10-ma’ruza. Operatsion tizim xavfsizligiga qо‘yiladigan talablar reja

Download 19,12 Kb.

Sana	28.11.2022
Hajmi	19,12 Kb.
	#874025

Bog'liq
4TOzvrNm7LCIK45CbmgHHLdEVSZ4bRFPdk6GPGlY

10-ma’ruza.
OPERATSION TIZIM XAVFSIZLIGIGA QО‘YILADIGAN TALABLAR
Reja:

Operatsion tizim xavfsizligi
Operatsion tizim xavfsizligiga qo’yiladigan vazifaviy talablar
Operatsion tizim xavfsizligiga qo’yiladigan novazifaviy talablar

Xavfsizlik siyosatini amalga oshirish masalalarini ko'rib chiqing: foydalanuvchi va guruh hisoblarini boshqarish, ma'muriy funktsiyalarni bajarish va topshirish.
Foydalanuvchi va guruh hisoblari. Har qanday Windows NT foydalanuvchisi ma'lum bir hisob - kitob bilan tavsiflanadi. Hisob-kitob-bu foydalanuvchi tomonidan aniqlangan huquqlar va qo'shimcha parametrlar to'plami. Bundan tashqari, foydalanuvchi bir yoki bir nechta guruhga tegishli. Guruhga a'zo bo'lish sizga kirish huquqi va vakolatlarini tezda belgilash imkonini beradi.
Ichki foydalanuvchi hisoblari quyidagilarni o'z ichiga oladi:
* Mehmon-mehmonning minimal imtiyozlarini belgilovchi hisob;
* Administrator-maksimal imtiyozlarga ega bo'lgan foydalanuvchilar uchun o'rnatilgan hisob;
* Krbtgt-Kerberos dastlabki autentifikatsiyasida ishlatiladigan ichki hisob.
Bundan tashqari, ikkita maxfiy hisob mavjud:
* Tizim-operatsion tizim tomonidan ishlatiladigan hisob;
* Creator owner-yaratuvchi (fayl yoki katalog). Biz ichki guruhlarni sanab o'tamiz:
• mahalliy (hisob operatorlari; Administratorlar; zaxira operatorlari; mehmonlar; chop etish operatorlari; Replicator; Server operatorlari; Users);
• global (Domain guests-domen mehmonlari; Domain Users-domen foydalanuvchilari – Domain Admins-administratorlar o'tish: saytda harakatlanish, qidiruv
Ushbu o'rnatilgan guruhlarga qo'shimcha ravishda bir qator maxsus guruhlar mavjud:
* Har bir inson-tizimdagi barcha foydalanuvchilar ushbu guruhga sukut bo'yicha kiritilgan;
* Authenticated users - bu guruhga faqat tasdiqlangan domen foydalanuvchilari kiradi;
* O'z-o'zidan ob'ekt.
Hisob xususiyatlarini ko'rish va o'zgartirish uchun foydalanuvchi yoki guruh nomini bosish kifoya va foydalanuvchi xususiyatlari dialog oynasi ekranda ko'rinadi:
Umumiy-umumiy foydalanuvchi tavsifi;
Manzil – uy va ish foydalanuvchi manzili;
Hisob-majburiy hisob parametrlari; telefon / eslatmalar-ixtiyoriy parametrlar – tashkilot-qo'shimcha ixtiyoriy ma'lumot;
Membership-foydalanuvchilarga tegishli guruhlar haqida majburiy ma'lumot; Dial-in-masofaviy erkin foydalanish imkoniyatlari;
Ob'ekt-foydalanuvchi ob'ekti haqida identifikatsiya ma'lumotlari; xavfsizlik-ob'ektni himoya qilish haqida ma'lumot.
Mahalliy xavfsizlik siyosati mahalliy kompyuterda xavfsizlik qoidalarini tartibga soladi. Uning yordami bilan siz ma'muriy rollarni taqsimlashingiz, foydalanuvchi imtiyozlarini aniqlashingiz, audit qoidalarini belgilashingiz mumkin.
