Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
Достоверная вычислительная база
|
|
Для того, чтобы корректно воплотить в жизнь разработанную политику безопасности необходимо иметь надежные механизмы ее реализации. При
последующем изложении материала основное внимание обратим на то, каким образом должны быть реализованы средства защиты для выполнения требований политики безопасности (способа управления доступом).
Естественно предположить, что все средства, отвечающие за реализацию политики безопасности, сами должны быть защищены от любого вмешательства в их работу. В противном случае говорить о надежности защиты будет трудно. Можно изменять их параметры, но в своей основе они должны оставаться в неприкосновенности.
| Поэтому все средства защиты | и управления должны | быть объединены | |||
| в так называемую достоверную вычислительную базу. | |||||
| Достоверная вычислительная база (ДВБ; Trusted Computing Base; TCB) | |||||
| - это | абстрактное понятие, обозначающее | полностью | защищенный | ||
| механизм | вычислительной системы | (включая | аппаратные | и | программные |
средства), отвечающий за поддержку реализации политики безопасности. Средства защиты должны создавать ДВБ для обеспечения надежной
защиты КС. В различных средствах защиты ДВБ может быть реализована по-разному. Способность реализации ДВБ к безотказной работе зависит от ее устройства и корректного управления, а ее надежность является залогом соблюдения политики безопасности в защищаемой системе.
| Таким | образом, ДВБ выполняет двойную задачу - поддерживает | |||
| реализацию | политики | безопасности и | является гарантом целостности | |
| механизмов защиты, | то | есть самой себя. ДВБ совместно используется всеми | ||
| пользователями КС, | однако ее модификация разрешена только пользователям | |||
со специальными полномочиями. К ним относятся администраторы системы и другие привилегированные сотрудники организации.
| Процесс, функционирующий | от имени ДВБ, является достоверным. |
| Это означает, что система защиты | безоговорочно доверяет этому процессу и |
все его действия санкционированы политикой безопасности. Именно поэтому задача номер один защиты ДВБ - поддержание собственной
целостности; все программы и наборы данных ДВБ, должны быть надежно защищены от несанкционированных изменений.
Для поддержки политики безопасности и собственной защиты ДВБ должна обеспечить защиту субъектов (процессов) системы и защиту объектов системы в оперативной памяти и на внешних носителях.
Защита ДВБ строится на основе концепции иерархической декомпозиции системы. Сущность концепции заключается в том, что реальная система представляется как совокупность иерархически упорядоченных абстрактных уровней; при этом функции каждого уровня реализуются компонентами более низкого уровня. Компоненты определенного уровня зависят только от компонентов более низких уровней и их внутренняя структура полагается недоступной с более высоких уровней. Связь уровней организуется через межуровневый интерфейс (см. рис. 1.1).
| ┌───┐ | ┌───┐ | ┌───┐ | ┌───┐ | |
| компоненты | │ │ | │ │ | │ │... | │ │ |
| уровня i | └─┬─┘ | └─┬─┘ | └───┘ | └───┘ |
════════════╪══════════╪═══════════════════════════
| │ | └────┬──────... | ||||||||
| межуровневый | ┌───┴───┬─────────┐ │ | ||||||||
| интерфейс | │ | │ | │ │ | общий компонент | |||||
| ┌─┴─┐ | ┌─┴─┐ | ┌┴─┴┐ | уровня i+1 | ┌───┐ | |||||
| компоненты | │ | │ | │ | │ | │ | │ | ... | │ | │ |
| уровня i+1 | └─┬─┘ | └─┬─┘ | └───┘ | └───┘ | |||||
| ════════╪═══════╪══════════════════════════════════ | |||||||||
| межуровневый ┌───┴───┐ | └───┐ | ||||||||
| интерфейс | │ | │ | │ | вспомогательный компонент | |||||
| ┌─┴─┐ | ┌─┴─┐ | ┌─┴─┐ | ┌───┐ уровня i+2 | ┌───┐ | |||||
| компоненты │ | │ | │ | │ | │ │ | │ | │ | ... | │ | │ |
| уровня i+2 └─┬─┘ | └───┘ | └─┬─┘ | └┬─┬┘ | └───┘ | |||||
| │ | └──────┘ │ | ||||||||
| └────────────────────────┘ |
Рисунок 1.1 – Структура компонентов системы
Структура компонентов системы и связи между ними являются жестко фиксированными; их изменение, дублирование, уничтожение невозможны. Компоненты более высоких уровней привязаны к компонентам более низких уровней, те, в свою очередь, к элементам физической реализации (устройствам ввода-вывода, процессору и др.). Связи между различными компонентами определяются спецификациями межуровневого интерфейса и также не могут изменяться. Это является дополнительной мерой обеспечения целостности ДВБ.
Компоненты верхних уровней обычно описывают интерфейс пользователя. Сюда входят различные редакторы, компиляторы, интерпретаторы командных языков, утилиты и т.д. Средние уровни обычно реализуют ввод-вывод на уровне записей, работу с файлами и виртуальной
| памятью. Компоненты нижних | уровней реализуют планирование | и |
| диспетчеризацию | процессов, | распределение ресурсов, ввод-вывод на |
| физическом уровне, обработку прерываний и т.д. Компонентами нулевого | ||
| уровня можно считать | элементы | физической реализации: особенности |
архитектуры процессора, состав и назначение регистров (общих и
| привилегированных), физическую реализацию некоторых функций | и т.д. | |||||||||||
| Множество компонентов всех | уровней, | кроме верхнего, | а также средства | |||||||||
| управления ими и составляют ДВБ. | ||||||||||||
| Пользователь, | находясь на | самом | высоком | уровне, | может только | |||||||
| послать | запрос | на | выполнение | какой-либо операции. | Этот | запрос | будет | |||||
| разрешен к выполнению компонентами более | низких уровней | только | в том | |||||||||
| случае, | если, | пройдя обработку корректности | на | всех | промежуточных | |||||||
| уровнях, | он не | был отвергнут, | то есть не сможет нарушить существующую | |||||||||
| политику безопасности. При этом каждая | функция | может | быть выполнена | |||||||||
| только определенными компонентами на определенном уровне, | что | |||||||||||
| определяется архитектурой системы в целом. | ||||||||||||
| Например, | пользователь из | командного | интерпретатора послал запрос | |||||||||
| на выполнение | операции | ввода-вывода | (для редактирования | файла, | ||||||||
размещающегося на диске). Этот запрос будет обработан интерпретатором и передан на более низкий уровень - в подсистему ввода-вывода. Та проверит корректность запроса (разрешен ли доступ к этому файлу?), обработает его и передаст дальше - примитивам ввода-вывода, которые выполнят операцию и сообщат о результатах. При этом спецификации межуровневого интерфейса гарантируют, что прямой вызов примитивов ввода-вывода пользователю недоступен. Он еще может иногда обращаться непосредственно к подсистеме ввода-вывода (из программы), но не на более низкий уровень. Таким образом, гарантируется невозможность доступа субъекта к объекту в обход средств контроля.
Необходимость защиты внутри отдельных компонентов системы очевидна: каждый из них должен проверять корректность обращения к реализуемой им функции.
Особенность применения концепции иерархической декомпозиции заключается в следующем:
1. Каждый компонент должен выполнять строго определенную функцию;
2. Каждая функция с помощью операции декомпозиции может быть разбита на ряд подфункций, которые реализуются и защищаются отдельно. Этот процесс может насчитывать несколько этапов;
3. Основная "тяжесть" защиты приходится на межуровневый интерфейс,
| связывающий декомпозированные | подфункции | в | единое целое; |
| горизонтальные ссылки должны быть сведены до минимума. | |||
| Помимо защиты самой себя ДВБ также | должна обеспечить надежную | ||
| защиту пользователей системы (в | частности, | друг | от друга). Для защиты |
пользователей используются те же самые механизмы, что и для защиты ДВБ. Теми же остаются и цели защиты: субъектов и объектов пользователей, в
| оперативной | памяти и | на внешних носителях. Рассмотрим подробнее | |||
| принципы такой защиты. | |||||
| Защита | субъектов | осуществляется | с | помощью | межуровневого |
| интерфейса: в зависимости от выполняемой | им | функции | система переводит |
его на соответствующий уровень. Уровень, в свою очередь, определяет и степень управляемости процесса пользователем, который находится на самом верхнем уровне – чем ниже уровень процесса, тем меньше он управляем с более верхних уровней и тем больше он зависит от ОС.
Любые попытки защиты оперативной памяти приводят к необходимости создания виртуальной памяти в том или ином виде. Здесь используется та же концепция иерархической декомпозиции, чтобы отделить реальную память, содержащую информацию, от той, которая доступна пользователям. Соответствие между виртуальной и физической памятью
| обеспечивается диспетчером памяти. | При этом различные | области | памяти | ||||
| могут | являться компонентами | разных уровней | - это зависит от | уровня | |||
| программ, которые могут обращаться к этим областям. | |||||||
| Пользователи и их программы могут работать только с виртуальной | |||||||
| памятью. Доступ к любому участку | физической оперативной памяти (в | ||||||
| том числе и | принадлежащему | ДВБ), контролируется диспетчером памяти. | |||||
| При трансляции виртуального адреса в физический проверяются | права | ||||||
| доступа | к указанному участку. Надежность разделения оперативной | памяти | |||||
| во многом обеспечивается за счет надежности | функции, | отображающей | |||||
| виртуальные | адреса в физические: | адресные | пространства различных | ||||
пользователей и системы не должны перекрываться в физической памяти. Доступ к информации на внешних носителях осуществляется с помощью
подсистемы ввода-вывода; программы этой подсистемы являются компонентами нижних и средних уровней ДВБ. При получении имени
| файла (адреса записи) | в первую | очередь | проверяются полномочия |
| пользователя на доступ к | запрашиваемым данным. | Принятие решение на |
осуществление доступа осуществляется на основе информации, хранящейся в базе данных защиты. Сама база данных является частью ДВБ, доступ к ней также контролируются.
ДВБ должна быть организована таким образом, чтобы только ее компоненты могли выполнить запрос, причем только тот, который содержит корректные параметры.
Одним из необходимых условий реализации ДВБ в средствах защиты является наличие мультирежимного процессора (то есть процессора, имеющего привилегированный и обычный режим работы) с аппаратной поддержкой механизма переключения режимов, и различных способов реализации виртуальной памяти.
Достоверная вычислительная база состоит из ряда механизмов защиты, позволяющих ей обеспечивать поддержку реализации политики безопасности.
Date: 2015-06-06; view: 1399; Нарушение авторских прав