The design of the UNIX Operating System 134 страница
Операции зависят от объектов. Hапример, процессор может только выполнять команды, сегменты памя-ти могут быть записаны и прочитаны, считыватель магнитных карт может только читать, а файлы дан-ных могут быть записаны, прочитаны, переименованы и т. д.
Желательно добиться того, чтобы процесс осуществлял авторизованный доступ только к тем ресурсам, которые ему нужны для выполнения его задачи. Это требование минимума привилегий, уже упомянутое в предыдущей лекции, полезно с точки зрения ограничения количества повреждений, которые процесс может нанести системе. Hапример, когда процесс P вызывает процедуру А, ей должен быть разрешен доступ только к переменным и формальным параметрам, переданным ей, она не должна иметь возмож-ность влиять на другие переменные процесса . Аналогично компилятор не должен оказывать влияния на произвольные файлы, а только на их хорошо определенное подмножество (исходные файлы, листинги и др.), имеющее отношение к компиляции. С другой стороны, компилятор может иметь личные файлы, ис-пользуемые для оптимизационных целей, к которым процесс Р не имеет доступа.
|
|
|
|
|
|
Различают дискреционный (избирательный) способ управления доступом и полномочный (мандатный).
|
|
|
При дискреционном доступе, подробно рассмотренном ниже, определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей, в стро-ках которой перечислены субъекты, в столбцах - объекты, а в ячейках - операции, которые субъект может выполнить над объектом.
|
|
|
Полномочный подход заключается в том, что все объекты могут иметь уровни секретности, а все субъек-ты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда это называют моделью многоуровневой безопасности, которая должна обеспечивать выполнение сле-дующих правил.
• Простое свойство секретности. Субъект может читать информацию только из объекта, уровень секретности которого не выше уровня секретности субъекта. Генерал читает документы лейтенан-та, но не наоборот.
• *-свойство. Субъект может записывать информацию в объекты только своего уровня или более высоких уровней секретности. Генерал не может случайно разгласить нижним чинам секретную информацию.
Некоторые авторы утверждают [Таненбаум, 2002], что последнее требование называют *-свойством, по-тому что в оригинальном докладе не смогли придумать для него подходящего названия. В итоге во все последующие документы и монографии оно вошло как *-свойство.
Отметим, что данная модель разработана для хранения секретов, но не гарантирует целостности данных. Например, здесь лейтенант имеет право писать в файлы генерала. Более подробно о реализации подоб-ных формальных моделей рассказано в [Столлингс, 2002], [Таненбаум, 2002].
Большинство операционных систем реализуют именно дискреционное управление доступом . Главное его достоинство - гибкость, основные недостатки - рассредоточенность управления и сложность централизо-ванного контроля.
| Основы операционных систем | 170 |
Домены безопасности
Чтобы рассмотреть схему дискреционного доступа более детально, введем концепцию домена безопас-ности (protection domain). Каждый домен определяет набор объектов и типов операций, которые могут производиться над каждым объектом. Возможность выполнять операции над объектом есть права досту-па, каждое из которых есть упорядоченная пара <object-name, rights-set>. Домен, таким образом, есть на - бор прав доступа. Hапример, если домен D имеет права доступа <file F, {read, write}>, это означает, что процесс, выполняемый в домене D, может читать или писать в файл F, но не может выполнять других операций над этим объектом. Пример доменов можно увидеть на рис.16.1.
Дата добавления: 2021-01-21; просмотров: 90; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!