Определение и функции ОС. Классификация ОС. Критерий эффективности ОС.

Определение и функции ОС. Классификация ОС. Критерий эффективности ОС.

ОС – набор программ, контролирующих работу ВС, распределяющих ресурсы компьютера, выполняющих планирование использования ресурсов.

Функции ОС:

1. распределяет и назначает использование ресурсов компьютера,

2. планирует использование ресурсов компьютера и время исполнения задач,

3. осуществляет текущий контроль работы компьютера.

Распределение и назначение

Операционная система распределяет ресурсы компьютера между приложениями, находящимися в очереди на исполнение. Например, в число задач операционной системы входит выделение отдельной области памяти каждому запущенному приложению и необходимым ему данным, а также управление устройствами ввода-вывода (клавиатурой, принтером, монитором, сетевой картой и т.п.).

Планирование

Как уже отмечалось, компьютер выполняет несколько программ одновременно. Каждая задача разбивается на множество "кусочков" или "порций", которые компьютер обрабатывает, переключаясь между задачами. Тысячи таких порций должны выполняться различными устройствами компьютера – одной программе необходимо произвести расчет электронной таблицы, второй – распечатать документ на принтере, третья обращается к серверу организации, на котором хранится база данных и т.д. Задача ОС – скоординировать работу всех компонентов компьютера так, чтобы все приложения выполнялись как можно быстрее и эффективнее. Для этого операционной системе необходимо осуществлять планирование использования различных ресурсов компьютера (прежде всего, ЦП, ОЗУ и жесткого диска). Как правило, каждой задаче присваивается приоритет выполнения, в соответствии с которым и осуществляется планирование.

Контроль

ОС контролирует работу компьютера. Она отслеживает стадии выполнения каждой задачи, а также может вести журнал учета – кто использует компьютер, какие программы были запущены, наблюдались ли случаи несанкционированного использования программ или данных. В любом случае, ОС любого компьютера – и мэйнфрейма и ПК – сама по себе очень большая программа. Поэтому в оперативной памяти всегда хранится лишь часть ОС, называемая ядром. Большая же часть ОС хранится на жестком диске. Когда какая-либо часть операционной системы необходима для выполнения данного приложения, эта часть подгружается с жесткого диска в ОЗУ. Диск, на котором хранится операционная система, называется системным.

Классификация ОС:

Особенности алгоритмов управления ресурсами.

1. Поддержка многозадачности. По числу одновременно выполняемых задач операционные системы могут быть разделены на два класса: однозадачные (MS-DOS) и многозадачные (UNIX, Windows 95).

2. Поддержка многопользовательского режима. По числу одновременно работающих пользователей ОС делятся на: однопользовательские (MS-DOS) и многопользовательские (UNIX, Windows NT).

3. Централизованность использования задач. Вытесняющая и невытесняющая многозадачность.

4. Поддержка многонитевости. Важным свойством операционных систем является возможность распараллеливания вычислений в рамках одной задачи. Многонитевая ОС разделяет процессорное время не между задачами, а между их отдельными ветвями (нитями).

5. Многопроцессорная обработка. Другим важным свойством ОС является отсутствие или наличие в ней средств поддержки многопроцессорной обработки - мультипроцессирование. Мультипроцессирование приводит к усложнению всех алгоритмов управления ресурсами.

Классификация ОС. Особенности областей использования. Системы пакетной обработки. Системы разделения времени. Системы реального времени.

Состояние процессов

В многозадачной (многопроцессной) системе процесс может находиться в одном из трех основных состояний:

ВЫПОЛНЕНИЕ – активное состояние процесса, во время которого процесс обладает всеми необходимыми ресурсами и непосредственно выполняется процессором;

ОЖИДАНИЕ – пассивное состояние процесса, процесс заблокирован, он не может выполняться по своим внутренним причинам, он ждет осуществления некоторого события, например, завершения операции ввода-вывода, получения сообщения от другого процесса, освобождения какого-либо необходимого ему ресурса;

ГОТОВНОСТЬ – также пассивное состояние процесса, но в этом случае процесс заблокирован в связи с внешними по отношению к нему обстоятельствами: процесс имеет все требуемые для него ресурсы, он готов выполняться, однако процессор занят выполнением другого процесса.

