2 о работе разрешительной системы. Условия 1 и 2 не
касаются обращений процессов из D и к D. Поэтому вопросы идентификации
здесь решаются за счет разделения сеансов пользователей и указанные условия
выполняются.
Доступ к
объекту возможен лишь при обращении к внешней памяти через шифратор, или в
случае, когда объект создан в течение текущего сеанса, или вызван из ПЗУ. Если
считать, что доступ к объектам в оперативной памяти автоматически опирается на данное
пользователю разрешение на доступ к ним, а активизированными могут быть
субъекты
от его же имени, то можно считать, что любой доступ в этом случае
выполняется в соответствии с условиями 1 и 2.
Что
касается условия 3, то невозможность получить доступ минуя разрешительную
систему определяется разнесенностью работы пользователей, отсутствием
подслушивания, необходимостью расшифровывать информацию для получения доступа к
ней. Это не касается объектов из D, или только созданных, где нет проблем из-за разнесенности
сеансов. Также мы считаем, что отсутствует физическое проникновениеи
модификация системы.
В
результате получим, что данная архитектура реализует условия теорем 1 и 2 и
поддерживает политику безопасности.
Суммируем
то, что обеспечивает гарантии в построенной системе (то есть, что поддерживает
условия теорем 1 и 2):
*
обеспечение
работы только одного пользователя (охрана);
*
отключение
питания при смене пользователей;
*
стойкость
шифратора К и сохранность в тайне ключей каждого пользователя;
*
недопустимость
физического проникновения в аппаратную часть или подслушивание (охрана).
Известно,
как обеспечивать эти требования, а гарантии их обеспечения являются гарантией
защищенности системы в смысле выбранной политики безопасности.
Отметим
некоторые стороны построенной модели, которые будут встречаться далее.
1)
Гарантии построены при четкой политике безопасности.
2) Для
поддержки политики потребовалась идентификация объектов (+ вычисление
добавочной идентификационной функции).
3) Для
поддержки
Главная / безопасность пк / методы защиты информации 