Abstract: This article examines the theoretical foundations and practical aspects of mandatory access control (MAC). It analyzes the key principles of the mandatory model and compares it with other access control models—discretionary, role-based, and attribute-based. It also addresses the implementation of mandatory access control in modern operating systems (SELinux, Astra Linux), as well as corporate and cloud infrastructures. The advantages and disadvantages of MAC are identified, and future development directions are outlined.
Keywords: information security, access control, mandatory access control, discretionary model, role-based model, attribute-based access control, hybrid models, information security.
В условиях быстрого развития цифровых технологий и широкого распространения информационных систем особенно актуальными становятся вопросы защиты данных. Организации, как государственные, так и частные, ежедневно обрабатывают большие объемы конфиденциальной информации, утечка или несанкционированные изменения которой могут привести к серьезным финансовым, репутационным и правовым последствиям. Одним из ключевых аспектов обеспечения информационной безопасности является организация надежного контроля доступа, который позволяет ограничивать взаимодействие пользователей с ресурсами системы в соответствии с установленными политиками безопасности.
В информационной безопасности выделяют несколько основных моделей контроля доступа: дискреционную, мандатную, ролевую и атрибутивную. Мандатный контроль доступа (МКД) занимает особое место среди них, так как обеспечивает высокий уровень защиты информации благодаря централизованному управлению правами доступа и строгому соблюдению заданных правил. В отличие от дискреционного подхода, где владелец объекта может самостоятельно устанавливать политику доступа, при мандатном контроле все решения принимаются на основе заранее определенных меток безопасности и уровней допуска, что исключает произвольные изменения прав пользователями.
Теоретические основы мандатного контроля доступа
Контроль доступа является одним из ключевых механизмов обеспечения информационной безопасности, направленным на предотвращение несанкционированного доступа к данным и ресурсам системы. В общем виде контроль доступа представляет собой процесс идентификации, аутентификации и авторизации субъектов, желающих получить доступ к объектам системы. Среди существующих моделей разграничения прав доступа особое место занимает мандатный контроль доступа (МКД), характеризующийся строгим централизованным управлением и невозможностью изменения политик безопасности пользователями.
Мандатный контроль доступа (Mandatory Access Control, MAC) основан на концепции классификации субъектов и объектов по уровням конфиденциальности и допуска. Решение о предоставлении доступа принимается системой на основании сравнения меток безопасности – каждая сущность (пользователь, процесс, файл, база данных и т.д.) имеет определённый уровень секретности, а взаимодействие между ними допускается только при соблюдении заданных правил[5]. Таким образом, МКД исключает возможность произвольного изменения политик безопасности и обеспечивает высокий уровень доверия к механизму разграничения доступа.
Основная идея мандатного контроля заключается в том, что права субъектов на доступ к объектам определяются централизованной политикой безопасности, установленной администратором системы[2]. Пользователи не могут самостоятельно передавать или изменять свои права доступа, что отличает МКД от дискреционного подхода, основанного на усмотрении владельца ресурса.
Концепция мандатного контроля доступа зародилась в 1970-1980-х годах в рамках исследований, проводимых в оборонной и государственной сфере США. Основополагающими стали работы, описывающие многоуровневые модели безопасности – в частности, модель Белла-ЛаПадулы (Bell-LaPadula), разработанная в 1975 году[8]. Эта модель формализовала принципы предотвращения несанкционированного раскрытия информации и вводила два ключевых правила:
— «Не читать вверх» (No Read Up) – субъект не может получать доступ к объекту с более высоким уровнем секретности;
— «Не записывать вниз» (No Write Down) – субъект не может записывать информацию в объект с более низким уровнем секретности, чтобы избежать утечки данных.
Позднее на основе этих идей появились модели, ориентированные на целостность данных, например модель Биба (Biba Model), а также комбинированные схемы, применяемые в операционных системах повышенной безопасности.
В отечественной практике формирование концепции мандатного контроля доступа происходило параллельно с развитием нормативной базы в области защиты государственной тайны и конфиденциальной информации. В России принципы МКД закреплены в ряде нормативных документов, включая ГОСТ Р 50922-2006, ГОСТ Р ИСО/МЭК 15408 и требования ФСТЭК России к построению защищённых автоматизированных систем[11].
