Discretionary Access Control (DAC) คือระบบควบคุมการเข้าถึงประเภทหนึ่งที่ให้นโยบายการเข้าถึงที่กำหนดโดยเจ้าของข้อมูลหรือทรัพยากร เจ้าของมีดุลยพินิจในการอนุญาตหรือปฏิเสธการเข้าถึงผู้ใช้หรือกระบวนการอื่น ๆ
กำเนิดและวิวัฒนาการของการควบคุมการเข้าถึงตามดุลยพินิจ
แนวคิดของ Discretionary Access Control ย้อนกลับไปในยุคแรกสุดของระบบคอมพิวเตอร์ที่ใช้ร่วมกัน โดยเฉพาะในระบบ Multics (Multiplexed Information and Computing Service) ที่พัฒนาขึ้นในทศวรรษ 1960 ระบบ Multics มีรูปแบบ DAC ที่เป็นพื้นฐาน ซึ่งต่อมาได้กลายเป็นแรงบันดาลใจสำหรับระบบควบคุมการเข้าออกสมัยใหม่ DAC กลายเป็นแนวคิดอย่างเป็นทางการด้วยการเปิดตัว "Orange Book" ของกระทรวงกลาโหมสหรัฐอเมริกาในช่วงทศวรรษ 1980 ซึ่งกำหนดการควบคุมความปลอดภัยหลายระดับ รวมถึง DAC
ขยายความเข้าใจในการควบคุมการเข้าถึงตามดุลยพินิจ
การควบคุมการเข้าถึงตามดุลยพินิจจะขึ้นอยู่กับหลักการของสิทธิพิเศษตามดุลยพินิจ ซึ่งหมายความว่าบุคคลหรือนิติบุคคลที่เป็นเจ้าของข้อมูลหรือทรัพยากรมีอำนาจตัดสินใจว่าใครสามารถเข้าถึงข้อมูลหรือทรัพยากรนั้นได้ การควบคุมนี้สามารถขยายไปสู่ทั้งสิทธิ์ในการอ่านและเขียน ภายใต้ DAC รายการควบคุมการเข้าถึง (ACL) จะยังคงอยู่ ซึ่งระบุประเภทการเข้าถึงที่ผู้ใช้หรือกลุ่มผู้ใช้มีเหนือทรัพยากรเฉพาะ
โครงสร้างภายในและการทำงานของการควบคุมการเข้าถึงตามดุลยพินิจ
โมเดล DAC อาศัยองค์ประกอบหลักสองประการเป็นหลัก: รายการควบคุมการเข้าถึง (ACL) และตารางความสามารถ ACL เชื่อมโยงกับแต่ละทรัพยากรหรืออ็อบเจ็กต์ และมีรายชื่อหัวเรื่อง (ผู้ใช้หรือกระบวนการ) พร้อมด้วยสิทธิ์ที่ได้รับ ในทางกลับกัน ตารางความสามารถจะรักษารายการของออบเจ็กต์ที่หัวเรื่องเฉพาะสามารถเข้าถึงได้
เมื่อมีการร้องขอการเข้าถึง ระบบ DAC จะตรวจสอบ ACL หรือตารางความสามารถเพื่อพิจารณาว่าผู้ร้องขอได้รับอนุญาตให้เข้าถึงทรัพยากรหรือไม่ หาก ACL หรือตารางความสามารถให้สิทธิ์การเข้าถึง คำร้องขอจะได้รับการอนุมัติ มิฉะนั้นจะถูกปฏิเสธ
คุณสมบัติที่สำคัญของการควบคุมการเข้าถึงตามดุลยพินิจ
- การเข้าถึงที่กำหนดโดยเจ้าของ: เจ้าของข้อมูลหรือทรัพยากรเป็นผู้กำหนดว่าใครสามารถเข้าถึงข้อมูลได้
- รายการควบคุมการเข้าถึง: ACL กำหนดประเภทของการเข้าถึงแต่ละผู้ใช้หรือกลุ่มผู้ใช้
- ตารางความสามารถ: ตารางเหล่านี้แสดงรายการทรัพยากรที่ผู้ใช้หรือกลุ่มผู้ใช้สามารถเข้าถึงได้
- ความยืดหยุ่น: เจ้าของสามารถเปลี่ยนการอนุญาตได้อย่างง่ายดายตามต้องการ
- การควบคุมการเข้าถึงสกรรมกริยา: หากผู้ใช้มีสิทธิ์เข้าถึงทรัพยากร พวกเขาอาจให้สิทธิ์การเข้าถึงแก่ผู้ใช้รายอื่นได้
ประเภทของการควบคุมการเข้าถึงตามดุลยพินิจ
แม้ว่า DAC จะสามารถนำไปใช้ได้หลายวิธี แต่แนวทางที่พบบ่อยที่สุดสองวิธีคือ ACL และรายการความสามารถ
| เข้าใกล้ | คำอธิบาย |
|---|---|
| รายการควบคุมการเข้าถึง (ACL) | ACL จะเชื่อมโยงกับออบเจ็กต์ (เช่น ไฟล์) และระบุว่าผู้ใช้รายใดที่สามารถเข้าถึงออบเจ็กต์ได้ และการดำเนินการใดที่พวกเขาสามารถดำเนินการกับออบเจ็กต์ได้ |
| รายการความสามารถ | รายการความสามารถจะเชื่อมโยงกับผู้ใช้และระบุออบเจ็กต์ที่ผู้ใช้สามารถเข้าถึงได้และการดำเนินการใดที่พวกเขาสามารถดำเนินการกับออบเจ็กต์เหล่านั้นได้ |
