Справочный центр

Дерево страниц

Сравнение версий

Старая версия 20

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
Данная статья не является частью официальной документации и представлена как пояснительный материал.


Оглавление

См. также статью:
Уровень конфиденциальности, категории конфиденциальности и целостность: что есть что, и как с этим работать?


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Данная статья неприменима к Astra Linux Special Edition РУСБ.10015-10


Контекст безопасности

Контекст безопасности — структура, включающая в себя все атрибуты управления доступом субъектов доступа (субъектов, например, процессов) к объектам доступа  (сущностям, например, файлам или каталогам), существующие в соответствии с формальной мандатной сущностно-ролевой моделью управления доступом и информационными потоками (МРОСЛ ДП-моделью) и определяющие порядок доступа субъектов к сущностям.

В зависимости от реализации контекст безопасности может включать в себя:

  • Контекст контекст дискреционного управления доступом (разграничения доступа);

  • Контекст контекст мандатного управления доступом (разграничения доступа);

  • Контекст контекст ролевого управления доступом (разграничения доступа);

  • Иные иные атрибуты, определяемые формальной моделью управления доступом и ее реализацией.

В рамках настоящего документа рассматриваются состав и структура контекста мандатного управления доступом (мандатного контекста).

Мандатный контекст

Мандатный контекст представляет собой полный набор мандатных атрибутовсубъекта или сущности.
Мандатный контекст включает в себя все мандатные атрибуты субъекта или сущности, и мандатных атрибутов вне мандатного контекста не существует.

Мандатный контекст включает в себя:

  • Метку метку безопасности;

  • Дополнительные дополнительные мандатные атрибуты управления доступом.

Субъекты или сущности, которым явно не присвоен никакой мандатный контекст, считаются имеющими минимальный (нулевой) мандатный контекст, т.е. мандатный контекст в котором все мандатные атрибуты имеют минимальные допустимые значения (например, равны нулю).

Метка безопасности

Метка безопасности является составной и включает в себя две метки:

  • Классификационную классификационную метку;

  • Метку метку целостности.

Классификационная меткаявляется составной и включает в себя два мандатных атрибута:

  • Иерархический иерархический уровень конфиденциальности;

  • Неиерархическую категорию неиерархические категории конфиденциальности.

Метка целостности представлена одним мандатным атрибутом включает в себя:

Неиерархический уровень целос

  • неиерархические категории целостности;

  • начиная с очередного обновления Astra Linux Special Edition x.8 — иерархический (линейный) уровень целостности.

Подробнее компоненты метки безопасности и правила работы с ними описаны в статье Уровень конфиденциальности, категории конфиденциальности и целостность: что есть что, и как с этим работать?

тности

.

Дополнительные мандатные атрибуты управления доступом

В зависимости от реализации формальной модели управления доступом отдельным субъектам или сущностям может быть дополнительно присвоен набор необязательных мандатных атрибутов управления доступом, не входящих в метку. Необязательные мандатные атрибуты управления доступом позволяютуточнять правила мандатного доступа для отдельных субъектов или сущностей.

В качестве примера можно привести следующие мандатные атрибуты управления доступом, использованные в операционной системе специального назначения Astra Linux Special Edition:

  • Мандатные атрибуты меток безопасности сущностей, являющихся контейнерами (т.е.сущностей, которые могут содержать другие сущности, например, каталогам файловой системы):

    • Мандатный атрибут ccnr. Определяет, что контейнер может содержать сущности с различными различными классификационными метками, но не большими, чем его собственная метка. Чтение содержимого такого контейнера разрешается субъекту вне зависимости от значения классификационной метки этого субъекта, при этом субъекту доступна информация только про находящиеся в этом контейнере сущности с классификационной меткой не большей, чем собственная   классификационная метка субъекта, либо про сущности-контейнеры, также имеющие мандатный атрибут управления доступом ccnr; .

    • Мандатный атрибут ccnri. Определяет, что контейнер может содержать сущности с различными уровнями целостности, но не большими, чем его собственный уровень целостности. Применяется только к контейнерам;

      Информация

      . В ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением № 20190222SE16 и в ОС Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1) мандатный атрибут управления доступом ccnri включен для всех контейнеров, и не может быть изменен.

