Файловый архив студентов. Файловый архив студентов.
1305 вузов, 5171 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Сибирский государственный университет науки и технологий им. академика М.Ф. Решетнева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ГОСы - ответы (КБ-71).doc
Скачиваний:
1
Добавлен:
01.05.2025
Размер:
7.88 Mб
Скачать
►Содержание►

31. Объекты в ос. Модель разграничения доступа в операционных системах семейства Windows nt.

Объект (O) – экземпляр системного ресурса, предоставляемого и управляемого ОС. Для описания состояния ресурса необходим набор данных, хранимых в структуре, определяемой ОС. Для идентификации О. необходимо и достаточно указать адрес структуры данных, содержащей информацию о состоянии объекта. О. могут располагаться как в пользовательской памяти, так и в памяти ядра. Если О. располагается в памяти пользователя, то возможно изменение полей структуры программой пользователя. Если О. расположен в памяти ядра, то для изменения состояния и манипуляций с ним используются функции, предоставляемые ОС. Обычно, одним из принимаемых такой функцией параметров является информация для идентификации О., над которым требуется произвести операцию.

Задачи диспетчера О.:

  • унифицировать доступ к системным ресурсам;

  • реализовать все функции защиты в одном компоненте ОС;

  • возможность контроля за использованием процессами системных ресурсов;

  • единая система именования системных ресурсов;

  • удовлетворять потребностям подсистем окружения;

  • единообразные правила хранения объектов в памяти.

Два вида внутренних О.: исполнительной системы и ядра.

Объекты исполнительной системы используются для воплощения подсистем окружения.

Структура О.

Имя объекта – если объекту не будет присвоено какое-либо имя, то он будет отсутствовать в пространстве имен диспетчера объектов, а следовательно к нему будет невозможно обратиться. Если поле имя объекта будет пустым, поле дескриптор объекта также будет пустым.

Каталог – если объект содержится в каком-либо каталоге, пространства имен диспетчера объектов, то данное поле будет содержать ссылку на данный каталог.

Квота – данное поле определяет максимальное количество объектов данного типа, которые можно создать.

Списки открытых описателей – поле содержит перечень программ, которые обращались к объекту, это необходимо для того, например, если объект является событием, чтобы оповестить все программы, которые ожидали данное событие.

Методы для объектов – у всех объектов существуют некоторые общие методы, например открытие или закрытие объекта, открытие подразумевает формирование данного заголовка и передачу управления тому, кто отвечает за данный объект, закрытие подразумевает то, что если выясняется, что объект больше не нужен, то ОС освобождает память и тем самым уничтожает объект.

Модель разграничения доступа.

В ОС Windows реализована модель ролевого доступа, она не позволяет формально обосновать безопасность приложений в ряде случаев, представляющих практический интерес. С каждым процессом или потоком, то есть, активным компонентом (субъектом), связан маркер доступа, а у каждого защищаемого объекта (например, файла) имеется дескриптор защиты. Проверка прав доступа обычно осуществляется в момент открытия объекта и заключается в сопоставлении прав субъекта списку прав доступа, который хранится в составе дескриптора защиты объекта.

Другая возможность, предоставляемая ОС Windows - управление ролевым, в частности привилегированным доступом. Ролевая политика предназначена в первую очередь для упрощения администрирования информационных систем с большим числом пользователей и различных ресурсов. В ролевой политике управление доступом осуществляется с помощью правил. Вначале для каждой роли указывается набор привилегий по отношению к системе и полномочий, представляющих набор прав доступа к объектам, и уже затем каждому пользователю назначается список доступных ему ролей. Классическое понятие субъект замещается понятиями пользователь и роль. Примером роли является присутствующая почти в каждой системе роль суперпользователя (группа Administrator для ОС Windows). Количество ролей обычно не соответствует количеству реальных пользователей - один пользователь может выполнять несколько ролей, и наоборот, несколько пользователей могут в рамках одной и той же роли выполнять типовую работу. Таким образом, в рамках ролевой модели формируются близкие к реальной жизни правила контроля доступа и ограничения, соблюдение которых и служит критерием безопасности системы. Однако, как и в случае дискреционной модели, ролевая политика безопасности не гарантирует безопасность с помощью формальных доказательств.

Проблемами безопасности модели разграничения доступа в Windows являются пользователи с возможностью «овладевания» объектов, а также пользователи являющиеся агентами архивации и восстановления.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности