Информационное письмо
Mandatory access control (мандатная модель разграничения доступа)
жүктеу/скачать 5,22 Mb.
|
- Бұл бет үшін навигация:
- Достоинства.
| Mandatory access control (мандатная модель разграничения доступа)
Мандатное управление доступом Все субъекты и объекты ИС должны быть однозначно идентифицированы Задан линейно упорядоченный набор меток секретности Объекты несут метку секретности, определяя ценность содержащейся информации – уровень секретности Каждому субъекту присвоена метка секретности, определяющая максимальное значение метки секретности объектов, к которым субъект имеет доступ; Метка секретности субъекта называется его уровнем доступа. Процедура назначения прав доступа происходит с использованием так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа. Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем доступа лица к информации, а для объекта доступа (собственно данные) – с уровнем секретности. Признаки конфиденциальности фиксируются в метке объекта. Уровень секретности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, не секретно и т.п. Требования к мандатному механизму управления доступом: Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов: субъект может читать объект, только если мандатная метка субъекта не меньше, чем мандатная метка объекта. Рис. 4. Чтение информации в мандатной модели субъект осуществляет запись в объект, только если его мандатная метка не больше, чем мандатная метка объекта. Рис. 5. Запись информации в мандатной модели Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами. Достоинства. С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования. Запрет пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Недостатки. Избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней. Контроль доступа в мандатной модели осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух простых правил: уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности, а заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности. жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|