Түрді орындау - Type enforcement

Туралы түсінік типті мәжбүрлеу (TEөрісінде ақпараттық технологиясы, бұл компьютерлік жүйелердегі қол жетімділікті реттеуге арналған қатынасты басқару механизмі. TE-ді іске асыру басымдық береді міндетті қол жетімділікті бақылау (MAC) аяқталды қалау бойынша қатынасты бақылау (DAC). Қатынау рұқсаты алдымен объектіге (мысалы, файлдарға, жазбаларға, хабарламаларға) қол жеткізетін тақырыпқа (мысалы, файл), тіркелген ережелер негізінде беріледі қауіпсіздік мәнмәтіні. Домендегі қауіпсіздік мәтінмәні доменнің қауіпсіздік саясатымен анықталады. Linux қауіпсіздік модулінде (LSM ) SELinux, қауіпсіздік мәтінмәні - кеңейтілген атрибут. Түрді орындауды жүзеге асыру MAC үшін алғышарт және оған дейінгі алғашқы қадам болып табылады көп деңгейлі қауіпсіздік (MLS) немесе оны ауыстыру көп санаттағы қауіпсіздік (MCS). Бұл толықтыру қол жетімділікті басқару рөлі (RBAC).

Бақылау

Түрдің орындалуы тек процестің орындалуын бақылауды ғана емес, сонымен бірге операциялық жүйені мұқият бақылауды білдіреді домендік ауысу немесе авторизация схемасы. Сондықтан, ол SELinux сияқты, ядро ​​модулі ретінде жақсы енгізілген. Типтік мәжбүрлеуді қолдану - бұл іске асырудың тәсілі FLASK сәулет.

Кіру

Қолданушылар типін қолдануды қолдана алады Microsoft Белсенді каталог ) немесе болмауы мүмкін (сияқты SELinux ) Kerberos аймағымен байланыстырылуы мүмкін, дегенмен түпнұсқалық типтегі мәжбүрлеп қолдану қажет. Берілген қауіпсіздік контекстіне рұқсат ету ережелері немесе авторизация схемасына сәйкес объектілерге субъектінің құқықтары туралы ережелерді қамтитын TE қол жетімді матрицасын анықтау қажет.

Қауіпсіздік

Іс жүзінде типтік мәжбүрлеу объектінің қауіпсіздігінің бастапқы контекстіндегі ережелер жиынтығын, объектінің мақсатты қауіпсіздік контекстіндегі ережелер жиынтығымен бағалайды. Рұқсат туралы шешім TE қол жетімділік сипаттамасына (матрица) байланысты болады. Содан кейін, DAC немесе басқа қол жетімділікті басқару тетіктері қолданылады (MLS / MCS,…).

Тарих

Түрдің орындалуы енгізілді Қауіпсіз Ada Target 80-ші жылдардың соңында архитектураны логикалық бірлесіп өңдеу ядросы (LOCK) жүйесінде дамыта отырып жүзеге асырды.[1][2] The Sidewinder Internet Firewall түрлендіруді қосатын Unix-тің тапсырыс бойынша нұсқасында жүзеге асырылды.

Нұсқа деп аталады домен түріндегі мәжбүрлеу жылы дамыған Сенімді MACH жүйе.

Бастапқы типті орындау моделінде затбелгілер зат пен объектіге бекітілуі керек деп көрсетілген: тақырып үшін «домендік белгі» және объект үшін «типтік затбелгі». Бұл іске асыру механизмі жетілдірілді FLASK күрделі құрылымдар мен жасырын қатынастарды алмастыратын сәулет. Сондай-ақ, бастапқы қол жетімділік матрицасы басқа құрылымдарға таратылды: торға негізделген, тарихқа негізделген, қоршаған ортаға негізделген, саясаттың логикасы ... Бұл әр түрлі операциялық жүйелерде TE енгізу мәселесі. SELinux-те TE енгізу TE-доменін TE-түрлерінен іштей ажыратпайды. Жапсырмалар мен матрицалар сияқты егжей-тегжейлі аспектілерді, әсіресе «домен» және «типтер» терминдерін қолдана отырып, басқа, жалпы, кең мағынада қолданылатын мағыналарды көрсету TE-дің бастапқы моделінің әлсіздігі деп санаған жөн.

Әдебиеттер тізімі

  1. ^ Қараңыз Эрл Боеберт Ауызша тарихқа сұхбат 28 сәуір 2015, Чарльз Бэббидж институты, Миннесота университеті>
  2. ^ Ричард Ю.Каин Ауызша сұхбат, 2015 жылғы 27 мамыр, Чарльз Бэббидж институты, Миннесота университеті