Majburiy kirishni boshqarish - Mandatory access control

Yilda kompyuter xavfsizligi, majburiy kirishni boshqarish (MAC) turiga ishora qiladi kirishni boshqarish tomonidan operatsion tizim qobiliyatini cheklaydi Mavzu yoki tashabbuskor ga kirish yoki odatda biron bir operatsiyani bajarish uchun ob'ekt yoki nishon.[1] Amalda, mavzu odatda jarayon yoki mavzu; ob'ektlar bu fayllar, kataloglar, TCP /UDP portlar, umumiy xotira segmentlari, IO qurilmalari va boshqalar. Mavzular va ob'ektlarning har biri xavfsizlik atributlari to'plamiga ega. Mavzu ob'ektga kirishga harakat qilganda, operatsion tizim tomonidan amalga oshiriladigan avtorizatsiya qoidasi yadro ushbu xavfsizlik atributlarini o'rganadi va kirish mumkinmi yoki yo'qligini hal qiladi. Har qanday predmet tomonidan biron bir ob'ektdagi har qanday operatsiya avtorizatsiya qoidalari bo'yicha sinovdan o'tkaziladi (aka siyosat) operatsiyaga ruxsat berilganligini aniqlash uchun. A ma'lumotlar bazasini boshqarish tizimi, kirishni boshqarish mexanizmida, shuningdek, kirishni majburiy boshqarishni qo'llashi mumkin; bu holda ob'ektlar jadvallar, ko'rinishlar, protseduralar va boshqalar.

Majburiy kirish nazorati bilan ushbu xavfsizlik siyosati xavfsizlik siyosati ma'muri tomonidan markazdan boshqariladi; foydalanuvchilar qoidalarni bekor qilish qobiliyatiga ega emas va masalan, aks holda cheklanishi mumkin bo'lgan fayllarga kirish huquqini beradi. Aksincha, erkin foydalanishni boshqarish (DAC), shuningdek sub'ektlarning ob'ektlarga kirish qobiliyatini boshqaradi, foydalanuvchilarga siyosiy qarorlar qabul qilish va / yoki xavfsizlik atributlarini tayinlash imkoniyatini beradi. (An'anaviy Unix foydalanuvchilar, guruhlar tizimi va o'qish-yozish-bajarish uchun ruxsatnomalar DAC-ga misoldir.) MAC-ni qo'llab-quvvatlaydigan tizimlar siyosat ma'murlariga tashkilot miqyosida xavfsizlik siyosatini amalga oshirishga imkon beradi. MAC ostida (va DACdan farqli o'laroq), foydalanuvchilar ushbu siyosatni tasodifiy yoki qasddan bekor qila olmaydi yoki o'zgartira olmaydi. Bu xavfsizlik ma'murlariga barcha foydalanuvchilar uchun bajarilishi kafolatlangan (printsipial jihatdan) markaziy siyosatni belgilashga imkon beradi.

Tarixiy va an'anaviy ravishda MAC bilan chambarchas bog'liq bo'lgan ko'p darajali xavfsizlik (MLS) va maxsus harbiy tizimlar. Shu nuqtai nazardan, MAC MLS tizimlarining cheklovlarini qondirish uchun yuqori darajadagi qat'iylikni nazarda tutadi. Ammo yaqinda MAC MLS maydonidan chiqib ketdi va asosiy oqimga aylana boshladi. Kabi so'nggi MAC dasturlari SELinux va AppArmor Linux uchun Majburiy yaxlitlikni boshqarish Windows uchun ma'murlarga tarmoq hujumlari va zararli dasturlar kabi muammolarga MLS-ning qat'iyligi va cheklovlarisiz e'tibor qaratishlariga imkon bering.

Tarixiy ma'lumot va ko'p darajali xavfsizlikning natijalari

Tarixiy jihatdan MAC juda kuchli bog'liq edi ko'p darajali xavfsizlik (MLS) AQSh maxfiy ma'lumotlarini himoya qilish vositasi sifatida. The Ishonchli kompyuter tizimini baholash mezonlari (TCSEC), ushbu mavzu bo'yicha yakuniy ish, MACning asl ta'rifini "ob'ektlar tarkibidagi ma'lumotlarning sezgirligi (yorliq bilan ko'rsatilganidek) va rasmiy avtorizatsiya asosida ob'ektlarga kirishni cheklash vositasi" (ya'ni , sub'ektlarning bunday sezgir ma'lumotlarga ega bo'lishlari ".[2] Honeywell kompaniyasining SCOMP, USAF SACDIN, NSA Blacker va Boeing-ning MLS LAN kabi MAC-larining dastlabki tatbiq etilishi MLS-ga harbiy xavfsizlikka asoslangan xavfsizlik tasniflash darajasini mustahkam ijro etilishi bilan himoya qilishga qaratilgan.

