Принудительный контроль доступа
Материал из Википедии — свободной энциклопедии
Принудительный контроль доступа (Mandatory Access Control, MAC) — это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.
Для файловых систем, он может расширять или заменять дискреционный контроль доступа и концепцию пользователей и групп. Самое важное достоинство заключается в том, что пользователь не может полностью управлять доступом к ресурсам, которые он создаёт. Политика безопасности системы, установленная администратором, полностью определяет доступ, и пользователю не разрешается устанавливать более свободный доступ к его ресурсам чем тот, который установлен администратором. Системы с дискреционным контролем доступа разрешают пользователям полностью определять доступность их ресурсов, что означает, что они могут случайно или преднамеренно передать доступ неавторизованным пользователям.
Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия получать доступ к информации, процессам или устройствам на другом уровне. Тем самым обеспечивается изоляции пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть полностью лишена доверия и её доступ к устройствам и файлам должен строго контролироваться).
Очевидно, что система, которая обеспечивает разделение данных и операций в компьютере должна быть построена таким образом, чтобы её нельзя было «обойти». Она, также, должна давать возможность оценивать полезность и эффективность используемых правил, и быть защищённой от постороннего вмешательства.
[править] Исторические архитектуры MAC
Изначально такой принцип был воплощён в операционных системах FLASK, и других ориентированных на безопасность операционных системах.
