Избирательное управление доступом

Материал из Seo Wiki - Поисковая Оптимизация и Программирование

Перейти к: навигация, поиск

Избирательное управление доступом (англ. Discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

Также называется Дискреционное управление доступом, Контролируемое управление доступом и Разграничительное управление доступом.

Файл:Схема доступа.jpg
Схема дискреционной модели управления доступом
Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.

Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту)[1].

Файл:Матрица доступа.jpg
Пример настройки матрицы доступа при организации дискреционной модели управления к объектам файловой системы, используемой в дополнение к мандатному механизму

Возможны несколько подходов к построению дискреционного управления доступом:

  • Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту.
  • Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
  • Субъект с определенным правом доступа может передать это право любому другому субъекту[2].

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.

Избирательное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.


См. также

Примечания

de:Discretionary Access Control

en:Discretionary access control fr:Contrôle d'accès discrétionnaire ja:任意アクセス制御 pl:Discretionary Access Control vi:Điều khiển truy cập tùy quyền

Личные инструменты

Served in 0.083 secs.