В ходе жизненного цикла каждый процесс переходит из одного состояния в другое в соответствии с алгоритмом планирования процессов, реализуемым в данной операционной системе.

В состоянии ВЫПОЛНЕНИЕ в однопроцессорной системе может находиться только один процесс, а в каждом из состояний ОЖИДАНИЕ и ГОТОВНОСТЬ – несколько процессов, эти процессы образуют очереди соответственно ожидающих и готовых процессов. Жизненный цикл процесса начинается с состояния ГОТОВНОСТЬ, когда процесс готов к выполнению и ждет своей очереди. При активизации процесс переходит в состояние ВЫПОЛНЕНИЕ и находится в нем до тех пор, пока либо он сам освободит процессор, перейдя в состояние ОЖИДАНИЯ какого-нибудь события, либо будет насильно «вытеснен» из процессора, например, вследствие исчерпания отведенного данному процессу кванта процессорного времени. В последнем случае процесс возвращается в состояние ГОТОВНОСТЬ. В это же состояние процесс переходит из состояния ОЖИДАНИЕ, после того, как ожидаемое событие произойдет.

Страничное распределение.

Виртуальное адресное пространство каждого процесса делится на части одинакового, фиксированного для данной системы размера, называемые виртуальными страницами. В общем случае размер виртуального адресного пространства не является кратным размеру страницы, поэтому последняя страница каждого процесса дополняется фиктивной областью.

При загрузке процесса часть его виртуальных страниц помещается в оперативную память, а остальные - на диск. Смежные виртуальные страницы не обязательно располагаются в смежных физических страницах. При загрузке операционная система создает для каждого процесса информационную структуру - таблицу страниц, в которой устанавливается соответствие между номерами виртуальных и физических страниц для страниц, загруженных в оперативную память, или делается отметка о том, что виртуальная страница выгружена на диск. Кроме того, в таблице страниц содержится управляющая информация, такая как признак модификации страницы, признак невыгружаемости (выгрузка некоторых страниц может быть запрещена), признак обращения к странице (используется для подсчета числа обращений за определенный период времени) и другие данные, формируемые и используемые механизмом виртуальной памяти.

При активизации очередного процесса в специальный регистр процессора загружается адрес таблицы страниц данного процесса.

Какие страницы могут быть выгружены:

1) дольше всего не использовавшаяся страница,

2) первая попавшаяся страница, страница,

3) к которой в последнее время было меньше всего обращений.

При каждом обращении к оперативной памяти аппаратными средствами выполняются следующие действия:

1. на основании начального адреса таблицы страниц (содержимое регистра адреса таблицы страниц), номера виртуальной страницы (старшие разряды виртуального адреса) и длины записи в таблице страниц (системная константа) определяется адрес нужной записи в таблице,

2. из этой записи извлекается номер физической страницы,

3. к номеру физической страницы присоединяется смещение (младшие разряды виртуального адреса).

Сегментное распределение.

При страничной организации виртуальное адресное пространство процесса делится механически на равные части. Виртуальное адресное пространство процесса делится на сегменты, размер которых определяется программистом с учетом смыслового значения содержащейся в них информации. Отдельный сегмент может представлять собой подпрограмму, массив данных и т.п. Иногда сегментация программы выполняется по умолчанию компилятором.

 

Доменный подход

Домен - это основная единица администрирования и обеспечения безопасности. Для домена существует общая база данных учетной информации пользователей, при входе в домен пользователь получает доступ сразу ко всем разрешенным ресурсам всех серверов домена.

Доверительные отношения обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети.

Пользователи могут входить в сеть не только из рабочих станций того домена, где хранится их учетная информация, но и из рабочих станций доменов, которые доверяют этому домену. Домен, хранящий учетную информацию, часто называют учетным, а доверяющий домен - ресурсным.

Служба WWW в составе IIS

Основным компонентом IIS является веб-сервер — служба WWW, которая предоставляет клиентам доступ к сайтам по протоколам HTTP.

