Вибіркове керування доступом

Ця стаття не містить посилань на джерела. Ви можете допомогти поліпшити цю статтю, додавши посилання на надійні (авторитетні) джерела. Матеріал без джерел може бути піддано сумніву та вилучено. (лютий 2020)

Вибіркове керування доступом (англ. Discretionary access control, DAC) — керування доступом суб'єктів до об'єктів на основі списків керування доступом або матриці доступу. Також використовуються назви «дискреціонне керування доступом», «контрольоване керування доступом» або «розмежоване керування доступом».

Суб'єкт доступу «Користувач № 1» має право доступу тільки до об'єкта доступу № 3, тому його запит до об'єкта доступу № 2 відхиляється. Суб'єкт «Користувач № 2» має право доступу як до об'єкта доступу № 1, так і до об'єкта доступу № 2, тому його запити до даних об'єктів не відхиляються.

Для кожної пари (суб'єкт — об'єкт) має бути задане явне і недвозначне перерахування допустимих типів доступу (читати, писати і т. д.), Тобто тих типів доступу, які є санкціонованими для даного суб'єкта (індивіда або групи індивідів) до даного ресурсу (об'єкту).

Можливі кілька підходів до побудови дискреційонного керування доступом:

• Кожен об'єкт системи має прив'язаного до нього суб'єкта, званого власником. Саме власник встановлює права доступу до об'єкта.
• Система має одного виділеного суб'єкта — суперкористувача, який має право встановлювати права володіння для всіх інших суб'єктів системи.
• Суб'єкт з певним правом доступу може передати це право будь-якому іншому суб'єкту.

Можливі й змішані варіанти побудови, коли одночасно в системі присутні як власники, які встановлюють права доступу до своїх об'єктів, так і привілейований користувач, який має можливість зміни прав для будь-якого об'єкта та / або зміни його власника. Саме такий змішаний варіант реалізований в більшості операційних систем, наприклад Unix або Windows NT.

Вибіркове керування доступом є основною реалізацією розмежувальної політики доступу до ресурсів при обробці конфіденційних відомостей, відповідно до вимог до системи захисту інформації.

Див. також[ред. | ред. код]

• Критерії оцінки захищеності комп'ютерної системи
• Модель Бела — ЛаПадули
• Trusted Solaris

Джерела[ред. | ред. код]

п о р Кібербезпека Засоби захисту від несанкціонованого доступу Право доступу • Мандатне керування доступом • Вибіркове керування доступом • Керування доступом на основі ролей Інформація Інформаційна безпека • Канали витоку інформації • Захист інформації в локальних мережах • Захист у мережах Wi-Fi Захист Антивірусна програма • Мережевий екран • Система виявлення вторгнень • Запобігання витоків інформації Вразливості Безпечне кодування • Помилка безпеки • Баг • Уразливість • Експлойт • Zero-day • Тестування безпеки • Bugtraq • OWASP • Bug Bounty