Стандартные модели доступа Unix
Информация - Компьютеры, программирование
Другие материалы по предмету Компьютеры, программирование
жняет жизнь разработчику.
В основе мандатного управления доступом в ОС МСВС лежит мандатная модель безопасности Белла-Ла Падулы. Эта модель основывается на правилах секретного документооборота применяемых во многих странах.
В отличие от дискреционного управления, в котором пользователям непосредственно прописываются права на чтение, запись и выполнение, в мандатной модели управление доступом происходит неявным образом. Всем пользователям (субъектам) и файлам (объектам) назначаются уровни доступа. Например, секретно, совершенно секретно.
Пример иерархии уровней доступа:
Уровни доступа упорядочиваются по доминированию одного уровня над другим. Затем доступ к защищённым файлам осуществляется по двум простым правилам:
. Пользователь имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.
Это правило обеспечивает защиту информации, обрабатываемой более высокоуровневыми пользователями, от доступа со стороны низкоуровневых пользователей.
. Пользователь имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Это правило предотвращает нарушение режима доступа со стороны высокоуровневых участников процесса обработки информации к низкоуровневым пользователям.
Проиллюстрируем оба правила рисунком:
На рисунке изображены отношения пользователя с уровнем секретно с субъектами в трехуровневой мандатной модели.
Причем, совершенно секретно > секретно > не секретно
Таким образом, назначив всем объектам и субъектам уровни доступа, мы определим все допустимые взаимодействия внутри системы. Из выше описанных правил видно, что мандатное управление доступом не ограничивает взаимодействие объектов и субъектов, находящихся на одном уровне доступа. Поэтому, для эффективного управления доступом, мандатная модель применяется совместно с дискреционной, которая описывает взаимодействие объектов и субъектов, находящихся на одном уровне.
В модели Белла-Ла Падулы имеется только два вида доступа: чтение и запись. Если необходимы другие виды доступа: например, выполнение, то они все равно будут сводиться к чтению и записи. Это связано с тем, что в модели регистрируются не действия пользователей над файлами, а потоки информации. Которые могут быть двух видов: от пользователя к файлу (запись), и от файла к пользователю (чтение).
Дальнейшее развитие модели Белла-Ла Падулы привело к появлению множества мандатных моделей. Тем не менее, модель Белла-Ла Падулы является классической моделью мандатного управления доступом.
Понимание этих основных принципов модели, позволит избежать многих проблем связанных с мандатным доступом к файлам, а возможно, даже поможет правильно настроить доступ в системе.
Источники
1.
2.
.В. Олифер, Н. Олифер Компьютерные сети. Принципы, технологии, протоколы - 4 издание - 2010 год.