Interested Article - Избирательное управление доступом

Избирательное управление доступом ( англ. discretionary access control , DAC ) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также используются названия дискреционное управление доступом , контролируемое управление доступом и разграничительное управление доступом .

Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект «Пользователь № 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.

Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту) .

Пример настройки матрицы доступа при организации дискреционной модели управления к объектам файловой системы, используемой в дополнение к мандатному механизму

Возможны несколько подходов к построению дискреционного управления доступом:

Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем . Именно владелец устанавливает права доступа к объекту.
Система имеет одного выделенного субъекта — суперпользователя , который имеет право устанавливать права владения для всех остальных субъектов системы.
Субъект с определённым правом доступа может передать это право любому другому субъекту .

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь , имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например Unix или Windows NT .

Избирательное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.