ДИСКРЕЦИОННЫЙ КОНТРОЛЬ ДОСТУПА: определение и примеры

Дискреционный контроль доступа реализуется с помощью списков контроля доступа. Администратор безопасности создает профиль и изменяет список контроля доступа к профилю для каждого объекта (ресурса или группы ресурсов). Этот тип контроля является дискреционным в том смысле, что субъекты могут манипулировать им. Потому что владелец ресурса может решить, кто может получить доступ к ресурсу и с какими полномочиями. В этом посте мы узнаем, что такое дискреционный контроль доступа (DAC), его пример и чем он отличается от недискреционного контроля доступа.

Что такое дискреционный контроль доступа (DAC)

Разновидность управления безопасным доступом, называемая дискреционным управлением доступом (DAC), разрешает или запрещает доступ к элементу на основе политики, установленной группой владельцев и/или субъектами объекта. Элементы управления для подхода DAC определяются идентификацией пользователя. Используя учетные данные, указанные при входе в систему, такие как имя пользователя и пароль. DAC необязательны, поскольку субъект (владелец) имеет право предоставлять другим пользователям доступ к аутентифицированным объектам или информации. Другими словами, владелец контролирует права доступа к объекту. 

Эти системы предлагают наибольшее количество разрешений и наиболее настраиваемые по сравнению с другими типами контроля доступа. Однако из-за их огромной гибкости они не самые безопасные. Причина этого в том, что один человек имеет полный контроль над системой. И они могут предлагать доступ людям, которым не должны. Кроме того, системы DAC обеспечивают контроль владельцам бизнеса, а не экспертам по безопасности. Что выше прав доступа и разрешений для пользователей. Они также должны быть в курсе лучших практик и рекомендаций по обеспечению безопасности.

Таким образом, лучшими приложениями для этого инструмента являются предприятия, где не требуется высокий уровень безопасности. А также места, которые требуют наибольшей гибкости и полезности. Типичные варианты использования включают школы, коучинговые центры, малый бизнес, стартапы и малый бизнес.

Плюсы и минусы диспозиционного контроля доступа (DAC)

Ниже приведены некоторые преимущества использования ЦАП:

• Удобство для пользователя: Пользовательский интерфейс прост в использовании и эксплуатации, и этот метод делает обработку данных и привилегий относительно простой.
• Трансформируемость: этот элемент управления предлагает наибольшее количество разрешений и самый простой способ предоставления доступа другим, как уже упоминалось.
• Почти никакого обслуживания: поскольку эти системы не требуют постоянного ремонта и обслуживания, требуется меньше администрирования для их управления.

Ниже приведены некоторые недостатки использования дискреционного контроля доступа:

• Менее достоверные: Поскольку доступ может быть легко передан от одного человека к другому, а информация может просочиться за пределы компании, DAC — не самое безопасное решение.
• Сложно контролировать поток данных: Поскольку DAC децентрализован, трудно контролировать поток данных и права доступа. Единственный способ добиться этого — использовать ACL (список управления доступом). Однако это возможно только в случае малого бизнеса с несколькими сотрудниками.

Какие существуют виды контроля доступа?

Существует три основных типа систем управления доступом: дискреционный контроль доступа (DAC), ролевой контроль доступа (RBAC) и обязательный контроль доступа (MAC).

Почему дискреционный контроль доступа важен?

Риски безопасности снижаются за счет дискреционных ограничений доступа. Он создает брандмауэр против атак вредоносных программ и несанкционированного доступа. Предоставляя протокол безопасности с высокой степенью шифрования, который необходимо обойти, прежде чем будет разрешен доступ.

Как мы можем реализовать дискреционный метод управления доступом?

• Определить доступ: Способность субъекта использовать объект для выполнения действия в соответствии с некоторой политикой зависит от того, есть ли у него доступ к нему.
• Предоставление доступа: Предоставляя доступ, вы можете разрешить кому-либо использовать конкретный объект.

Каковы недостатки дискреционного контроля доступа?

• Пользователи, имеющие чрезмерное количество привилегий или недостаточные привилегии: Пользователи могут быть частью нескольких вложенных рабочих групп. Несогласованные разрешения могут предоставить пользователю чрезмерные или недостаточные привилегии.
• Ограниченный контроль: Администраторам безопасности сложно отслеживать распределение ресурсов внутри фирмы.

Пример дискреционного контроля доступа

Например, при дискреционном контроле доступа у каждого системного объекта (файла или объекта данных) есть владелец или лицо, создавшее объект. В результате владелец элемента определяет политику доступа. Типичным примером DAC является файловый режим Unix, который определяет привилегии чтения, записи и выполнения для каждого пользователя, группы и других сторон в каждом из трех битов.

К особенностям ЦАП относятся:

• Пользователь имеет возможность изменить владельца (владельцев) объекта.
• Пользователи отвечают за определение того, какой уровень доступа имеют другие пользователи.
• После многих попыток ошибки разрешений ограничивают доступ пользователей.
• Размер файла, имя файла и путь к каталогу — все это атрибуты объекта, которые невидимы для пользователей, не имеющих авторизации.
• На основе идентификации пользователя и/или членства в группе доступ к объекту определяется во время утверждения списка управления доступом (ACL).

Например, продавцу может быть предоставлен доступ к биллинговой системе. Чтобы они могли просматривать действия по выставлению счетов, относящиеся к профилям клиентов, которые содержат их конкретный идентификационный номер продаж. Но не биллинговая активность других клиентов. Потому что права доступа могут быть адаптированы для определенных пользователей. Только те, кто отвечает за надзор за всей сетью, имеют доступ ко всем данным. В результате маловероятно, что хакеры, корпоративные шпионы или даже недовольные бывшие сотрудники, ищущие способ отомстить компании, будут использовать его для совершения преступлений.

Точная организация DAC зависит от типов полезных программ и от того, как распределяются права доступа. Некоторые параметры позволяют назначать определенные учетные данные для входа, которые впоследствии полезны для изменения разрешений для каждой из этих программ.

Недискреционный контроль доступа

Недискреционный контроль доступа (NDAC) относится к любой стратегии управления разрешениями, отличной от дискреционного контроля доступа (DAC). Мандатный контроль доступа (MAC), при котором авторизация предоставляется только в том случае, если допуск субъекта соответствует уровню конфиденциальности объекта, часто упоминается как NDAC.

Примеры недискреционных моделей контроля доступа

Пользователи не могут передавать доступ по своему усмотрению в рамках недискреционных схем контроля доступа. Пример(ы) недискреционного контроля доступа включают:

• При управлении доступом на основе ролей доступ предоставляется в соответствии с обязанностями, которые назначает администратор.
• При управлении доступом на основе правил доступ определяется с использованием установленных правил. Этот вид ограничения доступа широко используется маршрутизаторами и брандмауэрами для обеспечения сетевой безопасности.
• При управлении доступом на основе атрибутов доступ определяется атрибутами пользователя, такими как должность, команда, местоположение и устройство.

В чем разница между дискреционным и недискреционным контролем доступа?

Недискреционные расходы включают такие вещи, как арендная плата, налоги, платежи по долгам и продукты питания. Дискреционные расходы — это любые расходы, которые выходят за рамки того, что считается необходимым.

В чем разница между MAC и DAC?

Основное различие между DAC и MAC заключается в том, что первый использует метод управления доступом. Где владелец ресурса контролирует доступ, а последний предоставляет доступ на основе уровня допуска пользователя.

Что такое модель ЦАП?

Модель DAC, парадигма управления доступом на основе идентификации, дает пользователям некоторую степень контроля над своими данными.

FAQ

Связанная статья

• Дискреционное управление инвестициями: обзор, преимущества и риски
• ОПРЕДЕЛЕНИЕ ДИСКРЕЦИОННОГО ДОХОДА: что это такое, отличия и примеры
• Дискреционная фискальная политика: подробное руководство до 2023 г. (+ подробные примеры)
• Инструменты управления Active Directory: что это такое и все, что вам нужно о нем знать

Рекомендации 

• firewalltimes.com
• easytechjunkie.com
• techopedia.com