Під час роботи розподіл пам'яті сервера відбувається динамічно. Межа між зонами пам'я-ті сервера рухома та переміщується залежно від потреб кожної зони. Якщо трапився збій у роботі програми захищеної зони, межа фіксується і аварійний nlm не може забрати пам'ять у супервізорної зони.

Система простежування трансакцій захищає результати роботи програм баз даних, вчасно поновлюючи попередній стан їхніх файлів, якщо виникла системна помилка. Просте-жування трансакцій є стандартним механізмом Netware, його можна ввімкнути або вимкнути.

Навіть якщо на сервері нема баз даних, TTS все-таки є корисною, оскільки захищає бази eDirectory та файли черг до ресурсів.

Останнім часом багато СКБД мають механізми захисту та поновлення трансакцій. Як звичайно, вони реалізовані на рівні СКБД. У Netware ця операція діє на рівні операційної системи. Такий підхід дає багато переваг, зокрема:*

усі трансакції відбуваються на сервері. Зменшується кількість інформації, яку пере-дають мережею. Механізм трансакцій використовує Netware'iвський кеш;*

підтримка програм, які не мають вбудованих механізмів опрацювання трансакцій. Якщо програма блокує файл бази або його запис, то операційна система вважає це початком трансакції. Коли блокування припиняється, вважають, що трансакція успішно закін-чилася.

Причини порушення даних можуть бути такі:*

вимкнення живлення сервера або робочої станції під час трансакції;*

збій апаратного забезпечення сервера або робочої станції (наприклад, помилка парності і або адаптера мережі); *

"зависання" сервера або станції під час трансакції (збій програмного забезпечення); *

збій або поломка апаратної компоненти мережі; тимчасове перевантаження комп'ютера, яке виявляється як неможливість виконувати трансакцію у визначений час.

У випадку збою сервера попередній стан баз даних поновлюється під час поновного його ввімкнення. Якщо трапився збій робочої станції, TTS виконує поновлення негайно.

Захист TTS діє тільки для файлів баз даних, деяких застосувань електронної пошти та інших файлів, які побудовані з записів.

TTS гарантує, що будь-яка зміна файлу або відбувається повністю, або не відбувається взагалі. Для того, щоб увімкнути для файлу TTS, треба задати для нього атрибут Transactional. Такий файл не можна знищити або перейменувати.

На початку трансакції сервер робить копію файлу. Після цього відбуваються зміни в головному файлі. Коли трансакція закінчується, файл копії знищують.

Оскільки деякі застосування роблять деякі записи постійно блокованими (звичайно для захисту від копіювання), то у Novell Netware можна задати межу блокування - кількість блокованих записів, за якої починає працювати TTS.

4. Захист даних від несанкціонованого доступу

Для захисту даних від несанкціонованого доступу в Novell Netware 4.x є ціла система, яку зручно розділити на такі компоненти:*

захист під час реєстрації у системі (login security) - обмежує коло осіб, які можуть увійти в систему;*

визначення довірених осіб - обмежує коло користувачів, які мають доступ до певного файлу, каталогу або об'єкта eDirectory;*

список прав - визначає рівень доступу та специфічні операції, які можна виконувати з даними;*

спадковість прав - передає права з верхніх рівнів ієрархії на нижні;*

атрибути - описують операції, які можна виконувати з файлами або каталогами неза-лежно від прав конкретного користувача;*

ефективні права - вислідні права, які формуються як комбінація призначених, успад-кованих, групових та еквівалентних прав;*

розпізнавання (authentification) - перевіряє правомірність кожної операції між клієнтом та сервером, запобігає втручанню зловмисника під час трансакції;*

електронне підписування пакетів - запобігає підміні пакетів, які передають мережею;*

контролювання (audit) діяльності системи. Дає змогу незалежним від адміністратора аудиторам перевіряти діяльність усієї системи або її частини з метою відшукання незапланованих або несанкціонованих подій.

Захист під час реєстрування у системі дає змогу входити в систему тільки повноправно-му користувачу, який знає ім'я, контекст та пароль конкретного об'єкта типу Користувач. Подальші обмеження щодо входження у систему можна задати у властивостях користувацького об'єкта. Такими обмеженнями можуть бути час та місце реєстрування, період дії бюджету користувача, потреба періодичної зміни пароля, обмеження щодо мінімальної довжини пароля. Деякі користувачі постійно дають одні й ті ж паролі. Щоб запобігти цьому. Netware пам'ятає вісім останніх паролів для кожного користувача і не допускає їхнього повторного використання.

Паролі зашифровані й не висвітлюються на екрані та ніколи не передаються мережею (тому їх не можна перехопити). Пароль може підтверджувати кожну дію користувача.

Розпізнавання - це перевірка того, чи мас об'єкт, який надсилає запит на якусь послугу, право на неї.

Крім обмежень на входження у мережу та прав доступу, розпізнавання гарантує безпеку у мережі. Єдиною операцією розпізнавання, яку бачить користувач, є введення ним пароля під час реєстрування в системі. Решта операцій виконується прозоро.

У цьому випадку використана комбінація локального ключа станції та загального ключа сервера. Процес складається з таких етапів:*

користувач надсилає своє ім'я серверу;*

сервер надсилає на станцію зашифрований локальний ключ;*

станція використовує пароль для дешифрування локального ключа та локальний ключ для побудови ідентифікатора; ідентифікатор надсилає серверу;*

сервер використовує загальний ключ для дешифрування ідентифікатора; якщо все правильно, сервер дозволяє станції працювати.

Таку систему називають системою кодування з загальним ключем. Ключі - це послідов-ності символів, які використовують у складних математичних формулах. Жоден з ключів не передають мережею в незашифрованому вигляді. Ключі не змінюються тільки під час кон-кретного сеансу роботи користувача. У найгіршому випадку, якщо ключ перехоплено, то пере-хопленою буде інформація тільки з цього сеансу.

Підсистема розпізнавання. Однією з важливих компонент системи безпеки даних у Netware є служба розпізнавання (Secure Authentication Services (SAS)). її інсталюють як окремий сервіс Netware. В Netware 5 система розпізнавання та шифрування повністю інтегрована в eDirectory та використовує схему з відкритими і приватними ключами.

Така система застосовує для кожного захищеного об'єкта