ористання занадто ревно - шляхом знищення магнітних носіїв. На практиці завідомо досить триразової запису випадкових послідовностей біт. h3> Мітки безпеки
Передбачені мітки для суб'єктів (ступінь благонадійності) та об'єктів (ступінь конфіденційності інформації). Мітки безпеки містять дані про рівень секретності і категорії, до якої відносяться дані. Згідно з В«Помаранчевої книзіВ», мітки безпеки складаються з двох частин - рівня секретності і списку категорій. Рівні секретності, підтримувані системою, утворюють упорядкований безліч, яке може виглядати, наприклад, так:
• цілком таємно, • секретно-• конфіденційною інформацією; • нетаємно. p> Для різних систем набір рівнів секретності може різнитися. Категорії утворюють невпорядкований набір. Їх призначення - описати предметну область, до якої відносяться дані. У військовому оточенні кожна категорія може відповідати, наприклад, певному виду озброєнь. Механізм категорій дозволяє розділити інформацію по відсіках, що сприяє кращої захищеності. Суб'єкт не може отримати доступ до В«чужихВ» категоріям, навіть якщо його рівень благонадійності В«цілком таємноВ». Спеціаліст з танкам не впізнає тактико-технічні дані літаків.
Головна проблема, яку необхідно вирішувати у зв'язку з мітками, це забезпечення їх цілісності. По-перше, не повинно бути непомічених суб'єктів і об'єктів, інакше в меточного безпеки з'являться легко використовувані проломи. По-друге, при будь-яких операціях з даними мітки повинні залишатися правильними. Особливо це відноситься до експорту та імпорту даних. Наприклад, друкований документ повинен відкриватися заголовком, що містить текстове та/або графічне представлення мітки безпеки. Аналогічно при передачі файлу по каналу зв'язку повинна передаватися і асоційована з ним мітка, причому в такому вигляді, щоб дистанційна система могла її розібрати, незважаючи на можливі відмінності в рівнях секретності і наборі категорій. Одним із засобів забезпечення цілісності міток безпеки є поділ пристроїв на багаторівневі і однорівневі. На багаторівневих пристроях може зберігатися інформація різного рівня секретності (точніше, що лежить в певному діапазоні рівнів). Однорівневе пристрій можна розглядати як вироджений випадок багаторівневого, коли допустимий діапазон складається з одного рівня. Знаючи рівень влаштування, система може вирішити, чи припустимо записувати на нього інформацію з певною міткою. Наприклад, спроба надрукувати абсолютно секретну інформацію на принтері загального користування з рівнем В«нетаємноВ» потерпить невдачу.
Примусове управління доступом
Примусове управління доступом засноване на зіставленні міток безпеки суб'єкта та об'єкта. Суб'єкт може читати інформацію з об'єкта, якщо рівень секретності суб'єкта не нижче, ніж у об'єкта, а всі категорії, перераховані в мітці безпеки об'єкта, присутні в мітці суб'єкта. У такому випадку говорять, що мітка суб'єкта домінує над міткою об'єкта. Суб'єкт може записувати інформацію в об'єкт, якщо мітка безпеки об'єкта домінує над міткою суб'єкта. Зокрема, В«КонфіденційнийВ» суб'єкт може писати в секретні файли, але не може - в несекретні (зрозуміло, повинні також виконуватися обмеження на набір категорій). На перший погляд подібне обмеження може здатися дивним, однак воно цілком розумно. Ні за яких операціях рівень секретності інформації не повинен знижуватися, хоча зворотний процес цілком можливий. Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб'єктів, на місці яких можуть виявитися навіть системні адміністратори. Після того, як зафіксовані мітки безпеки суб'єктів і об'єктів, виявляються зафіксованими і права доступу. У термінах примусового управління не можна висловити пропозицію В«дозволити доступ до об'єкту Х ще й для користувача Y В». Звичайно, можна змінити мітку безпеки користувача Y, але тоді він швидше за все отримає доступ до багатьох додатковим об'єктам, а не тільки до Х. Примусове управління доступом реалізовано в багатьох варіантах операційних систем і СУБД, що відрізняються підвищеними заходами безпеки. Зокрема, такі варіанти існують для SunOS і СУБД Ingres. Незалежно від практичного використання принципи примусового управління є зручним методологічним базисом для початковій класифікації інформації та розподілу прав доступу. Зручніше мислити в термінах рівнів секретності і категорій, ніж заповнювати неструктуровану матрицю доступу. Втім, у реальному житті добровільне і примусове управління доступом поєднується в рамках однієї системи, що дозволяє використовувати сильні сторони обох підходів.
3.3 Розділи і класи
Критерії діляться на 4 розділи: D, C, B і A, з яких найвищою безпекою володіє розділ A. Кожен дивізіон представляє собою значні відмінності в довірі індивідуальним користувачам або організаціям. Розділи C, B...