Один сервер IIS может обслуживать несколько сайтов. Каждый сайт имеет следующие атрибуты:

• IP-адрес сайта;
• TCP-порт, на котором служба WWW ожидает подключений к данному сайту;
• Заголовок узла

Безопасность в службе WWW

Веб-сервер IIS предоставляет несколько способов разграничения доступа к сайтам и веб-приложениям. Служба WWW в составе IIS отличается от других веб-серверов тем, что функции обеспечения безопасности в ней тесно интегрированы с системой Windows NT, на основе которой она работает.

Служба WWW поддерживает три основных метода аутентификации, то есть определения личности пользователя по имени и паролю:

• Базовая аутентификация — имя и пароль передаются по сети открытым текстом.
• Сжатая аутентификация — пароль обрабатывается хеш-функцией перед отправкой по сети, что делает невозможным его прочтение в случае перехвата злоумышленником.
• Встроенная аутентификация — выполняется попытка входа на сервер с теми же учётными данными, под которыми работает браузер пользователя.

 

30. Системные службы ОС Windows, их назначение и конфигурирование.

Помимо ядра ОС в данной системе присутствует довольно большое количество разнообразных служб. Практически все системные службы имеют зависимость друг от друга. Знание системных служб Windows поможет оптимизировать работу операционной системы.

Список служб.

1) DHCP-клиент. Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен.

2) DNS-клиент. Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш.

3) Plug and Play. Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо, не требуя вмешательства пользователя, либо сводя его к минимуму.

4) Telnet. Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов.

5) Windows Installer. Устанавливает, удаляет или восстанавливает программное обеспечение в соответствии с инструкциями файлов.

6) Брандмауэр. Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса.

7) Диспетчер учетных записей безопасности. Хранит информацию о безопасности для учетной записи локального пользователя.

8) Журналы оповещения и производительности. Управляет сбором данных о производительности с локального или удаленных компьютеров, выполняемым на основе заданного расписания, и обеспечивает запись этих данных в журналы или инициирует оповещение.

9) Маршрутизация и удаленный доступ. Предлагает услуги маршрутизации организациям в локальной и глобальной сетях.

10) Сетевые подключения. Отображающей свойства локальной сети и подключений удаленного доступа.

11) Съемные ЗУ. Управляет съемными носителями.

31. Файловые системы. FAT, FAT32, NTFS. Достоинства и недостатки.

Файловая система – это набор соглашений, определяющих организацию данных на носителях информации. Наличие этих соглашений позволяет операционной системе, другим программам и пользователям работать с файлами и каталогами, а не просто с участками (секторами) дисков. Файловая система определяет:

- как хранятся файлы и каталоги на диске;

- какие сведения хранятся о файлах и каталогах;

- как можно узнать, какие участки диска свободны, а какие – нет;

- формат каталогов и другой служебной информации на диске.

Файловая система FAT представляет собой таблицу размещения файлов, в которой указываются:

1. непосредственно адреса участков логического диска, предназначенные для размещения файлов;
2. свободные области дискового пространства;

В таблице FAT кластеры (кластер – это минимальная логическая единица памяти), принадлежащие файлу или каталогу, связываются в цепочки. В 16-разрядной FAT можно иметь до 65536 кластеров. В операционных системах Windows NT/2000/XP разделы FAT могут иметь до 4097 Мб.

В NTFS информация о файлах хранится в системном файле $MFT. NTFS делит все полезное место на кластеры - блоки данных, используемые единовременно. NTFS поддерживает почти любые размеры кластеров - от 512 байт до 64 Кбайт, стандартом же считается кластер размером 4 Кбайт.

Плюсы FAT:

1. Требуется не много оперативной памяти;

2. Более быстрая работа и малыми и средними каталогами;

3. Более эффективная работа на медленных дисках.

Минусы FAT:

1. Уменьшение быстродействия на больших дисках с увеличением фрагментации;

2. Проблемы с допуском к большим файлам;

3. Медленная работа с каталогами, содержащие большое количество файлов.

Плюсы NTFS:

1. Возможность доступа к фрагментам файла;

2. Быстрый доступ к коротким файлам.

