Деревянко А.С., Солощук М.Н. Операционные системы.Часть I. Построение и функционирование операционных систем

Подождите немного. Документ загружается.

331

При отсутствии системной буферизации тела сообщений хранятся в общей

для отправителя и получателя памяти, а передается только указатель на тело

сообщения (рисунок 9.3.). В первом случае выполняются дополнительные

пересылки, затрачивается дополнительная память и вводятся более жесткие

ограничения на объем сообщений, но достигается надежность передачи и

значительно более простой интерфейс процессов. Во втором случае

значительно экономится память, но сами процессы должны заботиться об

управлении совместно используемой памяти и о сохранности сообщений в

ней. При отсутствии системной буферизации сообщений применяются

обычно два метода передачи тела сообщения: либо процесс-отправитель

помещает тело сообщения в отдельный разделяемый сегмент, получает у ОС

манипулятор этого сегмента для процесса-получателя и передает этот

манипулятор в составе сообщения; либо для всех сообщений выделяется

одна общая область памяти с общим манипулятором и для размещения

сообщения в нем используются системные вызовы выделения памяти в куче.

Рис.9.2. Размещение сообщений в адресном пространстве ядра

332

Рис.9.3. Размещение сообщений в адресном пространстве процесса-

отправителя

Контрольные вопросы

1. Почему системные вызовы – скобки критических секций

применяются для нитей, но не для процессов?

2. В чем сходство и в чем различия между сигналами и реальными

прерываниями?

3. Процесс, которому посылается сигнал, как правило, в момент

посылки неактивен. Как поступает ОС с сигналом в таком случае?

4. Опишите различия между именованными и неименованными

программными средствами взаимодействия процессов.

5. Общие области памяти могут располагаться либо в

перекрывающейся части виртуальных адресных пространств процессов,

либо в изолированных частях виртуальных адресных пространств. Каким

образом реализуется тот и другой метод размещения? Сопоставьте их

достоинства и недостатки.

6. Какими внутренними механизмами обеспечивается защита от

записи в заполненный программный канал и защита от чтения из пустого

программного канала?

333

7. Покажите, как представить семафор в виде "переменной взаимного

исключения" и "события".

8. Каким образом используются скрытые семафоры во внутренней

реализации механизма очередей?

9. Покажите, что задачи взаимного исключения и синхронизации

могут быть решены при помощи очередей сообщений.

Глава 10. Защита ресурсов

10.1. Общие требования безопасности

В системе ценностей современного мира информация занимает одно

из ведущих мест и рейтинг ее в этой системе возрастает с течением

времени почти экспоненциально. Как всякая ценность, информация

должна быть надежно защищена. Защита информации достигается

комплексом мер безопасности (security), включающим в себя как

обеспечение целостности (непротиворечивости) и сохранности

информации, так и контроль доступа к ней.

Требования к безопасности – целостности, сохранности и

конфиденциальности пользовательских и системных программ и данных, а

также к потреблению ресурсов пользователями в пределах установленных

им бюджетов всегда являлось одним из важнейших в вычислительных

системах. В обеспечении этих требований был некоторый период

"тяжелых времен" – в начале бума персональных компьютеров, что было

связано с внедрением в сферу полупрофессионального использования

вычислительной техники большого числа неподготовленных лиц с

задачами, ценность которых не стоила расходов по обеспечению их

безопасности. Но с неизбежным разделением сфер использования

334

компьютеров на персональную и производственную вопросы безопасности

в производственной сфере не только восстанавливают свои позиции, но и

приобретают все больший вес в связи с развитием компьютерных

коммуникаций. В настоящее время все сколько-нибудь серьезные

пользователи в производственной сфере готовы платить за гарантии

безопасности в своей работе – как материальными затратами, так и

некоторым снижением эффективности выполнения своих приложений.

Целостность информации – обеспечение непротиворечивости

данных. Правила целостности определяются законами прикладной

области, к которой относится информация, так называемыми, бизнес-

правилами. Поскольку ОС является универсальным программным

обеспечением, предназначенным для поддержки выполнения процессов

обработки данных практически любых прикладных областей, поддержание

целостности прикладных данных не входит в ее функции. Целостность,

определяемая пользователем, поддерживается средствами промежуточного

программного обеспечения, наиболее развиты эти средства в системах

управления базами данных. Целостность же, за которую отвечает ОС – это

целостность общей структуры хранения информации, прежде всего она

касается файловой системы. Целостность файловой системы состоит в

соответствии метаданных файловой (дисковых и файловых справочников)

системы реальному ее состоянию. В задачи ОС входит также обеспечение

сохранности данных при ошибках. Ошибок не должно быть при

правильном функционировании всех звеньев вычислительной системы, но

такое функционирование относится к области идеалов. Источниками

ошибок являются ошибки в системном программном обеспечении, сбои

оборудования и неправильные (иногда – злонамеренные) действия

пользователей. "Первые – возможны, вторые – неизбежны, третьи –

гарантированы" [4] Применительно к данным на внешней памяти мы уже

рассматривали методы защиты целостности и сохранности в разделах

335

главы 7, такие методы (избыточность, резервное копирование,

дополнительные указатели) применимы и к другим ресурсам

вычислительной системы.