MAC-da majburiy atama harbiy tizimlarda ishlatilishidan kelib chiqadigan maxsus ma'noga ega bo'ldi. Shu nuqtai nazardan, MAC boshqaruv mexanizmlari har qanday buzg'unchilik turiga qarshi tura olishiga va shu bilan ularga hukumatning buyrug'i bilan buyurilgan kirish nazorati bajarilishini ta'minlashga imkon beradigan juda yuqori darajadagi mustahkamlikni nazarda tutadi. Ijroiya buyrug'i 12958 AQSh maxfiy ma'lumotlari uchun. Amalga oshirish tijorat dasturlariga qaraganda muhimroq bo'lishi kerak. Bu eng yaxshi harakat mexanizmlari bilan bajarilishini istisno qiladi; MAC uchun faqat vakolatning mutlaq yoki mutlaq bajarilishini ta'minlay oladigan mexanizmlar qabul qilinadi. Bu baland buyurtma va ba'zida yuqori ishonchlilik strategiyasini yaxshi bilmaganlar tomonidan haqiqiy emas deb taxmin qilinadi va ular uchun juda qiyin.

Kuch

Darajalar

Ba'zi tizimlarda foydalanuvchilar boshqa foydalanuvchiga kirish huquqini berish to'g'risida qaror qabul qilish huquqiga ega. Bunga ruxsat berish uchun barcha foydalanuvchilar barcha ma'lumotlar uchun bo'sh joylarga ega. Bu MLS tizimiga tegishli bo'lishi shart emas. Agar tizim muhitidagi ma'lumotlarning har qanday biriga kirish taqiqlanishi mumkin bo'lgan shaxslar yoki jarayonlar mavjud bo'lsa, unda tizimga MACni bajarishga ishonish kerak. Ma'lumotlarni tasniflash va foydalanuvchini tozalashning turli darajalari bo'lishi mumkinligi sababli, bu mustahkamlik uchun miqdoriy o'lchovni nazarda tutadi. Masalan, tasniflangan tizim muhitlari uchun ko'proq mustahkamlik ko'rsatiladi Juda maxfiy maxfiy ma'lumotlarga ega bo'lganlar va hech bo'lmaganda maxfiy ma'lumotlarga ega bo'lgan foydalanuvchilarga qaraganda ma'lumot va tozalanmagan foydalanuvchilar. Mustahkamlik darajasini oshirish va sub'ektivlikni qat'iylik darajasida yo'q qilish uchun mavzuni keng ko'lamli ilmiy tahlil qilish va baholash tizimlarning xavfsizligini kuchliligini aniqlovchi va ularni har xil xavfsizlik muhiti uchun kafolatlangan ishonch darajasiga qadar xaritalashning muhim ko'rsatkichini yaratdi. Natijada CSC-STD-004-85 da hujjatlashtirilgan.[3] Sog'lomlikning nisbatan mustaqil ikkita komponenti aniqlandi: Ishonchlilik darajasi va funktsionallik. Ikkalasi ham ushbu mezonlarga asoslangan sertifikatlarga katta ishonchni kafolatlaydigan aniqlik darajasi bilan ko'rsatilgan.

Baholash

The Umumiy mezonlar[4] ushbu fanga asoslangan va u ishonch darajasini saqlab qolishni maqsad qilgan EAL darajasi va funktsional xususiyatlar Himoya profillari. Ob'ektiv mustahkamlik ko'rsatkichlarining ushbu ikkita muhim tarkibiy qismlaridan faqat EAL darajasi ishonchli saqlanib qoldi. Bir holda, TSSEC C2 darajasi[5] (MAC qobiliyatli toifasi emas) Umumiy Kriteriyalarda ishonchli tarzda saqlanib qolgan Boshqariladigan kirishni himoya qilish to'g'risidagi profil (CAPP).[6] Ko'p darajali xavfsizlik (MLS) himoya profillari (masalan, B2 ga o'xshash MLSOSPP)[7] B2 ga qaraganda umumiyroq. Ular MLSga muvofiq, ammo ularning bajarilishining batafsil talablari yo'q To'q rangli kitob maqsadlarga ko'proq e'tibor qaratadigan o'tmishdoshlar. Bu sertifikatlashtiruvchilarga baholanadigan mahsulotning texnik xususiyatlari baholangan mahsulotlarning maqsadga muvofiqligini, potentsial ravishda yo'qolib ketishini va ishonchliligi past bo'lgan mahsulotlar sertifikatiga ega bo'lishni osonlashtiradimi yoki yo'qligini hal qilishda ko'proq sub'ektiv moslashuvchanlikni beradi. Shu sabablarga ko'ra mahsulotning yaroqliligini aniqlashda Himoya profilining texnik ma'lumotlarining ahamiyati juda muhimdir.

Bunday arxitektura autentifikatsiya qilingan foydalanuvchini yoki ma'lum bir tasnifdagi yoki ishonch darajasidagi jarayonni boshqa darajadagi ma'lumotlarga, jarayonlarga yoki qurilmalarga kirishiga to'sqinlik qiladi. Bu ma'lum va noma'lum bo'lgan foydalanuvchilar va jarayonlarni cheklash mexanizmini ta'minlaydi (noma'lum dastur (masalan) tizim qurilmalar va fayllarga kirishni nazorat qilishi va / yoki boshqarishi kerak bo'lgan ishonchsiz dasturni o'z ichiga olishi mumkin).

Amaliyotlar

Kabi bir nechta MAC dasturlari Unisys ' Qora So'nggi ming yillikning oxirlarida "Maxfiy" ni "Unclassified" dan ajratish uchun etarlicha ishonchli sertifikat mavjud edi. Ularning asosiy texnologiyasi eskirdi va ular yangilanmadi. Bugungi kunda sertifikatlangan amaldagi dasturlar mavjud emas TSSEC ushbu darajadagi ishonchli dastur. Biroq, unchalik kuchli bo'lmagan mahsulotlar mavjud.

