强制访问策略和模型
强制准入政策是使用在计算机外领域开发的技术的一个例子,特别是在大多数国家的政府机构中使用的秘密办公室管理和文件管理原则。
强制访问策略的主要规定是分配给处理受保护信息和文件的所有参与者,其中包含特殊标签,例如秘密,绝密等。,称为安全级别。 所有安全级别都使用已建立的支配关系进行排序,例如,猫头鹰的级别。 密被认为高于密级。 访问控制是根据两个规则进行的,这取决于交互方的安全级别:
1. No read up—NRU)-no read up:主体有权只读那些安全级别不超过自己安全级别的文档。
2. No write down—NWD)-no write down:主体有权仅在安全级别不低于自己安全级别的文档中输入信息。
第一条规则保护由更可信(高级)人员处理的信息免受不太可信(低级)人员的访问。
第二条规则防止信息处理过程中的高层参与者向低层参与者泄漏(有意识或无意识)。
秘密办公室工作中与主体-客体模型相关的访问控制机制的正式化表明需要解决以下任务:
制定使NRU规则,特别是NWD规则正式化的程序;
建立一个正式的数学对象和程序,充分反映安全级别系统(公差和保密邮票系统)。
在代表以秘密文件作为访问对象和以秘密文件作为访问对象的雇员时,字面上遵守NWD规则导致在用户主体的安全机制中包含一个主观因素,用户主体在输入信息时必须评估所输入的信息是否符合文件的安全级别。 消除这种主观因素的任务可以通过各种方式解决,其中最简单的是完全禁止受试者改变安全级别低于相关受试者安全级别的物体。 与此同时,系统的功能显着降低。
因此,如果在自由裁量模型中,访问控制是通过授权用户对某些对象执行某些操作来实现的,那么强制模型就会隐式地控制访问--通过为系统的所有实体分配安全级别来定义它们之间所有允许的交互。 因此,强制访问控制不区分被分配相同安全级别的实体,并且对它们的交互没有限制。 特定安全级别的任何对象都可以访问适当安全级别的任何主体(受NRU和NWD规则的约束)。 在大多数情况下,只根据安全级别的概念,而不考虑主体和客体的其他特征的具体情况,对访问区分采取强制性做法,导致相关安全类别内特定主体的访问权冗余。 为了消除这一缺点,在有关安全类别内有一项自由裁量的访问区分的强制性原则作为补充。
在理论模型中,为此引入了访问矩阵,定义了对强制原则允许的相同安全级别对象的访问。