Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



ЗАХИСТ ОПЕРАЦІЙНИХ СИСТЕМ

Проблема захисту операційних систем (як автономно функціонуючих ЕОМ, так і мережевих ОС) багатогранна:

запобігання можливості несанкціонованого використання і спотворення (руйнування) системних ресурсів (областей пам'яті, програм і даних самої ОС) призначеними (прикладними) для користувача програмами (зокрема, вірусами);

забезпечення коректності виконання призначених для користувача програм, що паралельно функціонують на одній ЕОМ і використовують загальні ресурси;

виключення можливості несанкціонованого користування прикладними програмами одних користувачів ресурсів, що належать іншим, і т.д.

Таким чином, мережеві ОС і апаратні засоби ІВС повинні мати в своєму розпорядженні механізми захисту безпеки. Розглянемо загальні механізми захисту ОС.

Прийнято розрізняти пасивні об'єкти захисту (файли, прикладні програми, термінали, області оперативної пам'яті і ін.) і активні суб'єкти (процеси), які можуть виконувати над об'єктами певні операції. Об'єкти захищають операційною системою, контролюючи виконання суб'єктами сукупності правил, що регламентують вказані операції. Таку сукупність правил іноді називають статусом захисту.

Суб'єкти в ході свого функціонування генерують запити на виконання операції над захищеними об'єктами. Такі операції прийнято називати правами (атрибутами) доступу, а права доступу суб'єкта по відношенню до конкретного об'єкта — можливостями. Наприклад, правом доступу може бути "запис у файл", а можливістю — "запис у файл F" (F — ім'я конкретного файлу, тобто об'єкта).

Як формальна модель статусу захисту в ОС найчастіше використовують матрицю доступу (або матрицю контролю доступу). Ця матриця містить т рядків (по кількості суб'єктів) і п стовпців (по кількості об'єктів). Елемент, що знаходиться на перетині i-й рядка і /-го стовпця, є безліч можливостей г-го суб'єкта по відношенню до /-му об'єкта. З урахуванням того, що числа т і п на практиці вельми великі, а число непорожніх елементів матриці доступу мало, в реалізаціях ОС застосовують різні способи скорочення об'єму пам'яті, займаної цією матрицею, без істотного збільшення часу, що витрачається ОС на роботу з нею.

Найбільш поширеними способами скорочення об'єму пам'яті є списки можливостей, списки управління доступом, процедура типу "замок — ключ".

При першому способі з кожним суб'єктом зв'язується список його можливостей по відношенню до різних об'єктів, причому в список включаються тільки такі пари <объект, права доступа>, в яких безліч прав доступу непорожня.

При другому способі з кожним об'єктом зв'язується список пар <субъект, права доступа>, в яких також безліч пар доступу непорожня.

При третьому способі кожен суб'єкт володіє безліччю бітових послідовностей, кожна з яких є "ключем" до "замку", що захищає деякий об'єкт. "Замок" об'єкта є аналогічну бітову послідовність, причому є коректний алгоритм встановлення відповідності між "ключем" і "замком" (наприклад, за допомогою шифрування). У загальному випадку об'єкт може "охоронятися" декількома "замками", кожному з яких відповідає своя безліч прав доступу. Суб'єкт, що запрошує виконання деякої операції над об'єктом, "пред'являє" ОС свій "ключ", а ОС намагається "відкрити" їм один з "замків". Якщо це вдається і "відкрита" безліч прав доступу містить запрошувану операцію, суб'єкт одержує дозвіл на її виконання.

Якщо система "ключів — замків" виключає "підробку" одними суб'єктами "ключів" інших суб'єктів, цей спосіб згортки матриці буде вельми гнучким і надійним, оскільки дозволяє обновляти інформацію про доступ незалежно від суб'єктів і об'єктів. Для зменшення розмірності матриці доступу замість суб'єктів використовують домени, що є безліч пар доступу. Оскільки кількість таких множин відносна невелико і суб'єктам достатньо часто відповідають однакові домени, то такий підхід можна вважати вельми ефективним.

Ще одним, достатньо простим в реалізації засобом розмежування доступу до захищених об'єктів є механізм кілець безпеки. Кільце безпеки характеризується своїм унікальним номером. Оскільки вони пронумеровані за принципом "зсередини — назовні", то внутрішні кільця є привілейованими по відношенню до зовнішніх. При цьому суб'єкту (домену), що оперує в межах кільця з номером г, доступні всі об'єкти з номерами / > i.

Для прикладу розглянемо, як організований захист в одній з найбільш поширених операційних систем — UNIX. З кожним файлом цієї системи пов'язано безліч прав доступу — читання, оновлення і (або) виконання (для виконуваних файлів). Власник файлу, тобто особа, що створила його, користується по відношенню до нього всіма правами, частина яких він може передати членам групи — особам, яким він довіряє відомості, наявні у файлі. Решта користувачів, що не входять до групи, також може дістати доступ до файлу з дозволу його власника.

Доступ до ресурсів ОС обмежений засобами захисту по паролях. Пароль можна використовувати як ключ для шифрування — дешифровки інформації в призначених для користувача файлах. Самі паролі також зберігаються в зашифрованому вигляді, що утрудняє їх виявлення і використання зловмисниками. Пароль може бути змінений користувачем, адміністратором системи або самою системою після закінчення встановленого інтервалу часу.


Читайте також:

  1. Active-HDL як сучасна система автоматизованого проектування ВІС.
  2. D – моделювання в графічній системі КОМПАС
  3. I. Органи і системи, що забезпечують функцію виділення
  4. I. Особливості аферентних і еферентних шляхів вегетативного і соматичного відділів нервової системи
  5. II. Анатомічний склад лімфатичної системи
  6. II. Бреттон-Вудська система (створена в 1944 р.)
  7. II. Найважливіші проблеми, що визначають розвиток місцевого самоврядування і є спільними для будь-яких урядових систем.
  8. III етап. Системний підхід
  9. III. Захист інтересів клієнта
  10. IV. Розподіл нервової системи
  11. IV. Система зв’язків всередині центральної нервової системи
  12. IV. УЗАГАЛЬНЕННЯ І СИСТЕМАТИЗАЦІЯ ВИВЧЕНОГО




Переглядів: 3301

<== попередня сторінка | наступна сторінка ==>
ФОРМУВАННЯ ЦИФРОВОГО ПІДПИСУ | НОРМАТИВНО-ПРАВОВА ВАЗА ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМАХ ТЕЛЕКОМУНІКАЦІЙ

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.002 сек.