Справочный центр

Дерево страниц

Сравнение версий

Старая версия 12

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 13

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Итак, с помощью параметров  уровень конфиденциальности и категории доступа СЗИ обеспечивает защиту от несанкционированной передачи информации:

...

В общем, требование защиты целостности выглядит так:

  • Процесс или пользователь, работающий на некотором уровне целостности, может записывать (изменять) только объекты своего, или более низкого уровня (запись "вверх" запрещена).

...

  • Уровень конфиденциальности cL0 больше или равен уровню конфиденциальности cL1 (cL0 >= cL1),
    если численное значение cL0 больше или равно численному значению cL1;

  • Уровень целостности iLКатегории доступа C0 больше или равен уровню целостности iLравны категориям доступа C1 ( iLC0 >= iLC1),
    если все биты набора iLC1 являются подмножеством набора бит iLC0, ; или наборы совпадают;
    или, в  в терминах побитовых операций (iL0 C& iLC1) == iLC1;.

  • Уровень целостности iLКатегории доступа C0 больше или равны категориям доступа Cравен уровню целостности iL1 ( CiL0 >= CiL1),
    если все биты набора CiL    1 являются подмножеством набора бит CiL0; , или наборы совпадают;
    или,  в в терминах побитовых операций     (C0 iL& CiL1) == CiL1.;

Разрешения на доступ

Пусть мандатная метка субъекта содержит следующие атрибуты:

  • Классификационная метка: 

    • Уровень конфиденциальности cLсуб;

    • Категории доступа Cсуб;

  • Уровень целостности iLсуб;Категория доступа Cсуб.

а мандатная метка объекта содержит атрибуты:

  • Классификационная метка:

    • Уровень конфиденциальности cLоб;

    • Категория доступа Cоб;

  • Уровень целостности iL

    об;

    Категория доступа Cоб.

Тогда:

  • Операция записи разрешена, если
    cLсуб=cLоб, Cсуб=Cоб и iLсуб>=iLоб, то есть:
    уровни конфиденциальности и категории доступа субъекта и объекта  совпадают,
    а уровень целостности субъекта не ниже уровня целостности объекта
    (теоретически - значение iL    суб принадлежит верхнему множеству iLоб);

  • Операции чтения и исполнения разрешены, если
    cLсуб>=cLоб, Cсуб>=Cоб, и не зависят от уровней целостности, то есть:
    уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
    а единичные категории доступа объекта входят в единичные категории доступа субъекта
    (теоретически - значения сL    суб и Cсуб принадлежат верхним множествам cLоб и  Cоб соответственно) ;

...

  • Если субъект создаёт  объект, который может выступать в роли субъекта (например, процесс создаёт процесс),
    то созданный объект полностью наследует мандатную метку родителя,
    т.е. наследует и классификационную метку , состоящую из уровня (т.е. наследует уровень конфиденциальности и категорий категории доступа),
    и уровень целостности ;

  • Если субъект создаёт объект, который не может быть субъектом (например, процесс создаёт файл),
    то созданный объект наследует только классификационную метку родителя,
    т.е. наследует уровень конфиденциальности и категории доступа, 
    но получает только нулевой уровень целостности, независимо от уровня целостности родителя;

  • Изменить классификационную метку  объекта (т.е. изменить уровень конфиденциальности и/или категории доступа) 
    может только субъект c привилегией PARSEC_CAP_CHMAC;

  • Изменить уровень целостности объекта
    может только субъект с максимальным ("Высоким") уровнем целостности,
    и с наличием привилегии PARSEC_CAP_CHMAC; 
    Изменить классификационную метку объекта может только субъект c привилегией PARSEC_CAP_CHMAC.