Professional Documents
Culture Documents
АМБ Черняк КБ 3.02 Реалізація мандатної моделі політики безпеки (MAC)
АМБ Черняк КБ 3.02 Реалізація мандатної моделі політики безпеки (MAC)
Підготував
Студент КБ 3.02
Черняк Павло
Перевірив: Кірєєв І.А.
Обмеження та вразливості
MAC має свої обмеження та особливості:
1. Користувачі системи не можуть самостійно визначати доступ суб'єктів до
об'єктів. З усього арсеналу управління доступом до об'єкта в MAC є тільки мандатна мітка і
мандатна категорія, які прив'язані до цього об'єкта. Управління доступом суб'єктів до
об'єктів здійснюють тільки адміністратори.
2. Якщо користувач хоче змінити мандатну мітку об'єкта, автором якого він є, то
йому необхідно перейти в сеанс цільової мітки. Пов'язано з тим, що користувач не може
вказати мітку за своїм бажанням, а може лише передати мітку об'єкту "у спадок". Одночасно
користувач може працювати тільки в сеансі однієї мандатної мітки.
3) Оскільки MAC використовується спільно з іншими моделями управління доступом,
виникають колізії: іноді не так просто з'ясувати, в якому "шарі" системи безпеки сталася
відмова в наданні доступу. Потрібен тонкий "тюнінг" усіх шарів захисту.
4. Крім самого налаштування доступу за допомогою інструментарію MAC
потрібна наявність регламенту безпеки. У ньому має бути описано, що означають конкретні
значення мандатних міток (це знаходиться за межами MAC), які об'єкти як захищаються, які
суб'єкти мають право на доступ. Без наявності узгодженого регламенту MAC сама по собі не
дасть security enhancement.
5. Використання MAC у розподіленій мережевій інфраструктурі. Традиційний
підхід до налаштування MAC - локально, вручну, за допомогою адміністратора відповідно до
інструкції. Є рішення, що дають змогу реалізувати централізовано кероване сховище MAC
(на кшталт ALD), але вони мають свої особливості та складнощі побудови.
Для того щоб додаток міг скористатися механізмом мандатних міток операційної
системи, мають бути виконані такі умови:
- Користувачі програми мають бути зареєстровані в сховищі користувачів операційної
системи. Щонайменше має бути якийсь ідентифікатор, що дає змогу однозначно зіставити
користувача програми з користувачем операційної системи (зазвичай це логін).
- Користувачам застосунку на рівні механізму MAC операційної системи мають бути
налаштовані мандатні дозволи на певні мандатні мітки (діапазони мандатних міток).
Інший важливий крок під час проєктування, який обов'язково потрібно виконати до
початку розроблення, - відокремлення модулів, у яких потрібна підтримка MAC, від модулів,
у яких цей механізм управління доступом не потрібен. Використання мандатної моделі
управління доступом майже завжди ускладнює бізнес-логіку програми.