Дискреционный метод разграничения доступа раздает права на уровне СУБД и основан на использовании списков контроля доступа, назначаемых каждому объекту системы.
Примечание. Дискреционный метод доступен для одновременного использования с мандатным методом, методом разграничения доступа по уровням, атрибутным методом. При одновременном использовании дискреционного метода с атрибутным методом доступен алгоритм комбинации прав в контроле доступа.
Для обеспечения защиты контроль доступа применяется к каждому объекту и каждому субъекту при явном или опосредованном доступе. Под опосредованным доступом понимается доступ к дочерним объектам при явных операциях над родительским объектом, например, доступ к кубу при открытии отчета.
Для каждого объекта определяются права доступа. Права доступа определяют набор действий, которые субъект безопасности может совершать с объектом. К правам доступа относятся: право на просмотр объекта, право на изменение объекта, право на удаление объекта и т.д. Для каждого класса объектов определяется собственный набор прав доступа, применимых к данному классу объектов.
Список контроля доступа определяет:
субъектов, которые могут получать доступ к конкретному объекту;
какие именно операции разрешено или запрещено выполнять конкретному субъекту над конкретным объектом.
Права доступа аккумулируются из наборов прав доступа отдельных субъектов. Запрет действия имеет более высокий приоритет, чем разрешение независимо от того, назначен ли он одному субъекту или группе субъектов. Это означает, что если список контроля доступа содержит два субъекта (группу пользователей и пользователя, входящего в данную группу), в одном из которых определенное право присваивается группе пользователей, а в другом отнимается у пользователя данной группы, то после аккумуляции прав, пользователь данной группы не будет иметь этого права доступа к объекту.
Для использования дискреционного метода разграничения доступа:
Установите флажок «Использовать дискреционный контроль» на вкладке «Контроль доступа» редактора политик.
Создайте учетные записи пользователей и группы пользователей.
Задайте права доступа для объектов.
Перед совершением пользователем определенного действия над объектом система проверяет у него, а также у групп, членом которых он является, наличие соответствующего права, просматривая список контроля доступа; также проверяется, является ли пользователь обладателем привилегий, которые разрешают данное действие. В случае наличия такого права (у пользователя или у группы) система разрешает выполнение действий, в противном случае запрещает. Запрет всегда имеет приоритет над разрешением.
См. также: