Обязательный контроль доступа (MAC)
Что такое Обязательный контроль доступа (MAC)?
Обязательный контроль доступа (MAC)Модель контроля доступа, при которой централизованная политика — а не владелец ресурса — принимает решения на основе классификаций и допусков субъектов и объектов.
Обязательный контроль доступа — недискреционная модель, в которой ОС или ядро принудительно применяет общесистемную политику, недоступную для изменений пользователями. Каждому субъекту (процессу) и объекту (файлу, сетевому порту) присваивается метка безопасности — уровень классификации (совершенно секретно, секретно, конфиденциально) или категория, и доступ допускается, лишь если метки удовлетворяют политике (например, правилу Белла–Лападулы «не читать выше, не писать ниже»). Модель «обязательна», поскольку даже владелец файла не вправе ослабить разрешения. MAC реализуют SELinux, AppArmor, Smack и FreeBSD MAC; модель пришла из военных и высокозащищённых систем. Цена — жёсткость, сложное мечение и крутая операционная кривая.
● Примеры
- 01
SELinux запрещает процессу веб-сервера читать /etc/shadow, даже когда он работает от root.
- 02
Засекреченная система не даёт пользователю уровня «Секретно» записывать в каталог «Несекретно».
● Частые вопросы
Что такое Обязательный контроль доступа (MAC)?
Модель контроля доступа, при которой централизованная политика — а не владелец ресурса — принимает решения на основе классификаций и допусков субъектов и объектов. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Обязательный контроль доступа (MAC)?
Модель контроля доступа, при которой централизованная политика — а не владелец ресурса — принимает решения на основе классификаций и допусков субъектов и объектов.
Как защититься от Обязательный контроль доступа (MAC)?
Защита от Обязательный контроль доступа (MAC) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обязательный контроль доступа (MAC)?
Распространённые альтернативные названия: MAC, Недискреционный контроль доступа.