Минусы NTFS:

1. ОЗУ не меньше 64 Мбайт;

2. Медленные диски снижают быстродействие NTFS;

3. Значительное снижение быстродействия если диска заполнен на 80%.

32. Файловая система FAT. Версии FAT. Стандарт «8.3». Ограничения файловой системы FAT. Недостатки FAT. Сравнение с NTFS.

FAT представляет собой базу данных, связывающую кластеры дискового пространства с файлами.

Файловая система FAT представляет собой таблицу размещения файлов, в которой указываются:

• непосредственно адреса участков логического диска, предназначенные для размещения файлов;
• свободные области дискового пространства;
• дефектные области диска

В таблице FAT кластеры, принадлежащие файлу или каталогу, связываются в цепочки.

Версии системы FAT

Существует три версии FAT — FAT8, FAT12, FAT16 и FAT32 (номер указывает на число разрядов, требующихся на хранение одной таблицы. Пример FAT 8 - =256 кластеров). Они отличаются разрядностью записей в дисковой структуре, т.е. количеством бит, отведённых для хранения номера кластераИзначально FAT не поддерживала иерархическую систему каталогов. Все файлы располагались в корневом каталоге.

Ограничения:

• Размер кластеров должен быть меньше 64 КБ. Если размер кластеров будет больше или равен 64 КБ, некоторые программы могут неправильно рассчитывать дисковое пространство.
• Для использования файловой системы FAT32 том должен содержать не менее 65 527 кластеров. На томе с файловой системой FAT32 невозможно увеличить размер кластеров таким образом, чтобы общее число кластеров составляло менее 65 527.
• Максимальное возможное число кластеров на томе с файловой системой FAT32 составляет 268 435 445.
• На томе с файловой системой FAT32 невозможно уменьшить размер кластеров таким образом.

Плюсы FAT:

4. Требуется не много оперативной памяти;

5. Более быстрая работа и малыми и средними каталогами;

6. Более эффективная работа на медленных дисках.

Минусы FAT:

4. Уменьшение быстродействия на больших дисках с увеличением фрагментации;

5. Проблемы с допуском к большим файлам;

6. Медленная работа с каталогами, содержащие большое количество файлов.

 

33. Файловая система NTFS. Средства разграничения доступа. MFT и его структура. Метафайлы. Шифрование и сжатие файлов. Ограничения NTFS. Сравнение с FAT.

Файловая система NTFS делит дисковое пространство тома на кластеры размером от 512 байт до 64 Кб. Размер кластера обычно не превышает 4Кб. Все дисковое пространство в NTFS делится на две неравные части. Первые 12% диска отводятся под зону MFT – главной таблицы файлов. Эта таблица представляет собой специальный файл, содержащий информацию о размещении всех остальных файлов. Остальные 88% тома представляют собой обычное пространство для записи файлов.

Каждая запись соответствует конкретному файлу. Первые 16 файлов тома являются служебными и недоступны через интерфейс операционной системы. Эти файлы называются метафайлами, причем самый первый метафайл – это сам файл MFT. Метафайлы находятся в корневом каталоге тома NTFS. Их имена начинаются с символа «$».

В таблице MFT хранится вся информация о файлах: имя файла, его размер, расположение на диске и т.п. Если для размещения информации не хватает одной записи MFT, то используется несколько таких записей, причем необязательно последовательных.

Файлы NTFS имеют полезный атрибут - "сжатый". NTFS имеет встроенную поддержку сжатия дисков. Любой файл или каталог в индивидуальном порядке может хранится на диске в сжатом виде - этот процесс совершенно прозрачен для приложений.

Плюсы NTFS:

3. Возможность доступа к фрагментам файла;

4. Быстрый доступ к коротким файлам.

Минусы NTFS:

4. ОЗУ не меньше 64 Мбайт;

5. Медленные диски снижают быстродействие NTFS;

6. Значительное снижение быстродействия если диска заполнен на 80%.

