Механизм полномочного разграничения доступа (называемый также "механизм полномочного управления доступом") обеспечивает управление доступом пользователей к конфиденциальной информации, хранящейся в файлах на локальных и сетевых дисках с файловой системой NTFS. Для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации. Файлам и каталогам, находящимся на локальных и подключенных сетевых дисках компьютера, назначается категория конфиденциальности, которая определяется расширенным атрибутом файла или каталога.
В системе Secret Net 6 используются три категории конфиденциальности информации. По умолчанию категориям присвоены следующие названия: “Неконфиденциально” (для общедоступной информации), “Конфиденциально” и “Строго конфиденциально”. Названия уровней допуска совпадают с названиями категорий.
Доступ к конфиденциальным файлам осуществляется следующим образом. Когда пользователь (программа, запущенная пользователем) выполняет попытку доступа к конфиденциальному файлу, драйвер подсистемы полномочного разграничения доступа определяет категорию конфиденциальности данного файла. Затем категория конфиденциальности файла сопоставляется с уровнем допуска пользователя к конфиденциальной информации. Если текущий пользователь не превышает свой уровень допуска, ему предоставляется доступ к ресурсу.
При работе системы Secret Net 6 в режиме полномочного разграничения доступа возможен контроль печати конфиденциальной информации, что позволяет предотвратить неконтролируемый доступ к принтерам при работе с конфиденциальными документами. Печать конфиденциальных документов в этом случае осуществляется под контролем системы защиты. При выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами.
Чтобы блокировать возможность несанкционированного сохранения и копирования данных из конфиденциальных файлов, система может осуществлять контроль потоков конфиденциальной информации. В этом режиме любые действия, связанные с понижением категории конфиденциальности информации путем сохранения или копирования, доступны только пользователям, которым предоставлена соответствующая привилегия. Если контроль включен, доступ пользователей к конфиденциальным документам определяется не уровнем допуска, а уровнем конфиденциальности сессии, который устанавливается при входе пользователя в систему. При работе пользователей с конфиденциальными документами действуют те же общие правила с той разницей, что вместо уровня допуска рассматривается уровень конфиденциальности сессии.