Избирательное управление доступом (N[Qnjgmyl,uky rhjgflyuny ;kvmrhkb)
Избирательное управление доступом (англ. discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также используются названия дискреционное управление доступом, контролируемое управление доступом и разграничительное управление доступом.
Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект «Пользователь № 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.
Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту)[1].
Возможны несколько подходов к построению дискреционного управления доступом:
- Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту.
- Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.
- Субъект с определённым правом доступа может передать это право любому другому субъекту[2].
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например Unix или Windows NT.
Избирательное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.
См. также
[править | править код]- Мандатное управление доступом
- Управление доступом на основе ролей
- Информационная безопасность
- Модель Take-Grant
- Модель Белла — Лападулы
- Разграничение доступа на основе атрибутов доступа
Примечания
[править | править код]- ↑ Гостехкомиссия России. Руководящий документ: Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. — М.: ГТК 1992. Архивная копия от 31 марта 2008 на Wayback Machine
- ↑ Гостехкомиссия России. Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения. — М.: ГТК 1992. Дата обращения: 22 октября 2006. Архивировано из оригинала 2 мая 2009 года.
Для улучшения этой статьи желательно:
|