Odatiy bo'lib, quyidagi xavfsizlik sohalari qo'llab-quvvatlanadi:
• xavfsizlik siyosati-mahalliy va domen darajasida turli xil xavfsizlik xususiyatlarini belgilash; shuningdek, oh - vatt ba'zi bir qurilmalarni mashina darajasida o'rnatadi;
Unix operatsion tizimi vaqtni ajratishning re-pressida ishlaydigan ko'p dasturli operatsion tizimlar toifasiga kiradi. Unix operatsion tizimiga kiritilgan boy imkoniyatlar uni dunyodagi eng ommabop holga keltirdi. UNIX operatsion tizimi deyarli barcha turdagi kompyuterlarda saqlanadi.
Unix operatsion tizimida ishlarni tashkil etish ish, boshqaruv va resurslarni talab qiluvchi birlik sifatida ketma - ket jarayon tushunchasiga asoslangan. Yadro ichidagi jarayonlarning o'zaro ta'siri (jarayon yadroni muntazam ravishda olib keladi) prin - tsip bilan amalga oshiriladi. Jarayon ichidagi hisob-kitoblar ketma-ketligi qat'iy saqlanib turadi: jarayon, xususan, i / u ni faollashtira olmaydi va unga parallel ravishda hisoblashni davom ettiradi. Bunday holda, parallel Pro-CESS yaratish kerak.
UNIX OS yadrosi ikkita asosiy qismdan iborat: jarayonni boshqarish va qurilmalarni boshqarish. Pro-tsess boshqaruvi resurslarni zaxiralaydi, jarayonlarning ketma-ketligini belgilaydi va xizmat talablarini qabul qiladi. Qurilmalar boshqaruvi op va atrof-muhit birliklari o'rtasida ma'lumotlarni uzatishni nazorat qiladi.
Har qanday vaqtda foydalanuvchi dasturi (jarayon) yoki OS buyrug'i bajariladi. Har bir daqiqada faqat bitta foydalanuvchi jarayoni faol, qolganlari esa to'xtatiladi. UNIX OS yadrosi jarayonlarning ehtiyojlarini qondirish uchun xizmat qiladi.
Jarayon-bu dastur bosqichida dastur. Bir vaqtning o'zida dastur bir yoki bir nechta jarayonlarga mos kelishi yoki hech kimga mos kelmasligi mumkin. Jarayon maxsus hujjatda qayd etilgan ob'ekt deb hisoblanadi-tizim yadrosi jadvalidan foydalanish. Jarayon haqida eng muhim ma'lumotlar ikki joyda saqlanadi: jarayonlar jadvali va foydalanuvchi jadvalida, shuningdek, jarayon konteksti deb ataladi. Jarayonlar jadvali har doim xotirada saqlanadi va har bir jarayon uchun jarayonning holatini aks ettiruvchi element mavjud: xotiradagi manzil yoki almashtirish manzili, hajmi, jarayon identifikatorlari va uni ishga tushirgan foydalanuvchi. Har bir faol Pro-CESS uchun foydalanuvchi stoli mavjud va faqat yadro dasturlari unga bevosita murojaat qilishi mumkin (yadro har bir faol jarayon uchun bitta kontekstni saqlaydi). Ushbu jadval jarayon davomida talab qilinadigan ma'lumotlarni o'z ichiga oladi: fayllarga kirish imtiyozlarini aniqlash uchun mo'ljallangan foydalanuvchi va guruh identifikatsiya raqamlari, barcha ochiq fayllar jarayoni uchun fayl tizimiga havolalar, indeks de - skriptlar jadvalidagi joriy katalogning indeks identifikatoriga ishora qiluvchi va turli vaziyatlarga reaktsiyalar ro'yxati. Jarayon to'xtatilsa, kontekst mavjud emas va o'zgartirilmaydi.
Unix fayl tizimi kataloglari foydalanuvchilardan "yashirin" va OS mexanizmlari bilan himoyalangan. Unix operatsion tizimida fayl tashkilotining yashirin qismi faylning joylashuvini, uning uzunligini, faylga kirish usulini, faylni yaratish tarixi bilan bog'liq sanalarni, egasining identifikatorini va boshqalarni tasvirlaydigan indeks fayl identifikatoridir.
Jadvallar bilan ishlash tizimning xavfsizligi va xavfsizligini ta'minlaydigan yadro imtiyozidir. Faylga kirish imkonini beruvchi OS yadrolarining tuzilishi
Unix OS bilan o'zaro aloqada foydalanuvchi kataloglarga birlashtirilgan ko'plab axborot ob'ektlariga yoki fayllariga murojaat qilishi mumkin. Unix fayl tizimi ierarxik tuzilishga ega.
Unix operatsion tizimida to'rtta fayl turi mavjud: odatiy, maxsus, kataloglar va ba'zi OS va FIFO fayllari (birinchi bo'lib chiqdi). Oddiy fayllar foydalanuvchi ma'lumotlarini o'z ichiga oladi. Maxsus fayllar i / u qurilmalari bilan o'zaro aloqani tartibga solish uchun mo'ljallangan. Har qanday qurilmaga kirish maxsus (disk) faylga so'rov xizmati sifatida amalga oshiriladi. Kataloglar fayl tuzilishini saqlab qolish uchun tizim tomonidan ishlatiladi. Kataloglarning o'ziga xos xususiyati shundaki, foydalanuvchi o'z mazmunini o'qishi mumkin, ammo kataloglardagi yozuvlarni (kataloglarning tuzilishi) o'zgartirishi mumkin. UNIX operatsion tizimida bir dasturning standart chiqishi va boshqasining standart usuli o'rtasidagi aloqa vositasi bo'lgan nomlangan dasturiy kanallar tashkil etiladi.
Odatda UNIX fayl tizimi sxemasi ko'rsatilgan shakl. 9.7. Unix operatsion tizimida amalga oshirilgan ma'lumotlarni muhofaza qilishning asosiy mexanizmlarini ko'rib chiqing.
Tizimga kirishni boshqarish. Agar foydalanuvchi abonentlarga qo'shilsa, unga kirish uchun ro'yxatdan o'tish nomi (ID) va foydalanuvchi identifikatorini tasdiqlash uchun xizmat qiluvchi parol beriladi. UNIX operatsion tizimining keyingi versiyalarida identifikator va parol bilan bir qatorda tizimga kalit qo'yilgan telefon raqamini kiritish talab etiladi. Tizim administratori va foydalanuvchi passwd buyrug'i bilan parolni o'zgartirishi mumkin. Ushbu ko-mandatni kiritishda OS joriy parolni kiritishni so'raydi va keyin yangi parolni kiritishni talab qiladi. Agar taklif qilingan parol qoniqtirmasa, tizim talablari yaratiladi, keyin parolni kiritish talabi takrorlanishi mumkin. Agar taklif qilingan parol qoniqarli bo'lsa, OS parol kiritilishining to'g'riligini tekshirish uchun uni qayta kiritishni so'raydi.
Tizimga kirishga ruxsat berilgan foydalanuvchilar /etc / passwd hisob faylida berilgan. Ushbu texnologik fayl quyidagi ma'lumotlarni o'z ichiga oladi: foydalanuvchi nomi, shifrlangan parol, foydalanuvchi identifikatori, Eden-guruh tifizatori, dastlabki joriy katalog va ko - mand tarjimoni sifatida ishlatiladigan bajariladigan fayl nomi. Parol odatda DES-algoritm yordamida shifrlangan.
Ma'lumotlarga kirishni boshqarish. UNIX operatsion tizimi har qanday fayl uchun ruxsat berish, fayl turi, uning hajmi va diskdagi aniq manzilni aniqlaydigan belgilar majmuasini qo'llab - quvvatlaydi. Faylga har bir murojaat qilganda, tizim uni ishlatish huquqini tekshiradi. UNIX operatsion tizimi fayllar bo'yicha uchta t-pov operatsiyalarini bajarishga imkon beradi: o'qish, yozish va ijro etish. Faylni o'qish uning mazmuni mavjudligini anglatadi va yozish fayl mazmunini o'zgartirishi mumkin. Ijro OPDA faylni yuklab olish yoki Shell tizim monitorining buyruq faylida saqlangan fayllarni bajarishga olib keladi. Katalogni bajarish uchun ruxsatnoma fayl yo'lida to'liq ismni shakllantirish uchun qidiruvga ruxsat berilishini anglatadi. UNIX operatsion tizimidagi fayllarning har biri ma'lum bir egasiga ega va ba'zi guruhlarga biriktirilgan. Fayl ularni faylni yaratgan jarayondan meros qilib oladi. Faylga bog'langan foydalanuvchi va guruh egalari hisoblanadi.
