Установка доступа к объектам с использованием мандатного метода контроля ПРД.
Если в файле accord.ini установлен параметр MandatoryAccess=Yes то включается мандатный механизм задания и контроля ПРД. В главном окне программы (Рис. 2) нажмите мышкой кнопку в строке "Разграничение доступа", и на экран выводится окно с правами доступа пользователя к ресурсам ПЭВМ (Рис.19).
 |
Рис. 19. Права доступа с использованием мандатного механизма ПРД.
 |
Кроме дискреционных меток доступа к объекту, у каждого объекта появляется дополнительный атрибут – метка доступа. В главном окне программы (Рис. 2) становится доступной кнопка "Уровень доступа" на панели инструментов и пункт меню "Уровень доступа" в меню "Команды". С помощью этой команды можно установить уровень доступа пользователя (Рис. 20).
Рис. 20. Установка уровня доступа пользователя.
Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или равен метке доступа каталога, файла, сетевого ресурса (объекта) то доступ к объекту предоставляется данному субъекту. Если при этом установлены дискреционные ПРД, то операции, которые пользователь может выполнять с разрешенным объектом, определяются этими ПРД.
 |
Для присвоения объектам меток доступа нажмите кнопку на панели инструментов с изображением дерева каталогов, или выберите пункт «Мандатный доступ» в меню "Команды". Выводится окно со списком объектов (Рис. 21).
Рис. 21. Атрибуты доступа к объекту при использовании мандатного контроля ПРД.
По умолчанию всем объектам присваивается самый низкий уровень – общедоступно. Для изменения метки доступа установите курсор на нужную строку и нажмите Enter, или мышью кнопку «Редактировать». Откроется окно, в котором для объекта доступны только два параметра – уровень доступа и наследование прав доступа. Уровень доступа можно изменить, нажав мышью на кнопку в строке «Уровень доступа» и выбрать значения из списка.
Если необходимый Вам объект отсутствует в списке (Рис. 21), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится расширенное окно «Атрибуты доступа к объектам» (Рис. 22.). Справа в этом окне отображен список всех объектов. Введите в поле «Имя объекта» имя объекта и установите для него необходимые атрибуты. С помощью мыши также можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» - его тип (каталог, файл, реестр). В правом нижнем секторе окна доступна функция установке меток доступа объекта. Установите указатель мыши на стрелку в правой части строки "Уровень доступа" и нажмите левую кнопку мыши. Появится список, из которого можно выбрать значение метки доступа выбранного объекта. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>.
 |
Рис. 22. Определение нового объекта и установка его метки доступа.
В мандатном механизме доступа СЗИ "Аккорд-NT/2000" v.2.0 реализована весьма важная с точки зрения безопасности и создания ИПС (изолированной программной среды) функция – это мандатный доступ к объектам со стороны такого субъекта, как процесс (задача), который загружен в оперативную память ПЭВМ. В окне прав доступа пользователя к ресурсам ПЭВМ (Рис.19) кроме закладки "Объекты", доступна закладка "Процессы". Если щелкнуть по ней левой кнопкой мыши, то на экран выводится список процессов (Рис. 23).
 |
Рис. 23. Установка атрибутов мандатного доступа для процессов в оперативной памяти.
При первом запуске программы ACED32.EXE с включенной дисциплиной мандатного доступа в список процессов заносятся все процессы, которые в данный момент находятся в оперативной памяти ПЭВМ и им устанавливается по умолчанию уровень доступа "Общедоступный", т.е. самый низкий. Если необходимый Вам объект отсутствует в списке (Рис. 23), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится окно установки уровня доступа (Рис. 24). Имя процесса вводится без указания пути, т.к. это процесс в памяти, но с расширением. Уровень доступа выбирается из списка. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «ОК». Для изменения уровня доступа процесса в разделе «Процессы» выберите строку с нужным именем и нажмите кнопку «Редактировать» или клавишу <Enter>.
Список процессов с установленными уровнями доступа в наиболее простом и наглядном виде отражает концепцию изолированной программной среды, т.к. при выполнении мандатной дисциплины доступа запускаться на исполнение будут процессы только из этого списка.
 |
Рис. 24. Установка уровня доступа процесса.
В системе атрибутов СЗИ "Аккорд-NT/2000" v.2.0 исполняемый файл может выступать и как объект, и как субъект. Файл на жестком диске – это объект, которому установлена метка доступа и запустить такой файл на исполнение может пользователь с соответствующим уровнем доступа. После загрузки исполняемого файла в оперативную память, он уже как субъект имеет установленный уровень доступа к объектам. В такой системе атрибутов возможна реализация такой политики безопасности, что обработка объектов с определенной меткой доступа возможна только с помощью процессов соответствующего уровня доступа.
Если для всех зарегистрированных пользователей, входящих в определенную группу, должна выполняться единая политика безопасности с использованием мандатного механизма разграничения доступа, то достаточно вначале установить правила доступа для группы. В файле Accord.ini параметру OnlyGroupMandatory присвоить значение Yes. В этом случае для каждого пользователя из этой группы будут действовать мандатные ПРД группы.