การประยุกต์ใช้ ความท้าทาย และแนวทางแก้ไขของการควบคุมการเข้าถึงโดยการใช้ดุลยพินิจ
DAC ถูกนำมาใช้กันอย่างแพร่หลายในระบบปฏิบัติการและระบบไฟล์ส่วนใหญ่ เช่น Windows และ UNIX ทำให้ผู้ใช้สามารถแชร์ไฟล์และทรัพยากรกับบุคคลหรือกลุ่มที่เลือกได้
ความท้าทายที่สำคัญอย่างหนึ่งของ DAC คือ “ปัญหารองที่สับสน” ซึ่งโปรแกรมอาจทำให้สิทธิ์การเข้าถึงรั่วไหลโดยไม่ได้ตั้งใจ ตัวอย่างเช่น ผู้ใช้อาจหลอกโปรแกรมที่มีสิทธิ์การเข้าถึงมากกว่าให้ดำเนินการในนามของพวกเขา ปัญหานี้สามารถบรรเทาลงได้ด้วยการเขียนโปรแกรมอย่างระมัดระวังและการใช้สิทธิ์ของระบบอย่างเหมาะสม
ปัญหาอีกประการหนึ่งคือศักยภาพในการแพร่กระจายสิทธิ์การเข้าถึงอย่างรวดเร็วและไม่มีการควบคุม เนื่องจากผู้ใช้ที่มีสิทธิ์เข้าถึงทรัพยากรสามารถให้สิทธิ์การเข้าถึงนั้นแก่ผู้อื่นได้ ปัญหานี้สามารถแก้ไขได้ด้วยการศึกษาและการฝึกอบรมที่เหมาะสม ตลอดจนการควบคุมระดับระบบเพื่อจำกัดการแพร่กระจายดังกล่าว
การเปรียบเทียบการควบคุมการเข้าถึงตามดุลยพินิจกับข้อกำหนดที่คล้ายกัน
| ภาคเรียน | คำอธิบาย |
|---|---|
| การควบคุมการเข้าถึงตามดุลยพินิจ (DAC) | เจ้าของสามารถควบคุมข้อมูลและทรัพยากรของตนได้ทั้งหมด |
| การควบคุมการเข้าถึงภาคบังคับ (MAC) | นโยบายแบบรวมศูนย์จำกัดการเข้าถึงตามระดับการจำแนกประเภท |
| การควบคุมการเข้าถึงตามบทบาท (RBAC) | การเข้าถึงจะพิจารณาจากบทบาทของผู้ใช้ภายในองค์กร |
อนาคตของ DAC มีแนวโน้มที่จะพัฒนาไปพร้อมกับความนิยมที่เพิ่มขึ้นของแพลตฟอร์มบนคลาวด์และอุปกรณ์ Internet of Things (IoT) การควบคุมการเข้าถึงแบบละเอียดซึ่งให้การควบคุมสิทธิ์โดยละเอียดมากขึ้น คาดว่าจะกลายเป็นเรื่องปกติมากขึ้น นอกจากนี้ เมื่อการเรียนรู้ของเครื่องและเทคโนโลยี AI ก้าวหน้า เราอาจเห็นระบบ DAC ที่สามารถเรียนรู้และปรับให้เข้ากับความต้องการการเข้าถึงที่เปลี่ยนแปลงไป
พร็อกซีเซิร์ฟเวอร์และการควบคุมการเข้าถึงตามดุลยพินิจ
พร็อกซีเซิร์ฟเวอร์สามารถใช้หลักการ DAC เพื่อควบคุมการเข้าถึงทรัพยากรบนเว็บ ตัวอย่างเช่น บริษัทอาจตั้งค่าพร็อกซีเซิร์ฟเวอร์ที่จะตรวจสอบข้อมูลประจำตัวและบทบาทของผู้ใช้ก่อนที่จะอนุญาตให้เข้าถึงบางเว็บไซต์หรือบริการบนเว็บ สิ่งนี้ทำให้แน่ใจได้ว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงแหล่งข้อมูลออนไลน์ที่เฉพาะเจาะจงได้ ซึ่งถือเป็นการรักษาความปลอดภัยเพิ่มเติมอีกชั้นหนึ่ง
ลิงก์ที่เกี่ยวข้อง
- ความปลอดภัยของคอมพิวเตอร์: ศิลปะและวิทยาศาสตร์ โดย Matt Bishop: แหล่งข้อมูลที่ครอบคลุมเกี่ยวกับการรักษาความปลอดภัยคอมพิวเตอร์ รวมถึงการควบคุมการเข้าถึง
- การทำความเข้าใจและการใช้การควบคุมการเข้าถึงตามดุลยพินิจ: บทความโดย CSO สำรวจ DAC โดยละเอียด
- NIST สิ่งพิมพ์พิเศษ 800-12: คู่มือของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกาในเรื่องความปลอดภัยของคอมพิวเตอร์ รวมถึงการอภิปรายเกี่ยวกับ DAC
- โมเดลการควบคุมการเข้าถึง: คำแนะนำโดยละเอียดเกี่ยวกับโมเดลการควบคุมการเข้าถึงต่างๆ โดย O'Reilly Media
- DAC, MAC และ RBAC: บทความทางวิทยาศาสตร์เปรียบเทียบรุ่น DAC, MAC และ RBAC