Jarayon bilan bog'liq foydalanuvchi va guruh identifikatorlari fayllarga kirishda o'z huquqlarini belgilaydi. Muayyan faylga nisbatan barcha jarayonlar uch toifaga bo'linadi:
1) fayl egasi (fayl egasining identifikatoriga mos keladigan foydalanuvchi identifikatori bo'lgan jarayonlar);
2) fayl egasi guruhi a'zolari (fayl egasi bo'lgan guruh identifikatoriga mos keladigan guruh identifikatoriga ega bo'lgan jarayonlar);
3) boshqalar (birinchi ikki toifaga kiritilmagan jarayonlar).
Fayl egasi unga kirish uchun ba'zi imtiyozlarga ega, faylni o'z ichiga olgan guruh a'zolari – boshqalar, boshqa barcha foydalanuvchilar – uchinchi. Har bir faylda fayl uchun ajratilgan himoya kodi mavjud. Himoya kodi faylning indeks identifikatorida joylashgan va o'n belgidan iborat bo'lib, birinchi ramz opre – fayl turini ajratadi va keyingi to'qqiztasi unga kirish huquqini beradi. Uch turdagi operatsiyalar (o'qish, yozish va ijro etish) va uchta toifalar (kirish imtiyozlari darajasi: egalari, guruhlar va boshqa foydalanuvchilar) jami to'qqizta ruxsat berish yoki faylga kirish taqiqlarini beradi. Birinchi uchta belgi o'qish (r), yozish qobiliyatini aniqlaydi
(v) va ijro etuvchi (e) egasi darajasida, keyingi uchtasi egasi va oxirgi uchta guruh darajasida
- boshqa foydalanuvchilar darajasida. R, w va e belgilarining mavjudligi tegishli piksellar sonini ko'rsatadi.
Agar jarayon faylga kirishni talab qilsa, unda birinchi navbatda ushbu faylga nisbatan tushadigan kategoriya aniqlanadi. So'ngra, ushbu toifaga mos keladigan uchta belgi himoya kodidan tanlanadi va Pro-verka amalga oshiriladi: jarayon talab qilinadigan kirishga ruxsat beriladimi. Agar ruxsat berilmagan bo'lsa, jarayonga kirish uchun so'rov o'tkazgan tizim chaqiruvi OS yadrosi tomonidan rad etiladi.
Unix-da qabul qilingan shartnoma bo'yicha imtiyozli foydalanuvchi nolga teng identifikatorga ega. Nolinchi foydalanuvchi identifikatori bilan bog'langan jarayon imtiyozli hisoblanadi. Fayl muhofaza qilish kodidan qat'i nazar, imtiyozli jarayon o'qish va yozish uchun faylga kirish huquqiga ega. Agar foydalanuvchilarning kamida bitta toifasi (jarayonlari) himoya kodida faylni bajarish uchun ruxsat mavjud bo'lsa, imtiyozli jarayon ham ushbu faylni bajarish huquqiga ega.
Maxsus buyruqlar yordamida fayl egasi (imtiyozli foydalanuvchi) imtiyozlarni taqsimlashni o'zgartirishi mumkin. Change mode buyrug'i himoya kodini o'zgartirishga imkon beradi, "Change owner" jamoasi "Fi-lom" ga egalik qilish huquqini o'zgartiradi va "Change group" jamoasi ma'lum bir guruhga tegishli. Foydalanuvchi o'zi ega bo'lgan fayllar uchun toll - ko kirish rejimlarini o'zgartirishi mumkin.