Контроль доступа – обеспечение доступа к информации только тому,

кто имеет на это право. Этот аспект безопасности является основным

предметом рассмотрения в данной главе. В современных системах

обработки данных применяется обязательное или избирательное

управление безопасностью.

Основными понятиями обязательного управления безопасностью

являются уровень секретности и уровень доступа. Каждый объект,

включенный в систему защиты, имеет некоторый уровень секретности

(например: совершенно секретно, секретно, для служебного пользования и

т.д.). Каждый пользователь, получающий доступ к защищенным ресурсам,

имеет некоторый уровень допуска. Число уровней допуска равно числу

уровней секретности. Если обозначить уровни секретности и уровни

допуска числовыми кодами таким образом, чтобы больший числовой код

соответствовал большей секретности или более высокому допуску, то

правила предоставления разрешений на доступ к ресурсам можно

сформулировать следующим образом:

• пользователь получает разрешение на чтение объекта только в том

случае, если его уровень допуска равен уровню секретности

объекта или больше него;

• пользователь получает разрешение на запись в объект или

модификацию объекта только в том случае, если его уровень

допуска равен уровню секретности объекта.

Другими словами второе правило можно сформулировать так: любая

информация, записанная пользователем с уровнем допуска L, получает

уровень секретности L. Таким образом, например, пользователь, имеющий

допуск к совершенно секретной информации, не может записать

336

информацию в открытый документ для служебного пользования (документ

с более низким уровнем секретности), так как это может нарушить

безопасность.

Избирательное управление безопасностью базируется на правах

доступа. В случае избирательного управления каждый пользователь

обладает определенными правами доступа к определенным ресурсам.

Права доступа разных пользователей к одному и тому же ресурсу могут

различаться. Избирательное управление часто базируется на принципе

владения. В этом случае у каждого ресурса имеется владелец, который

обладает всей полнотой прав доступа к ресурсу. Владелец определяет

права доступа к своему ресурсу других пользователей.

Министерством обороны США разработана общая классификация

уровней безопасности, которая применяется и во всем мире. Эта

классификация определяет четыре класса безопасности (в порядке

возрастания):

• D – минимальная защита;

• C – избирательная защита (с подклассами C1 и С2; C1 < C2);

• B – обязательная защита (с подклассами B1 < B2 < B3);

• A – проверенная защита (с математическим доказательством

адекватности).

На сегодняшний день некоторые компьютерные системы в бизнесе

удовлетворяют требованиям класса B1, однако большинство коммерческих

применений компьютерных систем ограничиваются требованиями класса

C2.

Основные требования класса C2 сводятся к следующим:

• владелец ресурса должен управлять доступом к ресурсу;

337

• ОС должна защищать объекты от несанкционированного

использования другими процессами (в том числе и после их

удаления);

• перед получением доступа к системе каждый пользователь

должен идентифицировать себя, введя уникальное имя входа в

систему и пароль; система должна быть способной использовать

эту уникальную информацию для контроля действий

пользователя;

• администратор системы должен иметь возможность контроля

(audit) связанных с безопасностью событий, доступ к этим

контрольным данным должен ограничиваться администратором;

• система должна защищать себя от внешнего вмешательства типа

модификации выполняющейся системы или хранимых файлов.

Сертификация на соответствие уровню безопасности – длительный

процесс, и ему подвергается не только программное обеспечение, а весь

комплекс средств системы обработки данных, включая аппаратные,

системные и прикладные программные средства, каналы связи,

организацию эксплуатации системы и т.д. Но операционная система может

оцениваться на предмет того, может или не может она поддерживать

функционирование системы обработки данных, соответствующей

определенному уровню.

10.2. Объектно-ориентированная модель доступа и

механизмы защиты

В главе 7 мы рассмотрели модель управления доступом

применительно к файловой системе. Управление доступом к файлам

является частным случаем более общей модели управления доступом

338

субъектов к объектам. Другой частный случай мы рассмотрели в главе 3

применительно к памяти. Модель рассматривает объекты – элементы

системы, которым требуется защита, и субъекты – активные элементы,

стремящиеся получить доступ к объектам. Типичный пример объекта –

файл, типичный пример субъекта – процесс. Элемент, выступающий в

одной ситуации в роли субъекта, в другой ситуации может выступать в

роли объекта. Так, например, необходимо обеспечивать защиту адресных

пространств одних процессов (объектов) от других процессов (субъектов).

