت نیاز دارید، Whonix برای شما جالب خواهد بود. در اینجا یک رویکرد کاملا متفاوت استفاده می شود. این یک LiveCD نیست. Whonix در یک ماشین مجازی VirtualBox اجرا می شود، سیستم از سیستم اصلی شما جدا می شود، در نتیجه خطر ابتلا به ویروس یا افشای داده های شما در شبکه را کاهش می دهد.

Whonix از دو قسمت تشکیل شده است. Whonix Gatway به عنوان دروازه Tor عمل می کند، دومی - Whonix Workstation کاملاً از شبکه جدا شده است و تمام آن را به جلو می فرستد. اتصالات شبکهاز طریق دروازه Tor

بنابراین، در اینجا باید از دو ماشین مجازی استفاده شود که در صورت داشتن سخت افزار ضعیف می تواند مشکلات خاصی ایجاد کند. اما با این وجود کار می کند. درست است، مانند Live CD امن ترین توزیع لینوکس نیست، زیرا داده ها را روی هارد دیسک ذخیره نمی کند.

Whonix مبتنی بر Debian است اما از KDE به عنوان محیط دسکتاپ خود استفاده می کند. این سیستم عامل برای استفاده روزمره مناسب نیست و فقط می توانید از آن در ماشین مجازی استفاده کنید.

4.Qubes OS

این توزیع ناشناس دیگری است که اسنودن توصیه می کند. Qubes سعی می کند کاستی های همه توزیع های قبلی را با رابط کاربری ناکافی زیبا و قابل تنظیم برطرف کند. این یک توزیع برای استفاده روزمره است که ترکیبی از قدرت Tor و Whonix است.

در اینجا یک رویکرد کاملاً متفاوت برای ناشناس ماندن وجود دارد. ایده پشت Qubes امنیت از طریق جدایی است. این به این معنی است که شما زندگی دیجیتالبین ایزوله تقسیم خواهد شد ماشین های مجازی. هر برنامه ای در یک محیط مجازی مجزا اجرا می شود.

لازم به ذکر است که Qubes به صورت پیش فرض با لپ تاپ پرچمدار Purism عرضه می شود. این لپ تاپ ایمن ترین دستگاه برای کاربران به حساب می آید. و این درست است، با توجه به نرم افزار قدرتمند توزیع.

اگر می خواهید یک توزیع راحت برای استفاده روزمره با همه عملکردهای استاندارد و برنامه های کاربردی آشنا داشته باشید، Qubes OS می تواند انتخاب خوبی باشد. برخلاف موارد ذکر شده در بالا، می توان آن را روی هارد دیسک نصب کرد.

5. UPR (ریمیکس حریم خصوصی اوبونتو)

UPR، این توزیع قابل نصب دیگری است که بر امنیت متمرکز است. کاربر پسند است و یک محیط ایزوله را فراهم می کند که در آن داده های حساس را می توان ایمن نگه داشت.

با قضاوت بر اساس نام، می توان گفت که بر اساس اوبونتو است. این توزیع، گشت و گذار ایمن در اینترنت و استفاده از درایوهای فلش رمزگذاری شده را برای محافظت مؤثر از داده های شما در برابر دسترسی غیرمجاز ارائه می دهد. این توزیع با ابزارهای رمزگذاری مانند GnuPG و TrueCrypt از پیش نصب شده است. UPR فقط برای گشت و گذار ایمن در اینترنت است، نه برای ناشناس ماندن. اگر بخواهید به جای استفاده از LiveCD، سیستم را روی رایانه خود نصب کنید، عالی است. اگر به ناشناس بودن نیز نیاز دارید، می توانید Tor را نصب کنید یا یک VPN وصل کنید.

نتیجه گیری

با توجه به اینکه Tails از همه موارد ذکر شده در این مقاله رایج ترین است، می توانیم تصمیم بگیریم که ایمن ترین است. اما سایر توزیع‌ها نیز به خوبی به هدف خود عمل می‌کنند. بنابراین همه چیز به ترجیحات شخصی بستگی دارد.

معرفی

اتاق عمل سیستم لینوکسسیستم امنیتی یونیکس را به ارث برد که در دهه 70 توسعه یافت، در زمان ایجاد آن پیشرفته بود، اما امروزه به وضوح کافی نیست. هر کاربر بر اساس اختیارات خود آزادی عمل کامل بر اساس همه یا هیچ دارد. این منجر به این واقعیت می شود که برای کارهای خاص اغلب حقوق بسیار بیشتری از آنچه واقعاً لازم است به کاربر داده می شود. بنابراین کاربری که با حقوق سیستم دسترسی پیدا کرده است حساب، می تواند تقریباً به کنترل کامل بر روی سیستم دست یابد.