Мандатный контроль доступа базируется на нескольких фундаментальных принципах, обеспечивающих его надёжность и непротиворечивость:
- Централизованное управление доступом. Все решения о предоставлении или ограничении доступа принимаются в соответствии с глобальной политикой безопасности, заданной администратором системы.
- Невозможность изменения политик пользователями. Пользователи не могут самостоятельно изменять права доступа к объектам, даже если они являются их владельцами.
- Классификация субъектов и объектов. Каждому субъекту и объекту присваивается уровень секретности (например, «конфиденциально», «секретно», «совершенно секретно») и категория допуска.
- Принцип сопоставления меток безопасности. Доступ разрешается только при совпадении или доминировании метки безопасности субъекта над меткой объекта в соответствии с установленными правилами.
- Принцип минимальных привилегий. Каждый субъект получает только те права, которые необходимы для выполнения его функций, что снижает риск злоупотреблений и утечек.
Такая строгая формализация делает МКД особенно эффективным в системах, где требуется высокая степень доверия и защита критически важных данных – в военных, государственных и корпоративных инфраструктурах.
Правовое и техническое регулирование мандатного контроля доступа в России и за рубежом основывается на ряде стандартов и руководящих документов. К основным международным нормативам относятся[16]:
— ISO/IEC 15408 – международный стандарт оценки безопасности информационных технологий, описывающий требования к механизмам разграничения доступа;
— Trusted Computer System Evaluation Criteria (TCSEC, «Оранжевая книга») – первый системный стандарт США, определивший классы защищённых систем и заложивший основы МКД.
В Российской Федерации применяются[9]:
— ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
— руководящие документы ФСТЭК России, регламентирующие требования к системам защиты информации;
— ГОСТ Р ИСО/МЭК 27001-2012 – стандарт управления информационной безопасностью.
Эти нормативные документы устанавливают общие принципы классификации данных, разграничения доступа и управления безопасностью, обеспечивая единую основу для реализации мандатных механизмов в современных информационных системах.
Сравнительный анализ моделей контроля доступа
Дискреционный контроль доступа (DAC)
Дискреционный контроль доступа (Discretionary Access Control, DAC) является одной из наиболее ранних и распространённых моделей разграничения прав в информационных системах. Его суть заключается в том, что владелец объекта (например, файла, базы данных или ресурса) самостоятельно определяет, какие субъекты (пользователи или процессы) могут получить доступ к объекту и какие операции им разрешено выполнять.
DAC реализуется через списки контроля доступа (Access Control Lists, ACL) или матрицы прав доступа, где каждому пользователю сопоставляется набор разрешённых действий. Этот подход обеспечивает гибкость и удобство администрирования, особенно в небольших и динамичных системах, где требования к безопасности не столь важны.
Слабой стороной дискреционной модели является уязвимость к несанкционированному распространению доступа. Пользователь, получивший права на объект, может передать их другому субъекту, что затрудняет контроль и создаёт риск утечки конфиденциальной информации. Кроме того, DAC плохо подходит для систем, где требуется строгая иерархия доступа, централизованное управление и высокая степень доверия, например в военных или государственных структурах.
Ролевой контроль доступа (RBAC)
Ролевая модель (Role-Based Access Control, RBAC) была разработана в 1990-е годы как более управляемая и масштабируемая альтернатива дискреционной модели. В RBAC права доступа назначаются не индивидуальным пользователям, а ролям, каждая из которых отражает совокупность функций и обязанностей в организации. Пользователь получает доступ к ресурсам, став членом определённой роли, например администратор, аналитик, бухгалтер и т.д.
Преимуществом ролевого подхода является упрощённое администрирование: при изменении обязанностей сотрудника достаточно изменить его роль, а не пересматривать все индивидуальные права. Кроме того, RBAC хорошо масштабируется и подходит для корпоративных систем с большим количеством пользователей и разнообразием бизнес-процессов.
Тем не менее, ролевой контроль доступа не всегда обеспечивает достаточную гибкость при работе с контекстно-зависимыми условиями. Например, он не учитывает атрибуты среды (время, местоположение, устройство), что ограничивает возможности адаптивного управления безопасностью.
Атрибутивный контроль доступа (ABAC)
Атрибутивный контроль доступа (Attribute-Based Access Control, ABAC) представляет собой наиболее современную и гибкую модель, в которой решения о предоставлении доступа принимаются на основании набора атрибутов субъектов, объектов и окружающей среды. Атрибутами могут выступать должность пользователя, тип устройства, IP-адрес, время суток, уровень угрозы, политика безопасности организации и другие параметры.
