Wat is type handhaving?
Type handhaving is een methode voor computerbeveiliging die is gebaseerd op het toewijzen van labels aan verschillende "typen" activa en vervolgens toegang toestaan op basis daarvan. Hoewel dit mogelijk ingewikkeld lijkt, is het eigenlijk een methode waarmee verschillende machtigingen worden toegewezen voor toegang tot verschillende systemen. Een proces dat zich op een netwerk voordoet, heeft bijvoorbeeld een bepaald mate van toestemming op basis van de bron, waarmee deze autorisatie door de systeembeheerder wordt toegewezen. Wanneer dit proces probeert toegang te krijgen tot bronnen op dat netwerk, wordt de toestemming gecontroleerd en als deze geschikt is, wordt deze toegang tot het doel gegeven.
De term "type handhaving" verwijst naar de "typen" items die deel uitmaken van een systeem en hoe ze elk worden gecategoriseerd voor beveiligingsdoeleinden. Er zijn twee eenvoudige typen: het brontype, het domein dat een proces op het systeem uitvoert; en doeltype, dat is het object dat toegankelijk is. Een gebruiker op een netwerk dat probeert toegang te krijgen tot een bestand op een andere computer is de zuurCE, terwijl de computer met het bestand het doel is. Type handhaving geeft elk van deze typen een identificatie toe die vervolgens wordt gebruikt om ervoor te zorgen dat de juiste beveiliging wordt bevestigd door het gebruik van machtigingen.
Elk brontype wordt duidelijk geïdentificeerd in een systeem dat gebruik maakt van type handhaving, waar mogelijk duizenden verschillende identificatiegegevens voor alle mogelijke bronnen vereisen. Evenzo wordt elk doeltype ook voorzien van een identificatie, zodat het systeem in staat is om elk mogelijk actief te volgen dat een verzoek indient of het doelwit is van een verzoek. Een aantal machtigingen worden vervolgens vastgesteld in een systeem met behulp van type handhaving, die in principe regels zijn. Deze regels worden gemaakt door een systeembeheerder en geven de soorten bronnen aan die toegang hebben tot verschillende doelen.
Met het vorige voorbeeld is het bestand op de doelcomputer een object dat mogelijk toegankelijk is voor de bronafhankelijkeng over de vastgestelde machtigingen. Aanvullende informatie in een regel kan zelfs de exacte manier aangeven waarop objecten kunnen worden gebruikt en met interactie kunnen worden gebruikt, zoals eenvoudigweg het bestand kunnen lezen of het kunnen verwijderen. Al deze informatie voor interacties door handhaving van het type is opgenomen in een enkele regel die het brontype, het doeltype en de machtigingen biedt voor de toegankelijke objecten. Het maken van elk van deze regels is essentieel voor systeembeveiliging, omdat handhaving van type een "verplicht" beveiligingssysteem is. Dit betekent dat elke interactie duidelijk moet worden toegestaan of anders is het niet mogelijk.