Дискреційне управління доступом - студопедія

Модель дискреційного управління доступом (УД) грунтується на наданні доступу до об'єктів власниками цих об'єктів.

Для кожної пари суб'єкт-об'єкт встановлюється перелік прав суб'єкта по відношенню до об'єкта. Рішення за поданням або відмови доступу залежить від типу запитаного користувачем об'єкта. Наприклад, для файлів на зовнішньому пристрої перелік можливих дій може включати: читання, запис, перейменування, видалення, створення або зміна облікової інформації. Для мережевого пакету: заборона або дозвіл проходження пакета через інтерфейс мережевого пакету.

Сукупність правил, зазвичай, оформляється у вигляді таблиці управління доступом. Для кожного користувача об'єкта встановлюється власник, що володіє необмеженим правом зміни атрибутів доступу на створені або належать йому об'єкти.

Для опису матриці доступу застосовуються індивідуальні або групові дозволу, успадковані від вищестоящих об'єктів або індивідуально призначені власником.

Групові дозволу дозволяють знизити витрати на зберігання налаштувань, розмежування доступу і спростити адміністрування. Крім того, групові дозволу більш надійні, оскільки, їх менше, ніж індивідуальних і легше контролювати їх правильність при частій зміні прав доступу.

Прямі дозволу доступу припускають, що присвоєння атрибутів розмежування доступу проводиться кожного разу при його створенні користувачем.

Для формалізованого опису правил управління доступом в дискреційних моделях, як правило, використовуються списки УД (ACL).

Кожен елемент ACL-об'єкта містить право доступу до даного об'єкта, включаючи: індивідуальні, прямі і успадковані.