Политика и модели мандатного доступа
Политика мандатного доступа является примером использования технологий, наработанных во внекомпьютерной сфере, в частности принципов организации секретного делопроизводства и документооборота, применяемых в государственных структурах большинства стран.
Основным положением политики мандатного доступа является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки, например секретно, совершенно секретно и т. д., получившей название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования, например, уровень сов. секретно счи- тается более высоким, чем уровень секретно. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил:
1. No read up (NRU) — нет чтения вверх: субъект имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.
2. No write down (NWD) — нет записи вниз: субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых).
Второе правило предотвращает утечку информации (сознательную или несознательную) от высокоуровневых участников процесса обработки информации к низкоуровневым.
Формализация механизмов разграничения доступа в секретном делопроизводстве применительно к субъектно-объектной модели показала необходимость решения следующих задач:
разработки процедур формализации правила NRU, а в особенности правила NWD;
построения формального математического объекта и процедур, адекватно отражающих систему уровней безопасности (систему допусков и грифов секретности).
При представлении служащих, работающих с секретными документами, в качестве субъектов доступа, а секретных документов в качестве объектов доступа буквальное следование правилу NWD приводит к включению в механизмы обеспечения безопасности субъективного фактора в лице субъекта-пользователя, который при внесении информации должен оценить соответствие вносимой информации уровню безопасности документа. Задача исключения данного субъективного фактора может решаться различными способами, самым простым из которых является полный запрет изменения субъектами объектов с уровнем безопасности более низким, чем уровень безопасности соответствующих субъектов. При этом существенно снижается функциональность системы.
Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом - с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Любой объект определенного уровня безопасности доступен любому субъекту соответствующего уровня безопасности (с учетом правил NRU и NWD). Мандатный подход к разграничению доступа, основанный лишь на понятии уровня безопасности, без учета специфики других характеристик субъектов и объектов приводит в большинстве случаев к избыточности прав доступа конкретных субъектов в пределах соответствующих классов безопасности. Для устранения данного недостатка мандатный принцип разграничения доступа дополняется дискреционным внутри соответствующих классов безопасности.
В теоретических моделях для этого вводят матрицу доступа, разграничивающую разрешенный по мандатному принципу доступ к объектам одного уровня безопасности.