Главным преимуществом ABAC является динамичность и контекстуальность принятия решений. Система может автоматически адаптировать права доступа в зависимости от текущих условий, обеспечивая баланс между удобством и безопасностью. Такая модель особенно востребована в облачных и распределённых средах, где фиксированные роли и права оказываются недостаточно гибкими.
Атрибутивный подход требует сложной инфраструктуры управления политиками безопасности и высокой вычислительной нагрузки, особенно при большом количестве пользователей и ресурсов. Кроме того, избыточная гибкость может привести к ошибкам в конфигурации и нарушению принципа минимальных привилегий.
Таблица 1
Сравнительный анализ моделей контроля доступа
| Критерий | DAC | RBAC | ABAC | MAC |
| Гибкость управления | Высокая, но сопряжена с риском потери контроля. | Умеренная, удобна в статичных организационных структурах. | Максимальная, обеспечивает динамическую адаптацию политик. | Низкая, так как политика безопасности фиксирована и неизменна пользователем. |
| Уровень безопасности | Минимальный, из-за возможности делегирования прав. | Средний, обеспечивается централизованным управлением ролями. | Высокий при корректной настройке политик. | Максимально высокий, за счёт централизованного контроля и строгих правил. |
| Масштабируемость | Ограниченная, плохо подходит для крупных организаций. | Высокая, хорошо адаптируется к корпоративным системам. | Высокая, особенно для облачных и гибридных сред. | Ограниченная, из-за сложности классификации и администрирования. |
| Области применения | Персональные и локальные системы. | Корпоративные сети и бизнес-системы.
|
Облачные и распределённые информационные системы. | Государственные, военные и критически важные объекты. |
| Преимущества | Простота, гибкость назначения. | Централизованное управление, масштабируемость. | Гибкость, адаптивность, контекстность. | Строгая формализация, высокая защита. |
| Недостатки | Риск утечек, делегирование прав. | Ограниченная контекстность. | Сложность реализации, нагрузка. | Жесткость, высокая трудоемкость администрирования. |
Место и роль МКД в гибридных моделях контроля доступа
Современные тенденции информационной безопасности демонстрируют постулат о том, что ни одна из классических моделей не может в полной мере удовлетворить всем требованиям – гибкости, удобству администрирования и максимальной защищённости. В связи с этим активно применяются гибридные подходы, сочетающие преимущества нескольких моделей.
Наиболее распространённым является комбинированный подход MAC+RBAC, при котором мандатная политика определяет общие правила безопасности, а ролевая модель используется для детального управления правами пользователей в рамках установленных ограничений. Такой подход применяется в защищённых операционных системах (SELinux, Astra Linux), где мандатные механизмы обеспечивают изоляцию процессов, а ролевые – определяют функциональные полномочия пользователей[13].
В последние годы также развивается интеграция МКД с атрибутивным управлением (MAC+ABAC). Это позволяет реализовать динамические политики безопасности, учитывающие контекст доступа, но сохраняющие строгую иерархию допусков. Такие решения особенно актуальны для гибридных и облачных инфраструктур, в которых требуется сочетание доверенного централизованного контроля и адаптивной реакции на изменяющиеся условия.
Проблемы и направления развития мандатного контроля доступа
Несмотря на высокий уровень защищённости, мандатный контроль доступа (МКД) имеет ряд существенных недостатков, препятствующих его широкому применению в динамичных и распределённых информационных системах. Главным недостатком является жёсткость политики безопасности, которая задаётся централизованно и не подлежит изменению пользователями.
Кроме того, администрирование МКД в крупных организациях с большим количеством пользователей и объектов требует высокой квалификации специалистов и значительных трудозатрат. Для каждого субъекта и объекта необходимо определить уровень конфиденциальности и категории допуска. При большой инфраструктуре организации это становится ресурсозатратным процессом.
Ещё одной проблемой является ограниченная совместимость с современными сервисами и приложениями, которые часто используют динамические схемы разграничения доступа (например, в микросервисных архитектурах или облачных платформах). МКД изначально проектировался для статических, изолированных систем, поэтому его прямое применение в гибридных или виртуализированных средах требует серьезной модификации.
