Разделы сайта

Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Требования к политике безопасности

⇐ ПредыдущаяСтр 20 из 58Следующая ⇒

Требования к политике безопасности, проводимой системой, подразделяются в

соответствии с основными направлениями политики, предусматриваемыми " Оранжевой

книгой".

Произвольное управление доступом:

Класс C1 - надежная вычислительная база должна управлять доступом

именованных пользователей к именованным объектам. Механизм управления (права для

владельца/группы/прочих, списки управления доступом) должен позволять пользователям

специфицировать разделение файлов между индивидами и/или группами.

Класс C2 - в дополнение к C1, права доступа должны гранулироваться с точностью

до пользователя. Механизм управления должен ограничивать распространение прав

доступа - только авторизованный пользователь (например, владелец объекта) может

предоставлять права доступа другим пользователям. Все объекты должны подвергаться

контролю доступа.

Класс B3 - в дополнение к C2, должны обязательно использоваться списки

управления доступом с указанием разрешенных режимов. Должна быть возможность

явного указания пользователей или их групп, доступ которых к объекту запрещен.

(Примечание. Поскольку классы B1 и B2 не упоминаются, требования к ним в

плане произвольного управления доступом те же, что и для C2. Аналогично, требования к

классу A1 те же, что и для B3.)

Повторное использование объектов:

Класс C2 - при выделении хранимого объекта из пула ресурсов надежной

вычислительной базы необходимо ликвидировать все следы предыдущего использования.

Метки безопасности:

Класс B1 - надежная вычислительная база должна управлять метками

безопасности, ассоциируемыми с каждым субъектом и хранимым объектом. Метки

являются основой функционирования механизма принудительного управления доступом.

При импорте непомеченной информации соответствующий уровень секретности должен

запрашиваться у авторизованного пользователя и все такие действия следует

протоколировать.

Класс B2 - в дополнение к B1, помечаться должны все ресурсы системы

(например, ПЗУ), прямо или косвенно доступные субъектам.

Целостность меток безопасности:

Класс B1 - метки должны адекватно отражать уровни секретности субъектов и

объектов. При экспорте информации метки должны преобразовываться в точное и

однозначно трактуемое внешнее представление, сопровождающее данные. Каждое

устройство ввода/вывода (в том числе коммуникационный канал) должно трактоваться

как одноуровневое или многоуровневое. Все изменения трактовки и ассоциированных

уровней секретности должны протоколироваться.

Класс B2 - в дополнение к B1, надежная вычислительная база должна немедленно

извещать терминального пользователя об изменении его метки безопасности.

Пользователь может запросить информацию о своей метке. Надежная вычислительная

база должна поддерживать присваивание всем подключенным физическим устройствам

минимального и максимального уровня секретности. Эти уровни должны использоваться

при проведении в жизнь ограничений, налагаемых физической конфигурацией системы

(например, расположением устройств).

Принудительное управление доступом:

Класс B1 - надежная вычислительная база должна обеспечить проведение в жизнь

принудительного управления доступом всех субъектов ко всем хранимым объектам.

Субъектам и объектам должны быть присвоены метки безопасности, являющиеся

комбинацией упорядоченных уровней секретности, а также категорий. Метки являются

основой принудительного управления доступом. Надежная вычислительная база должна

поддерживать по крайней мере два уровня секретности.

Субъект может читать объект, если его (субъекта) метка безопасности доминирует

над меткой безопасности объекта, то есть уровень секретности субъекта не меньше уровня

секретности объекта и все категории объекта входят в метку безопасности субъекта.

Субъект может писать в объект, если метка безопасности объекта доминирует над

меткой субъекта.

Надежная вычислительная база должна контролировать идентификационную и

аутентификационную информацию. При создании новых субъектов (например,

процессов) их метки безопасности не должны доминировать над меткой породившего их

пользователя.

Класс B2 - в дополнение к B1, все ресурсы системы (в том числе ПЗУ, устройства

ввода/вывода) должны иметь метки безопасности и служить объектами принудительного

управления доступом.

⇐ Предыдущая 15 16 17 18 192021 22 23 24 Следующая ⇒

© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.