در حین عملکرد هر برنامه، انحرافات مختلفی ممکن است رخ دهد که در نهایت منجر به اجرای غیرعادی آن می شود. اینها می توانند هم خرابی سیستم، هم خطاهای برنامه نویسی و هم موقعیت های ایجاد شده مصنوعی باشند. یک هکر با کشف این موضوع که تحت شرایط خاصی امکان تأثیرگذاری بر اجرای یک برنامه وجود دارد، طبیعتاً سعی خواهد کرد از این مزیت استفاده کند. پیش بینی رفتار یک برنامه در حالت آزاد تقریبا غیرممکن است. نمونه‌ای از این آنتی ویروس‌ها هستند که همیشه با ریتم «برخوردار» کار می‌کنند و در برابر حملات به اصطلاح روز صفر محافظت نمی‌کنند. با این حال، رفتار عادی یک برنامه را می توان با نسبتاً توصیف کرد قوانین ساده. در نتیجه، چندین پروژه پدید آمده است که مفهوم حفاظت فعال را اجرا می کند.

هدف از این دوره کار مطالعه است محصولات نرم افزاریبا هدف تقویت امنیت سیستم عامل، تحلیل مقایسه ایویژگی های اصلی آنها و همچنین جمع بندی نتایج کار انجام شده و اثبات کاربرد عملی آنها.

مفهوم یک سیستم عامل محافظت شده. SELINUX

مفهوم یک سیستم عامل امن

سیستم عامل- مجموعه ای از برنامه ها که کنترل سخت افزار کامپیوتر را فراهم می کند، کار با فایل ها و اجرای برنامه های کاربردی را سازماندهی می کند که ورودی و خروجی داده ها را انجام می دهد.

محاسبه "ایمن ترین سیستم عامل" آنقدرها هم که در نگاه اول به نظر می رسد آسان نیست. معیار اصلی که کاربرانی که به استانداردهای امنیتی آشنایی ندارند، تعداد آسیب پذیری های شناسایی شده است. با این حال، حداقل حفره های موجود در سیستم هنوز دلیلی برای در نظر گرفتن محافظت قابل اعتماد آن نیست. وقتی صحبت از امنیت به میان می‌آید، باید چندین فاکتور را در نظر گرفت، از جمله:

- آیا کنترل کیفیت کد منبع سیستم عامل انجام می شود.

- آنچه داده شده است تنظیمات استانداردامنیت؛

- رفع سریع و کارآمد منتشر می شود.

- نحوه تنظیم سیستم توزیع قدرت و خیلی چیزهای دیگر.

هنگام انتخاب یک سیستم عامل امن، قطعا باید در نظر گرفته شود سیستم عامللینوکس

اولاً، سیستم عامل ویندوز هرگز مستقیماً برای تأمین امنیت سیستم طراحی نشده بود، بلکه همیشه از چشمان بیرونی بسته بود - همه کد ویندوزرمزگذاری شده در تئوری، ویندوز می تواند برای استفاده ایمن، اما هنوز کسی این کار را انجام نداده است، زیرا زمان زیادی می برد. لینوکس، به دلیل باز بودن، به شما امکان می دهد با کد منبع سیستم عامل کار کنید. نسخه های ویژه سیستم عامل لینوکس قبلاً منتشر شده است که کاملاً ایمن هستند.

ثانیاً، فناوری Live CD - لینوکس "می تواند" خیلی سریع بدون نصب روی هارد دیسک راه اندازی و استقرار یابد. چنین سیستم عامل امنی را می توان روی آن نوشت دیسک نورییا USB و همیشه آن را همراه خود داشته باشید. "در یک چشم به هم زدن" می توان یک سیستم عامل با دسکتاپ آماده و برنامه های کاربردی مرتبط برای کار در اینترنت را بدون توجه به سیستم عامل اصلی نصب شده روی رایانه مورد استفاده دریافت کرد.

هسته جزء مرکزی سیستم عامل است. مسئول مدیریت منابع سیستم، ارتباط بین سخت افزار و نرم افزار و امنیت است. هسته نقش مهمی در حفظ امنیت در سطوح بالاتر دارد.

