Дискреционный контроль доступа (DAC) — это тип системы контроля доступа, который обеспечивает политику доступа, определяемую владельцем данных или ресурса. Владелец имеет право по своему усмотрению предоставлять или запрещать доступ другим пользователям или процессам.
Генезис и эволюция дискреционного контроля доступа
Концепция дискреционного контроля доступа восходит к самым ранним временам создания общих вычислительных систем, в частности, к системе Multics (мультиплексная информационная и вычислительная служба), разработанной в 1960-х годах. Система Multics включала в себя элементарную форму ЦАП, которая позже стала источником вдохновения для современных систем контроля доступа. DAC стал формализованной концепцией после выпуска «Оранжевой книги» Министерства обороны США в 1980-х годах, в которой определялось несколько уровней контроля безопасности, включая DAC.
Расширение понимания дискреционного контроля доступа
Дискреционный контроль доступа основан на принципах дискреционных привилегий. Это означает, что физическое или юридическое лицо, владеющее данными или ресурсом, имеет право решать, кто может получить доступ к этим данным или ресурсу. Этот контроль может распространяться как на разрешения на чтение, так и на запись. В DAC поддерживается список управления доступом (ACL), который определяет тип доступа, который пользователь или группа пользователей имеет к определенному ресурсу.
Внутренняя структура и функционирование дискреционного контроля доступа
Модель DAC в основном опирается на два ключевых компонента: списки управления доступом (ACL) и таблицы возможностей. Списки ACL связаны с каждым ресурсом или объектом и содержат список субъектов (пользователей или процессов) вместе с предоставленными им разрешениями. С другой стороны, таблицы возможностей содержат список объектов, к которым может получить доступ конкретный субъект.
Когда делается запрос на доступ, система DAC проверяет ACL или таблицу возможностей, чтобы определить, разрешен ли запрашивающей стороне доступ к ресурсу. Если ACL или таблица возможностей разрешают доступ, запрос утверждается. В противном случае ему отказано.
Ключевые особенности дискреционного контроля доступа
- Доступ, определяемый владельцем: Владелец данных или ресурса определяет, кто может получить к ним доступ.
- Списки контроля доступа: ACL определяет, какой тип доступа имеет каждый пользователь или группа пользователей.
- Таблицы возможностей: в этих таблицах перечислены ресурсы, к которым может получить доступ пользователь или группа пользователей.
- Гибкость: Владельцы могут легко менять разрешения по мере необходимости.
- Транзитивный контроль доступа: если у пользователя есть доступ к ресурсу, он потенциально может предоставить доступ другому пользователю.
Типы дискреционного контроля доступа
Хотя DAC может быть реализован различными способами, двумя наиболее распространенными подходами являются ACL и списки возможностей.
| Подход | Описание |
|---|---|
| Списки контроля доступа (ACL) | Списки ACL привязаны к объекту (например, файлу) и определяют, какие пользователи могут получить доступ к объекту и какие операции они могут выполнять над ним. |
| Списки возможностей | Списки возможностей привязаны к пользователю и определяют, к каким объектам пользователь может получить доступ и какие операции он может выполнять с этими объектами. |
Применение, проблемы и решения дискреционного контроля доступа
DAC широко используется в большинстве операционных и файловых систем, таких как Windows и UNIX, что позволяет пользователям обмениваться файлами и ресурсами с выбранными людьми или группами.
Одной из основных проблем DAC является «проблема запутанного заместителя», когда программа может непреднамеренно утечь права доступа. Например, пользователь может обманом заставить программу с большими правами доступа выполнить действие от его имени. Эту проблему можно решить путем тщательного программирования и правильного использования системных привилегий.
Другая проблема заключается в возможности быстрого и неконтролируемого распространения прав доступа, поскольку пользователи, имеющие доступ к ресурсу, потенциально могут предоставить этот доступ другим. Эту проблему можно решить посредством надлежащего образования и обучения, а также контроля на уровне системы для ограничения такого распространения.
Сравнение дискреционного контроля доступа с аналогичными терминами
| Срок | Описание |
|---|---|
| Дискреционный контроль доступа (DAC) | Владельцы имеют полный контроль над своими данными и ресурсами. |
| Обязательный контроль доступа (MAC) | Централизованная политика ограничивает доступ на основе уровней классификации. |
| Ролевой контроль доступа (RBAC) | Доступ определяется ролью пользователя в организации. |
Будущее ЦАП, скорее всего, будет развиваться с ростом популярности облачных платформ и устройств Интернета вещей (IoT). Ожидается, что детальный контроль доступа, обеспечивающий более детальный контроль над разрешениями, станет более распространенным явлением. Кроме того, по мере развития технологий машинного обучения и искусственного интеллекта мы можем увидеть системы ЦАП, которые смогут обучаться и адаптироваться к меняющимся потребностям доступа.
Прокси-серверы и дискреционный контроль доступа
Прокси-серверы могут использовать принципы DAC для контроля доступа к веб-ресурсам. Например, компания может настроить прокси-сервер, который проверяет личность и роль пользователя, прежде чем разрешить доступ к определенным веб-сайтам или веб-службам. Это гарантирует, что только авторизованный персонал сможет получить доступ к определенным онлайн-ресурсам, обеспечивая дополнительный уровень безопасности.
Ссылки по теме
- Компьютерная безопасность: искусство и наука Мэтт Бишоп: Комплексный ресурс по компьютерной безопасности, включая контроль доступа.
- Понимание и использование дискреционного контроля доступа: статья CSO, подробно изучающая DAC.
- Специальная публикация NIST 800-12: Руководство Национального института стандартов и технологий США по компьютерной безопасности, включая обсуждение DAC.
- Модели контроля доступа: Подробное руководство по различным моделям контроля доступа от O'Reilly Media.
- ЦАП, MAC и RBAC: научная статья, сравнивающая модели DAC, MAC и RBAC.