Saqlangan ma'lumotlarni himoya qilish. UNIX operatsion tizimida saqlangan ma'lumotlarni himoya qilish uchun standart kirishlardan ma'lumotlarni o'qiydigan, ularni shifrlaydigan va standart chiqimlarga yo'naltiradigan crypt dasturi mavjud. Shifrlash zarur bo'lganda qo'llaniladi-faylga egalik qilishning mutlaq huquqini berish.
Fayl tizimini tiklash. UNIX operatsion tizimi uchta asosiy copiro - vania yordam dasturini qo'llab-quvvatlaydi: volcopy/labelit, dump/restor va cpio dasturlari. Volsoru dasturi to'liq fayl tizimini qayta yozadi, labelit dasturidan foydalanib, kerakli hajmlarning yorliqlariga muvofiqligini tekshiradi. Dump dasturi faqat ma'lum bir sanadan keyin qayd etilgan fayllarni (to'plashni himoya qilish) nusxalashni ta'minlaydi. Restor dasturi dump tomonidan yaratilgan ma'lumotlarni tahlil qilishi va alohida fayllarni yoki butun fayl tizimini to'liq tiklashi mumkin. Cpio Pro-gramm butun fayl tizimining yoki uning biron bir qismini o'z ichiga olgan bitta katta faylni yaratish uchun mo'ljallangan.
Buzilgan narsalarni tiklash uchun, masalan, fayl tizimi apparatining ishdan chiqishi natijasida fsck va fsdb dasturlari ishlatiladi.
Fayl tizimining xavfsizligi, dasturiy ta'minotni muayyan ish sharoitlariga moslashtirish, foydalanuvchi fayllarini pe - riodik nusxalash, yo'qolgan ma'lumotlarni qayta tiklash va boshqa operatsiyalar uchun tizim administratoriga mas'uliyat yuklanadi.
Murakkab kirishni boshqarish. Unix operatsion tizimining bir qismi sifatida Cron dasturi mavjud bo'lib, u JSST - ni taqdim etadi-maxsus dasturlarni muayyan vaqtlarda (intervallarda) ishga tushirish va shunga mos ravishda foydalanuvchilarga kirishni cheklash uchun vaqt parametrlarini kiritish mumkin.
UNIX operatsion tizimiga kirishni boshqarish uchun egasining identifikatorini o'rnatish uchun ruxsatnoma ham qo'llaniladi. Bu safar-qaror sizga tegishli dasturni bajarish vaqtida fayl egasining imtiyozlarini olish imkonini beradi. Fayl egasi boshqa foydalanuvchilarning rejimning o'z identilarini belgilash qobiliyatiga ega bo'lgan rejimni o'rnatishi mumkin.
Vakolatga asoslangan kirish teglar bilan mos keladi. Buning uchun ob'ektlar (fayllar) va sub'ektlar (jarayonlar), shuningdek, dominant tushunchalar va teglar tengligi (teglar o'rtasidagi munosabatni ifodalash uchun) kiradi. Qabul qilingan fayl yaratilgan jarayondan belgini meros qilib oladi. Jarayonlarning fayllarga bo'lgan huquqlarini belgilaydigan munosabatlar kiritiladi.
Diskret kirish interfeysi Unix operatsion tizimining mavjud himoya mexanizmlarini sezilarli darajada batafsil bayon qiladi. Kiritilgan sredst-va quyidagi guruhlarga bo'linishi mumkin:
1) diskret himoya qilish uchun kirish ro'yxatlari bilan ishlash;
2) kirish huquqini tekshirish;
3) vakolatga asoslangan kirishni boshqarish;
4) imtiyozli foydalanuvchilarning ishi.
Posix loyihasi doirasida tizim administratori interfeysi yaratildi. Ushbu interfeys ob'ektlar va ob'ektlar ustida bajarilishi mumkin bo'lgan ko'plab tadbirlarni belgilaydi. Ob'ekt va ob'ektlarning sinflari sifatida Pol zovatel, foydalanuvchilar guruhi, qurilma, fayl tizimi, jarayon, navbat, navbatga kirish, mashina, tizim, boshqaruv kengashi, dasturiy ta'minot va boshqalar taklif etiladi.

Download 19,12 Kb.

Do'stlaringiz bilan baham: