Принудительный контроль доступа

Принудительный контроль доступа

Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Так же иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.

Мандатное управление доступом. СС — совершено секретно; С — секретно; ДСП — для служебного пользования; НС — не секретно.
В приведенном примере субъект «Пользователь № 2», имеющий допуск уровня «несекретно», не может получить доступ к объекту, имеющего метку «для служебного пользования». В то же время, субъект "Пользователь «№ 1» с допуском уровня «секретно», право доступа к объекту с меткой «для служебного пользования» имеет.

Содержание

Особенности

Мандатная модель управления доступом, помимо дискреционной и ролевой, является основой реализации разграничительной политики доступа к ресурсам при защите секретной информации. При этом данная модель доступа практически не используется «в чистом виде», обычно на практике она дополняется элементами других моделей доступа.

Для файловых систем, оно может расширять или заменять дискреционный контроль доступа и концепцию пользователей и групп.

Самое важное достоинство заключается в том, что пользователь не может полностью управлять доступом к ресурсам, которые он создаёт.

Политика безопасности системы, установленная администратором, полностью определяет доступ, и обычно пользователю не разрешается устанавливать более свободный доступ к его ресурсам чем тот, который установлен администратором пользователю. Системы с дискреционным контролем доступа разрешают пользователям полностью определять доступность их ресурсов, что означает, что они могут случайно или преднамеренно передать доступ неавторизованным пользователям.


Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее).

Очевидно, что система, которая обеспечивает разделение данных и операций в компьютере, должна быть построена таким образом, чтобы её нельзя было «обойти». Она также должна давать возможность оценивать полезность и эффективность используемых правил и быть защищённой от постороннего вмешательства.

Поддержка в современных операционных системах

Изначально такой принцип был воплощён в операционных системах FLASK, и других ориентированных на безопасность операционных системах.

Исследовательский проект АНБ, называющийся Linux, и позднее был внесён в главную ветвь разработки в Августе 2003 года.

В SUSE Linux и Ubuntu есть архитектура мандатного контроля доступа под названием

Поддержка в современных системах управления базами данных

В Oracle (СУБД) есть подсистема OLS (Oracle Label Security, LBAC, Label-Based Access Control system)

Литература

См. также


Wikimedia Foundation. 2010.

Нужна помощь с курсовой?

Полезное


Смотреть что такое "Принудительный контроль доступа" в других словарях:

  • Мандатное управление доступом — (англ. Mandatory access control, MAC)  разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на… …   Википедия

  • Grsecurity — Grsecurity  это проект для Linux, который включает в себя некоторые улучшения связанные с безопасностью, включая принудительный контроль доступа, рандомизацию ключевых локальных и сетевых информативных данных, ограничения /proc и chroot()… …   Википедия

  • LIDS — (англ. Linux Intrusion Detection System) это патч к ядру Linux, а также утилиты администрирования, которые повышают безопасность Linux посредством реализации мандатного контроля за доступом (не допускающего передачи прав доступа между… …   Википедия

  • Балаковская АЭС — Балаковская АЭС …   Википедия

  • инженерные системы центра обработки данных — [Интент] Инженерные системы — наиболее дорогостоящая составляющая ЦОД, но именно благодаря ей удается обеспечить надлежащее функционирование размещаемого оборудования. При строительстве центра обработки данных (ЦОД) приходится учитывать… …   Справочник технического переводчика

  • ГОСТ ЕН 1070-2003: Безопасность оборудования. Термины и определения — Терминология ГОСТ ЕН 1070 2003: Безопасность оборудования. Термины и определения: N): Провод, соединенный с нейтральной (нулевой) точкой сети и обладающий возможностью передачи электрической энергии (см. [7]). (См. 3.35 ЕН 60204 1 [6].)… …   Словарь-справочник терминов нормативно-технической документации

  • 1: — Терминология 1: : dw Номер дня недели. «1» соответствует понедельнику Определения термина из разных документов: dw DUT Разность между московским и всемирным координированным временем, выраженная целым количеством часов Определения термина из… …   Словарь-справочник терминов нормативно-технической документации

  • Китайская Национальная Нефтегазовая корпорация — (CNPC) Китайская Национальная Нефтегазовая корпорация это одна из крупнейших нефтегазовых компаний мира Китайская Национальная Нефтегазовая корпорация занимается добычей нефти и газа, нефтехимическим производством, продажей нефтепродуктов,… …   Энциклопедия инвестора

  • Банки — I в современном экономическом строе Б. являются высшей формой кредитного посредничества и важнейшими органами вексельного и денежного обращения. Цель банковой деятельности: во первых, создать систему кредита (см. это сл.), которая обеспечивала бы …   Энциклопедический словарь Ф.А. Брокгауза и И.А. Ефрона

  • Листинг — (Listing) Листинг это совокупность процедур по допуску ценных бумаг к обращению на фондовой бирже Определение листинга, преимущества и недостатки листинга, виды листинга, этапы процедуры листинга, котировальный список листинга, делистинг… …   Энциклопедия инвестора


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»