История изменений

разграничивать нужно не только права доступа к файлам, но и все процессы и все сущности в системе, включая ip пакеты и прочее

причем все права принудительно должны наследоваться, без права их изменением пользователем (иное название мандатного разграничения - принудительное разграничения доступа)

существующие дискретные права пользователь может менять сам - он может передать свой файл другому, дав ему право на чтение, например

в мандатном (принудительном) случае разграничения прав - ему это не разрешается. поэтому в основе реализации принудительного разграничения прав должна лежать непротиворечивая математическая модель

в SELinux - это модель Белла-Лападулы, в Астре - МРОСЛ-ДП модель

разграничивать нужно не только права доступа к файлам, но и все процессы и все сущности в системе, включая ip пакеты и прочее