Информационное письмо


Mandatory access control (мандатная модель разграничения доступа)



бет30/78
Дата10.10.2022
өлшемі5,22 Mb.
#42177
түріПротокол
1   ...   26   27   28   29   30   31   32   33   ...   78
Байланысты:
ИБ и МЗИ УМКД 2022 (1)

Mandatory access control (мандатная модель разграничения доступа)

  • Мандатное управление доступом

  • Все субъекты и объекты ИС должны быть однозначно идентифицированы

  • Задан линейно упорядоченный набор меток секретности

  • Объекты несут метку секретности, определяя ценность содержащейся информации – уровень секретности

  • Каждому субъекту присвоена метка секретности, определяющая максимальное значение метки секретности объектов, к которым субъект имеет доступ; Метка секретности субъекта называется его уровнем доступа.

Процедура назначения прав доступа происходит с использованием так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа.
Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем доступа лица к информации, а для объекта доступа (собственно данные) – с уровнем секретности. Признаки конфиденциальности фиксируются в метке объекта.
Уровень секретности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, не секретно и т.п.
Требования к мандатному механизму управления доступом:

  1. Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни. Данные метки должны служить основой мандатного принципа разграничения доступа

  2. Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

  • субъект может читать объект, только если мандатная метка субъекта не меньше, чем мандатная метка объекта.





Рис. 4. Чтение информации в мандатной модели

  • субъект осуществляет запись в объект, только если его мандатная метка не больше, чем мандатная метка объекта.







Рис. 5. Запись информации в мандатной модели

  1. Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

Достоинства.

  • С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования.

  • Запрет пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня.

Недостатки.

Контроль доступа в мандатной модели осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух простых правил: уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности, а заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.


Достарыңызбен бөлісу:
1   ...   26   27   28   29   30   31   32   33   ...   78




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет