Засоби захисту об'єктів у NDS
Служба NDS і файлова система
Служба NDS призначена для керування такими мережевими ресурсами, як сервери і томи NetWare, але вона не забезпечує керування файловою системою. Файли і каталоги не є об'єктами служби NDS.Однак вони представляються у вигляді іконок при використанні графічної утиліти NetWare Administrator. Одним з атрибутів об'єкта-тому є місце розташування фізичного тому, що містить файли і каталоги. Таким чином, об'єкт-том являє собою зв'язок між NDS і файловою системою.
Служба NDS надає засоби для пошуку об'єктів у її базі даних мережевих ресурсів.Можна робити запити, типові для баз даних, наприклад, пошук користувачів, що живуть на одній вулиці і т.п. Можна також зробити запит про значення всіх атрибутів якого-небудь конкретного об'єкта.
NDS також використовує синхронізацію годин між усіма серверами мережі для забезпечення правильного порядку подій у мережі.
Служба NDS визначає права доступу одних мережевих об'єктів до інших. Розрізняються права доступу до об'єкта в цілому і права доступу до його атрибутів.
Стосовно об'єктів існує наступний набір прав:
· Browse - перегляд;
· Add - додавання;
· Delete - видалення;
· Rename - перейменування;
· Supervisor - забезпечує всі перераховані вище права.
Стосовно атрибутів об'єктів використовуються такі права:
· Compare - порівняння значення атрибута;
· Read - читання значення атрибута;
· Write - запис нового значення атрибута;
· Self - присвоєння себе як значення атрибута іншого об'єкта, наприклад, якщо об'єкт-група дозволяє право Self для об'єкта User, то останній може зробити себе членом цієї групи;
· Supervisor - усі права по доступі до атрибутів.
З кожним об'єктом зв'язаний список керування доступом (ACL), у якому визначаються права доступу до даного об'єкта з боку інших об'єктів.
Права доступу успадковуються в дереві об'єктів зверху вниз, тому права об'єкта-контейнера успадковуються об'єктами, що в нього входять. Для досягненні необхідної гнучкості в наділенні об'єкта правами використовується маска спадкування (Inheritance Mask), за допомогою якої можна заблокувати деякі наслідувані права. За допомогою спадкування прав доступу головний адміністратор дерева, що має доступ до всіх його об'єктів, може призначити адміністратора піддерева, що дістане права доступу до всіх об'єктів даного піддерева. Якщо піддерево відповідає якій-небудь структурній одиниці підприємства, наприклад відділу, то це буде адміністратор відділу, керуючий користувачами і ресурсами даного відділу.
Будь-який сервер NetWare, що підтримує службу NDS, називається сервером імен.
Лекція №17 “Сучасні концепції і технології проектування операційних систем”
17.1. Вимоги до сучасних ОС
Операційна система є основою мережевого програмного забезпечення, вона створює середовище для виконання додатків і багато в чому визначає, якими корисними для користувача властивостями ці додатки будуть володіти.
Головною вимогою до операційної системи є здатність виконання основних функцій: ефективного керування ресурсами і забезпечення зручного інтерфейсу для користувача і прикладних програм. Сучасна ОС, як правило, повинна реалізовувати мультипрограмну обробку, віртуальну пам'ять, підтримувати багатовіконний інтерфейс, а також виконувати багато інших важливих функцій. Крім цих функціональних вимог до операційних систем пред'являються не менш важливі ринкові вимоги. До цих вимог відносяться:
· Розширюваність. Код повинен бути написаний таким чином, щоб можна було легко внести доповнення і зміни, якщо це буде потрібно, і не порушити цілісність системи.
· Переносимість. Код повинен легко переноситися з процесора одного типу на процесор іншого типу і з апаратної платформи (яка включає поряд з типом процесора і спосіб організації всієї апаратури комп'ютера) одного типу на апаратну платформу іншого типу.
· Надійність і відмовостійкість. Система повинна бути захищена як від внутрішніх, так і від зовнішніх помилок, збоїв і відмов. Її дії повинні бути завжди передбачуваними, а додатки не повинні мати змогу нанести шкоду ОС.
· Сумісність. ОС повинна мати засоби для виконання прикладних програм, які написані для інших операційних систем. Крім того, користувальницький інтерфейс повинний бути сумісним з існуючими системами і стандартами.
· Безпека. ОС повинна мати засоби захисту ресурсів одних користувачів від інших.
· Продуктивність. Система повинна мати максимальну швидкодію і час реакції (наскільки це дозволяє апаратна платформа).
Розширюваність
У той час, як апаратна частина комп'ютера старіє за кілька років, корисне життя операційних систем може вимірюватися десятиліттями. Прикладом може служити ОС UNIX. Операційні системи змінюються еволюційно і ці зміни більш значимі, ніж зміни апаратних засобів. Зміни ОС характеризуються набуттям нею нових властивостей. Наприклад, підтримка нових пристроїв, таких як CD-ROM, можливість зв'язку з мережами нового типу, використання більше одного процесора, підтримка багатообіцяючих технологій. Збереження цілісності коду, які б зміни не вносилися в операційну систему, є головною метою розробки.
Переносимість
Переносимість дає можливість переміщувати всю систему на машину, що базується на іншому процесорі чи апаратній платформі, роблячи при цьому по можливості невеликі зміни в коді. Переносимість - це не бінарний стан. Питання не в тому, чи може бути система перенесена, а в тому, наскільки легко можна це зробити.
Більшість переносимих ОС написана мовою С (стандарт ANSI X3.1516-1989). Розроблювачі вибирають С тому, що він стандартизований, і тому, що С-компілятори широко доступні. Ассемблер використовується тільки для тих частин системи, що повинні безпосередньо взаємодіяти з апаратурою (наприклад, оброблювач переривань) чи для частин, що вимагають максимальної швидкості (наприклад, цілочислена арифметика підвищеної точності).
Сумісність
Одним з аспектів сумісності є здатність ОС виконувати програми, написані для інших ОС чи для більш ранніх версій даної операційної системи, а також для іншої апаратної платформи.
Необхідно розділяти питання двійкової сумісності і сумісності на рівні вихідних текстів додатків. Двійкова сумісність досягається в тому випадку, коли можна взяти програму, що виконується, і запустити її на виконання на інший ОС. Для цього необхідні: сумісність на рівні команд процесора, сумісність на рівні системних викликів і навіть на рівні бібліотечних викликів, якщо вони є динамічно зв'язані.
Сумісність на рівні вихідних текстів вимагає наявності відповідного компілятора в складі програмного забезпечення, а також сумісності на рівні бібліотек і системних викликів. При цьому необхідна перекомпіляція наявних вихідних текстів у новий виконуваний модуль.
Сумісність на рівні вихідних текстів важлива в основному для розробників додатків, у розпорядженні яких ці вихідні тексти завжди є в наявності. Але для кінцевих користувачів практичне значення має тільки двійкова сумісність, тому що тільки в цьому випадку вони можуть використовувати той самий комерційний продукт, що поставляється у вигляді двійкового коду, що виконується, у різних операційних середовищах і на різних машинах.
Відповідність стандартам POSIX також є засобом забезпечення сумісності програмних і користувальницьких інтерфейсів. В другій половині 80-х урядові агентства США почали розробляти POSIX як стандарти на устаткування, що поставляється, при укладанні урядових контрактів у комп'ютерній області. POSIX - це "інтерфейс переносимої ОС, що базується на UNIX". POSIX - збір міжнародних стандартів інтерфейсів ОС у стилі UNIX. Використання стандарту POSIX (IEEE стандарт 1703.1 - 1988) дозволяє створювати програми у стилі UNIX, що можуть легко переноситися з однієї системи в іншу.