  • Amon Ott-ning RSBAC (Rule Set Based Access Control) Linux yadrolari uchun bir necha xil xavfsizlik siyosati / qarorlari modullariga imkon beradigan asos yaratadi. Amalga oshirilgan modellardan biri bu majburiy kirishni boshqarish modeli. RSBAC dizaynining umumiy maqsadi Orange Book (TCSEC) B1 darajasiga (eskirgan) erishishga harakat qilish edi. RSBAC-da foydalaniladigan majburiy kirishni boshqarish modeli asosan Unix System V / MLS, 1.2.1 versiyasi (1989 yilda AQSh Milliy kompyuter xavfsizligi markazi tomonidan B1 / TCSEC klassifikatsiyasi bilan ishlab chiqilgan) bilan bir xil. RSBAC loyiha egasi tomonidan juda yaxshi saqlanadigan fond yadrosi uchun bir qator to'plamlarni talab qiladi.
  • An NSA deb nomlangan tadqiqot loyihasi SELinux ga majburiy kirishni boshqarish arxitekturasi qo'shildi Linux yadrosi 2003 yil avgust oyida Linuxning asosiy yo'nalish versiyasiga qo'shilgan. U Linux 2.6 yadrosi funktsiyasidan foydalanadi LSM (Linux xavfsizlik modullari interfeysi). Red Hat Enterprise Linux versiya 4 (va undan keyingi versiyalar) SELinux yoqilgan yadro bilan ta'minlangan. SELinux tizimdagi barcha jarayonlarni cheklash qobiliyatiga ega bo'lsa-da, sukut bo'yicha maqsadli siyosat REL dan eng zaif dasturlarni cheklaydi cheklanmagan domen unda barcha boshqa dasturlar ishlaydi. RHEL 5 ikkita boshqa ikkilik siyosat turlarini yuboradi: qattiq, bu amalga oshirishga urinishlar eng kam imtiyoz va MLS, unga asoslangan qattiq va qo'shadi MLS yorliqlar. RHEL 5 qo'shimcha MLS yaxshilanishlarini o'z ichiga oladi va 2 ni oladi LSPP / RBACPP / CAPP / EAL4 + sertifikatlari 2007 yil iyun oyida.[8]
  • TOMOYO Linux uchun engil MAC dasturi Linux va O'rnatilgan Linux tomonidan ishlab chiqilgan NTT Data Corporation. U 2009 yil iyun oyida Linux yadrosi magistral versiyasi 2.6.30 versiyasida birlashtirilgan.[9] Dan farqli ravishda yorliqlarga asoslangan tomonidan ishlatiladigan yondashuv SELinux, TOMOYO Linux bajaradi a yo'l nomiga asoslangan Majburiy kirishni boshqarish, tizimning ishlashini tavsiflovchi jarayonni chaqirish tarixiga ko'ra xavfsizlik domenlarini ajratish. Siyosat yo'l nomlari bo'yicha tavsiflanadi. Xavfsizlik domeni shunchaki protsess chaqiruvi zanjiri bilan belgilanadi va mag'lubiyat bilan ifodalanadi. 4 rejim mavjud: o'chirilgan, o'rganish, ruxsat beruvchi, ijro etuvchi. Ma'murlar turli xil domenlar uchun turli xil rejimlarni tayinlashlari mumkin. TOMOYO Linux "o'rganish" rejimini joriy qildi, unda yadroda bo'lgan kirish avtomatik ravishda tahlil qilinadi va MAC siyosatini yaratish uchun saqlanadi: keyinchalik ushbu rejim siyosatni yozishning birinchi bosqichi bo'lishi mumkin, keyinchalik uni sozlashni osonlashtiradi.
  • SUSE Linux va Ubuntu 7.10 MAC dasturini qo'shdi AppArmor. AppArmor Linux 2.6 yadrosi funktsiyasidan foydalanadi LSM (Linux xavfsizlik modullari interfeysi). LSM yadro bilan ta'minlaydi API bu yadro kodining modullariga ACL (DAC ACL, kirishni boshqarish ro'yxatlari) ni boshqarishga imkon beradi. AppArmor barcha dasturlarni cheklash imkoniyatiga ega emas va ixtiyoriy ravishda Linux yadrosida 2.6.36 versiyasidan joy olgan.[10]
  • Linux va boshqa ko'plab Unix tarqatmalarida protsessor (ko'p halqa), disk va xotira uchun MAC mavjud; OS dasturi imtiyozlarni yaxshi boshqara olmasligi bilan birga, Linux 1990-yillarda Unix-ga tegishli bo'lmagan alternativalarga qaraganda ancha xavfsiz va ancha barqaror bo'lib mashhur bo'ldi. Linux distribyutorlari MAC-ni ba'zi qurilmalar uchun eng yaxshi DAC bo'lishini o'chirib qo'yishadi - garchi bu bugungi kunda mavjud bo'lgan har qanday elektronika uchun amal qiladi.
  • grsecurity - bu Linux yadrosi uchun MAC dasturini ta'minlovchi tuzatish (aniqrog'i, bu RBAC amalga oshirish). xavfsizlik xavfsizligi orqali amalga oshirilmaydi LSM API.[11]
