...
Классификационная метка:
Уровень конфиденциальности cLоб;
Категория доступа Cоб;
Уровень целостности iLоб.
Тогда:
Операция записи разрешена, если
cLсубсуб = cLоб, Cсуб = Cоб и iLсуб >= iLоб, то есть:
уровни конфиденциальности и категории доступа субъекта и объекта совпадают,
а уровень целостности субъекта не ниже уровня целостности объекта
(теоретически - значение iLсуб принадлежит верхнему множеству iLоб);- Операции чтения и исполнения разрешены, если
cLсуб >= cLоб, Cсуб >= Cоб, и не зависят от уровней целостности, то есть:
уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
а единичные категории доступа объекта входят в единичные категории доступа субъекта
(теоретически - значения сLсуб и Cсуб принадлежат суб принадлежат верхним множествам cLоб и Cоб и Cоб соответственно) ;
Правила наследования
В отношении атрибутов доступа действуют следующие правила наследования:
Если субъект создаёт объект, который может выступать сущность, которая выступает в роли субъекта (например, процесс создаёт процесс),
то созданный объект созданная сущность полностью наследует мандатную метку родителя,
т.е. наследует и классификационную метку (уровень конфиденциальности и категории доступа),
и уровень целостности ;- Если субъект создаёт объект, который не может быть субъектом сущность, являющуюся обектом (например, процесс создаёт файл),
то созданный объект созданная сущность наследует только классификационную метку родителя,
т.е. наследует только уровень конфиденциальности и категории доступа,
и, независимо от уровня целостности родителя, всегда получает нулевой уровень целостности; Изменить классификационную метку объекта (т.е. изменить уровень конфиденциальности и/или категории доступа)
может только субъект c привилегией PARSEC_CAP_CHMAC;
...