3. Принцип відкритої і нарощуваної ос

Відкрита ОС доступна для аналізу як користувачам, так і спеціалістам, що обслуговують обчислювальну систему. Нарощувана (яка модифікується і розвивається) ОС дозволяє використовувати не тільки можливості генерації, а і вводити до її складу нові модулі, вдосконалювати існуючі і т.д. Іншими словами, необхідно, щоб можна було легко вносити доповнення і зміни, якщо це потрібно, не порушуючи цілісності системи.

Хороші перспективи для розширення надає підхід до структурування ОС по типу клієнт-сервер з використанням мікроядерної технології. У відповідності до цього підходу ОС будується як сукупність привілейованої керуючої програми і набору непривілейованих послуг – “серверів”. Основна частина ОС залишається незмінною і в той же час можуть бути додані нові сервери або покращені старі.

Цей принцип іноді трактують як розширюваністю системи. До відкритих ОС, насамперед, слід віднести UNIX-системи і, природньо, Linux.

4. Принцип мобільності (переносимості)

Операційна система повинна відносно легко переноситися з процесора одного типу на процесор іншого типу і з апаратної платформи (яка включає наряду з типом процесора і спосіб організації всієї апаратури комп'ютера, інакше кажучи, архітектуру обчислювальної системи) одного типу на апаратну платформу іншого типу. Принцип переносимості дуже близький до принципу сумісності, хоча це не одне і те ж.

Написання переносимої ОС аналогічне написанню будь-якого переносимого коду – потрібно слідувати деяким правилам:

1. Більша частина ОС має бути написана на мові, яка є на всіх системах. Це означає, що ОС має бути написана на мові високого рівня, переважно стандартизованій, наприклад, на мові С. Програма написана асемблері, не є в загальному випадку переносимою;

2. Важливо мінімізувати або, якщо це можливо, виключити ті частини коду, які безпосередньо взаємодіють з апаратними засобами. Залежність від апаратури може мати багато форм. Деякі очевидні форми залежності включають пряме маніпулювання регістрами та іншими засобами. Накінець, якщо апаратно-залежний код не може бути повністю виключений, то він повинен бути ізольований в добре локалізованих модулях. Апаратно-залежний код не повинен бути розподілений по всій системі. Наприклад, можна заховати апаратно-залежну структуру в програмно задані дані абстрактного типу. Інші модулі системи будуть працювати з цими даними, а не з апаратурою, використовуючи набір деяких функцій. Коли ОС переноситься, то змінюється тільки ці дані і функції, які ними маніпулюють.

Введення стандартів POSIX переслідувало мету забезпечити переносимість створюваного програмного забезпечення.

10. Принцип забезпечення безпеки обчислень.

Забезпечення безпеки при виконанні обчислень є бажаною властивістю для будь-якої багатокористувацької системи. Правила безпеки визначають такі властивості, як захист ресурсів одного користувача від інших і встановлення квот по ресурсах для попередження захоплення одним користувачем всіх системних ресурсів (таких, як пам'ять).

Забезпечення захисту інформації від несанкціонованого доступу є обов'язковою функцією мережевих операційних систем. В багатьох сучасних ОС гарантується ступінь безпеки даних, що відповідає рівню С2 в системі стандартів США. Основи стандартів в області безпеки були закладені в документі “Критерії оцінки надійності комп'ютерних систем”. Цей документ, виданий Національним центром комп'ютерної безпеки (NCSC-National Computer Security Center) в США в 1983р., часто називають Оранжевою книгою. У відповідності до вимог Оранжевої книги безпечною вважається система, яка “за допомогою спеціальних механізмів захисту контролює доступ до інформації таким чином, що лише особи, які мають відповідні повноваження або процеси, що виконуються від їх імені, можуть отримати доступ на читання, запис, створення або знищення інформації”.

Ієрархія рівнів безпеки, наведена в Оранжевій книзі, помічує найнижчий рівень безпеки, як D, а найвищий – як А.

В клас D попадають системи, оцінка яких виявила їх невідповідність вимогам всіх інших класів.

Основними властивостями, характерними для систем класу С, є наявність підсистеми обліку подій, зв'язаних з безпекою, і вибірковий контроль доступу. Клас (рівень) С ділиться на два підрівні: рівень С1 забезпечує захист даних від помилок користувачів, але не від дій зловмисників; і більш суворий рівень С2.

На рівні С2 мають бути присутні:

1. засоби секретного входу що забезпечує ідентифікацію користувачів шляхом вводу унікального імені і пароля перед тим, як їм буде дозволений доступ до системи;

2. вибірковий контроль доступу, що дозволяє власнику ресурсу визначити, хто має доступ до ресурсу і що він, може з ним робити. Власник ресурсу робить це шляхом надання прав доступу користувачу або групі користувачів;

3. засоби обліку і спостереження (auditing), що забезпечують можливість виявити і зафіксувати важливі події, пов'язані з безпекою, або будь-які спроби створити, отримати доступ або видалити системні ресурси ОС;

4. Захист пам'яті, який полягає в тому, що пам'ять ініціалізується перед тим, як повторно використовується.

На цьому рівні система не захищена від помилок користувача, але поведінка його може бути проконтрольована по записах в журналі, залишених засобами спостереження та аудиту.

Системи рівня В основані на помічених даних і розподілу користувачів по категоріях, тобто реалізують мандатний контроль доступу. Кожному користувачеві присвоюється рейтинг захисту, і він може отримати доступ до даних лише у відповідності до цього рейтингу. Цей рівень на відміну від рівня С захищає систему від помилкової поведінки користувача.

Рівень А є найвищим рівнем безпеки, він потребує в доповнення до всіх вимог рівня В формального, математично обгрунтованого доказу відповідності системи вимогам безпеки.

Різні комерційні структури (наприклад, банки) особливо виділяють необхідність облікової служби, аналогічної тій, що рекомендують державні рекомендації С2. Будь-яка діяльність, що пов'язана з безпекою, може бути відслідкована і тим самим облікована. Це як раз те, що вимагає стандарт С2 і те, що потрібно банкам. Але комерційні користувачі не хочуть розплачуватися продуктивністю за підвищений рівень безпеки.

А – рівень безпеки займає своїми керуючими механізмами до 90% процесорного часу, що в більшості випадків неприйнятно. Більш безпечні системи не тільки знижають ефективність, а і суттєво обмежують число всіх доступних прикладних пакетів, які відповідним чином можуть виконуватися в подібній системі. Наприклад, для ОС Solaris(версія UNIX) є декілька тисяч додатків, а для її аналогу В–рівня – тільки близько 100.