  • Microsoft Bilan boshlanadi Windows Vista va Server 2008 Windows o'z ichiga oladi Majburiy yaxlitlikni boshqarish, bu qo'shadi Halollik darajasi (IL) kirish sessiyasida ishlaydigan jarayonlarga. MIC bir xil foydalanuvchi hisobi ostida ishlaydigan va unchalik ishonchli bo'lmagan dasturlarga kirish huquqlarini cheklaydi. Beshta yaxlitlik darajasi aniqlangan: Past, O'rta, Yuqori, Tizim va Ishonchli o'rnatish.[12] Muntazam foydalanuvchi tomonidan boshlangan jarayonlar O'rta ILga ega bo'ladi; ko'tarilgan jarayonlar yuqori ILga ega.[13] Jarayonlar uni tug'dirgan jarayonning yaxlitlik darajasini meros qilib olsa-da, yaxlitlik darajasi har bir jarayon asosida moslashtirilishi mumkin: masalan. IE7 va yuklab olingan dasturlar Low IL bilan ishlaydi. Windows kirish huquqini boshqaradi ob'ektlar IL-larga asoslangan, shuningdek orqali oynali xabarlar chegarasini aniqlash uchun Foydalanuvchi interfeysi imtiyozlarini ajratish. Nomlangan ob'ektlar, shu jumladan fayllar, ro'yxatga olish kitobi kalitlar yoki boshqa narsalar jarayonlar va iplar, yozuvida bor ACL ob'ektdan foydalanishi mumkin bo'lgan jarayonning minimal ILini belgilaydigan ularga kirish huquqini boshqarish. MIC, jarayon faqat ob'ektning IL-ga teng yoki undan yuqori bo'lganida ob'ektga yozishi yoki o'chirishi mumkin. Bundan tashqari, xotiradagi sezgir ma'lumotlarga kirishni oldini olish uchun, jarayonlar o'qish uchun yuqori IL bilan jarayonlarni ocholmaydi.[14]
  • FreeBSD qo'llab-quvvatlaydi Majburiy kirishni boshqarish, TrustedBSD loyihasi doirasida amalga oshirildi. U FreeBSD 5.0-da taqdim etilgan. FreeBSD 7.2-dan beri MAC-ni qo'llab-quvvatlash sukut bo'yicha yoqilgan. Ushbu ramka kengaytirilishi mumkin; kabi turli xil MAC modullari kabi siyosatni amalga oshiradi Biba va ko'p darajali xavfsizlik.
  • Quyoshniki Ishonchli Solaris majburiy va tizim tomonidan qo'llaniladigan kirishni boshqarish mexanizmidan (MAC) foydalanadi, bu erda xavfsizlik siyosatini amalga oshirish uchun ruxsatnomalar va yorliqlardan foydalaniladi. Shunga qaramay, yorliqlarni boshqarish qobiliyati yadroning ishlash kuchini anglatmaydi ko'p darajali xavfsizlik rejimi[iqtibos kerak ]. Yorliqlar va boshqaruv mexanizmlariga kirish imkoni yo'q[iqtibos kerak ] yadro tomonidan saqlanadigan himoyalangan domendagi buzilishlardan qat'iy himoyalangan. Foydalanuvchi ishlaydigan dasturlar sessiyada foydalanuvchi ishlaydigan xavfsizlik yorlig'i bilan birlashtirilgan. Axborot, dastur va qurilmalarga kirish faqat zaif nazorat qilinadi[iqtibos kerak ].
  • Apple-ning Mac OS X MAC ramkasi bu dastur TrustedBSD MAC doirasi.[15] Cheklangan yuqori darajadagi sandboxing interfeysi sandbox_init buyruq qatori funktsiyasi tomonidan ta'minlanadi. Hujjatlar uchun sandbox_init qo'llanma sahifasiga qarang.[16]
  • Oracle Label Security da kirishning majburiy nazoratini amalga oshirish Oracle DBMS.
  • SE-PostgreSQL 2008-01-27 yilgacha bajarilayotgan ish,[17][18] SE-Linux-ga integratsiyani ta'minlash. U qator darajasidagi cheklovlar bilan birgalikda 8.4 versiyasiga qo'shilishga qaratilgan.
  • Ishonchli RUBIX ma'lumotlar bazasining barcha ob'ektlariga kirishni cheklash uchun SE-Linux bilan to'liq birlashtirilgan DBMS-ni majburiy ravishda ishlatishni boshqarish.[19]
  • Astra Linux Uchun ishlab chiqilgan OS Rossiya armiyasi o'z majburiy kirish nazoratiga ega.[20]
  • Smack (Soddalashtirilgan majburiy kirishni boshqarish yadrosi) a Linux yadrosi xavfsizlik moduli ma'lumotlar va jarayonlarning o'zaro ta'sirini zararli manipulyatsiyadan, kirishning odatiy majburiy qoidalari to'plamidan foydalangan holda himoya qiladi, bu esa uning soddaligi, dizaynning asosiy maqsadi.[21] Linux 2.6.25 chiqarilgandan buyon rasmiy ravishda birlashtirildi.[22]
  • ZeroMAC tomonidan yozilgan Piter Gabor Gyulay bu Linux LSM yadrosi patchidir.[23]

