Raalprojekteerimine
Euroopa struktuurfondide logo
Automatiseerimise viide Mehhatroonikaseadmete viide Pneumoautomaatika viide Siemens LOGO! viide Siemens S7-1200 viide

OPERATSIOONISÜSTEEMID

Turvalisus ja kaitse

Turvalisus on tänapäeva arvutisüsteemides väga oluline ning tarkvaratootjad pööravad sellele järjest suuremat tähelepanu.

Turvalisuse kolm põhikriteeriumit:

  1. Käideldavus (availability)
    1. Andmed peavad olema takistusteta kättesaadavad volitatud kasutajatele
    2. Andmed peavad olema õiged
  2. Terviklikkus (integrity)
    1. Andmeid ei tohi volitamatult muuta
    2. Andmed peavad olema pärit õigest allikast
  3. Konfidentsiaalsus (confidentiality)
    1. Andmed tohivad olla kättesaadavad ainult volitatud kasutajatele

Täiendavateks kriteeriumiteks loetakse:

  1. Töökindlus (reliability)
  2. Autentsus (authenticity)
  3. Jälitatavus (accountability)

Kui mõni põhikriteeriumitest ei ole täidetud, siis võib öelda, et tegemist on ebaturvalise süsteemiga. Kaasaegsetesse operatsioonisüsteemidesse on sisseehitatud mitmeid kaitsemehhanisme turvakriteeriumite täitmiseks: kasutajad autenditakse, kasutajale rakenduvad teatud piirangud (tal on õigus kasutada ainult kindlaid ressursse). Mitmed rakendused kontrollivad andmeallikaid ning väljastavad hoiatuse, kui andmeallikas ei ole õige jne. [4]

Turvaohud

Turvaohte on väga erinevaid. Laia kõlapinda on leidnud tihti just arvutivõrgu abil toimuvad ründed arvutisüsteemidele ning arvutiviirused, kuid tihti kipuvad kasutajad unustama arvuti füüsilist turvalisust.

Füüsiline risk: arvutisüsteem võidakse varastada, hävitada; arvutisüsteem muutub kasutatamatuks riistvara rikke või elektrikatkestuse tõttu jne.

Iga arvuti, mille korral on võimalik volitamata füüsiline ligipääs on potentsiaalne turvaoht. Pea iga kaasaegse operatsioonisüsteemi turvavahendid on vaikimisi seades turvamata või lihtsalt murtavad füüsilise ligipääsu korral. Seega peab olema arvutisüsteemile füüsiline ligipääs ainult selleks volitatud isikutel. Serveriruum peab olema eriti range kontrolli all, kindlasti tulekustutussüsteemiga varustatud, ventileeritav ja lukustatav ruum.

Riistvara abil on võimalik tagada ka teatud tasemeni tõrkekindlus riistvararikke vastu. Selleks dubleeritakse võimalusel vastavad süsteemid. Tuntum selline lahendus on kindlasti RAID (redundant array of inexpensive disks), mis võimaldab muuhulgas mitme kõvaketta kasutamisel tõsta oluliselt tõrkekindlust. Vajadusel säilitab arvutisüsteem seeläbi töövõime ja andmed ka kõvaketta tõrke korral. Kaasaegsetel tõrkekindlatel arvutisüsteemidel on tihti ka dubleeritud protsessorid, mälu, toiteplokid jne.

Kõige lihtsam turvarisk on kaheldamatult elektrikatekestus, selle vältimiseks on lihtsamatel juhtudel kasutusel katkematutoiteallikas ehk UPS (Uninterruptible Power Supply) . UPS on oma olemuselt suure mahutavusega akumulaator, mis võimaldab arvutisüsteemi töö jätkumise ka elektrikatkestuse korral. Kõige levinumad on lokaalsed UPS seadmed, mis ühendatakse mõne konkreetse arvutisüsteemi külge ja mis tagavad sellisel juhul selle konkreetse arvutisüsteemi töö. On olemas ja kasutusel ka suuremad UPS seadmed, milliste abil on võimalik tagada ka mõne ruumi või suisa hoone tõrkekindlus elektrikatkestuse korral. Eriti missioonikriitilistel asutustel on peale UPS seadme kasutusel ka oma elektrigeneraatorid, mis käivituvad elektrikatkestuse tekkimisel.

Kasutajapoolne risk: kasutaja, kellel on liiga suured volitused on samuti turvarisk, seda eriti juhul kui arvutisüsteem ei toeta kasutajaõiguseid või on muu moel kasutajapoolse rünnaku või väärkasutamise vastu turvamata.