همانطور که قبلاً اشاره شد، تعدادی از وصله‌های مهم هسته لینوکس وجود دارد که هدفشان تامین امنیت سیستم است. تفاوت های قابل توجه آنها عمدتاً در نحوه مدیریت و نحوه ادغام آنها در یک سیستم موجود است. همچنین، وصله ها کنترل دسترسی بین فرآیندها و اشیاء، فرآیندها و سایر فرآیندها، اشیاء و اشیاء دیگر را فراهم می کنند.

15.04.2001 روسلان بوگاتیرف

هرگز در تاریخ هرگز دنیای واقعی تا این حد وابسته به دنیای مصنوعی نبوده است که توسط خود انسان اختراع و ساخته شده است - اینترنت نه تنها پل هایی را بین کشورها و قاره ها ایجاد کرده است، بلکه جنایتکار را به قربانی نزدیکتر کرده است. در نتیجه، علاقه به سیستم عامل های قابل اعتماد و ایمن وجود داشته است.

امنیت سیستم‌های رایانه‌ای برای کسانی که به سرنوشت اطلاعات مهمی که بر تصمیم‌گیری، مدیریت مالی، تخصیص منابع و غیره تأثیر می‌گذارد اهمیت می‌دهند، سردرد بوده و هست. سال ها می گذرد و تعداد کسانی که می خواهند از ثمره کار دیگران سوء استفاده کنند یا آسیب عمدی وارد کنند، کاهش نمی یابد، بلکه مدام در حال افزایش است. علاوه بر این، به دلیل امکان انتشار سریع و گسترده «بهترین شیوه‌ها» در غلبه بر موانع حفاظتی، به دلیل بی‌احتیاطی آشکار بسیاری از صاحبان اطلاعات و رعایت نادر اصل اجتناب‌ناپذیری مجازات، همه جهان با یک مشکل جدی و جدی مواجه شده است. بیماری بی رحمانه نام او مشخص نیست، اما خطر او آشکار است. او به یک قلمرو بزرگ به شکلی پنهان برخورد کرده است و اکنون تهدید می کند که به یک اپیدمی واقعی تبدیل شود.

هرگز در تاریخ هرگز دنیای واقعی تا این حد وابسته به دنیای مصنوعی نبوده است که توسط خود انسان اختراع و ساخته شده است. بدون مراقبت صحیح از سازماندهی حفاظت مؤثر از مخلوقات خود، به نفع توسعه تمدن، تلاش می کنیم تا این دو جهان را عمیق تر و عمیق تر با کانال های اطلاعاتی پیوند دهیم تا حداکثر نفوذ جهانی ناقص تر را به یک جهان تضمین کنیم. یکی کمتر ناقص تکامل رایانه قبلاً سه مرحله مهم را پشت سر گذاشته است:

• تمرکز محاسبات و منابع اطلاعاتی(در دوران مین فریم)؛
• اطمینان از در دسترس بودن فنی ظرفیت های رایانه برای مخاطبان انبوه (در عصر رایانه شخصی)؛
• شکستن مرزهای طبیعی مکان و زمان در مقیاس اقتصاد و سیاست جهانی (در عصر اینترنت).

شکل دیجیتالی یکپارچه نمایش، حل بسیاری از مشکلات عملی را تا حد زیادی تسهیل کرد، اما در عین حال، ناخواسته، زمینه را برای وارد کردن حداکثر خسارت با حداقل هزینه ایجاد کرد. علاوه بر این، به دلیل اتحاد تبادل اطلاعاتو سهولت کار با ابزارهای نرم افزاری، آسیب می تواند حتی توسط یک فرد بی تجربه وارد شود. تنها زمانی که با مشکل ایدز مواجه شدیم، توانستیم متوجه شویم که بدن ما حفاظت چند سطحی خود را دارد، جایی که ایمنی تقریباً نقش کلیدی را ایفا می کند. فقدان چنین سد محافظتی فراگیر در دنیای رایانه در آینده ای نه چندان دور نوید ایجاد مشکلاتی با چنان عظمتی را می دهد که در مقایسه با همه گیری های مدرن، مشکلات ناچیز و ناچیز به نظر می رسد. زمان آن رسیده است که به طور جدی در مورد این واقعیت فکر کنیم که بدون ایجاد موانع مصنوعی، بدون ایجاد آنالوگ های محافظت ایمنی محلی برای نرم افزار، حرکت رو به جلو خطرناک تر و خطرناک تر می شود.

