Locked History Actions

Mandatory Access Control

Žodis angliškai

Mandatory access control

Santrumpa

MAC

Žodis Lietuviškai

Mandatinė pasiekimo kontrolė


Apibrėžimas

Mandatinė pasiekimo kontrolė (MAC) - tai organizacinis saugumo politikos vykdymas, kuris nesukuria, bet kuriam norinčiam vartotojui pilnas prieigos teises prie saugomos informacijos. MAC saugo informaciją priskirdamas jautrumo lygius jai, palygindamas saugomos informacijos jautrumo lygį su vartotojui skirtu jautrumo lygiu. Vartotojai gauna prieigą tik prie tos informacijos, prie kurios jie turi leidimą prieiti.


Paaiškinimai

MAC priklauso vienam iš prieigos valdymo tipų, pagal kurią operacinė sistema suteikia kažkokiam subjektui (vartotojui) galimybę prieiti prie tam tikrų objektų. Praktikoje dažniausiai yra suteikiamas leidimas procesams arba tiesiog informacijai: tai gali būti įvairios bylos, direktorijos, TCP/UDP portai ir t.t. Kai tik vartotojas pabando patekti į saugomą zoną, įgaliojimų taisyklė yra iššaukiama operacinės sistemos Kernel, kuri nusprendžia ar pagal visus saugumo atributus tolimesni veiksmai teisėti. Kiekviena subjekto operacija yra testuojama pagal suteiktas teises. Mandatinė pasiekimo kontrolė galime taikyti ir duomenų bazėse, tik šiuo atveju saugomi objektai yra lentelės, procedūros ir t.t. MAC kontrolė yra valdoma vieno saugumo administartoriaus, kuris suteikia vartotojams įvairaus jautrumo lygio teises saugomai informacijai. Vartotojai neturi teisės nustatyti sau privilegijas. MAC kontrolė yra glaudžiai siejama su multi-level secure (MLS) sistema. Nes iš principo veikimas yra labai panašus. Tačiau MAC kontrolė yra saugesnė, todėl kad vis labiau yra naudojama populiariose operacinėse sistemose ir ji išstūmė MLS kontrolę, nes ji buvo per sudėtinga tinklų administratoriams.

MAC sistemos saugumo lygiai

Kai kuriose sistemose vartotojai turi teisę pasirinkti ar suteikti prieigą, bet kuriam kitam vartotojui. Kad įgyvendinti tai, visi vartotojai turi turėti prieigos teisę prie visų duomenų. Tai ne visai tinkamas dalykas MAC sistemai. Jeigu atsiranda tokių individualų, kuriems gali būti uždrausta prieiga prie duomenų, tada sistema yra priversta taikyti MAC kontrolę. Egzistuoja įvairūs saugumo jautrumo informacijos lygiai bei vartotojų leidimų lygiai, tai reiškia matuojamą saugumo tvirtumą. Pvz. saugumas yra geresnis jeigu sistemoje informacija yra suklasifikuota pagal slaptumo lygius ir ji turi nesuklasifikuotus pagal saugumo lygius vartotojus, negu jei sistema turi nesuklaisfikuota pagal saugumo jautrumo lygius informaciją, o vartotojams priskirtos konfidicialios prieigos teisės. Tai gi taikant įvairius tyrimus buvo nustatyta, kad siekiant užtikrinti saugumą, reikia atzižvelgti į du komponentus : patikimumo lygį bei funkcionalumą.

MAC kontrolės modelio požymiai

  • Tik administartoriai, turi teisę keisti prieigos teises vartotojams arba savininkams;
  • Visi duomenys yra priskiriami saugumo jautrumo lygiams, kurie parodo konfidencialumo lygį;
  • Visi vartotojai turintys aukštesnio lygio prieigą prie informacijos gali skaityti žemesnio saugumo lygio informaciją;
  • Visi vartotojai gali rašyti aukštesnio lygio objektui;
  • Prieiga gali būti uždrausta priklausomai nuo dienos ar laiko, ar vartotojo leidimo;
  • Prieiga gali būti uždrausta priklausomai nuo HTTP kliento saugumo charakteristikų;


Naudota literatūra

  1. http://en.wikipedia.org/wiki/Mandatory_Access_Control

  2. http://www.cgisecurity.com/owasp/html/ch08s02.html