Возможности NTFS по отношению к FAT:

1. Средства разграничения доступа как к файлам так и разделам диска.
2. Шифрование файла.
3. RAID – дисковый массив, зеркалирование диска.
4. Volume Set – возможность объединять в один логический том несколько разделов на логических и физических дисках.
5. Hard link. Файл может иметь несколько жёстких ссылок, то есть одновременно фигурировать на диске под различными именами и/или различных каталогах. Количество жёстких ссылок файла (то есть количество его имён) хранится в метаинформации на уровне файловой системы.
6. Переходы. Внутри каталога можно смонтировать физический диск.
7. Квотирование дискового пространства.
8. Ведение журнала изменений.

34. Назначение и структура алгоритмов шифрования. Обзор криптографических методов (электронная подпись, суммирование по ключу, применение генераторов псевдослучайных чисел). Структура алгоритмов шифрования и их эволюция.

Криптография - это наука о защите информации. Шифрование решает одну из основных проблем защиты информации – а именно, проблему обеспечения конфиденциальности данных. Большое число современных алгоритмов шифрования работают весьма схожим образом: над шифруемым текстом выполняется некое преобразование с участием ключа шифрования, которое повторяется определенное число раз (раундов).

Потоковые шифры

В потоковых шифрах, т. е. при шифровании потока данных, каждый бит исходной информации шифруется независимо от других с помощью гаммирования.

Гаммирование - наложение на открытые данные гаммы шифра (случайной или псевдослучайной последовательности единиц и нулей) по определенному правилу. Обычно используется "исключающее ИЛИ", называемое также сложением по модулю 2 и реализуемое в ассемблерных программах командой XOR. Для расшифровывания та же гамма накладывается на зашифрованные данные.

Бесконечный ключ – это означает, что гамма не повторяется.

Понятно, что обмен ключами размером с шифруемую информацию не всегда уместен. Поэтому чаще используют гамму, получаемую с помощью генератора псевдослучайных чисел (ПСЧ). В этом случае ключ - порождающее число (начальное значение, вектор инициализации, initializing value, IV) для запуска генератора ПСЧ. Каждый генератор ПСЧ имеет период, после которого генерируемая последовательность повторяется. Очевидно, что период псевдослучайной гаммы должен превышать длину шифруемой информации.

Генератор ПСЧ считается корректным, если наблюдение фрагментов его выхода не позволяет восстановить пропущенные части или всю последовательность при известном алгоритме, но неизвестном начальном значении.

При использовании генератора ПСЧ возможны несколько вариантов:

1. Побитовое шифрование потока данных. Цифровой ключ используется в качестве начального значения генератора ПСЧ, а выходной поток битов суммируется по модулю 2 с исходной информацией. В таких системах отсутствует свойство распространения ошибок.

2. Побитовое шифрование потока данных с обратной связью (ОС) по шифртексту. Такая система аналогична предыдущей, за исключением того, что шифртекст возвращается в качестве параметра в генератор ПСЧ. Характерно свойство распространения ошибок. Область распространения ошибки зависит от структуры генератора ПСЧ.

3. Побитовое шифрование потока данных с ОС по исходному тексту. Базой генератора ПСЧ является исходная информация. Характерно свойство неограниченного распространения ошибки.

4. Побитовое шифрование потока данных с ОС по шифртексту и по исходному тексту.

Блочные шифры

При блочном шифровании информация разбивается на блоки фиксированной длины и шифруется поблочно. Блочные шифры бывают двух основных видов:

• шифры перестановки (transposition, permutation, P-блоки);
• шифры замены (подстановки, substitution, S-блоки).

Шифры перестановок переставляют элементы открытых данных (биты, буквы, символы) в некотором новом порядке. Различают шифры горизонтальной, вертикальной, двойной перестановки, решетки, лабиринты, лозунговые и др.

Шифры замены заменяют элементы открытых данных на другие элементы по определенному правилу. Paзличают шифры простой, сложной, парной замены, буквенно-слоговое шифрование и шифры колонной замены. Шифры замены делятся на две группы:

• моноалфавитные (код Цезаря);
• полиалфавитные (шифр Видженера, цилиндр Джефферсона, диск Уэтстоуна, Enigma).

В моноалфавитных шифрах замены буква исходного текста заменяется на другую, заранее определенную букву. Например в коде Цезаря буква заменяется на букву, отстоящую от нее в латинском алфавите на некоторое число позиций. Очевидно, что такой шифр взламывается совсем просто. Нужно подсчитать, как часто встречаются буквы в зашифрованном тексте, и сопоставить результат с известной для каждого языка частотой встречаемости букв.