Безпека
На додаток до стандарту POSIX уряд США також визначив вимоги комп'ютерної безпеки для додатків, які використовуються урядом. Багато з цих вимог є бажаними властивостями для будь-якої багатокористувальницької системи. Правила безпеки визначають такі властивості, як захист ресурсів одного користувача від інших і встановлення квот по ресурсах для запобігання захоплення одним користувачем усіх системних ресурсів (наприклад, таких як пам'ять).
Забезпечення захисту інформації від несанкціонованого доступу є обов'язковою функцією мережевих операційних систем. У більшості популярних систем гарантується ступінь безпеки даних, що відповідає рівню С2 у системі стандартів США.
Основи стандартів в області безпеки були закладені "Критеріями оцінки надійних комп'ютерних систем". Цей документ, виданий у США в 1983 році національним центром комп'ютерної безпеки (NCSC - National Computer Security Center).
Відповідно до вимог вищевказаного документу безпечною вважається така система, що "за допомогою спеціальних механізмів захисту контролює доступ до інформації таким чином, що тільки особи, які мають відповідні повноваження, чи процеси, що виконуються від їхнього імені, можуть одержати доступ на читання, запис, створення чи видалення інформації".
Ієрархія рівнів безпеки, приведена у вищевказаному документі, позначає нижчий рівень безпеки як D, а вищий - як А.
· У клас D потрапляють системи, оцінка яких виявила їхню невідповідність вимогам всіх інших класів.
· Основними властивостями, характерними для С-систем, є: наявність підсистеми обліку подій, пов'язаних з безпекою, і вибірковий контроль доступу. Рівень С поділяється на 2 підрівня: рівень С1, що забезпечує захист даних від помилок користувачів, але не від дій зловмисників, і більш строгий рівень С2. На рівні С2 повинні бути наявні засоби секретного входу, що забезпечують ідентифікацію користувачів шляхом введення унікального імені і пароля перед тим, як їм буде дозволений доступ до системи. Вибірковий контроль доступу, необхідний на цьому рівні дозволяє власнику ресурсу визначити, хто має доступ до ресурсу і що він може з ним робити. Власник робить це шляхом надання прав доступу користувачу чи групі користувачів. Засоби обліку і спостереження (auditing) - забезпечують можливість знайти і зафіксувати важливі події, пов'язані з безпекою, чи будь-які спроби створити, одержати доступ чи видалити системні ресурси. Захист пам'яті - полягає в тому, що пам'ять ініціалізується перед тим, як повторно використовується. На цьому рівні система не захищена від помилок користувача, але його поведінка може бути проконтрольована по записах у журналі, які зроблені засобами спостереження й аудиту.
· Системи рівня В засновані на позначених даних і розподілі користувачів по категоріях, тобто реалізують мандатний контроль доступу. Кожному користувачу привласнюється рейтинг захисту, і він може одержувати доступ до даних тільки відповідно до цього рейтингу. Цей рівень на відміну від рівня С захищає систему від помилкової поведінки користувача.
· Рівень А є самим високим рівнем безпеки, він вимагає на додаток до усіх вимог рівня В виконання формального, математично обґрунтованого доказу відповідності системи вимогам безпеки.
Різні комерційні структури (наприклад, банки) особливо виділяють необхідність облікової служби, аналогічної до тієї, що пропонують рекомендації С2. Будь-яка діяльність, пов'язана з безпекою, може бути відслідкована і тим самим врахована. Це саме те, що вимагає С2 і те, що звичайно потрібно банкам. Однак, комерційні користувачі, як правило, не хочуть розплачуватися продуктивністю за підвищений рівень безпеки. А-рівень безпеки займає своїми керуючими механізмами до 90% процесорного часу. Більш безпечні системи не тільки знижують ефективність, але й істотно обмежують число доступних прикладних пакетів, що відповідним чином можуть виконуватися в подібній системі. Наприклад для ОС Solaris (версія UNIX) є декілька тисяч додатків, а для її аналога В-рівня - тільки сотня.