Механизмы защиты должны обеспечивать ограничение доступа

субъектов к объектам: во-первых, доступ к объекту должен быть разрешен

только для определенных субъектов, во-вторых, даже имеющему доступ

субъекту должно быть разрешено выполнение только определенного

набора операций.

Для обеспечения защиты могут применяться следующие механизмы:

• кодирование объектов;

• сокрытие местоположения объектов;

• инкапсуляция объектов.

Кодирование предполагает шифрование информации, составляющей

объект. Любой субъект может получить доступ к информации, но

воспользоваться ею может лишь привилегированный субъект, знающий

ключ к коду. Другой вариант защиты через кодирование предполагает, что

расшифровка информации производится системными средствами, но

только для привилегированных субъектов. Кодирование не защищает

объект от порчи, поэтому оно может использоваться только для защиты

узкого класса специфических объектов или в качестве дополнительного

средства в сочетании с другими механизмами защиты. Рассмотрение

способов кодирования не входит в задачи нашего пособия, оно должно

происходить при изучении курса "Защита информации".

339

Сокрытие местоположения объекта предполагает, что адрес объекта

в памяти системы известен только тем субъектам, которые имеют право

доступа к объекту. Такие привилегированные субъекты могут выполнять

любые операции над объектом. Непривилегированные субъекты могут

запрашивать доступ к объекту и получать некий внутренний

идентификатор объекта. Используя этот идентификатор, они могут

выполнять над объектом ограниченный набор операций, но не

непосредственно, а обращаясь к привилегированным субъектам. Примером

такого механизма является сокрытие дескрипторов ресурсов.

Местоположение (адрес в памяти) дескрипторов известно ОС, прикладные

же процессы получают манипулятор ресурса, который, как правило,

адресует дескриптор только косвенно (через таблицы). Если сокрытие

является единственным механизмом защиты, то ее нельзя назвать

непроницаемой. Субъект может получить адрес объекта случайно или

намеренно (получив доступ к внутренней документации).

Инкапсуляция предполагает полное закрытие для субъектов

возможности оперирования с внутренним содержимым объектов. Субъект

даже не должен знать структуры этого содержимого. Для каждого объекта,

однако, определено множество допустимых операций над ним, которые

реализуются монитором объекта. Объект, таким образом, предстает в виде

"черного ящика" с четко специфицированными входами и выходами и с

абсолютно непроницаемыми стенками. Механизм инкапсуляции может

обеспечивать наиболее полную защиту, но его реализация требует

решения двух важных вопросов: во-первых, как обеспечить

"непрозрачность стенок"; во-вторых, как принимать решения о

предоставлении доступа или об отказе в нем.

Непроницаемость ящика обеспечивается чаще всего средствами

защиты памяти. Область памяти, в которой расположен объект, делается

недоступной для любых субъектов, кроме монитора, реализующего

340

операции над объектом. Как мы знаем (см. главу 3), защита памяти

поддерживается аппаратными средствами вычислительных систем и

защита объектов, таким образом, представляется реализованной на

аппаратном уровне. Надежность такой защиты, однако, в значительной

степени иллюзорна. Во-первых, память также представляет собой объект,

нуждающийся в защите. От того, насколько сама защита памяти защищена

от перепрограммирования ее произвольным субъектом, зависит

эффективность всей системы защиты в целом. Во-вторых, аппаратно

поддерживается только конечное число уровней защиты памяти, на

практике же используются только два уровня: доступ к ограниченному

подмножеству адресов и полный доступ. Если в системе имеется большое

количество объектов разного типа, то каждый тип обеспечивается своим

монитором. Если все мониторы работают с полным доступом, то нет

гарантии в том, что монитор в результате, например, ошибки в нем не

воздействует на объект, не предусмотренный в данной операции.

Наиболее надежным образом защита памяти достигается при

помощи изоляции адресных пространств процессов и мониторов. Если

таблицы дескрипторов ресурсов и сами ресурсы располагаются в

отдельных адресных пространствах, то процесс просто не может получить

к ним доступа, а может воздействовать на них только косвенно, передавая

в системном вызове индекс элемента в недоступной для него таблице.

Адресные пространства различных мониторов тоже могут быть

изолированы друг от друга, что (при надежной изоляции) исключит

воздействие ошибки в мониторе на другие ресурсы.

Для каждого объекта определено множество допустимых для него

операций. Применительно к файлам, например, возможны в общем случае

следующие операции:

• Read – получение информации из объекта;

• Write – обновление информации в объекте;