В полиалфавитных подстановках для замены некоторого символа исходного сообщения в каждом случае его появления последовательно используются различные символы из некоторого набора. Понятно, что этот набор не бесконечен, через какое-то количество символов его нужно использовать снова. В этом слабость чисто полиалфавитных шифров.

В современных криптографических системах, как правило, используют оба способа шифрования (замены и перестановки). Такой шифратор называют составным (product cipher). Oн более стойкий, чем шифратор, использующий только замены или перестановки.

Блочное шифрование можно осуществлять двояко:

1. Без обратной связи (ОС). Несколько битов (блок) исходного текста шифруются одновременно, и каждый бит исходного текста влияет на каждый бит шифртекста. Однако взаимного влияния блоков нет, то есть два одинаковых блока исходного текста будут представлены одинаковым шифртекстом. Поэтому подобные алгоритмы можно использовать только для шифрования случайной последовательности битов (например, ключей). Примерами являются DES в режиме ECB и ГОСТ 28147-89 в режиме простой замены.

2. С обратной связью. Обычно ОС организуется так: предыдущий шифрованный блок складывается по модулю 2 с текущим блоком. В качестве первого блока в цепи ОС используется инициализирующее значение. Ошибка в одном бите влияет на два блока - ошибочный и следующий за ним. Пример - DES в режиме CBC.

Генератор ПСЧ может применяться и при блочном шифровании:

1. Поблочное шифрование потока данных. Шифрование последовательных блоков (подстановки и перестановки) зависит от генератора ПСЧ, управляемого ключом.

2. Поблочное шифрование потока данных с ОС. Генератор ПСЧ управляется шифрованным или исходным текстом или обоими вместе.

1. Алгоритм шифрования DES (Data Encryption Standart) и его модификации (на примерах). Область применения, понятие криптостойкости.

Потоковые шифры

В потоковых шифрах, т. е. при шифровании потока данных, каждый бит исходной информации шифруется независимо от других с помощью гаммирования.

Гаммирование - наложение на открытые данные гаммы шифра (случайной или псевдослучайной последовательности единиц и нулей) по определенному правилу. Обычно используется "исключающее ИЛИ", называемое также сложением по модулю 2 и реализуемое в ассемблерных программах командой XOR. Для расшифровывания та же гамма накладывается на зашифрованные данные.

Бесконечный ключ – это означает, что гамма не повторяется.

В некоторых потоковых шифрах ключ короче сообщения. Так, в системе Вернама для телеграфа используется бумажное кольцо, содержащее гамму. Конечно, стойкость такого шифра не идеальна.

Понятно, что обмен ключами размером с шифруемую информацию не всегда уместен. Поэтому чаще используют гамму, получаемую с помощью генератора псевдослучайных чисел (ПСЧ). В этом случае ключ - порождающее число (начальное значение, вектор инициализации, initializing value, IV) для запуска генератора ПСЧ. Каждый генератор ПСЧ имеет период, после которого генерируемая последовательность повторяется. Очевидно, что период псевдослучайной гаммы должен превышать длину шифруемой информации.

Генератор ПСЧ считается корректным, если наблюдение фрагментов его выхода не позволяет восстановить пропущенные части или всю последовательность при известном алгоритме, но неизвестном начальном значении.

При использовании генератора ПСЧ возможны несколько вариантов:

1. Побитовое шифрование потока данных. Цифровой ключ используется в качестве начального значения генератора ПСЧ, а выходной поток битов суммируется по модулю 2 с исходной информацией. В таких системах отсутствует свойство распространения ошибок.

2. Побитовое шифрование потока данных с обратной связью (ОС) по шифртексту. Такая система аналогична предыдущей, за исключением того, что шифртекст возвращается в качестве параметра в генератор ПСЧ. Характерно свойство распространения ошибок. Область распространения ошибки зависит от структуры генератора ПСЧ.

