Подход и правила назначения меток безопасности иерархическим объектам доступа. Пример

Основа назначения меток безопасности иерархическим объектам доступа определяется следующим подходом.

Пусть некоторому включаемому объекту (например, файлу) необходимо назначить метки безопасности. Это означает, что пользователю с соответствующей меткой будет дано право на чтение данного объекта и на запись в него. Cooтветственно, включающим элементам должна присваиваться метка, не позволяющая рассматриваемому пользователю осуществить в них запись, но позволяющая осуществить чтение (чтобы просмотреть структуру включающего элемента) — т.е. метка ниже, чем метка включаемого элемента).

Реализация данного подхода позволяет сформулировать следующие общие правила назначения меток безопасности иерархическим объектам доступа:

1. Метки безопасности из множества М = {Ml,...,Mk}, используемого в полномочной модели управления доступом, присваиваются объектам доступа (без учета их иерархии), к которым следует разграничивать доступ. Процедура назначение меток безопасности начинается с разметки данных объектов.

2. Метки безопасности должны присваиваться всем включающим элементам иерархии, вплоть до элемента, являющегося объектом доступа (к которому разграничивается доступ). Для разметки включающих элементов, не являющихся непосредственно объек­тами доступа, но к которым следует разграничить доступ, вво­дится метка Mk+1. Причем для элементов множества М должно выполняться условие: Ml < М2 < М3<... <Mk < Mk+1.

3. Включаемому элементу может не присваиваться метка безопаснос­ти, тогда включаемый элемент наследует метку безопасности (име­ет то же значение метки) включающего его элемента.

4. 4. Вводится группа старших (корневых) элементов иерархии Ok+1, включающих объекты доступа. Данной группе объектов должна присваиваться метка безопасности Mk+1.

5. К группе старших (корневых) элементов иерархии Ok+1 при сопо­ставлении ей метки Mk+1 разрешается доступ по «чтению».

Рассмотрим примеры применения введенных правил.

Пример 1. Пусть на логическом диске D: вводится три каталога, соответ­ственно, D:\2, D:\3, D:\4 (реализуется мандатный механизм управления доступа к этим каталогам) и пусть соответствующим образом назначаются метки безопасности каталогам — 2, 3, 4. В этом случае корневым включа­ющим элементом является диск D (объект Ok+1). Ему должна быть при­своена метка Mk+l=5. Иллюстрация назначаемых меток безопасности объектам доступа для рассматриваемого примера приведена в табл. 1

Таблица 1.

Пример 2. Рассмотрим более сложную иерархическую структуру. Пусть на логическом диске D: вводится два каталога, соответственно, D:\2, D:\3, в каталоге D:\2 расположен объект доступа — файл User1, который должен иметь метку 2, и пусть в каталоге D:\3 присутствуют два объекта доступа — файлы User 2 и User 3, соответствующим образом размеча­емые — имеют метки 3 и 4. В этом случае включающим корневым эле­ментом является диск D (объект Ok+1) — ему присваивается метка Mk+1 = 5. Иллюстрация назначаемых меток безопасности для рассмат­риваемого примера приведена в табл.2.

Таблица 2.

В примере разметки табл.2 элемент D:\3 наследует метку включающего эле­мента D:. Для файла User 1 достаточно назначить метку включающему его каталогу D:\2, которую он наследует.

Дата добавления: 2014-01-05; Просмотров: 598; Нарушение авторских прав?; Мы поможем в написании вашей работы!