next up previous
Next: Архитектура GFAC Up: От Формальной Модели Приватности Previous: Функции перехода состояний

Спецификация и Реализация в соответствии с архитектурой Generalized Framework for Access Control

В проекте определено как должна внедряться политика секретности с соответствии с архитектурой Generalized Framework for Access Control (GFAC) в Unix System V (см. [Fischer-Hu"bner 97b]). GFAC (см. [Abrams et al. 1990], [LaPadula 1995]) это структура для выражения и интеграции многочисленных компонентов безопасности. GFAC позволяет использовать несколько политик безопасности одновременно выбирая для конфигурирования набор свойств (из доступных) необходимый для решения поставленной задачи.

Проектная спецификация верхнего уровня, описывающая как GFAC предписывает политики Bell LaPadula и Clark Wilson, и каким образом могут быть реализованы две поддерживаемых политики (Functional Control (FC) и Security Information Modification (SIM)) в Unix System V, была опубликована в [LaPadula 1995]. В дальнейшем эта спецификация была доработана и дополнена правилами политики модели приватности. Затем она была адаптирована и использована для реализации и интеграции в операционной системе Linux (см. [Ott 1997]) политики секретности по методике GFAC, совместно с другими политиками секретности (Bell LaPadula, FC, SIM). Linux, несмотря на то, что он не был разработан для защиты, был выбран как демонстрационная система потому, что это устойчивая система, доступен её исходный код и она обладает функциональностью System V (рекомендуемая LaPadula система). Вдобавок, он поддерживает большинство основных стандартов Unix. В результате, проект (в частности, модули безопастности Access Decision Facility и Access Control Information) может быть легко перенесён на более защищенную версию Unix.

Архитектура GFAC была выбрана потому, что она позволяет легко комбинировать модель секретности, предписанной основными правилами национального законодательства о секретности, с другими, более специфичными требованиями секретности (например, положения закона о секретности больничной информации), которым может быть присвоен более высокий приоритет. Это очень важный момент, так как в соответствии с Немецким Федеральным и государственным законами о защите данных, если имеются другие положения закона, применимые к личным данным, то такие положения должны иметь приоритет.

Дополнительно, Linux был дополнен механизмом псевдонимного аудита. Псевдонимный аудит (см. [Sobirey et al. 1997]) это расширяющая секретность технология проверки безопасности, где данные, идентифицирующие пользователя в записях проверки скрыты под псевдонимами.


next up previous
Next: Архитектура GFAC Up: От Формальной Модели Приватности Previous: Функции перехода состояний