وقتی صحبت از مسائل امنیت اطلاعات می شود، معمولاً به یک سناریوی ساده و اثبات شده متوسل می شوند: ابتدا مخاطب را با ارقام و حقایقی که مشخص کننده میزان و ماهیت خطر تهدید کننده است بترسانند و سپس به قسمت اصلی - ارائه دستور العمل ها ادامه دهند. برای "داروهای" معجزه آسایی که تعدادی از علائم ذکر شده را از بین می برد. با ادای احترام به سنت، خیلی از مسیر شکسته منحرف نشویم. با این حال، به سختی منطقی به نظر می رسد: در اینجا مشکلات بسیار بیشتر از راه حل ها وجود دارد. بنابراین، نقاط دردناک اصلی پیکربندی رایانه - سیستم عامل آنها - در منطقه مورد توجه ما قرار می گیرد.

بر اساس گزارش سالانه "بررسی جرایم رایانه ای و امنیت 2001" موسسه امنیت رایانهدر سانفرانسیسکو و FBI، خسارات مالی ناشی از جرایم رایانه ای در ایالات متحده طی سال گذشته با افزایش 43 درصدی از 265.6 میلیون دلار به 377.8 میلیون دلار افزایش یافته است. تقریباً 64٪ نگران ضررهای وارده بودند، اما فقط 35٪ قادر به ارزیابی آنها از نظر پولی بودند. حدود 70 درصد از پاسخ دهندگان گفتند که کانال های اینترنتی اغلب مورد حمله قرار می گیرند و 31 درصد نشان می دهند که سیستم های داخلی شرکت ها مورد حمله قرار گرفته اند. نفوذ از خارج توسط 40٪ از پاسخ دهندگان (در سال 2000 - 25٪) تایید شد، و 38٪ انکار خدمات (27٪ در سال 2000) را ثبت کردند. 91٪ از پاسخ دهندگان از نقض امتیازات به دلیل سوء استفاده کارمندان از کار در وب شکایت داشتند و 94٪ ویروس ها را در سیستم های خود پیدا کردند (در سال 2000، 85٪ به این موضوع اشاره کردند).

حتی از این ارقام ناچیز، یک روند به وضوح منفی قابل مشاهده است - اینترنت نه تنها پل هایی را بین کشورها و قاره ها ایجاد می کند، بلکه جنایتکار را به قربانی نزدیکتر می کند. به تعبیر یک ضرب المثل معروف، می توان گفت که اگر به جرایم سایبری علاقه ندارید، خیلی زود جرایم سایبری به شما علاقه مند خواهد شد. اگر بحث قدیمی جاسوسی اطلاعاتی و صنعتی را کنار بگذاریم و فقط به جنبه «داخلی» موضوع بپردازیم، یکی از مشکلات پیشرو در حوزه امنیت اطلاعات در سال گذشته حمله به سیستم‌های پرداخت و بی‌اعتبار کردن بوده است. شرکت ها (انکار خدمات)، خرابکاری صنعتی، کالبد شکافی اسرار شرکت، نقض حقوق مالکیت معنوی. دفتر علم و فناوری ریاست جمهوری ایالات متحده تخمین می زند که خسارت سالانه مجرمان سایبری به مشاغل آمریکایی در سال های گذشته، به 100 میلیارد دلار رسید. ضرر و زیان ناشی از دسترسی غیرمجاز به اطلاعات مربوط به فعالیت موسسات مالی آمریکا حداقل 1 میلیارد دلار در سال بود. بنابراین، تجارت آمریکایی به نقطه ای نزدیک شده است که یک راه حل به موقع و کافی برای مسائل امنیتی از نظر اقتصادی برای آن امکان پذیر می شود.

یونیکس در زمینه امنیتی

تاریخچه سیستم عامل از تاریخچه و تکامل خود کامپیوترها جدایی ناپذیر است. اتفاقاً این کلون‌های یونیکس بودند که امروزه بر بازار سیستم‌های شرکتی تسلط دارند و به رابط بین دنیای رایانه‌های شخصی و رایانه‌های با کارایی بالا تبدیل شده‌اند. متأسفانه یونیکس از کاستی های جدی رنج می برد و پدیده لینوکس نگاهی متفاوت به بسیاری از مشکلات از جمله مشکلات امنیت اطلاعات را مجبور کرده است.

