Операционные сети сущ. ОС. Обзор содержания дисциплины операционные системы Обсуждение функций и эксплуатационных требований к ос
 Скачать 356.76 Kb.
|
ЛЕКЦИЯ 8. ЗАЩИТА ОБЪЕКТОВ ОПЕРАЦИОННЫХ СИСТЕМВ общем случае включает 3А=Аутентификация (идентифицирует субъекта, попадающего в систему=КТО), Авторизация (определяет для субъекта разрешенные действия в системе=ЧТО МОЖНО ДЕЛАТЬ), Аудит (фиксация в системном журнале событий, связанных с доступом к защищаемым ресурсам системы=ЧТО СДЕЛАНО).Защита ОС – механизмы защиты объектов системы от их окружения. Механизмы различны для различных частей ОС. Вся информация в ВС расположена на различных устройствах памяти. Задача защиты – организовать защиту информации разделив пространство адресов этих устройств на области и разрешить только контролируемый обмен информацией между областями. Каждая область должна быть защищена от незаконных попыток получить / изменить информацию со стороны внешнего окружения. Здесь возникает 2 проблемы: эффективность охраны, эффективность доступа. Области адресуемого пространства должны быть ограждены стенами с воротами для обеспечения коммуникационных связей. Стены должны быть связаны с механизмом адресации, адресные ссылки внутри области не должны требовать обширных проверок, адресные ссылки на объекты вне данной области должны реализовываться через механизм – ворота. Коммуникационные связи (ворота) должны охраняться механизмом контроля, который разрешал бы доступ только субъектам, имеющим на это право. Способы возведения стен: права доступа, обеспечение секретности пути к объекту, применение методов кодирования. Права доступа. При сегментированном пространстве адресов каждый адрес внутри сегмента проверяется на принадлежность диапазону от начального адреса до начального адреса + длина сегмента. Т. о. адресный механизм возводит Стену вокруг всех адресов внутри сегмента и Ворота. Сами сегменты защищаются через таблицу сегментов при проверке законности обращения (в соответствии со статусом защиты) со стороны процесса, выдавшего ссылку. Аналогична защита файлов – при попытке процесса получить доступ к файлу, его запрос проходит через СУФ, которая проверяет права процесса на соответствие статусу защиты. Не должно быть способов получения доступа к файлу минуя СУФ=ворота. Другой способ защиты – обеспечение секретности пути к объекту. Объект не защищен, но его местоположение известно только определенным привилегированным процессам (проводникам)=ворота. Этот механизм не является абсолютно непроницаемым. Пользователь может по ошибке или намеренно получить доступ к объекту и повредить его. Методы кодирования. Информация расположена в незащищенных областях, но в закодированном виде. Для раскодирования процесс должен знать ключ (известный только привилегированным процессам) к коду. Ворота=код, ключ к нему, привилегированные процессы. При любом способе организации защиты объектов ОС наиболее предпочтительным механизмом являются мониторы защиты, выполняющие роль ворот. Мониторы, обеспечивающие синхронизацию, могут быть расширены для обеспечения защиты. Мониторы могут иметь программно- техническую реализацию. СУФ – программный монитор. Механизм логической адресации – имеет аппаратную поддержку. Каждый объект может иметь собственный монитор защиты. Но с точки зрения эффективности целесообразно для похожих объектов иметь общие мониторы. Решение: разбиение управления защитой по группам объектов. Каждый монитор защиты служит воротами для большого класса сходных объектов (например, СУФ – требует соблюдения правил доступа для класса объектов – файлы). Домены и возможности В вопросах защиты ОС различают: активные субъекты (обычно процесс); пассивные объекты (обычно фрагменты памяти, файлы). Субъект и объект с течением времени могут меняться ролями. Часто различные субъекты получают одинаковые права в отношении различных объектов. Полезно выделить классы прав доступа в отдельные категории – домены. Домен определяет контекст защиты, по которому может действовать некоторый субъект (права доступа). Процесс меняет свой статус защиты, меняя домен в котором он работает. Разделение статуса защиты на домены позволяет обращаться с правами доступа независимо от субъектов (это гибкое средство для совместного использования механизмов защиты). Объекты, субъекты и домены – именуются уникальными идентификаторами. Это дает возможность монитору защиты контролировать законность прав доступа. Конкретное право доступа некоторого субъекта в отношении некоторого объекта – возможность (например, доступ только для чтения в отношении некоторого файла). Одна из проблем защиты – изменение прав доступа. Решение проблемы: процесс, раздающий права, имеет возможность их отбирать. Описание статуса защиты В произвольный момент времени имеется: Множество доменов Х={x(1),x(2),…,x(n)}. Множество объектов У={у(1),у(2),…,у(m)}. Статус защиты описывается функциональным отображением F: X*YA, множество A={A1,…AN} – множество атрибутов доступа (только чтение, чтение и запись, только выполнение, …). Домены рассматриваются независимо от субъектов, в любой момент времени существует способ связать заданного субъекта с определенным доменом. Статус защиты не статичен! Домены и объекты непрерывно создаются, уничтожаются, изменяются. Субъекты меняют домены, в которых они действуют. Если отображение F зависит только от значений x(i) и y(j), то статус защиты хорошо описывается матрицей, строки которой задают имена доменов, а столбцы – имена объектов в системе. Для каждого домена и каждого объекта матрица определяет права данного домена на данный объект (в виде атрибутов доступа). Обычно домен имеет права по отношению к небольшому числу объектов системы, тогда матрица содержит большое число пустых позиций. Матричная модель может быть обобщена до функциональной, если в качестве элементов матрицы использовать процедуры (функции от др. переменных), проверяющие законность доступа к объекту. В матричной схеме защиты должны запрещаться бесконтрольные изменения элементов матрицы (в противном случае не будет защиты). Но права доступа должны изменяться и для защиты изменений нужны специальные меры. Защиту изменений можно реализовать обращаясь с доменами как с объектами. Матрицу необходимо расширить, включив в нее столбцы, соответствующие доменам и изменять их. Для реализации монитором защищенных изменений каждому элементу матрицы (каждому праву доступа) приписываются дополнительные специальные атрибуты: владелец, управление, признак копирования. Атрибут управление какого-либо домена х(i) над другим доменом х(j) означает, что домен х(i) полностью контролирует домен х(j). Возможна иерархия доменов. Атрибут владелец домена х(i) по отношению к объекту у означает, что объект у принадлежит домену х(i). Атрибут признак копирования разрешает копирование права доступа в другой домен. |