Информационное письмо

Mandatory access control (мандатная модель разграничения доступа)

жүктеу/скачать 5,22 Mb. бет 30/78 Дата 10.10.2022 өлшемі 5,22 Mb. #42177 түрі Протокол

Бұл бет үшін навигация:

• Достоинства.

Mandatory access control (мандатная модель разграничения доступа) Мандатное управление доступом Все субъекты и объекты ИС должны быть однозначно идентифицированы Задан линейно упорядоченный набор меток секретности Объекты несут метку секретности, определяя ценность содержащейся информации – уровень секретности Каждому субъекту присвоена метка секретности, определяющая максимальное значение метки секретности объектов, к которым субъект имеет доступ; Метка секретности субъекта называется его уровнем доступа. Процедура назначения прав доступа происходит с использованием так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа. Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем доступа лица к информации, а для объекта доступа (собственно данные) – с уровнем секретности. Признаки конфиденциальности фиксируются в метке объекта. Уровень секретности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, не секретно и т.п. Требования к мандатному механизму управления доступом: Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов: субъект может читать объект, только если мандатная метка субъекта не меньше, чем мандатная метка объекта. Рис. 4. Чтение информации в мандатной модели субъект осуществляет запись в объект, только если его мандатная метка не больше, чем мандатная метка объекта. Рис. 5. Запись информации в мандатной модели Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами. Достоинства. С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования. Запрет пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Недостатки. Избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней. Контроль доступа в мандатной модели осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух простых правил: уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности, а заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности. жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу: