Основные функции, подсистемы защиты операционной системы.
Основные функции, подсистемы защиты операционной системы. - раздел Философия, Классификация ОС универсальные операционные системы и ОС специального назначения 1. Разграничение Доступа. Каждый Пользователь Системы...
1. Разграничение доступа. Каждый пользователь системы имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности( Объектом доступа элемент операционной системы, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен. Ключевым словом в данном определении является слово "произвольно". Если правила ограничивающие доступ субъектов к некоторому элементу операционной, системы, определены жестко и не допускают изменения с течением времени, этот элемент операционной системы мы не будем считать объекта Другими словами, возможность доступа к объектам операционной системы определяется не только архитектурой операционной системы, но и текущей политикой безопасности Методом доступа к объекту называется операция, определенная для некоторого объекта. Например, для файлов могут быть определены: методы доступа "чтение", "запись" и "добавление" (дописывание информации в конец файла). Субъектом доступа будем называть любую сущность, способную инициировать выполнение операций над объектами (обращаться к объектам по некоторым методам доступа)).
2. Идентификация и аутентификация. Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, за кого он себя выдает. (В защищенной операционной системе любой субъект доступа, перед тем как начать работу с системой, должен пройти идентификацию, аутентификацию и авторизацию.Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.
Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация. Пусть, например, пользователь, входя в систему, ввел имя и пароль. В этом случае имя пользователя является идентифицирующей информацией, а известный только ему пароль - аутентифицирующей информацией. Вводя пароль, пользователь подтверждает, что введенное имя принадлежит именно ему.
Авторизация субъекта доступа происходит после успешной идентификации и аутентификации. При авторизации субъекта операционная система выполняет действия, необходимые для того, чтобы субъект мог начать работу в системе.)
3. Аудит. Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы. Записи об этих событиях могут просматривать в дальнейшем только администраторы операционной системы (процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами.
Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами.
1. Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. Например, то, что пользователь в процессе входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же имело место на самом деле - ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз - это явная ошибка. Если же пользователь пытался угадать собственный пароль 20 -30 раз - это явная попытка подбора пароля.
2. Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Журнал аудита дает такую возможность, накапливая информацию о важных событиях, связанных с безопасностью системы.
3. Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе подсистемы аудита не исключено, что вся необходимая информация содержится в журнале аудита).
4. Управление политикой безопасности. Политика безопасности должна постоянно поддерживаться в адекватном состоянии, т.е. должна гибко реагировать на изменения условий функционирования операционной системы, требований к защите информации, хранимой и обрабатываемой в системе, и т.д. Управление политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему.
5. Криптографические функции. В настоящее время защита информации немыслима без использования криптографических средств защиты. В операционных системах шифрование используется при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.
6. Сетевые функции. Современные операционные системы, как правило, работают не изолированно, а в составе локальных и/или глобальных компьютерных сетей.
По алгоритмам управления ресурсами... однозадачные ОС MS DOS предоставляет пользователю виртуальную машину... многозадачные Windows Unix поддерживают параллельное исполнение некоторых задач...
По области приложений
1) Системы пакетной обработки – для решения задачи вычислительного характера.
2) Системы разделения времени
Каждому пользователю предоставляется
По архитектуре
1) микроядерные (VxWorks, QNX);
2) монолитные (Windows XP);
3) гибридные (Windows NT, большинство Linux).
Современные универсальные ОСможно охарактеризов
ОС, предназначенные для организации работы вычислительных сетей
Работа операционной системы в вычислительной сети характеризуется определенными особенностями. Главной из них является необходимость организации передачи данных внутри вычислительной сети. Любая ин
Категория ресурсов
1) процессорное время;
2) память (оперативная, дисковая, виртуальная);
3) периферийное устройство.
Управление ресурсами вычислительной системы является на
Аппаратная зависимость и мобильность ОС
Многие операционные системы успешно работают на различных аппаратных платформах без существенных изменений в своем составе. Во многом это объясняется тем, что, несмотря на различия в деталях, средс
Состояние процессов
В многозадачной (многопроцессной) системе процесс может находиться в одном из трех основных состояний:
ВЫПОЛНЕНИЕ - активное состояние процесса, во время которого процесс о
Контекст и дескриптор процесса
На протяжении существования процесса его выполнение может быть многократно прервано и продолжено. Для того, чтобы возобновить выполнение процесса, необходимо восстановить состояние
Алгоритмы планирования процессов
Планирование процессов включает в себя решение следующих задач:
определение момента времени для смены выполняемого процесса;
выбор процесса на выполнение из очеред
Вытесняющие и невытесняющие алгоритмы планирования
Существует два основных типа процедур планирования процессов - вытесняющие (preemptive) и невытесняющие (non-preemptive).