3. Побитовое шифрование потока данных с ОС по исходному тексту. Базой генератора ПСЧ является исходная информация. Характерно свойство неограниченного распространения ошибки.

4. Побитовое шифрование потока данных с ОС по шифртексту и по исходному тексту.

Блочные шифры

При блочном шифровании информация разбивается на блоки фиксированной длины и шифруется поблочно. Блочные шифры бывают двух основных видов:

• шифры перестановки (transposition, permutation, P-блоки);
• шифры замены (подстановки, substitution, S-блоки).

Шифры перестановок переставляют элементы открытых данных (биты, буквы, символы) в некотором новом порядке. Различают шифры горизонтальной, вертикальной, двойной перестановки, решетки, лабиринты, лозунговые и др.

Шифры замены заменяют элементы открытых данных на другие элементы по определенному правилу. Paзличают шифры простой, сложной, парной замены, буквенно-слоговое шифрование и шифры колонной замены. Шифры замены делятся на две группы:

• моноалфавитные (код Цезаря);
• полиалфавитные (шифр Видженера, цилиндр Джефферсона, диск Уэтстоуна, Enigma).

В моноалфавитных шифрах замены буква исходного текста заменяется на другую, заранее определенную букву. Например в коде Цезаря буква заменяется на букву, отстоящую от нее в латинском алфавите на некоторое число позиций. Очевидно, что такой шифр взламывается совсем просто. Нужно подсчитать, как часто встречаются буквы в зашифрованном тексте, и сопоставить результат с известной для каждого языка частотой встречаемости букв.

В полиалфавитных подстановках для замены некоторого символа исходного сообщения в каждом случае его появления последовательно используются различные символы из некоторого набора. Понятно, что этот набор не бесконечен, через какое-то количество символов его нужно использовать снова. В этом слабость чисто полиалфавитных шифров.

В современных криптографических системах, как правило, используют оба способа шифрования (замены и перестановки). Такой шифратор называют составным (product cipher). Oн более стойкий, чем шифратор, использующий только замены или перестановки.

Блочное шифрование можно осуществлять двояко:

1. Без обратной связи (ОС). Несколько битов (блок) исходного текста шифруются одновременно, и каждый бит исходного текста влияет на каждый бит шифртекста. Однако взаимного влияния блоков нет, то есть два одинаковых блока исходного текста будут представлены одинаковым шифртекстом. Поэтому подобные алгоритмы можно использовать только для шифрования случайной последовательности битов (например, ключей). Примерами являются DES в режиме ECB и ГОСТ 28147-89 в режиме простой замены.

2. С обратной связью. Обычно ОС организуется так: предыдущий шифрованный блок складывается по модулю 2 с текущим блоком. В качестве первого блока в цепи ОС используется инициализирующее значение. Ошибка в одном бите влияет на два блока - ошибочный и следующий за ним. Пример - DES в режиме CBC.

Генератор ПСЧ может применяться и при блочном шифровании:

1. Поблочное шифрование потока данных. Шифрование последовательных блоков (подстановки и перестановки) зависит от генератора ПСЧ, управляемого ключом.

2. Поблочное шифрование потока данных с ОС. Генератор ПСЧ управляется шифрованным или исходным текстом или обоими вместе.

 

36. Алгоритм шифрования RSA (RSA - Rivest, Shamir and Aldeman) и его модификации (на примерах). Область применения, понятие криптостойкости.

Слабые и сильные места

Слабое место Windows — недостаточная стабильность и совместимость (вызванная неполным соблюдением принятых протоколов). Однако в ведётся активная работа над улучшением.

Сильные позиции Windows — эргономичность, большое количество ПО, чуткость к запросам так называемого «среднего пользователя» и собственные «стандарты де-факто», установившиеся в IT-области благодаря её доминирующему положению.

 

 

Принципы защиты

Брандмауэры сетевого уровня защищают сеть от атак, при которых злоумышленники отыскивают бреши в защите сети или пытаются использовать уязвимости внутренних серверов сети. Эти брандмауэры не защищают сеть от червей и вирусов, передающихся через легитимный трафик, как, например, вложенные файлы электронной почты или при загрузке файлов из сети. К сожалению, пользователи не всегда подключают свои компьютеры к Internet через защищенные брандмауэром соединения. Администраторы корпоративных сетей могут минимизировать эти риски, применяя на сетевых компьютерах пользователей персональные брандмауэры, такие как брандмауэр Windows.

