Дискреционный метод разграничения доступа основан на использовании списков контроля доступа, назначаемых каждому объекту системы.
Для обеспечения защиты контроль доступа применяется к каждому объекту и каждому субъекту при явном или опосредованном доступе. Под опосредованным доступом понимается доступ к дочерним объектам при явных операциях над родительским объектом (например, доступ к кубу при открытии отчета).
Для каждого объекта определяются права доступа. Права доступа определяют набор действий, которые субъект безопасности может совершать с объектом. К правам доступа относятся: право на просмотр объекта, право на изменение объекта, право на удаление объекта и т.д. Для каждого класса объектов определяется собственный набор прав доступа, применимых к данному классу объектов.
Список контроля доступа определяет:
субъектов, которые могут получать доступ к конкретному объекту;
какие именно операции разрешено или запрещено выполнять конкретному субъекту над конкретным объектом.
Права доступа аккумулируются из наборов прав доступа отдельных субъектов. Запрет действия имеет более высокий приоритет, чем разрешение независимо от того, назначен ли он одному субъекту или группе субъектов. Это означает, что если список контроля доступа содержит два субъекта (группу пользователей и пользователя, входящего в данную группу), в одном из которых определенное право присваивается группе пользователей, а в другом отнимается у пользователя данной группы, то после аккумуляции прав, пользователь данной группы не будет иметь этого права доступа к объекту.
Для включения дискреционного метода разграничения доступа:
Установите флажок «Использовать дискреционный контроль» на вкладке «Контроль доступа» в редакторе политик менеджера безопасности.
Задайте права доступа для объектов.
Перед совершением пользователем определенного действия над объектом система проверяет у него, а так же у групп, членом которых он является, наличие соответствующего права, просматривая список контроля доступа; также проверяется, является ли пользователь обладателем привилегий, которые разрешают данное действие. В случае наличия такого права (у пользователя или у группы) система разрешает выполнение действий, в противном случае запрещает. Запрет всегда имеет приоритет над разрешением.
См. также: