Дискреционная политика безопасности
Пусть О – множество объектов, U – множество пользователей, S – множество действий пользователей над объектами. Дискреционная политика определяет отображение (объектов на пользователей-субъектов). В соответствии с данным отображением, каждый объект объявляется собственностью соответствующего пользователя , который может выполнять над ними определенную совокупность действий , в которую могут входить несколько элементарных действий (чтение, запись, модификация и т.д.). Пользователь, являющийся собственником объекта, иногда имеет право передавать часть или все права другим пользователям (обладание администраторскими правами).
Указанные права доступа пользователей-субъектов к объектам компьютерной системы записываются в виде так называемой МАТРИЦЫ ДОСТУПА. На пересечении i-ой строки и j-ого столбца данной матрицы располагается элемент Sij – множество разрешенных действий j-ого пользователя над i-ым объектом.
Пример
Пусть имеем множество из 3 пользователей {Администратор, Гость, Пользователь_1} и множество из 4 объектов {Файл_1, Файл_2, CD-RW, Дисковод}. Множество возможных действий включает следующие: {Чтение, Запись, Передача прав другому пользователю}. Действие «Полные права» разрешает выполнение всех перечисленных 3 действий, Действие «Полный запрет» запрещает выполнение всех из вышеперечисленных действий. В данном случае, матрица доступа, описывающая дискреционную политику безопасности, может выглядеть следующим образом.
Таблица 1
Объект / Субъект | Файл_1 | Файл_2 | CD-RW | Дисковод |
1 (Администратор) | Полные права | Полные права | Полные права | Полные права |
2 (Гость) | Запрет | Чтение | Чтение | Запрет |
3 (Пользователь_1) | Чтение, передача прав | Чтение, запись | Полные права | Полный запрет |
Например, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать же свои права другому пользователю он не может.
Пользователь, обладающий правами передачи своих прав доступа к объекту другому пользователю, может сделать это. При этом, пользователь, передающий права, может указать непосредственно, какие из своих прав он передает другому.
Например, если Пользователь_1 передает право доступа к Файлу_1 на чтение пользователю Гость, то у пользователя Гость появляется право чтения из Файла_1.
Таблица 2
Вариант | Количество субъектов доступа (пользователей) | Количество объектов доступа |