Какие основные принципы мандатного управления доступом применяются в современных системах безопасности?

Некоторые основные принципы мандатного управления доступом (Mandatory access control, MAC) в современных системах безопасности:

• Иерархическая структура уровней доступа. 1 Субъект может получить доступ к объектам соответствующего уровня конфиденциальности, а также ко всем другим уровням, находящимся по иерархии ниже. 1
• Назначение меток. 15 Всем субъектам и объектам присваиваются метки — значение уровня доступа у субъекта и значение уровня конфиденциальности для объекта. 1
• Проверка соответствия меток. 1 Каждый раз, когда субъект запрашивает объект, происходит проверка соответствия меток и принимается решение о разрешении или запрете доступа. 1
• Использование категорий. 1 С их помощью можно разграничивать доступ среди субъектов с одинаковым уровнем доступа. 1 Категории — не обязательная часть MAC, а лишь дополнительная возможность управления доступом. 1
• Запрет на наделение правами доступа других субъектов. 1 Это может делать либо администратор, либо специальное лицо, обладающее знаниями о необходимых правах для пользователей (как правило, сотрудник безопасности). 1
• Контроль на уровне информационных потоков. 2 Контролируются не только сами транзакты, но и направления их движения в информационном потоке. 2 Основное требование: не должно происходить движение транзакта от менее приоритетного субъекта/объекта к более приоритетному. 2