Vanemates operatsioonisüsteemides puudusid tihti võimalused kasutajate eristamiseks või nende volituste piiramiseks. Sellised operatsioonisüsteemid on tänases mõttes täiesti ebaturvalised. Kõik kaasaegsed operatsioonisüsteemid sisaldavad vahendeid kasutajate eristamiseks, tuvastamiseks, autentimiseks ning nende õiguste piiramiseks. Uusimates operatsioonisüsteemides ei lubata kasutajaid tihti ilma tungiva vajaduseta operatsioonisüsteemi kasutada süsteemihalduri õigustes. Sellisel juhul antakse kasutajale süsteemihalduri õigused vaid ainult nende tegevuste teostamiseks, kus süsteemihalduri volitused on tõesti vajalikud (sageli nõutakse sellisel juhul ka korduvat autentimist). Nii püütakse välistada ka olukorda, kus kasutaja poolt tahtlikult või tahtmatult käivitatud pahavara ei saa teostada tegevusi (süsteemi kahjustamist) süsteemihalduri volituste abil. [4]

Ühed kaasaja suurimad turvaohud moodustavad kindlasti arvutiviirused, pahavara ja võrguründed.

Võrguründeid selles moodulis ei käsitleta. Turvariskide maandamiseks kasutatakse varukoopiad (backup) ehk varundamist. Kui mõni risk realiseerub on võimalik tagavarakoopiate olemasolul andmed taastada. Kui süsteemi töövõime on kriitilise tähtsusega, siis peavad tagavarakoopiad olema kättesaadavad koheselt ehk sellisel juhul peab varundus olema riistvaraliselt teostatud nii, et andmed on tagavarakoopiatelt kiirelt (soovitavalt reaalajas) taastatavad. Enamik kaasaegseid operatsioonisüsteeme sisaldavad endas varundus- ja taastusvahendeid.

Arvutiviirused ja pahavara

Arvutiviirused ja pahavara on üheselt kirjeldatav kui kahjulik tarkvara. Sellise tarkvara eesmärk on kahjustada arvutisüsteemi, kasutada arvutisüsteemi ressursse mitte selleks mõeldud tegevusteks ning segada kasutajat. Levinumad pahavaraliigid on: arvutiviirus, uss, rootkit, nuhkvara, reklaamvara ja trooja hobune.
Kõige tuntum pahavara on kindlasti arvutiviirus. Siinkohal tuleb mainida, et mõningate käsitluste kohaselt on arvutiviirust käsitletud ka kui pahavara üldistavat mõistet. [4]

Arvutiviirus on programmikood, mis on kirjutatud selge sihiga, et see end ise paljundaks. Viirus üritab levida arvutist arvutisse, kinnitades end peremeesprogrammi külge. See võib rikkuda tarkvara, andmeid ja isegi riistvara.

Arvutiviirus on kopeerib end mõne teise programmi koodi ning kui see programm käivitatakse, siis käivitub kõigepealt viiruse kood ning alles seejärel programm ise. Nii saab arvutiviirus ligipääsu arvutisüsteemi ressurssidele ning hakkab seejärel otsima uusi "puhtaid‖ faile kuhu oma kood kopeerida. Seepärast öeldaksegi tihti, et arvutiviirus on programm, mis suudab ise levida. Tegelikult arvutiviirus päris iseseisvalt ju ei levi, ta vajab programmifaile (või teatud juhtudel mõnd teist liiki faile), kuhu oma koodi kopeerida. Faile, kuhu viiruse programmikood on kopeeritud nimetatakse peremeesfailideks (host).

Olemas on ka arvutiviiruseid, mis nakatavad näiteks Microsoft Wordi dokumendifaile (makroviirused) jne. Sellisel juhul hakkab viirus levima arvutisüsteemis juhul kui nakatunud fail mõne rakendusega avada. Tänapäeval on sellist liiki viiruseid toodetud pea kõikide levinumate rakenduste failidele ning viirus võib levida ka näiteks piltide, e-raamatute ja muude taoliste rakenduste failide abil.

Uss (worm), nagu ka viirus, on konstrueeritud ennast ühest arvutist teise kopeerima, kuid ta teeb seda automaatselt, kasutades arvuti funktsioone, mis on mõeldud failide või andmete transpordiks. Kui teie arvutisüsteemis on uss, võib ta iseseisvalt edasi liikuda. Usside võime massiliselt paljuneda kujutab endast suurt ohtu. Näiteks võib uss saata enese koopiaid kõigile teie aadressiraamatus leiduvatele e-posti aadressidele, teha sama igas järgmises arvutis, kuhu tal õnnestub levida, ning põhjustada doominoefektina väga palju võrguliiklust, mis võib aeglustada ettevõttevõrke ja internetti. Uued ussid levivad väga kiiresti ja ummistavad võrke, pannes teid (ja kõiki teisi) ootama internetis veebilehekülgede kuvamist võib-olla kaks korda kauem. (Microsoft Corporation, 2008)

Nagu öeldud on ussi ja arvutiviiruste suurim erinevus just levimise tehnoloogias: kui arvutiviirus levib kasutades teisi faile, siis uss levib kasutades võrguteenuseid. Nii ussi kui ka viiruse tegelik eesmärk ei ole kindlasti vaid enese levitamine, vaid mingil kindlal juhul hakkab viirus või uss süsteem kahjustama (näiteks kustutab faile, edastab infot, segab kasutajat jne). [4]

Trooja hobune on arvutiprogramm, mis näib olevat kasulik, kuid tegelikult teeb see hoopis arvutisüsteemile kahju.