    • Мандатный атрибут irelax. Определяет, что Доступен начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2. При наличии этого атрибута создавать сущности в контейнере может субъект с любой меткой целостности. При этом:Подробнее см. эксплуатационную документацию, документ Руководство по КСЗ, ч.1.
    • Мандатный атрибут iinh. Доступен начиная с очередного обновления Astra Linux Special Edition 1.8. При наличии этого атрибута создаваемым в каталоге сущностям присваивается метка целостности родительского каталога (создаваемые Если метка целостности субъекта меньше или равна метке целостности контейнера, то создаваемые в каталоге сущности наследуют метку целостности создающего их субъекта;Если метка целостности субъекта выше или несравнима с меткой целостности контейнера, то метка целостности создаваемых сущностей устанавливается как наибольшее значение, одновременно меньшее или равное значениям меток целостности контейнера и субъекта. Атрибут доступен только при включенном расширенном режиме МКЦ (расширенный режим МКЦ доступен начиная с обновления БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2);содержащего их каталога).  Подробнее см. эксплуатационную документацию, документ Руководство по КСЗ, ч.1.

  • Метки безопасности сущностей, не являющихся контейнерами (файлов), могут иметь следующие мандатные атрибуты управления доступом:

    • Мандатный атрибут ehole может присваиваться сущностям, имеющим минимальную метку безопасности. Его наличие приводит к игнорированию мандатных правил управления доступом к сущностям. Этот атрибут предназначен для сущностей, из которых субъекты не могут прочитать данные, записанные в них субъектами с более высокой  классификационной высокой классификационной меткой, чем его собственная (например, /dev/null);.

    • Мандатный атрибут whole присваивается сущностям c максимальной классификационной меткой и разрешает запись в них субъектам, имеющим более низкую классификационную метку (тогда как в обычном случае писать "снизу вверх" запрещено в соответствии с МРОСЛ ДП-моделью ИБ, реализованной в Astra Linux Special Edition); .

  • Метки безопасности любых сущностей могут иметь атрибут ssi. Атрибут доступен начиная с очередного обновления Astra Linux Special Edition x.8. Атрибут ограничивает доступ на чтение и выполнение. Сущности с установленным атрибутом ssi могут открываться на чтение только процессами, имеющими метку целостности большую или равную метке сущности.

  • Субъекты могут иметь мандатные атрибуты-привилегии, предоставляющие права выполнения определенных административных действий. Полный перечень привилегий и предоставляемых ими прав определяется реализацией формальной модели управления доступом. Перечни мандатных привилегий для ОС Astra Linux Special Edition доступны в документации (см. "Руководство по КСЗ, часть 1" а также Привилегии PARSEC).

Мандатный контекст

Метка безопасности

Мандатные атрибуты управления доступом

Классификационная метка

Метка целостности


ccnr, ccnri, ...;
ehole, whole, ...;
привилегии;

Иерархический уровень конфиденциальности

Неиерархическая категория

Неиерархические категории конфиденциальности

Неиерархический уровень

Неиерархические категории целостности

Иерархический уровень целостности (начиная с Astra Linux Special Edition x.8)

Синонимыи близкие кнормативным терминам понятия, используемые в технической литературе и в компьютерной справочной документации

Нормативный термин

Используемые синонимы

Примечание

Классификационная метка Метка конфиденциальности
Метка безопасностиМандатная метка
Атрибуты безопасности Контекст безопасности

Мандатные атрибуты безопасности

Мандатный контекст


Иерархический уровень конфиденциальности

Конфиденциальность,
Секретность,
Гриф секретности,
Уровень,
Уровень конфиденциальности


Неиерархическая категория Неиерархические категории конфиденциальности

Категории,
Категории доступа


Неиерархический уровень Неиерархические категории целостности

Метка целостности, целостность
Целостность,
Уровень целостности


Термин "уровень целостности" до введения иерархического (линейного) уровня целостности применялся для обозначения неиерархических категорий целостности

Иерархический уровень целостности

Линейный уровень целостности