Мандатное управление доступом

Механизм мандатного управления доступом (далее — МРД) обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа, а также для предотвращения утечки информации. Для реализации мандатного управления доступом используются классификационные метки доступа, назначаемые для каждого субъекта и сущности, — служебные атрибуты, представляющие собой комбинацию иерархических уровней конфиденциальности (степеней секретности) и неиерархических категорий конфиденциальности. Сущностям также могут быть присвоены дополнительные атрибуты для мандатного управления доступом.

Таким образом, пользователь, если ему не присвоены специальные привилегии и (или) если файлам не заданы дополнительные атрибуты сущностей для мандатного управления доступом, может читать файлы, уровень конфиденциальности которых не превосходит его уровня доступа, а передавать данные только на одном уровне конфиденциальности.

Редактирование доменных справочников уровней и категорий конфиденциальности, назначение доменным учетным записям пользователей максимального и минимального уровней конфиденциальности, а также минимальных и максимальных категорий конфиденциальности осуществляется в web-интерфейсе портала управления ALD Pro, а также в web-интерфейсе FreeIPA.

Механизм МРД доступен в ОС с выбранным уровнем защищенности «Максимальный» («Смоленск»).