多くのオペレーティング システムには、さまざまな技術を使用したアクセス制御機能が用意されています。 確立されたメインフレーム オペレーティング システムである IBM の z/OS には、SAF(System Authorization Facility、システム許可機能)が組み込まれています。SAF は、ユーザの権限を検証するためにオペレーティング システム自体が発行する一連のコールです。
z/OS 環境では、アクセス制御ソフトウェアによって SAF コールのリターン コードが設定されます。z/OS はこのコードに従ってアクセスを許可または拒否します。 設定されるリターン コードは、セキュリティ管理者がセキュリティ データベースに定義したアクセス ルールおよびアクセス ポリシーに基づいて決定されます。
OS/2 などの他のオペレーティング システムでも、アクセス制御のために同様の技術が使用されています。 OS/2 の SES(Security Enabling Services)というアクセス制御モジュールは、z/OS の SAF と同じ概念に基づいています。
しかし、残念ながら、UNIX ベースのオペレーティング システムはこのように設計されていません。 主にファイル アクセスに対して権限の決定が行われます。また、権限の決定は、ファイルの i-node エントリの 9 ビット(rwx‑rwx‑rwx)を使用して、オペレーティング システムによって実行されます。 SAF とは異なり、イベント インターセプトの exit ポイントは用意されていません。 したがって、メインフレーム タイプのセキュリティ パッケージの機能よりも複雑なセキュリティ機能を実行するには、さらに高度なセキュリティが必要です。
|
Copyright © 2013 CA.
All rights reserved.
|
|