Также можно отметить низкую гибкость при управлении временными или контекстными правами доступа. Классическая модель МКД не учитывает такие атрибутивные параметры, как время суток, местоположение, состояние сети или контекст задачи. Это ограничивает её эффективность в современных условиях использования, когда безопасность всё чаще должна быть адаптивной.
Современные исследования и практические разработки направлены на повышение гибкости и интеллектуальности мандатных систем. Наиболее значимыми направлениями развития можно считать следующие:
- Комбинирование МКД с другими моделями контроля доступа. В последние годы активно развиваются гибридные модели, объединяющие преимущества мандатного, ролевого и атрибутивного подходов (MAC + RBAC + ABAC). Такая интеграция позволяет одновременно сохранять строгую иерархию безопасности и учитывать контекст доступа, что особенно важно для гибридных и облачных систем.
- Адаптивные модели безопасности. Внедрение принципов адаптивной безопасности (Adaptive Security) предполагает использование контекстных факторов и динамических политик. В таких системах МКД становится частью более широкой архитектуры, где решения о доступе принимаются с учётом текущего уровня риска и поведения пользователя.
- Применение искусственного интеллекта и машинного обучения. Интеллектуальные алгоритмы могут использоваться для автоматизации классификации данных и определения уровней доступа. Например, система может самостоятельно присваивать метки безопасности документам на основе их содержимого или выявлять аномалии в действиях пользователей, сигнализируя о возможных нарушениях мандатной политики.
- Интеграция с концепцией Zero Trust. Принцип «нулевого доверия» (Zero Trust) предполагает постоянную проверку подлинности субъектов и доверенности ресурсов. МКД, как строгая и формализованная модель, естественно вписывается в архитектуру Zero Trust, обеспечивая основу для многоуровневого контроля и минимизации привилегий.
- Развитие кибериммунных систем. Концепция кибериммунитета, активно развиваемая в России (например, в платформе KasperskyOS), предполагает построение систем, устойчивых к атакам по определению. В таких архитектурах МКД является ключевым элементом, обеспечивающим изоляцию компонентов и предотвращающим распространение вредоносных воздействий внутри системы.
Заключение
В рамках исследования мы рассмотрели теорию и практику мандатного контроля доступа (МКД) как важного элемента защиты информации. Анализ показал, что мандатная модель – это всё ещё надёжный и формально обоснованный способ разграничить права доступа, который обеспечивает высокую степень доверия и устойчивости систем к угрозам.
Основные принципы МКД – это централизованное управление доступом, запрет пользователям менять настройки, чёткое разделение субъектов и объектов по уровням секретности и использование меток безопасности. Эти особенности делают мандатный контроль подходящим для ситуаций, где важно соблюдать политику конфиденциальности и целостности данных, например, в государственных, военных и крупных компаниях.
При этом у МКД есть и недостатки – сложная настройка и управление, недостаточная гибкость в меняющихся условиях и трудности с интеграцией с современными приложениями. Эти проблемы становятся особенно заметными сейчас, когда системы безопасности должны быстро адаптироваться, быть масштабируемыми и учитывать контекст.
Сравнительный анализ с другими моделями (DAC, RBAC и ABAC) показал, что у каждой есть свои плюсы и минусы. Мандатная модель лучше всего защищает, но уступает в гибкости и удобстве управления. Поэтому необходимо использовать комбинированные подходы, сочетающие МКД с элементами RBAC и ABAC. Такие модели помогают найти баланс между строгой безопасностью и возможностью адаптироваться к изменениям.
В будущем МКД будет развиваться в сторону автоматизации управления метками безопасности, использования искусственного интеллекта для анализа контекста доступа и создания адаптивных политик безопасности. Также важно использовать кибериммунные системы, в которых мандатные механизмы играют ключевую роль в изоляции компонентов и предотвращении распространения угроз.
В заключение необходимо отметить, что мандатный контроль доступа, несмотря на свою консервативность, остаётся важной частью архитектуры надёжных вычислительных систем. Его развитие в сторону комбинированных и интеллектуальных моделей поможет улучшить защиту информации и обеспечить необходимый уровень безопасности.
References
1. Белим, С. В. Реализация мандатного разграничения доступа в распределенных системах / С. В. Белим, С. Ю. Белим // Проблемы информационной безопасности. Компьютерные системы. – 2018. – № 1. – С. 48-50.2. Бречка, Д. М. Разработка системы мандатного управления доступом для операционных систем семейства Windows / Д. М. Бречка, А. А. Литвиненко // Математические структуры и моделирование. – 2017. – № 2(42). – С. 131-140.
