Затверджую

Вид материала

Документы

Содержание 6.1.4 Сервіс „Використання ресурсів” 6.1.4.1.1.Дискові квоти 6.1.4.1.2. Пріоритети виконання процесів 6.1.4.2 Співставлення сервісу з функціональними вимогами безпеки 6.1.5 Сервіс „Гаряча заміна” 6.1.5.2 Співставлення сервісу з функціональними вимогами безпеки

Подобный материал:

• Затверджую затверджую голова Кримського Голова Державної податкової Республіканського, 117.84kb.
• “Затверджую”, 639.38kb.
• Юрія Федьковича «затверджую», 585.95kb.
• Володимира Даля "затверджую", 183.23kb.
• Затверджую: Проректор з навчальної роботи, 59.36kb.
• «Затверджую», 21.74kb.
• Юрія Федьковича " затверджую, 825.92kb.
• Юрія Федьковича " затверджую, 245.34kb.
• Юрія Федьковича " затверджую, 501.24kb.
• Затверджую прийнятий на засіданні, 1283.44kb.

6.1.4 Сервіс „Використання ресурсів”

6.1.4.1 Опис сервісу

Специфікація сервісу здійснюється з врахуванням рівня функціональної послуги безпеки "Квоти" (підпункт 5.2.3.1) Сервіс „Використання ресурсів” включає наступні логічно відокремлені функціональні компоненти щодо:

• використання дискових квот;
  
• пріоритетів виконання процесів.
  

6.1.4.1.1.Дискові квоти

В ОЕ реалізована можливість обмежувати на певному томі NTFS обсяг доступного для користувача дискового простору, тобто встановлювати дискові квоти. Механізм дискових квот дозволяє уповноваженому адміністратору наступне:

• включати або виключати використання дискових квот на обраному томі NTFS;
  
• вказувати розмір квоти, яка виділяється за умовчанням;
  
• задавати межу видачі попереджень про вичерпання квоти;
  
• визначати дію при перевищенні квоти.
  

Граничний розмір квоти, що виділяється, і межа попереджень можуть бути встановлені для кожного облікового запису окремо. Всі інші параметри дискових квот застосовуються для всіх користувачів окремого тому однаково. Зайнятий користувачем дисковий простір обчислюється на основі атрибута об'єктів, що визначає їх власників. Власник об’єкта розпізнається за допомогою ідентифікатора безпеки (SID) користувача, який знаходиться в дескрипторі безпеки об’єкта. Якщо користувач вперше створює об'єкт на дисковому томі з дозволеним квотуванням, для його облікового запису формується запис квоти (якщо він не був створений адміністратором явно). Цей запис квоти містить значення обсягу дискового простору і межу видачі попереджень, встановлених для облікового запису користувача. Щораз, коли для даного облікового запису необхідно виділити дисковий простір (наприклад, при створенні або зміні об'єкта), перевіряється розмір виділеної квоти, межа попереджень і відбувається зміна запису квоти для цього облікового запису. При перевищенні межі видачі попереджень користувач отримує відповідне повідомлення, а при досягненні установленого розміру квоти - відмову у виділенні дискового простору.

6.1.4.1.2. Пріоритети виконання процесів

Пріоритет процесу визначає обсяг процесорного часу, який виділяється для виконання процесу. Пріоритети процесів режиму користувача можуть змінюватися адміністратором.


6.1.4.2 Співставлення сервісу з функціональними вимогами безпеки

Позначення функції безпеки	Опис функції безпеки	Позначення елемента вимог	Опис елемента вимог
ВР–1	Політика використання ресурсів, що реалізується КЗЗ відноситься до файлових томів NTFS та процесів (підпункт 6.1.4.1)	1-ДР-1.1	Політика використання ресурсів, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься
ВР–2.1	Політика використання дискового простору дозволяє визначити обмеження на обсяг дискового простору (дискові квоти), який використовується конкретним користувачем або групою користувачів на даному томі (розділі) диску (підпункт 6.1.4.1.1)	1-ДР-2.1	Політика використання ресурсів повинна визначати обмеження, які можна накладати, на кількість даних об'єктів (обсяг ресурсів), що виділяються окремому користувачу
ВР–2.2	Політика використання процесорного часу дозволяє визначити кількість процесорного часу, який виділяється для виконання окремого процесу (підпункт 6.1.4.1.2)
ВР–3.1	Зміна обмежень на обсяг дискового простору для конкретних користувачів або групи користувачів може бути здійснена тільки адміністратором або уповноваженим користувачем (підпункт 6.1.4.1.1)	1-ДР-3.1	Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів або від користувачів, яким надані відповідні повноваження
ВР–3.2	Адміністратору надається можливість встановити пріоритет виконання кожному процесу рівня користувача (підпункт 6.1.4.1.2)

