Усложненное управление доступом

В составе утилит ОС UNIX находит­ся утилита cron, которая предоставляет возможность запускать пользовательс­кие программы в определенные моменты (промежутки) времени и, соответ­ственно, ввести временные параметры для ограничения доступа пользователей.

Для управления доступом в ОС UNIX также применяется разрешение уста­новки идентификатора владельца. Такое разрешение дает возможность получить привилегии владельца файла на время выполнения соответствующей программы. Владелец файлов может установить такой режим, в котором другие пользователи имеют возможность назначать собственные идентификаторы режима. Аналогич­ным образом, разрешение установки идентификатора группы позволяет лицу, вы­полняющему программу, приобретать привилегии члена группы, в которую вхо­дит владелец программы (только на время выполнения этой программы).

Совершенствование механизмов защиты

Широкое распространение, многочисленные достоинства и хорошие перспективы ОС UNIX с 1984года были поддержаны попытками стандартизации ее пользовательских интер­фейсов и языка Си. Стандартизация языка Си завершилась принятием стандарта Американского национального института стандартов (ANSI). Про­ект стандарта интерфейсов мобильной ОС, названный POSIX, подготовлен рабочими группами института IEEE (США). В рамках этого проекта разработан интерфейс защиты (управляемого доступа), который отличается от традицион­ного подхода к управлению доступом к данным в ОС UNIX.

В соответствии с разработанным интерфейсом защиты объекты, на которые распространяется управляемый доступ, включают файлы всех типов (в том чис­ле программные каналы) и процессы. Файлы выступают в роли объектов, про­цессы - в роли субъектов. Различается доступ к объектам, основанный на диск­ретном выборе, и доступ, основанный на полномочиях.

Дискретный выбор

Использует соответствие списков (для каждого объек­та составляются списки субъектов, доступ которых к объекту разрешен). Этот механизм доступа реализован в имеющихся версиях ОС UNIX.

Доступ, основанный на полномочиях

Использует соответствие меток. Для этого вводятся метки объектов (файлов) и субъектов (процессов), а также понятия доминанты и равенства меток (для выражения отношения между мет­ками). Создаваемый файл наследует метку от создавшего его процесса. Вводят­ся соотношения, определяющие права процессов по отношению к файлам.

Интерфейс дискретного доступа

Существенно детализирует имеющиеся механизмы защиты ОС UNIX. Вводимые средства можно разделить на следую­щие группы:

· работа со списками доступа при дискретной защите;

· проверка права дос­тупа;

· управление доступом на основе полномочий;

· работа привилегированных пользователей.

В рамках проекта POSIX создан интерфейс системного админи­стратора. Указанный интерфейс определяет объекты и множества действий, ко­торые можно выполнить над объектами. В качестве классов субъектов и объек­тов предложены пользователь, группа пользователей, устройство, файловая система, процесс, очередь, вход в очередь, машина, система, администратор, программное обеспечение и др. Определены атрибуты таких классов, операции над классами и события, которые могут с ними происходить.

Стандартизация интерфейсов ОС UNIX и появление юридического стан­дарта повысит значимость ОС UNIX, в том числе и для обеспечения безопас­ности данных.