Jump to content

Дискреционный контроль доступа

В компьютерной безопасности дискреционный контроль доступа ( DAC ) — это тип контроля доступа, определяемый критериями оценки доверенной компьютерной системы. [1] (TCSEC) как средство ограничения доступа к объектам на основе личности субъектов и/или групп, к которым они принадлежат. Средства управления являются дискреционными в том смысле, что субъект с определенным разрешением доступа может передать это разрешение (возможно, косвенно) любому другому субъекту (если не ограничено обязательным контролем доступа ).

Дискреционный контроль доступа обычно обсуждается в отличие от обязательного контроля доступа (MAC). Иногда говорят, что система в целом имеет «дискреционный» или «чисто дискреционный» контроль доступа, когда в этой системе отсутствует обязательный контроль доступа. С другой стороны, системы могут одновременно реализовывать как MAC, так и DAC, где DAC относится к одной категории управления доступом, которую субъекты могут передавать друг другу, а MAC относится ко второй категории управления доступом, которая накладывает ограничения на первую.

Реализация [ править ]

Значение этого термина на практике не так ясно, как определение, данное в стандарте TCSEC, поскольку определение DAC TCSEC не налагает какой-либо реализации. Существует как минимум две реализации: с владельцем (как распространенный пример) и с возможностями. [2]

С владельцем [ править ]

Термин DAC обычно используется в контекстах, которые предполагают, что у каждого объекта есть владелец , который контролирует разрешения на доступ к объекту, вероятно, потому, что многие системы реализуют DAC, используя концепцию владельца. Но в определении TCSEC ничего не говорится о владельцах, поэтому технически система контроля доступа не обязательно должна иметь концепцию владения, чтобы соответствовать определению DAC, данному TCSEC.

В рамках этой реализации DAC пользователи (владельцы) имеют возможность принимать политические решения и/или назначать атрибуты безопасности. Прямым примером является файловый режим Unix , который представляет запись, чтение и выполнение в каждом из 3 битов для каждого из пользователей, групп и других. (Ему предшествует еще один бит, указывающий дополнительные характеристики).

С возможностями [ править ]

В качестве другого примера системы возможностей иногда описываются как обеспечивающие дискреционный контроль, поскольку они позволяют субъектам передавать свой доступ другим субъектам, даже несмотря на то, что безопасность, основанная на возможностях, принципиально не заключается в ограничении доступа «на основе личности субъектов». В общем, системы возможностей не позволяют передавать разрешения «любому другому субъекту»; субъект, желающий передать свои разрешения, должен сначала иметь доступ к принимающему субъекту, а субъекты обычно имеют доступ только к строго ограниченному набору субъектов в соответствии с принципом наименьших привилегий .

См. также [ править ]

Ссылки [ править ]

Цитаты [ править ]

  1. ^ Критерии оценки доверенной компьютерной системы . Министерство обороны США. Декабрь 1985 г. Стандарт Министерства обороны 5200.28-STD. Архивировано из оригинала 27 мая 2006 г.
  2. ^ http://fedoraproject.org/wiki/Features/RemoveSETUID — в Fedora 15 удален SETUID в пользу возможностей (ядра Linux).

Источники [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Discretionary_access_control&oldid=1225756257"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 46740daf7792241aff757ad53a91a03b__1716722460
URL1:https://arc.ask3.ru/arc/aa/46/3b/46740daf7792241aff757ad53a91a03b.html
Заголовок, (Title) документа по адресу, URL1:
Discretionary access control - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)