Вибіркове керування доступом

Ця стаття не містить посилань на джерела. Ви можете допомогти поліпшити цю статтю, додавши посилання на надійні (авторитетні) джерела. Матеріал без джерел може бути піддано сумніву та вилучено. (лютий 2020)

Вибіркове керування доступом (англ. Discretionary access control, DAC) — керування доступом суб'єктів до об'єктів на основі списків керування доступом або матриці доступу. Також використовуються назви «дискреціонне керування доступом», «контрольоване керування доступом» або «розмежоване керування доступом».

Суб'єкт доступу «Користувач № 1» має право доступу тільки до об'єкта доступу № 3, тому його запит до об'єкта доступу № 2 відхиляється. Суб'єкт «Користувач № 2» має право доступу як до об'єкта доступу № 1, так і до об'єкта доступу № 2, тому його запити до даних об'єктів не відхиляються.

Для кожної пари (суб'єкт — об'єкт) має бути задане явне і недвозначне перерахування допустимих типів доступу (читати, писати і т. д.), Тобто тих типів доступу, які є санкціонованими для даного суб'єкта (індивіда або групи індивідів) до даного ресурсу (об'єкту).

Можливі кілька підходів до побудови дискреційонного керування доступом:

• Кожен об'єкт системи має прив'язаного до нього суб'єкта, званого власником. Саме власник встановлює права доступу до об'єкта.
• Система має одного виділеного суб'єкта — суперкористувача, який має право встановлювати права володіння для всіх інших суб'єктів системи.
• Суб'єкт з певним правом доступу може передати це право будь-якому іншому суб'єкту.

Можливі й змішані варіанти побудови, коли одночасно в системі присутні як власники, які встановлюють права доступу до своїх об'єктів, так і привілейований користувач, який має можливість зміни прав для будь-якого об'єкта та / або зміни його власника. Саме такий змішаний варіант реалізований в більшості операційних систем, наприклад Unix або Windows NT.

Вибіркове керування доступом є основною реалізацією розмежувальної політики доступу до ресурсів при обробці конфіденційних відомостей, відповідно до вимог до системи захисту інформації.

• Критерії оцінки захищеності комп'ютерної системи
• Модель Бела — ЛаПадули
• Trusted Solaris

• Trusted Computer System Evaluation Criteria (англ.). United States Department of Defense. December 1985. DoD Standard 5200.28-STD. Архів оригіналу за 27 травня 2006.
• P. A. Loscocco; S. D. Smalley; P. A. Muckelbauer; R. C. Taylor; S. J. Turner; J. F. Farrell (October 1998). The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments. In Proceedings of the 21st National Information Systems Security Conference (англ.). с. 303—314. Архів оригіналу за 21 червня 2007. Процитовано 19 лютого 2020.