2015-04-12
1083
Модель дискреционного управления доступом (УД) основывается на предоставлении доступа к объектам владельцами этих объектов.
Для каждой пары субъект-объект устанавливается перечень прав субъекта по отношению к объекту. Решение по представлению или отказу доступа зависит от типа запрошенного пользователем объекта. Например, для файлов на внешнем устройстве перечень возможных действий может включать: чтение, запись, переименование, удаление, создание или изменение учётной информации. Для сетевого пакета: запрещение или разрешение прохождения пакета через интерфейс сетевого пакета.
Совокупность правил, обычно, оформляется в виде таблицы управления доступом. Для каждого пользовательского объекта устанавливается владелец, обладающий неограниченным правом изменения атрибутов доступа на созданные или принадлежащие ему объекты.
Для описания матрицы доступа применяются индивидуальные или групповые разрешения, наследуемые от вышестоящих объектов или индивидуально назначенные владельцем.
|
|
|
Групповые разрешения позволяют снизить расходы на хранение настроек, разграничение доступа и упростить администрирование. Кроме того, групповые разрешения более надёжны, поскольку, их меньше, чем индивидуальных и легче контролировать их правильность при частом изменении прав доступа.
Прямые разрешения доступа предполагают, что присвоение атрибутов разграничения доступа производится всякий раз при его создании пользователем.
Для формализованного описания правил управления доступом в дискреционных моделях, обычно, используются списки УД (ACL).
Каждый элемент ACL-объекта содержит право доступа к данному объекту, включая: индивидуальные, прямые и наследуемые.