 

Как и другие брандмауэры сетевого уровня, брандмауэр Windows проверяет весь входящий трафик и блокирует весь трафик, который не запрошен пользователем и не разрешен списками доступа ACL. Брандмауэр Windows использует технологию определения состояния подключения для определения запрошенного трафика. При Web-серфинге брандмауэр запоминает соединения браузера и динамически открывает порт для получения данных на локальном компьютере. После закрытия соединения брандмауэр автоматически закрывает порт.

 

Использование персональных брандмауэров типа брандмауэра Windows на настольных компьютерах в дополнение к общей защите периметра сети позволяет достичь более высокой степени безопасности корпоративной сети. Персональные брандмауэры, установленные на настольных системах, позволяют предотвратить распространение вредоносных программ и минимизировать возможный ущерб.

 

Брэндмауэр требует установки и настройки на каждом отдельном компьютере в сети. Брэндмауэр Windows является чувствительным к состоянию подключения, т.е. когда компьютер подключен к корпоративной сети, можно использовать более мягкие правила защиты, чем когда компьютер подключен к Internet и необходима максимальная защита. Защиту брандмауэра Windows следует включить даже в случае подключения к локальной корпоративной сети, чтобы исключить распространение червей, использующих для распространения подключение к случайным портам или сканирование портов.

 

Брэндмауэр обеспечивает:

· Безопасность

· Конфиденциальность

· Надежность

· Бизнес-практики

 

Прикладные шлюзы имеют ряд серьезных преимуществ по сравнению с обычным режимом, при котором прикладной траффик пропускается напрямую к внутренним хостам. Они включают в себя:

· скрытие информации, при котором имена внутренних систем необязательно будут известны внешним системам с помощью DNS, так как прикладной шлюз может быть единственным хостом, чье имя должно быть известно внешним системам.

· надежная аутентификация и протоколирование, при котором прикладной траффик может быть предварительно аутентифицирован до того, как он достигнет внутренних хостов, и может быть запротоколирован более эффективно, чем стандартные средства протоколирования хоста.

· оптимальное соотношение между ценой и эффективностью из-за того, что дополнительные программы или оборудование для аутентификации или протоколирования нужно устанавливать только на прикладном шлюзе.

· простые правила фильтрации, так как правила на маршрутизаторе с фильтрацией пакетов будут менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной траффик и отправлял его большому числу внутренних систем. Маршрутизатор должен только пропускать прикладной траффик к прикладному шлюзу и блокировать весь остальной траффик.

 

40. UNIX системы. Краткая историческая справка. Архитектура ОС UNIX (на основе сравнения с архитектурой Windows NT).

UNIX (читается ю́никс) — группа переносимых, многозадачных и многопользовательских операционных систем.

 

Первая система UNIX была разработана в 1969 г. в подразделении Bell Labs компании AT&T. С тех пор было создано большое количество различных UNIX-систем. Юридически лишь некоторые из них имеют полное право называться «UNIX»; остальные же, хотя и используют сходные концепции и технологии, объединяются термином «UNIX-подобные» (англ. Unix-like).

 

Некоторые отличительные признаки UNIX-систем включают в себя:

1) Использование простых текстовых файлов для настройки и управления системой;

2) Широкое применение утилит, запускаемых в командной строке (Утилита – это программа, расширяющая стандартные возможности оборудования и ОС, выполняющая узкий круг специфических задач.);

3) Взаимодействие с пользователем посредством виртуального устройства — терминала;

4) Представление физических и виртуальных устройств и некоторых средств межпроцессового взаимодействия как файлов;

5) Использование конвейеров из нескольких программ, каждая из которых выполняет одну задачу.

 

В настоящее время UNIX используются в основном на серверах, а также как встроенные системы для различного оборудования. На рынке ОС для рабочих станций и домашнего применения лидером является Microsoft Windows, UNIX занимает только второе (Mac OS X) и третье (GNU/Linux) места.