...
Операция записи разрешена, если
cL
суб
= cL
об
, C
суб
= C
об
и iL
суб
>= iL
об
, то есть:
уровни конфиденциальности и категории доступа субъекта и объекта совпадают,
а уровень целостности субъекта не ниже уровня целостности объекта
(теоретически - значение iLсуб принадлежит верхнему множеству iLоб);- Операции чтения и исполнения разрешены, если
cL
суб
>= cL
об
, C
суб
>= C
об
, и не зависят от уровней целостности
, то есть:
уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
а единичные категории доступа объекта входят в единичные категории доступа субъекта
(теоретически - значения сLсуб и Cсуб принадлежат верхним множествам cLоб и Cоб соответственно) ;
Правила наследования
В отношении атрибутов доступа действуют следующие правила наследования:
если Если в сессии порождаются другие процессы,то они наследуют метку целостности и конфиденциальности;Если субъект создаёт объект, являющияся процессом,
то созданный объект наследует мандатную метку родителя,
т.е. наследует уровень конфиденциальности, категории доступа, и уровень целостности ;Процесс на любом уровне целостности создает объект только с нулевым уровнем целостности.- Если субъект создаёт объект, не являющийся процессом,
то созданный объект наследует классификационную метку родителя,
т.е. наследует уровень конфиденциальности и категории доступа,
но получает только нулевой уровень целостности, независимо от уровня целостности родителя; Повысить уровень целостности может только субъект с высоким уровнем целостности, и с наличием привилегии PARSECпривилегии PARSEC_CAP_CHMAC;Изменить уровень целостности объекта может только субъект с максимальным ("Высоким") уровнем целостности,
и с наличием привилегии PARSEC_CAP_CHMAC;Процесс процесс создает объекты только полностью наследуя им свою метку конфиденциальности.
Изменить ее может только привилегированный процесс c привилегией PARSECпривилегией PARSEC_CAP_CHMAC.Изменить классификационную метку объекта может только субъект c привилегией PARSEC_CAP_CHMAC.