Non-preemptive multitasking - невытесняющая многоз
Критическая секция
Важным понятием синхронизации процессов является понятие "критическая секция" программы. Критическая секция - это часть программы, в которой осуществляется доступ к раздел
Семафоры в ОС.
Семафор - механизм реализации взаимоисключения процессов. Пример работы двух параллельных асинхронных процессов:
Приоритезация
До окончания обработки прерывания обычно устанавливается запрет на обработку этого типа прерывания, чтобы процессор не входил в цикл обработки одного прерывания. Приоритезация означает, что все ист
Программное прерывание
Программное прерывание — синхронное прерывание, которое может осуществить программа с помощью специальной инструкции.
В процессорах архитектуры x86 для явного вызова синхронного прерывания
Управление памятью. Управление физической памятью
Основная память (она же ОЗУ) является важнейшим ресурсом, эффективное использование которого решающим образом влияет на общую производительность системы.
Для однозадачных ОС управление пам
Иерархия памяти в современных ПК
В большинстве современных ПК рассматривается следующая иерархия памяти:
1. Регистры процессора, организованные в регистровый файл — наиболее быстрый доступ (порядка 1 такта), но размером л
Непрерывное распределение памяти
Такая схема распределения памяти предполагает её разбиение на 3 части:
1) область операционной системы;
2) область загрузки (размещается исполняемая программа);
3) свобод
Страничная организация виртуальной памяти
В большинстве современных операционных систем виртуальная память организуется с помощью страничной адресации. Оперативная память делится на страницы: области памяти фиксированной длины (например, 4
Сегментная организация виртуальной памяти
Механизм организации виртуальной памяти, при котором виртуальное пространство делится на части произвольного размера — сегменты. Этот механизм позволяет, к примеру, разбить данные процесса на логич
Физическая организация устройств ввода-вывода
Устройства ввода-вывода делятся на два типа: блок-ориентированные устройства и байт-ориентированные устройства. Блок-ориентированные устройства хранят информацию в блоках фиксированно
Организация программного обеспечения ввода-вывода
Основная идея организации программного обеспечения ввода-вывода состоит в разбиении его на несколько уровней, причем нижние уровни обеспечивают экранирование особенностей аппаратуры от верхних, а т
Функции ФС
1) обращение к файлам;
2) управление доступом к файлам;
3) создание, модифицирование и уничтожение файлов;
4) упрощение передачей информации между файлами;
5) ре
Управление доступом
Пользователь обеспечивает доступ к объектам ОС с помощью прикладных процессов, которые запускаются от его имени. Для каждого типа объектов существует набор операций, которые с ними можно выполнять.
Элемент каталога FAT
Корневой каталог расположен на диске и имеет фиксированный размер. Каталоги — специальные файлы с 32-байтными элементами для каждого файла, содержащегося в этом каталоге.
Стандарты защищенности ОС
Рассмотрим две наиболее часто применяемые в России системы стандартов такого рода.
1."Оранжевая книга"(1983г) все защищенные компьютерные систе
Семейство командных процессоров
При интерактивной работе с системой пользователь постоянно сталкивается с необходимостью отдавать ей команды. В CDE это можно делать, выбирая мышью требуемые пункты меню. В текстовом окне или текст
Конфигурация системы и генерация. Загрузка и настройка ОС.
Генерация операционной системы - процесс создания конкретного варианта операционной системы, наиболее полно учитывающего запросы возможных пользователей и конфигурацию ЭВМ в конкре
Особенности алгоритмов управления ресурсами
От эффективности алгоритмов управления локальными ресурсами компьютера во многом зависит эффективность всей сетевой ОС в целом. Поэтому, характеризуя сетевую ОС, часто приводят важнейшие особенност
Сетевые операционные системы
Сетевая операционная система (англ. Network operating system) – это операционная система, которая обеспечивает обработку, хранение и передачу данных в информационной сети.
Гла
Сетевые файловые системы.
Распределённые файловые системы известны и как сетевые файловые системы.
§ Amazon S3
§ Andrew file system (AFS) — масштабируемая и независимая от расположения ФС, имеет сильный кэ
Хотите получать на электронную почту самые свежие новости?
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Новости и инфо для студентов