Часы Pandora Gold

Часы Pandora Gold

Гуманитарные науки

У нас студенты зарабатывают деньги

 Дипломы, работы на заказ, недорого

Дипломы, работы на заказ, недорого

 Cкачать    курсовую

Cкачать курсовую

 Контрольные работы

Контрольные работы

 Репетиторы онлайн по английскому

Репетиторы онлайн по английскому

Приглашаем к сотрудничеству преподователей

Приглашаем к сотрудничеству преподователей

Готовые шпаргалки, шпоры

Готовые шпаргалки, шпоры

Отчет по практике

Отчет по практике

Приглашаем авторов для работы

Авторам заработок

Решение задач по математике

Закажите реферат

Закажите реферат

диспетчер доступа метки безопасности Система массового обслуживания добавочные механизмы защиты Пути уменьшения потерь схемы администрирования приложений Методы контроля целостности Двухуровневая модель аудита
Многие крупные интрасети состоят из отдельных сегментов, соединенных между собой относительно медленными каналами связи. Если такая сеть насчитывает сотни и тысячи узлов, то обновление антивирусов, установленных на этих узлах, с одного центрального сервера может привести к перегрузке каналов связи и сервера.

Пути уменьшения потерь производительности вычислительной системы из-за средств защиты

Так как длину списка в 100 строк в общем случае нельзя считать достаточной для задания правил разграничения доступа (в реальных системах длина списка прав разграничения доступа может достигать 150...200 строк) рассмотрим некоторые пути уменьшения потерь из-за средств защиты. Ясно, что бороться с потерями от введения средств добавочной защиты можно следующими путями:

» путем уменьшения списка правил разграничения доступа; » путем уменьшением времени проверки одного запроса; » сразу обоими методами.

Первый способ интуитивно очевиден: сократить длину имени ресурса (т.е. среднюю длину строки в списке правил разграничения доступа). Например, ресуры файловой системы, доступ к которым подлежит разграничению, следует располагать как можно ближе к корневому каталогу. Это естественно уменьшит длину полного имени ресурса, т.е. длину строки в списке.

Недостатком данного подхода является то, что, во-первых, данное ограничение (no-сути, разграничение доступа к каталогам) не всегда выполнимо в реальной системе, во-вторых, такой способ мало применим для остальных ресурсов вычислительной системы, например реестра или сетевых ресурсов, так как в этом случае администратор безопасности не может изменять полные имена ресурсов.

Второй способ состоит в использовании масок. Маска — это регулярное выражение, содержащее метасимволы и т.п., покрывающие не сколько имен ресурсов сразу. Таким образом, вместо внесения некоторого количества очень похожих имен ресурсов в списки правил разграничения доступа вносится только одна маска, содержащая общую часть имен этих ресурсов и метасимволы, задающие правила последующего сравнения маски и имен ресурсов [7].

При использовании механизма масок в ОС семейства MS Windows есть своя особенность. Для таких ОС характерно, что имена файловых ресурсов не подходящие под формат «8.3» (так называемые, «длинные имена») имеют фактически два имени — длинное и короткое в формате «8.3». Это вынуждает либо вносить в списки правил разграничения доступа оба имени, либо использовать в качестве имен ресурсов в этих списках маски.

Так, например, в ОС MS Windows 95/98/Ме, а также в MS Windows NT, короткое имя, получаемое из длинного, содержащего символы, не входящие в латинский алфавит, формируется по тому же принципу, что и для длинного имени, содержащего только символы латинского алфавита. То есть, например, длинному имени C:\Program РПе5\Абвгдежзик\аЬс соответствует короткое имя C:\Progra~ 1\Абвгде~1\аЬс. Оба имени покрываются маской следующего вида: С:\Рго§га*\Абвгде*\аЬс.

В ОС MS Windows 2000/Хр, в случае, если длинное имя, содержащее символы, не входящие в латинский алфавит, располагается на файловой системе NTFS, короткое имя формируется с использованием четырехзначного шестнадцатеричного числа, вместо части пути, содержащего символы, не входящие в латинский алфавит. То есть, для приведенного выше длинного имени, короткое имя в таких условиях будет выглядеть так: C:\Progra~l\C6F5~l\abc.

Понятно, что попытка покрытия этих двух имен (длинного и короткого) простой маской обречена на неудачу, так как часть пути к ресурсу, содержащего символы, не входящие в латинский алфавит, выглядит различно в длинном и коротком имени (не имеет ни одного общего символа). Требуемую маску создать можно, но помимо упомянутых имен такая маска обязательно покроет еще некоторые имена ресурсов.

Подобная ситуация исправляется в случае применения более сложных регулярных выражений для масок. Однако очевидно, что проще организовывать структуру файловой системы NTFS, избегая использования длинных имен, содержащих символы, не входящие в латинский алфавит (что под силу администратору безопасности при настройке системы защиты).

Таким образом, времени проверки одного запроса достига

ется применением усовершенствованного алгоритма сравнения строк. Кроме того, можно использовать различные математические методы ускорения поиска (организация списков прав разграничения доступа в виде сбалансированных деревьев и т.п.).

Учитывая все сказанное, проведем исследование потерь производительности в случае применения модифицированного алгоритма проверки прав доступа. Модификация заключается в замене процедуры посимвольного сравнения строк на процедуру с использованием простейших регулярных выражений. В табл. 16.2 представлены экспериментальные данные времени, требуемого при проверке прав доступа для одного запроса.

Экспериментальные значения времени, затрачиваемого

на проверку одного запроса к файловому объекту Таблица 16.2

Длина списка

Время,

Длина списка

Время,

Длина списка

Время,

(число строк)

мкс

(число строк)

МКС

(число строк)

МКС

10

9

300

278

550

509

50

46

350

324

600

556

100

92

400

370

650

602

150

139

450

417

700

648

250

231

520

481

750

694

При сравнении данных, представленных в табл. 16.1 и 16.2, можем сделать вывод о том, что в случае применения модифицированного алгоритма проверки и сокращения длины имен ресурсов достигается почти двукратное снижение потерь производительности вычислительной системы, связанных с реализацией механизма управления доступом к ресурсам.

Под определение компьютерного вируса не попадают программы и программные объекты, основное назначение которых не связано с самостоятельным распространением. Компьютерный вирус создается специально для дальнейшего самостоятельного распространения, а не для достижения каких либо других целей.

Диспетчер доступа Межсетевое экранирование Импорт файлов ArchiCAD