vopr0s.md 3.6 KB
В чем заключается главное различие между DAC и MAC? При дискреционном управлении (DAC) владелец ресурса сам определяет права доступа для других (например, через chmod или ACL). При мандатном управлении (MAC) доступ регулируется централизованной политикой безопасности системы на основе меток конфиденциальности, и даже владелец файла не может дать доступ пользователю, чей уровень допуска ниже метки файла.
Объясните принцип «No Write Down» (нет записи вниз) в модели Белла — Лападулы. Этот принцип запрещает субъекту с высоким уровнем доступа (например, «Секретно») записывать информацию в объекты с более низким уровнем (например, «Несекретно»). Это необходимо для того, чтобы секретные данные случайно или намеренно не были скопированы в открытые источники, что предотвращает утечку информации.
Зачем в Astra Linux роли администратора разделены на uadmin и secadmin? Это сделано для минимизации рисков и реализации принципа разделения полномочий. Системный администратор (uadmin) занимается технической работой (драйверы, сеть), но не имеет доступа к конфиденциальным данным, а администратор безопасности (secadmin) управляет метками и политиками доступа, но не вмешивается в техническую настройку ПО. Это не позволяет одному человеку иметь абсолютный контроль над системой.
Что такое «неиерархические категории» и какую задачу они решают? Категории позволяют логически разделить данные, находящиеся на одном и том же уровне секретности. Это решает задачу ограничения доступа по принципу «необходимо знать»: например, сотрудники бухгалтерии и отдела кадров оба могут иметь допуск «Секретно», но благодаря разным категориям они не смогут видеть документы друг друга.
Какую роль в системе защиты играет механизм очистки оперативной памяти? Механизм принудительно затирает блоки памяти или диска после удаления файлов или завершения процессов. Это защищает от атак типа «чтение остаточной информации», когда злоумышленник пытается восстановить фрагменты секретных данных, которые могли остаться в памяти после того, как легитимное приложение закончило работу