Nii nagu müütiline trooja hobune nägi välja nagu kingitus, kuid sisaldas Kreeka sõdureid, kes Trooja linna vallutasid, on tänapäeva trooja hobused arvutiprogrammid, mis näivad kasulikud, kuid tegelikult ohustavad teie turvalisust ja võivad teha palju hävitustööd. Näiteks on üks trooja hobune levinud meilisõnumina koos manusfailidega, näiliselt Microsofti turvavärskendustega; tegelikkuses osutusid need viirusteks, mis üritasid välja lülitada viirusetõrje- ja tulemüüritarkvara.

Rootkit on pahavara, mis kasutajanime ja parooli kasutamata hõivab juurkasutaja õigused. Rootkit kontrollib reeglina kõiki operatsioonisüsteemi põhifunktsioone ning seepärast on sellise pahavara leidmine ja hävitamine arvutisüsteemis eriti keeruline.

Rootkite on olemas mitmeid erinevaid liike, kõige kahjulikumad neist käivituvad enne operatsioonisüsteemi, võtavad kontrolli riistvara üle ning seejärel käivitavad operatsioonisüsteemi. Sellistel rootkitidel on kontroll kõigi operatsioonisüsteemi funktsioonide üle. Rootkitide levitamiseks on väga erinevaid võimalusi: tihti levib rootkit sarnaselt arvutiviirusega, kuid samas on teada ka juhuseid, kus rootkit on levinud ka legaalsete muusikaplaatidega ning rootkiti valmistajateks on olnud väga tuntud ja lugupeetud ettevõtted. Kuna rootkit kontrollib enamasti kõiki operatsiooni põhifunktsioone, siis suudab see tarkvara väga hästi end varjata ning väga tihti võib juhtuda, et pärast rootkiti eemaldamist vajab operatsioonisüsteem täieliku väljavahetamist.

Tagauks on operatsioonisüsteemi või mõne rakendusprogrammi valmistaja poolt teadlikult tehtud võimalus arvutisüsteemi ressursside kasutamiseks ilma vastavaid volitusi omamata. Samuti võib näiteks trooja hobune paigalda arvutisse spetsiaalse tagaukse, mille abil volitusteta kasutaja saab arvutisüsteemi kasutada.

Identifitseerimise ja autentimine

Kaasajal on kasutuses peamiselt mitme kasutajaga (multi-user) operatsioonisüsteemid. See ei tähenda mitte ainult seda, et operatsioonisüsteemis võib olla mitu kasutajat, vaid iga protsess sellises operatsioonisüsteemis töötab mingi kasutaja õigustes. Lisaks tavakasutajale on reeglina operatsioonisüsteemis olemas veel ka süsteemsed kasutajad, kelle õigustes töötavad süsteemi tööks vajalikud protsessid. [4]

Kui me räägime nüüd tavakasutajatest (ehk inimestest, kes arvutisüsteemiga töötavad), siis sellised kasutajad tuleb tuvastada.

Kasutaja tuvastamine koosneb identifitseerimisest ja autentimisest

Identifitseerimise all mõistetakse reeglina kasutajaga seotud kasutajanime või mõne muu sarnase info (nimi, isikukood, id number jne) järgi kasutaja identiteedi leidmist (aga mitte veel tõestamine). Identifitseerida on võimalik end ka mõne füüsilise seadme abil (kiipkaart, USB seade jne).

Identifitseerimise käigus saadakse teada, kes kasutaja väidab end olevat

Kui on teada, kes kasutaja väidab end olevat, siis seejärel tuleb kuidagi kontrollida, kas kasutaja tegelikult on ka see, kes ta väidab end olevat. Sellist tegevust nimetatakse autentimiseks.

Autentimiseks nimetatakse väidetava identiteedi tõesuse kontrollimist

Sellise kontrolli teostamiseks on kõige tavapärasemal juhul kasutusel kasutajaga seotud salasõna (password). Kui kasutajanimi ja selle kasutajanimega seotud salasõna langevad kokku, siis loetakse kasutaja tuvastatuks. Ka autentimisel on kasutusel mitmeid erinevaid võimalusi: kaasajal on hakanud levima biomeetriliste (näpujäljed, silma võrkkest jne) andmete kontrollimine vastavate seadmete abil. [4]

<< Failihaldus
Operatsioonisüsteemide liigitus >>
Creative Commons Licence
"Raalprojekteerimine" by Eduard Brindfeldt and Urmo Lepiksoo is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Estonia License .