...
Мандатная метка состоит из следующих атрибутов мандатного доступа:
Классификационная метка, которая, в свою очередь, состоит из атрибутов:
Уровень конфиденциальности сущности;
Категории доступа сущности.
Уровень целостности сущности.
...
Категории доступа - маска, состоящая из набора единичных значений категорий доступа (так жеприменяются название просто "категория") .
В ОССН реализовано использование до 64-х единичных категорий доступа, таким образом, каждой мандатной (классификационной) метке)
в каждый момент времени могут быть назначены одновременно до 64-х категорий доступа. Единичные категории доступа несравнимы между собой.
Числовые значения категории доступа сущности:Частично сравнимы между собой;
Определяются как суммы значений назначенных единичных категорий доступа;
Могут принимать значения от 0 до 0xFFFF FFFF FFFF FFFF, включая границы;
Технически реализованы как 64-x битная маска, беззнаковая величина (unsigned long long);
В пользовательских интерфейсах представляются шестнадцатеричным значением или списком наименований единичных категорий доступа;
Теоретически, множество возможных значений категорий доступа сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.
...
Уровень целостности - маска, состоящая из набора единичных значений уровней целостности (так же применяется название "категория целостности", или просто "целостность").
В ОССН по умолчанию определены 6 ненулевых и несравнимых между собой единичных значений уровня целостности
(при настройке ОССН количество единичных значений может быть увеличено до 8):№ п/п
Значение
Битовая маска
Комментарий
000
0000 0000
Нулевой уровень. "Низкий", или "Low"
1
001
0000 0001
Уровень задействован как "Сетевые сервисы"
2
002
0000 0010
Уровень задействован как "Виртуализация"
3
004
0000 0100
Уровень задействован как "Специальное ПО"
4
008
0000 1000
Уровень задействован как "Графический сервер"
5
016
0001 0000
Свободен, может быть использован для СУБД
6
032
0010 0000
Свободен, может быть использован для сетевых сервисов
7
064
0100 0000
Зарезервирован, и может быть использован при поднятии max_ilev
8
128
1000 0000
Зарезервирован, и может быть использован при поднятии max_ilev
Дополнительно зарезервировано специальное наименование уровня целостности "Высокий" ("High").
Уровень "Высокий" не является единичным уровнем, а представляет собой максимальную сумму единичных уровней, определённых в системе
(имеет значение 63 при использовании 6-ти уровней, или значение 255 при использовании 8-ми уровней целостности).
Таким образом, каждой мандатной (классификационной метке ) в каждый момент времени могут быть назначены одновременно до 6-ти (8-ми) единичных уровней целостности.
Числовые значения уровня целостности сущности:Частично сравнимы между собой;
Определяются как суммы значений назначенных единичных уровней целостности;
Могут принимать значения от 0 до 63 (255), включая границы;
Технически реализованы как 8-ми битная маска, беззнаковая величина (uint8_t);
В пользовательских интерфейсах представляются десятичным значением или наименованием единичного уровня целостности;
Теоретически, множество возможных значений уровня целостности сущности представляет собой полное частично упорядоченное множество относительно операции сравнения.
...
Если субъект создаёт объект, который может выступать в роли субъекта (например, процесс создаёт процесс),
то созданный объект полностью наследует мандатную метку родителя,
т.е. наследует и классификационную метку (т.е. наследует уровень конфиденциальности и категории доступа),
и уровень целостности ;- Если субъект создаёт объект, который не может быть субъектом (например, процесс создаёт файл),
то созданный объект наследует только классификационную метку родителя,
т.е. наследует уровень наследует только уровень конфиденциальности и категории доступа,
но получает только нулевой уровень целостностии, независимо от уровня целостности родителя, всегда получает нулевой уровень целостности; Изменить классификационную метку объекта (т.е. изменить уровень конфиденциальности и/или категории доступа)
может только субъект c привилегией PARSEC_CAP_CHMAC;
...