یونیکس مکانیسم مشخصی برای تضمین یکپارچگی ندارد برنامه های سفارشیو فایل‌ها، کنترل دسترسی را برای یک کاربر فراهم نمی‌کند. حقوق در گروه ها متمایز می شود. در یونیکس معمولی، برای یک شخص ثالث سخت نیست که قدرت ابرکاربر را در دست بگیرد. حسابداری و کنترل اقدامات کاربر، به ویژه هنگام کار با منابع حیاتی امنیتی، نقطه قوت یونیکس معمولی نیست. البته، با کمی تلاش برای پیکربندی از طرف مدیر سیستم، برخی از ایرادات را می توان برطرف کرد. اما، به طور کلی، تصویر دلگرم کننده به نظر نمی رسد.

کار کارکنان آژانس امنیت ملی ایالات متحده تجزیه و تحلیل دقیقی از مشکلات پیش روی نسل فعلی سیستم عامل ها از نظر امنیت رایانه ارائه می دهد. نتیجه اصلی: ما به سیستم عامل های ایمن جدید با طراحی خاص نیاز داریم. به طور خاص، نویسندگان می گویند که سیستم Kerberos، پروتکل های SSLو IPSEC به دلیل عدم امکان اطمینان از وجود نرم افزار قابل اعتماد در انتهای اتصال، تا حد زیادی آسیب پذیر هستند.

الیاس لوی (Aleph1)، مدیر لیست پستی معروف امنیت کامپیوتر BugTraq، در مصاحبه اخیر خود گفت: "من فکر می کنم مدل امنیتی یونیکس بیش از حد ساده است. رویکرد همه یا هیچ از اصل کمترین امتیاز کوتاهی می‌کند... یک پایگاه محاسباتی قابل اعتماد هرگز تمام آنچه را که یک کاربر به آن نیاز دارد ارائه نمی‌کند. از سوی دیگر، من متوجه شدم که بیشتر پیاده سازی مکانیسم های کنترل دسترسی اجباری (کنترل دسترسی اجباری)، امتیازات و غیره. بیش از حد پیچیده... در نهایت، پیش بینی تعاملاتی که منجر به ظهور نقاط ضعف می شود دشوار است. به عنوان مثال، مشکل sendmail را در نظر بگیرید که در نتیجه مجوزهای ایجاد شده در هسته لینوکس ایجاد شد.

لوی خواستار کنار گذاشتن عمل "پچ کردن حفره ها" و شروع ساخت یک سیستم عامل جدید است که در ابتدا الزامات امنیتی را برآورده می کند.

این نشان دهنده علاقه فعلی به سیستم عامل های مطمئن و مطمئن است. الزامات امنیتی باید بر طراحی سیستم عامل حاکم باشد، نه اینکه به عنوان خدمات جانبی معرفی شوند.

معیارها و معیارها در زمینه ایمنی

کار بر روی معیارهای ایمنی سیستم از اوایل سال 1967 آغاز شد و در سال 1970 اولین گزارش تحت عنوان " کنترل های امنیتی برای سیستم های کامپیوتری". در سال 1983، وزارت دفاع ایالات متحده صادر کرد: کتاب نارنجی” - کتابی با پوشش نارنجی به نام معیارهای ارزیابی سیستم های کامپیوتری قابل اعتماد. منطقه شبکه های کامپیوتربا توجه به امنیت، در توصیه های به اصطلاح X.800 - معماری امنیتی برای اتصال سیستم های باز برای برنامه های CCITT تعریف شده است. کتاب نارنجی سیستم قابل اعتماد را اینگونه تعریف می کند: «سیستمی با استفاده از سخت افزار کافی و نرم افزاربرای اطمینان از پردازش همزمان اطلاعات با درجات مختلف محرمانه توسط گروهی از کاربران بدون نقض حقوق دسترسی.

دو معیار اصلی برای ارزیابی سیستم های قابل اعتماد وجود دارد:

• سیاست امنیتی (مجموعه ای از قوانین و مقررات که نظم پردازش، حفاظت و انتشار اطلاعات و همچنین انتخاب مکانیسم های امنیتی خاص را تعیین می کند. ماده فعالحفاظت)؛
• اطمینان (میزان اعتمادی که می تواند به یک سیستم عامل خاص ارائه شود؛ سطح صحت مکانیسم های امنیتی را نشان می دهد؛ جزء غیرفعال حفاظت است).

