Дискреционная защита

В компьютерной безопасности, дискреционного управления доступом (DAC) - своего рода контроль доступа, определенный Доверенным Критерием "в качестве средства ограничения доступа к объектам на основе идентичности субъектов и/или групп, к которым они принадлежат . Средства управления являются контролируемыми в том смысле, что предмет с определенным разрешением на доступ способен к прохождению того разрешения (возможно, косвенно) на любом другом предмете (если не ограничено принудительным управлением доступом)."

Контролируемое управление доступом обычно определяется против принудительного управления доступом (иногда названный неконтролируемым управлением доступом). Иногда у системы в целом, как говорят, есть "контролируемое" или "просто контролируемое" управление доступом как говорят, что система испытывает недостаток в принудительном управлении доступом. С другой стороны, можно сказать, что реализация может происходить как MAC, так и DAC, одновременно, где DAC ссылается на одну категорию контролей доступа, и субъекты могут взаимодействовать друг с другом, и MAC относится к второй категории контроля доступа, что накладывает ограничения на первую.

Реализация

Значение слова практически не столь же ясно как определение, данное в стандарте TCSEC, потому что определение TCSEC DAC не предполагает понятие реализации. Из-за этого есть по крайней мере два способа реализации: с пользователем (как широко распространенный пример) и с возможностями (как наступающий).

Реализация с пользователем

Термин DAC обычно используется в контекстах, которые предполагают, что у каждого объекта есть пользователь, который управляет разрешениями получить доступ к объекту, вероятно потому что много систем действительно работают с DAC, используя понятие о владельце. Но определение TCSEC ничего не говорит о пользователях, таким образом, технически у системы управления доступом не должно быть понятия о пользователе, чтобы встретить понятие TCSEC DAC.

У пользователей (владельцы) есть при этом выполнении DAC возможность сделать стратегические решения и/или назначить настройки безопасности. Пример - традиционные разрешения Unix со своей системой пользователей, группы и разрешения, "прочитанные, пишут, выполняют" для объектов (то есть файлы и справочники).

Выполнение с возможностями

Как другой пример, системы возможностей иногда описываются как обеспечение контролируемых средств управления, потому что они разрешают предметам передавать свой доступ к другим предметам, у предмета, желающего передать его разрешения, должен сначала быть доступ к предмету получения, и у предметов вообще нет доступа ко всем предметам в системе).

В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники. Эта отметка установлена 4 ноября 2011.