авління доступом в ОС МСВС лежить мандатна модель безпеки Белла-Ла Падула. Ця модель грунтується на правилах секретного документообігу застосовуються в багатьох країнах. p align="justify"> На відміну від дискреційного управління, в якому користувачам безпосередньо прописуються права на читання, запис і виконання, в мандатної моделі управління доступом відбувається неявним чином. Всім користувачам (суб'єктам) і файлів (об'єктах) призначаються рівні доступу. Наприклад, В«таємноВ», В«цілком таємноВ». p align="justify"> Приклад ієрархії рівнів доступу:
В
Рівні доступу упорядковуються по домінуванню одного рівня над іншим. Потім доступ до захищених файлів здійснюється за двома простим правилам:
. Користувач має право читати тільки ті документи, рівень безпеки яких не перевищує його власний рівень безпеки. p align="justify"> Це правило забезпечує захист інформації, що обробляється більш високорівневими користувачами, від доступу з боку низькорівневих користувачів.
. Користувач має право заносити інформацію тільки в ті документи, рівень безпеки яких не нижче його власного рівня безпеки. p align="justify"> Це правило запобігає порушення режиму доступу з боку високорівневих учасників процесу обробки інформації до низькорівневих користувачам.
Проілюструємо обидва правила малюнком:
В
На малюнку зображені відносини користувача з рівнем В«таємноВ» з суб'єктами в трирівневої мандатної моделі.
Причому, В«цілком таємноВ»> В«таємноВ»> В«не таємноВ»
Таким чином, призначивши всіх об'єктах та суб'єктам рівні доступу, ми визначимо всі допустимі взаємодії всередині системи. З вище описаних правил видно, що мандатне управління доступом не обмежує взаємодію об'єктів і суб'єктів, що перебувають на одному рівні доступу. Тому, для ефективного управління доступом, мандатна модель застосовується спільно з дискреційної, яка описує взаємодію об'єктів і суб'єктів, що перебувають на одному рівні. p align="justify"> У моделі Белла-Ла Падула є тільки два види доступу: читання і запис. Якщо необхідні інші види доступу: наприклад, виконання, то вони все одно будуть зводитися до читання і запису. Це пов'язано з тим, що в моделі реєструються не дії користувачів над файлами, а потоки інформації. Які можуть бути двох видів: від користувача до файлу (запис), і від файлу до користувача (читання). p align="justify"> Подальший розвиток моделі Белла-Ла Падула призвело до появи безлічі мандатних моделей. Проте, модель Белла-Ла Падула є класичною моделлю мандатної управління доступом. p align="justify"> Розуміння цих основних принципів моделі, дозволить уникнути багатьох проблем пов'язаних з мандатних доступом до файлів, а можливо, навіть допоможе правильно налаштувати доступ в системі.
Джерела
...