Shuningdek qarang

Izohlar

  1. ^ Belim, S. V .; Belim, S. Yu. (Dekabr 2018). "Tarqatilgan tizimlarga kirishni majburiy boshqarishni amalga oshirish". Avtomatik boshqarish va kompyuter fanlari. 52 (8): 1124–1126. doi:10.3103 / S0146411618080357. ISSN  0146-4116.
  2. ^ http://csrc.nist.gov/publications/history/dod85.pdf
  3. ^ "CSC-STD-003-85 ortidagi texnik ratsionallik: kompyuter xavfsizligi talablari". 1985-06-25. Arxivlandi asl nusxasi 2007 yil 15-iyulda. Olingan 2008-03-15.
  4. ^ "Umumiy mezonlar portali". Arxivlandi asl nusxasi 2006-07-18. Olingan 2008-03-15.
  5. ^ AQSh Mudofaa vazirligi (1985 yil dekabr). "DoD 5200.28-STD: ishonchli kompyuter tizimini baholash mezonlari". Olingan 2008-03-15.
  6. ^ "Nazorat qilinadigan kirishdan himoyalangan profil, 1.d versiya".. Milliy xavfsizlik agentligi. 1999-10-08. Arxivlandi asl nusxasi 2012-02-07 da. Olingan 2008-03-15.
  7. ^ "O'rtacha mustahkamlikni talab qiladigan muhitdagi ko'p darajali operatsion tizimlar uchun himoya profil, 1.22-versiya" (PDF). Milliy xavfsizlik agentligi. 2001-05-23. Olingan 2018-10-06.
  8. ^ Milliy axborotni ta'minlash bo'yicha sheriklik. "Umumiy mezonlarni baholash va tasdiqlash sxemasi tasdiqlangan mahsulotlar ro'yxati". Arxivlandi asl nusxasi 2008-03-14. Olingan 2008-03-15.
  9. ^ "TOMOYO Linux, muqobil majburiy kirishni boshqarish". Linux 2 6 30. Linux Kernel Newbies.
  10. ^ "Linux 2.6.36 2010 yil 20 oktyabrda chiqarilgan". Linux 2.6.36. Linux Kernel Newbies.
  11. ^ "Nima uchun xavfsizlik xavfsizlik LSM-dan foydalanmaydi?".
  12. ^ Metyu Konover. "Windows Vista xavfsizlik modelini tahlil qilish". Symantec korporatsiyasi. Arxivlandi asl nusxasi 2008-03-25. Olingan 2007-10-08.
  13. ^ Stiv Rili. "Windows Vista-da majburiy yaxlitlikni boshqarish". Olingan 2007-10-08.
  14. ^ Mark Russinovich. "PsExec, foydalanuvchi hisobini boshqarish va xavfsizlik chegaralari". Olingan 2007-10-08.
  15. ^ TrustedBSD loyihasi. "TrustedBSD majburiy kirishni boshqarish (MAC) Framework". Olingan 2008-03-15.
  16. ^ "sandbox_init (3) man sahifasi". 2007-07-07. Olingan 2008-03-15.
  17. ^ "SEPostgreSQL-patch".
  18. ^ "Xavfsizlikni oshirgan PostgreSQL".
  19. ^ "Ishonchli RUBIX". Arxivlandi asl nusxasi 2008-11-21 kunlari. Olingan 2020-03-23.
  20. ^ (rus tilida) Klyuchevye osobennosti Astra Linux Special Edition po realizatsii trebovaniy bezopasnosti informatsii Arxivlandi 2014-07-16 da Orqaga qaytish mashinasi
  21. ^ "Linux manba daraxtidan rasmiy SMACK hujjatlari". Arxivlandi asl nusxasi 2013-05-01 da.
  22. ^ Jonathan Corbet. "2.6.25 uchun ko'proq narsalar". Arxivlandi asl nusxasi 2012-11-02.
  23. ^ "zeromac.uk".

Adabiyotlar

Tashqi havolalar

  • Veb-yozuv Majburiy kirishni boshqarishni amalga oshirish uchun virtualizatsiya qanday ishlatilishi mumkinligi to'g'risida.
  • Veb-yozuv Majburiy yaxlitlik nazorati va uning MAC dasturlaridan farqi haqida batafsil ma'lumot beradigan Microsoft xodimidan.
  • GWV rasmiy xavfsizlik siyosati modeli Ajratish yadrosi Rasmiy xavfsizlik siyosati, Devid Griv, Metyu Uilding va V. Mark Vanflit.