3. Будюкин, А. О. К вопросу о политике безопасности, определяющей функциональность подсистемы контроля целостности меток доступа мандатного доступа / А. О. Будюкин, Т. О. Саввина // Актуальные проблемы деятельности подразделений уголовно-исполнительной системы. – Воронеж: Издательско-полиграфический центр «Научная книга», ФКОУ ВО Воронежский институт ФСИН России., 2023. – С. 149-151.
4. Будюкин, А. О. Особенности функциональности подсистемы контроля целостности меток доступа мандатного разграничения доступа / А. О. Будюкин, Т. О. Саввина // Актуальные проблемы деятельности подразделений уголовно-исполнительной системы. – Воронеж: Издательско-полиграфический центр «Научная книга», ФКОУ ВО Воронежский институт ФСИН России., 2023. – С. 145-148.
5. Горковенко, Е. В. Контроль и анализ задания видов и прав доступа в системах с мандатной политикой информационной безопасности / Е. В. Горковенко // Вестник компьютерных и информационных технологий. – 2008. – № 5(47). – С. 51-55.
6. Добычина, А. В. Способ управления доступом в системах с различными реализациями мандатного механизма разграничения доступа / А. В. Добычина, А. Ю. Кузнецов, А. Н. Бегаев // Научно-технический вестник Поволжья. – 2018. – № 12. – С. 219-223.
7. Ефимов, А. Ю. Способы решения проблем доступа к служебным файлам в условиях мандатного контроля доступа / А. Ю. Ефимов // Программные продукты и системы. – 2013. – № 2. – С. 15.
8. Ильина, О. Б. Мандатная модель разграничения доступа в современной операционной системе / О. Б. Ильина, О. П. Купчиненко, А. В. Скоропад // Региональная информатика (РИ-2024). – Санкт-Петербург: Санкт-Петербургское Общество информатики, вычислительной техники, систем связи и управления, 2024. – С. 59-60.
9. Исраелян, А. М. Современные системы контроля и управления доступом информационной системы / А. М. Исраелян // Актуальные научные исследования в современном мире. – 2021. – № 12-11(80). – С. 43-45.
10. Калинкина, Т. И. Анализ систем мандатного разграничения доступа в СУБД / Т. И. Калинкина // Обеспечение комплексной безопасности предприятий: проблемы и решения. – Рязань: Рязанский государственный радиотехнический университет, 2015. – С. 77-79.
11. Коновалов, В. Б. Мандатное управление доступом и мандатный контроль целостности как инструменты защиты информации Astra Linux Special Edition / В. Б. Коновалов, Д. М. Скуднев // Проблемы естественных, математических и технических наук в контексте современного образования. – Липецк: Липецкий государственный педагогический университет имени П.П. Семенова-Тян-Шанского, 2023. – С. 256-261.
12. Мандатный контроль в автоматизированных информационных системах / Г. П. Акимова, А. Ю. Даниленко, Е. В. Пашкина [и др.] // Информационные технологии и вычислительные системы. – 2020. – № 3. – С. 3-12.
13. Очилов, Н. Н. у. Мандатный принцип контроля доступа в защищенных ос Linux / Н. Н. у. Очилов // Научный форум: технические и физико-математические науки. – Москва: Общество с ограниченной ответственностью «Международный центр науки и образования», 2019. – С. 19-23.
14. Петров, М. А. Основные принципы интеграции автоматизированной системы управления доступом с информационными системами предприятия / М. А. Петров // Вестник науки. – 2024. – Т. 1, № 8(77). – С. 160-164.
15. Рязанцева, А. И. Использование мандатной модели управления доступом в информационной системе / А. И. Рязанцева, В. А. Шутов // Уральский научный вестник. – 2022. – Т. 10, № 2. – С. 59-63.
16. Скипин, Н. В. Системы контроля доступа в автоматизированных информационных системах / Н. В. Скипин, Л. Н. Скипина // Молодая инновационная Чувашия: творчество и активность. – Чебоксары: Политех, 2024. – С. 98-101.
17. Фаткулин, А. Н. Анализ современных систем контроля и управления доступом / А. Н. Фаткулин, Е. Н. Окладникова, Е. Н. Сухарев // Актуальные проблемы авиации и космонавтики. – 2011. – Т. 1, № 7. – С. 263-264.