...
Операция записи разрешена, если
cLсуб = cLоб, Cсуб = Cоб и iLсуб >= iLоб, то есть:
уровни конфиденциальности и категории доступа субъекта и объекта совпадают,
а и уровень целостности субъекта не ниже уровня целостности объекта
(теоретически - значение iLсуб принадлежит верхнему множеству iLоб);- Операции чтения и исполнения разрешены, если
cLсуб >= cLоб, об и Cсуб >= Cоб, то есть:
уровень конфиденциальности субъекта не ниже уровня конфиденциальности объекта,
а единичные категории доступа объекта входят в единичные категории доступа субъекта,
и разрешение не зависит от значений уровней целостности iLсуб и iLоб
(теоретически - значения сLсуб и Cсуб принадлежат верхним множествам cLоб и Cоб соответственно) ;.
Правила наследования
В отношении атрибутов доступа действуют следующие правила наследования:
Если субъект создаёт сущность, которая выступает в роли субъекта (например, процесс создаёт процесс),
то созданная сущность полностью наследует мандатную метку родителя,
т.е. наследует и классификационную метку (уровень конфиденциальности и категории доступа),
и уровень целостности ;- Если субъект создаёт сущность, являющуюся обектомобъектом (например, процесс создаёт файл),
то созданная сущность наследует только классификационную метку родителя,
т.е. наследует только уровень конфиденциальности и категории доступа,
и, независимо от уровня целостности родителя, всегда получает нулевой уровень целостности; Изменить классификационную метку объекта (т.е. изменить уровень конфиденциальности и/или категории доступа)
может только субъект c привилегией PARSEC_CAP_CHMAC;
...