Билет № 37
Безопасность как бизнес-процесс. Базовые принципы безопасности. Политика безопасности на примере ОС Windows.
Планирование мультипрограммного вычислительного процесса. Виды планирования. Приоритетное планирование на примере ОС Windows.
Задача. Пользовательский процесс формирует строку из 70 символов для вывода на принтер, затрачивая на это 5 мс. Объем буфера равен одной строке. Страница текста содержит 50 строк. Принтер способен печатать 10 страниц в минуту. Будет ли приостанавливаться ли пользовательский процесс? Если да, то насколько?
1)Безопасность как бизнес-процесс
Политика безопасности. ВОПРОСЫ: 1) какую информацию защищать? 2) какой ущерб понесет предприятие при потере или раскрытии тех или иных данных? 3) кто или что является возможным источником угроз? 4) какого рода атаки на безопасность системы могут быть предприняты ? 5) какие средства использовать для защиты каждого вида информации?
Базовые принципы безопасности:
1. Минимальный уровень привилегий на доступ к данным. 2. Комплексный подход к обеспечению безопасности.
3. Баланс надежности защиты всех уровней.
4. Использование средств, обеспечивающих максимальную защиту при атаке (например, полная блокировка автоматического пропускного пункта при его отказе, полная блокировка входа в сеть и др.).
5. Единый контрольно-пропускной путь – весь трафик через один узел сети (firewall). 6. Баланс возможного ущерба от угрозы и затрат на ее предотвращение. 7. Ограничение служб, методов доступа для лиц, имеющих доступ в Интернет и из Интернета во внутреннюю сеть предприятия. Политика доступа к службам Интернет и политика доступа к ресурсам внутренней сети.
Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности.
Реализация политик безопасности в Windows 2000 предоставляет значительно широкие возможности. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).
Групповая политика имеет следующие преимущества: Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализовано управлять параметрами политики.
Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.
Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления Групповая политика (Group Policy). Обладает высокой степенью надежности и безопасности.
Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Политики безопасности Windows 2000 хранятся в двух типах объектов GPO: локальном объекте групповой политики и объекте групповой политики домена.
2)Мультипрограммирование, или многозадачность, — это способ организации вычислительного процесса, при котором на одном процессоре попеременно выполняются сразу несколько программ. Таким образом, в многозадачных системах в памяти одновременно содержится код нескольких процессов. В работе каждого из процессов периоды использования процессора чередуются с ожиданием окончания ввода-вывода или других событий. Ключом к эффективной работе мультипрограммных систем является планирование.
Обычно используются четыре вида планирования:
планирование ввода-вывода – решение о том, какой из запросов процессов на операцию ввода-вывода будет обработан свободным устройством;
долгосрочное планирование – решение о добавлении процесса ко множеству выполняемых процессов;
среднесрочное планирование – решение о добавлении процесса к числу процессов полностью или частично размещенных в основной памяти;
краткосрочное планирование – решение о том, какой из доступных процессов будет выполняться процессором.
Последние три вида являются планированием процесора (процессорного времени).
Долгосрочное планирование указывает, какие задания допускаются к выполнению системой, и тем самым определяет степень многозадачности. Долгосрочный планировщик рещает две задачи: во-первых, способна ли система обработать новые процессы; если да, то какое именно задание из ожидающих в очереди следует превратить в процесс.
Среднесрочное планирование является частью системы свопинга, т.е. переноса части основной памяти на диск: если в основной памяти нет ни одного готового к выполнению процесса, операционная система переносит один из блокированных процессов на диск и добавляет к очереди приостановленных процессов, а затем из этой очереди загружает другой процесс и продолжает его выполнение. Таким образом, среднесрочное планирование связано со степенью многозадачности и вопросами управления памятью.
Можно утверждать, что долгосрочный планировщик работает сравнительно редко, среднесрочный – несколько чаще; чаще всего работает краткосрочный планировщик, или диспетчер. Его задача – определить какой из процессов будет выполняться на процессоре следующим. Диспетчер вызывается при наступлении события, которое может приостановить текущий процесс, например:
прерывание ввода-вывода,
прерывание таймера,
вызовы операционной системы.
По сути планирование представляет собой управление очередями с целью минимизации задержек и оптимизации производительности системы – и следовательно является одной из наиболее важных функций опреационной системы.
В системе Windows NT 32 уровня приоритетов и два класса потоков — потоки реального времени и потоки с переменными приоритетами. Диапазон от 1 до 15 включительно отведен для потоков с переменными приоритетами, а от 16 до 31 — для более критичных ко времени потоков реального времени (приоритет 0 зарезервирован для системных целей).
При создании процесса он в зависимости от класса получает по умолчанию базовый приоритет в верхней или нижней части диапазона. Базовый приоритет процесса в дальнейшем может быть повышен или понижен операционной системой.
ОС может повышать приоритет потока (который в этом случае называется динамическим) в тех случаях, когда поток не полностью использовал отведенный ему квант, или понижать приоритет, если квант был использован полностью. ОС наращивает приоритет дифференцирование в зависимости от того, какого типа событие не дало потоку полностью использовать квант.
3)Решение:
10 страниц/минута = 500 строк/минута
Чтобы распечатать одну строку принтеру требуется 1/500 минуты = 60000/500 мс = 120 мс, что больше чем требуется пользовательскому процессу на обработку одной строки. Поэтому пользовательский процесс будет приостанавливаться через каждые 5 мс на 120 - 5 = 115 мс