Дискреційний метод розмежування доступу

Дискреційний метод розмежування доступу заснований на використанні списків контролю доступу, що призначаються кожному об'єкту системи.

Для забезпечення захисту контроль доступу застосовується до кожного об'єкта і кожному суб'єкту при явному або опосередкованому доступі. Під опосередкованим доступом розуміється доступ до дочірніх об'єктів при явних операціях над батьківським об'єктом (наприклад, доступ до кубу при відкритті звіту).

Список контролю доступу визначає:

суб'єктів, які можуть отримувати доступ до конкретного об'єкта;

які саме операції дозволено або заборонено виконувати конкретного суб'єкта над конкретним об'єктом.

Права доступу акумулюються з наборів прав доступу окремих суб'єктів. Заборона дії має більш високий пріоритет, ніж дозвіл незалежно від того, чи призначений він одному суб'єкту або групі суб'єктів. Це означає, що якщо список контролю доступу містить два суб'єкта (групи користувачів і користувача, що входить до цієї групи), в одному з яких певне право присвоюється групі користувачів, а в іншому віднімається у користувача даної групи, то після акумуляції прав, користувач даної групи не матиме цього права доступу до об'єкта.

Для включення дискреційного методу розмежування доступу:

Задайте права доступу для об'єктів.

Механізм контролю доступу

Перед скоєнням користувачем певної дії над об'єктом система перевіряє у нього, а так само у груп, членом яких він є, наявність відповідного права, переглядаючи список контролю доступу; також перевіряється, чи є користувач володарем привілеїв, які дозволяють таку дію. У разі наявності такого права (у користувача або у групи) система дозволяє виконання дій, в іншому випадку забороняє. Заборона завжди має пріоритет над вирішенням.

Знайшли помилку? Виділіть текст з помилкою і натисніть кнопку "Повідомити про помилку" або Ctrl + Enter.