Astra Linux.Мандатное разграничение доступа
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
- механизмы IPC;
- стек TCP/IP (IPv4);
- файловые системы Ext2/Ext3/Ext4;
- сетевую файловую систему CIFS;
- файловые системы proc, tmpfs.
В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Модель контроля и управления доступом
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[1] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[2], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[3].
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[4].
Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[5] модель была полностью формализована и верифицирована.[6]
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
- Портал Астра Линукс
- Astra Linux.Версии
- Astra Linux.Как сделать
- Astra Linux.Технические подробности
- Astra Linux.Мандатное разграничение доступа
- Astra Linux.Обновления безопасности для ALSE 1.5
- Astra Linux.Совместимое ПО
- Astra Linux.Список совместимого оборудования
- Astra Linux.Сертификаты
- Astra Linux.Ссылки
- ↑ Патент на изобретение №2525481 . www1.fips.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85 . www.mathnet.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ «Хакер» - Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE
- ↑ ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ - тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства...
- ↑ {{#invoke:String|replace|source=Центр верификации ОС Linux|pattern=^(%[*)(.-[^%.%]])(%]*)$|replace=%1%2%3.|plain=false}} Дедуктивная верификация модулей ядра . Linux Deductive Verification.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
- ↑ И. Щепетков Rodin — платформа для разработки и верификации моделей на Event-B (русский).