کتاب نارنجی سه نقش را تعریف می کند: مدیر سیستم، اپراتور سیستم و مدیر امنیت. با توجه به الزامات TCSEC، مستندات سازنده باید شامل چهار مورد باشد عنصر مهم: راهبرد امنیتی؛ رابط های پایه محاسباتی قابل اعتماد؛ مکانیسم های TCB؛ راهنمای استفاده موثر از مکانیسم های TCB

به طور کلی، حوزه اجزای محافظت شده نه تنها شامل سیستم عامل ها می شود. بنابراین، به ویژه، علاوه بر "کتاب نارنجی" TCSEC، که مسائل امنیتی را در سیستم عامل تنظیم می کند، اسناد مشابهی از مرکز ملی امنیت رایانه ای ایالات متحده برای DBMS (TDI، " کتاب بنفش") و شبکه ها (TNI، " کتاب قرمز"). بنابراین «کتاب نارنجی» تنها سند نیست، اگرچه سند مهمی است. در ایالات متحده، مجموعه ای کامل از اسناد در جلدهای چند رنگی ظاهر شده است، به نام "رنگین کمان" ( سری رنگین کمان; www.radium.ncsc.mil/tpep/library/rainbow). در همان زمان، همانطور که از داخل نمایان می شود، گاهی اوقات مواد مختلفی در زیر پوشش یک رنگ ظاهر می شد.

در خارج از ایالات متحده، آنالوگ های "کتاب نارنجی" نیز ظاهر شد: اینها اسناد حاکم بر کمیسیون فنی دولتی (1992) و همچنین "معیار ارزیابی ایمنی" است. فناوری اطلاعات” (ITSEC - Information Technology Evaluation Criteria, 1991)، معتبر در انگلستان، آلمان، فرانسه و هلند.

البته با توجه به لزوم یکسان سازی رویکردهای امنیت اطلاعات، در نهایت نیاز به حذف دوگانگی مقررات وجود داشت که به طور جداگانه در ایالات متحده آمریکا (TCSEC) و اروپا (ITSEC) انجام شد. روی انجیر 1 "شجره خانواده" پذیرش استاندارد بین المللی جدید را نشان می دهد که "معیارهای یکسان برای ارزیابی امنیت در حوزه فناوری اطلاعات" نامیده می شود. اغلب آن را به سادگی "معیارهای مشترک" ("معیارهای واحد") نامیده می شود استاندارد بین المللی ISO/IEC 15408 که با مشارکت آژانس امنیت ملی و مؤسسه ملی استاندارد و فناوری (ایالات متحده آمریکا)، گروه امنیت الکترونیک و داده (بریتانیا)، آژانس فناوری اطلاعات فدرال (آلمان)، اطلاعات مرکزی توسعه یافته است. سیستم های خدمات امنیتی (فرانسه)، آژانس امنیت ملی هلند در زمینه انتقال داده، سرویس امنیتی در زمینه انتقال داده (کانادا).

توضیحات Common Criteria V2.1 در سه کتاب آمده است:

1. مقدمه و مدل عمومی (CCIMB-99-031).
2. الزامات عملکردیبه ایمنی (CCIMB-99-032).
3. الزامات تضمین امنیت (CCIMB-99-033).

در "معیارهای یکنواخت" 11 کلاس عملکردی متمایز می شوند:

• حسابرسی؛
• پشتیبانی رمزنگاری
• انتقال داده؛
• حفاظت از داده های کاربر؛
• شناسایی و احراز هویت؛
• مدیریت امنیت؛
• محرمانه بودن؛
• حفاظت از ویژگی های امنیتی سیستم هدف؛
• بهره برداری از منابع؛
• دسترسی به سیستم هدف؛
• مسیرها / کانال های معتبر

هر یک از این کلاس ها شامل چندین خانواده و هر خانواده از یک تا چندین جزء است.

معیارهای فرموله شده در TCSEC، ITSEC و CCITSE، تقسیم سیستم های کامپیوتری را به 4 سطح امنیتی (A, B, C, D) بسته به درجه قطعیت تعیین می کند. سطح A بالاترین است. بعد سطح B می آید (به ترتیب نزولی امنیت، در اینجا کلاس های B3، B2، B1 وجود دارد). سپس رایج ترین سطح C (درجه C2 و C1). پایین ترین سطح D (سیستم هایی که نمی توانند برای کلاس های فوق گواهی شوند) است.

به دنبال مصالحه بین الزامات امنیتی، کارایی سیستم و قیمت آن، اکثریت قریب به اتفاق شرکت‌ها امروزه به دنبال دریافت گواهینامه کلاس C2 هستند.

