Установка доступа к объектам с использованием мандатного метода контроля ПРД.
Если в файле accord.ini установлен параметр MandatoryAccess=Yes то включается мандатный механизм задания и контроля ПРД. В главном окне программы (Рис. 2) нажмите мышкой кнопку в строке "Разграничение доступа", и на экран выводится окно с правами доступа пользователя к ресурсам ПЭВМ (Рис.19).
Рис. 19. Права доступа с использованием мандатного механизма ПРД.
Кроме дискреционных меток доступа к объекту, у каждого объекта появляется дополнительный атрибут – метка доступа. В главном окне программы (Рис. 2) становится доступной кнопка "Уровень доступа" на панели инструментов и пункт меню "Уровень доступа" в меню "Команды". С помощью этой команды можно установить уровень доступа пользователя (Рис. 20).
Рис. 20. Установка уровня доступа пользователя.
Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или равен метке доступа каталога, файла, сетевого ресурса (объекта) то доступ к объекту предоставляется данному субъекту. Если при этом установлены дискреционные ПРД, то операции, которые пользователь может выполнять с разрешенным объектом, определяются этими ПРД.
Для присвоения объектам меток доступа нажмите кнопку на панели инструментов с изображением дерева каталогов, или выберите пункт «Мандатный доступ» в меню "Команды". Выводится окно со списком объектов (Рис. 21).
Рис. 21. Атрибуты доступа к объекту при использовании мандатного контроля ПРД.
По умолчанию всем объектам присваивается самый низкий уровень – общедоступно. Для изменения метки доступа установите курсор на нужную строку и нажмите Enter, или мышью кнопку «Редактировать». Откроется окно, в котором для объекта доступны только два параметра – уровень доступа и наследование прав доступа. Уровень доступа можно изменить, нажав мышью на кнопку в строке «Уровень доступа» и выбрать значения из списка.
Если необходимый Вам объект отсутствует в списке (Рис. 21), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится расширенное окно «Атрибуты доступа к объектам» (Рис. 22.). Справа в этом окне отображен список всех объектов. Введите в поле «Имя объекта» имя объекта и установите для него необходимые атрибуты. С помощью мыши также можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» - его тип (каталог, файл, реестр). В правом нижнем секторе окна доступна функция установке меток доступа объекта. Установите указатель мыши на стрелку в правой части строки "Уровень доступа" и нажмите левую кнопку мыши. Появится список, из которого можно выбрать значение метки доступа выбранного объекта. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>.
Рис. 22. Определение нового объекта и установка его метки доступа.
В мандатном механизме доступа СЗИ "Аккорд-NT/2000" v.2.0 реализована весьма важная с точки зрения безопасности и создания ИПС (изолированной программной среды) функция – это мандатный доступ к объектам со стороны такого субъекта, как процесс (задача), который загружен в оперативную память ПЭВМ. В окне прав доступа пользователя к ресурсам ПЭВМ (Рис.19) кроме закладки "Объекты", доступна закладка "Процессы". Если щелкнуть по ней левой кнопкой мыши, то на экран выводится список процессов (Рис. 23).
Рис. 23. Установка атрибутов мандатного доступа для процессов в оперативной памяти.
При первом запуске программы ACED32.EXE с включенной дисциплиной мандатного доступа в список процессов заносятся все процессы, которые в данный момент находятся в оперативной памяти ПЭВМ и им устанавливается по умолчанию уровень доступа "Общедоступный", т.е. самый низкий. Если необходимый Вам объект отсутствует в списке (Рис. 23), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится окно установки уровня доступа (Рис. 24). Имя процесса вводится без указания пути, т.к. это процесс в памяти, но с расширением. Уровень доступа выбирается из списка. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «ОК». Для изменения уровня доступа процесса в разделе «Процессы» выберите строку с нужным именем и нажмите кнопку «Редактировать» или клавишу <Enter>.
Список процессов с установленными уровнями доступа в наиболее простом и наглядном виде отражает концепцию изолированной программной среды, т.к. при выполнении мандатной дисциплины доступа запускаться на исполнение будут процессы только из этого списка.
Рис. 24. Установка уровня доступа процесса.
В системе атрибутов СЗИ "Аккорд-NT/2000" v.2.0 исполняемый файл может выступать и как объект, и как субъект. Файл на жестком диске – это объект, которому установлена метка доступа и запустить такой файл на исполнение может пользователь с соответствующим уровнем доступа. После загрузки исполняемого файла в оперативную память, он уже как субъект имеет установленный уровень доступа к объектам. В такой системе атрибутов возможна реализация такой политики безопасности, что обработка объектов с определенной меткой доступа возможна только с помощью процессов соответствующего уровня доступа.
Если для всех зарегистрированных пользователей, входящих в определенную группу, должна выполняться единая политика безопасности с использованием мандатного механизма разграничения доступа, то достаточно вначале установить правила доступа для группы. В файле Accord.ini параметру OnlyGroupMandatory присвоить значение Yes. В этом случае для каждого пользователя из этой группы будут действовать мандатные ПРД группы.