7.4.3. Организация доступа, определяемая владельцем объекта. Некоторые операции с базой данных связаны не только с просмотром (считыванием) информации, но и с изменением (записью) информации в базу данных. Многие из них реализуются программами, для которых разрешены следующие действия: читать, писать или выполнить. В открытой системе любой субъект может создать объект и, будучи его владельцем, может назначать категорию секретности. БЗИ для такого объекта содержит списки субъектов или групп субъектов, которые имеют доступ к этому объекту, с указанием прав доступа. Права доступа отдельного субъекта могут быть следующими: О(владеть), R(читать), W(писать),E(выполнять), и C(изменять). Право доступа О(владеть) может быть предоставлено только владельцу объекта. Это означает, что и все остальные права доступа, W, R, E, и C, также предоставлены владельцу. Владелец может передать часть или все права доступа другому субъекту или группе субъектов , используя список доступа. Если владелец передает субъекту права доступа С, он должен приписать его этому субъекту или для списка субъектов или групп субъектов. Субъект, имеющий право доступа С, может изменить права доступа субъектам, входящим в БЗИ. Права доступа для объекта определяют некоторый подкласс внутри класса секретности объекта. Право доступа О обеспечивает наибольшую защищенность, далее следуют права W, R и E. Каждый субъект, имеющий определенное право доступа, автоматически получает право доступа низшего подкласса. В каждом подклассе безопасности используется дополнительный атрибут для указания права доступа С. Если субъект имеет право доступа С, он может получить доступ к БЗИ объекта и затем выяснить список субъектов, которым он может изменить права доступа. уммммммммяммммммммямммммммммммммммммммммммммммямммммммммммммммммT Ё СубъектЁФункция Ё Атрибыты секретности Ё Пароли Ё Ё Ё ЁмммммммммммммммммммммммммммЁмммммммммммммммммЁ Ё Ё Ё Класс Ё Право Ё ПарольЁ П1 Ё П2 Ё Ё Ё Ё Ё доступа Ё Ё Ё Ё фммммммммьммммммммьмммммммьммммммммммьммммммммьммммммммьмммммммм Ё 1 Ё 2 Ё 3 Ё 4 Ё 5 Ё 6 Ё 7 Ё фммммммммьммммммммьмммммммьммммммммммьммммммммьммммммммьмммммммм Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Ё Рис. 7.2. База защищаемой информации для секретных объектов. Спецификация базы защищенной информации для отдельного объекта приведена на рис. 7.2. В графу "Атрибуты секретности" входят класс секретности, задаваемый для каждого субъекта, имеющего доступ к данному объекту, а также права доступа подклассов секретности , которые различны для каждого субъекта. Класс и подкласс секретности, определяют категорию секретности субъекта для данного объекта. Вместе с этим в графу "Атрибуты секретности" входит столбец паролей, соответствующих комбинации атрибутов "класс секретности" и "право доступа". Графа "Пароли" содержит два пароля П1 и П2, которые используются так же, как и для функцийобщего пользования. Механизм управления доступом аналогичен описанному в разд. 7.4.1.