ادبیات

1. پی کریستوف. امنیت داده ها در سیستم عامل یونیکس // سیستم های باز، 1993، شماره 3
2. وی گالاتنکو. امنیت اطلاعات // "سیستم های باز"، 1995، شماره 4، 1996، شماره 1
3. آر.بوگاتیرف. لینوکس: ریشه های یک فلسفه برنامه نویسی جدید // PC World، 2001، شماره 1.
4. 2001 Computer Crime and Security Survey // مؤسسه امنیت رایانه، سانفرانسیسکو، 12 مارس 2001; www.gocsi.com/prelea_000321.htm
5 معیارهای رایج برای اطلاعاتارزیابی امنیت فناوری (CCITSE) V2.1 // 1998; www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
6 P. Loscocco و همکاران. اجتناب ناپذیری شکست: فرض معیوب امنیت در محیط های محاسباتی مدرن // آژانس امنیت ملی، 1998.

روسلان بوگاتیرف

موضوع مجموعه کتاب امنیت کامپیوتر TCSEC در سری Rainbow

• TCSEC (1983، 1985، کتاب نارنجی، 5200.28-STD).
• TNI، تفسیر شبکه های کامپیوتری قابل اعتماد (1987، 1990، کتاب قرمز، NCSC-TG-005، NCSC-TG-011).
• TDI، تفسیر DBMS های قابل اعتماد (1991، کتاب بنفش، NCSC-TG-021).
• سیستم های تأیید رسمی (1989، کتاب بنفش، NCSC-TG-014).
• Credible Systems Manufacturing (1992-1994، کتابهای بنفش، NCSC-TG-024).
• حفاظت دسترسی (1992، "کتاب بنفش"، NCSC-TG-028).
• توزیع اعتماد (1988، کتاب بنفش تیره، NCSC-TG-008).
• ایجاد اسناد (1988، "کتاب روبی"، NCSC-TG-007).
• RAMP (1995، "کتاب صورتی"، NCSC-TG-013).
• تحلیل کانال مخفی (1993، کتاب صورتی روشن، NCSC-TG-030).
• تست امنیتی (1991، "کتاب نارنجی روشن"، NCSC-TG-023).
• کنترل دسترسی اختیاری (1987، "نئون کتاب"، NCSC-TG-003).
• قوانینی برای ایجاد راهنمای کاربر (1991، کتاب هلو، NCSC-TG-026).
• مدیریت پیکربندی (1988، کتاب کهربا، NCSC-TG-006).
• الزامات امنیت رایانه (1985، "کتاب زرد روشن"، CSC-STD-003-85).
• اصلاحات فنی برای الزامات امنیت رایانه (1985، کتاب زرد، CSC-STD-004-85).
• Reliable Failure Recovery (1991، کتاب زرد، NCSC-TG-022).
• دستورالعمل های نوشتن برای مدیریت ابزارهای قابل اعتماد (1992، "کتاب زرد-سبز"، NCSC-TG-016).
• اکتساب اطلاعات به صورت خودکار سیستم های اطلاعاتی(1991، کتاب سبز کم رنگ، NCSC-TG-025).
• مدیریت رمز عبور (1985، کاغذ سبز، CSC-STD-002-85).
• اصطلاحات امنیت رایانه (1988، کتاب سبز تیره، NCSC-TG-004).
• مدلسازی امنیتی (1992، کتاب آبی مایل به سبز، NCSC-TG-010).
• صلاحیت مدیر امنیتی (1992، "کتاب تیل"، NCSC-TG-027).
• شناسایی و احراز هویت (1991، کتاب آبی روشن، NCSC-TG-017).
• استفاده مجدد از اشیاء (1992، کتاب آبی روشن، NCSC-TG-018).
• پرسشنامه در ارزیابی سیستم های قابل اعتماد (1992، کتاب آبی، NCSC-TG-019).
• مفاهیم گواهینامه و اعتبار (1994، کتاب آبی، NCSC-TG-029).
• ارزیابی محصولات معتبر (1990، کتاب آبی روشن، NCSC-TG-002).
• تفسیر زیرسیستم های امنیت رایانه (1988، کتاب آبی آسمان، NCSC-TG-009).
• مدیریت صندوق قابل اعتماد (1989، کتاب قهوه ای، NCSC-TG-015).
• حسابرسی در سیستم های قابل اعتماد (1988، کتاب قهوه ای روشن، NCSC-TG-001).
• TRUSIX (1989، کتاب نقره ای، NCSC-TG-020).