6.1.5 Сервіс „Гаряча заміна”

6.1.5.1 Опис сервісу

Специфікація сервісу здійснюється з урахуванням рівня функціональної послуги безпеки „Модернізація” (підпункт 6.2.4.1). Сервіс реалізовано в ОЕ за технологією Plug and Play.

Технологія Plug and Play підтримує автоматичну настройку конфігурації ОЕ при підключенні/видаленні пристроїв, що не потребує виключення комп’ютера або повторної інсталяції ОЕ. Реалізація Plug and Play виконується на рівні апаратних засобів, BIOS, ОС та драйверів пристроїв. Використання технології Plug and Play гарантує доступність ОЕ в процесі заміни окремих компонентів комп’ютеру і не призводить до порушення політики безпеки. ОЕ дозволяє надати права на проведення модернізації тільки членам групи „Адміністратори” (Administrators) або уповноваженим користувачам.

Основні функції технології Plug and Play в ОЕ:

• автоматичне розпізнання встановлених апаратних засобів - функція реалізується при початковій інсталяції ОЕ, при змінах в технічному забезпеченні ОЕ та при установці або видаленні пристроїв;
  
• призначення та розподіл апаратних ресурсів - диспетчер Plug and Play (Plug and Play Manager) на підставі запитів на призначення ресурсів, які подаються кожним пристроєм, призначає їм необхідні ресурси (порти введення/виведення, переривання (IRQ), канали DMA, адреси пам’яті). При необхідності диспетчер Plug and Play перерозподіляє призначення ресурсів, наприклад, при додаванні в систему нового пристрою;
  
• завантаження відповідних драйверів - диспетчер Plug and Play визначає, які драйвери необхідні для підтримки конкретного пристрою та виконує завантаження цих драйверів;
  
• інтерфейс для взаємодії драйверів з Plug and Play - складається з процедур введення/виведення, пакетів запитів введення/виведення для Plug and Play (I/O Request Packets, IRP), точок входу драйверів та інформації реєстру;
  
• взаємодія з системою керування електроживленням - реалізує динамічне переведення пристроїв в режим енергозбереження та навпаки;
  
• реєстрація подій повідомлень пристроїв - надає адміністратору можливість реєструвати та переглядати повідомлення щодо пристроїв Plug and Play.
  

6.1.5.2 Співставлення сервісу з функціональними вимогами безпеки

Позначення функції безпеки	Опис функції безпеки	Позначення елемента вимог	Опис елемента вимог
ГЗ–1	Модернізація КС може бути проведена в будь-який момент часу для тих пристроїв, які підтримують технологію Plug and Play (підпункт 6.1.5.1)	1-ДЗ-1.1	Політика гарячої заміни, що реалізується КЗЗ, повинна визначати політику проведення модернізації КС
ГЗ–2	Адміністратор або уповноважений користувач можуть ініціювати процедури технології Plug and Play, які застосовуються для підтримки модернізації КС (підпункт 6.1.5.1)	1-ДЗ-2.1	Адміністратор або користувачі, яким надані відповідні повноваження, повинні мати можливість провести модернізацію (upgrade) КС
ГЗ–3	Модернізація КС за технологією Plug and Play не викликає необхідності повторної інсталяції ОС і проводиться під контролем КЗЗ (підпункт 6.1.5.1)	1-ДЗ-2.2	Модернізація КС не повинна призводити до необхідності ще раз проводити інсталяцію КС або до переривання виконання КЗЗ функцій захисту