کلاس های امنیتی سیستم کامپیوتری (TCSEC، معیارهای مشترک)

کلاس D. حداقل سطح امنیتی. این کلاس شامل سیستم هایی است که برای صدور گواهینامه اعلام شده اند، اما آن را پاس نکرده اند. درحالیکه در کلاس داده شدههیچ سیستم عاملی ثبت نشده است

کلاس C1. حفاظت از دسترسی انتخابی وجود یک پایگاه محاسباتی قابل اعتماد (TCB) را فراهم می کند که الزامات امنیت انتخابات را برآورده می کند. جداسازی کاربران از داده ها تضمین می شود (اقداماتی برای جلوگیری از خواندن یا تخریب داده ها، امکان حفاظت از داده های خصوصی). در حال حاضر هیچ گواهینامه ای برای این کلاس وجود ندارد.

کلاس C2. حفاظت از دسترسی مدیریت شده سیستم های این کلاس قادر به اعمال کنترل واضح تری از نظر حفاظت از دسترسی انتخابی هستند. اقدامات کاربر با رویه های شناسایی/احراز هویت مرتبط است. اعطا و لغو امتیازات دسترسی به کاربران. علاوه بر این، رویدادهای مهم امنیتی ممیزی می شوند و منابع جدا می شوند. دارای گواهینامه برای این کلاس: AIX 4.3.1، OS/400 V4R4M0 با کد ویژگی 1920، AOS/VS II، نسخه 3.10، OpenVMS VAX و نسخه آلفا نسخه 6.1، CA-ACF2 MVS نسخه 6.1، NT Workstation، و سرور NT. 4.0، Guardian-90 w/Safeguard S00.01.

کلاس B1. با برچسب امنیت علاوه بر الزامات کلاس C2، توصیف غیررسمی مدل خط مشی امنیتی، برچسب گذاری داده ها و اجرای کنترل دسترسی به موضوعات و اشیاء نامگذاری شده مورد نیاز است. دارای گواهینامه در این کلاس: CA-ACF2 MVS Release 6.1 همراه با CA-ACF2 MAC، UTS/MLS، نسخه 2.1.5+ (Amdahl)، SEVMS VAX و نسخه آلفا نسخه 6.1، ULTRIX MLS+ نسخه 2.1 در VAX Station، پلت فرم CX 310 / SX 6.2.1 (Harris Computer Systems)، HP-UX BLS نسخه 9.0.9+، Trusted IRIX/B نسخه 4.0.5EPL، OS 1100/2200 انتشار SB4R7 (Unisys).

کلاس B2. دفاع ساختاریافته در این دسته از سیستم ها، TCB باید بر یک مدل خط مشی امنیتی رسمی به خوبی تعریف شده و مستند تکیه کند. کنترل دسترسی انتخابی و اجباری برای همه موضوعات و اشیاء در سیستم اعمال می شود. کانال های مخفی فاش می شوند. TCB باید به وضوح به عناصر حیاتی ایمنی و غیر ایمنی تجزیه شود. مکانیسم های احراز هویت در حال تقویت هستند. مکانیسم های اعتبار به شکل پشتیبانی از عملکردهای مدیر و اپراتور سیستم مدیریت می شوند. این به وجود مکانیسم هایی برای مدیریت پیکربندی دقیق دلالت دارد. این سیستم در برابر نفوذ نسبتا مقاوم است. این کلاس توسط Trusted Xenix 4.0 (Trusted Information Systems) تایید شده است.

کلاس B3. حوزه های امنیتی TCB باید الزامات یک مکانیسم مرجع نظارتی را برآورده کند که کاملاً همه دسترسی های سوژه به اشیاء را نظارت می کند، در عین حال به اندازه کافی فشرده باشد تا قابل تجزیه و تحلیل و آزمایش باشد. به یک مدیر امنیتی نیاز دارد. مکانیسم‌های حسابرسی به گونه‌ای گسترش می‌یابد که گزارش رویدادهای مهم امنیتی را شامل شود. به مراحل بازیابی سیستم نیاز دارد. این سیستم در برابر نفوذ بسیار مقاوم است. XTS-300 STOP 5.2.E (خدمات دولتی وانگ) برای این کلاس گواهینامه دارد.

کلاس A1. طراحی تایید شده این دسته از سیستم ها از نظر عملکردی معادل کلاس B3 هستند به این معنا که هیچ ویژگی معماری اضافی یا سایر الزامات سیاست امنیتی نیازی به افزودن نیست. تفاوت اساسی این است که برای اطمینان از اینکه TCB به درستی اجرا می شود، مشخصات طراحی رسمی و روش های راستی آزمایی مناسب مورد نیاز است. هیچ سیستم عاملی در این کلاس ثبت نشده است.