Дискреционная политика безопасности

Пусть О – множество объектов, U – множество пользователей, S – множество действий пользователей над объектами. Дискреционная политика определяет отображение Дискреционная политика безопасности - student2.ru (объектов на пользователей-субъектов). В соответствии с данным отображением, каждый объект Дискреционная политика безопасности - student2.ru объявляется собственностью соответствующего пользователя Дискреционная политика безопасности - student2.ru , который может выполнять над ними определенную совокупность действий Дискреционная политика безопасности - student2.ru , в которую могут входить несколько элементарных действий (чтение, запись, модификация и т.д.). Пользователь, являющийся собственником объекта, иногда имеет право передавать часть или все права другим пользователям (обладание администраторскими правами).

Указанные права доступа пользователей-субъектов к объектам компьютерной системы записываются в виде так называемой МАТРИЦЫ ДОСТУПА. На пересечении i-ой строки и j-ого столбца данной матрицы располагается элемент Sij – множество разрешенных действий j-ого пользователя над i-ым объектом.

Пример

Пусть имеем множество из 3 пользователей {Администратор, Гость, Пользователь_1} и множество из 4 объектов {Файл_1, Файл_2, CD-RW, Дисковод}. Множество возможных действий включает следующие: {Чтение, Запись, Передача прав другому пользователю}. Действие «Полные права» разрешает выполнение всех перечисленных 3 действий, Действие «Полный запрет» запрещает выполнение всех из вышеперечисленных действий. В данном случае, матрица доступа, описывающая дискреционную политику безопасности, может выглядеть следующим образом.

Таблица 1

Объект / Субъект Файл_1 Файл_2 CD-RW Дисковод
1 (Администратор) Полные права Полные права Полные права Полные права
2 (Гость) Запрет Чтение Чтение Запрет
3 (Пользователь_1) Чтение, передача прав Чтение, запись Полные права Полный запрет

Например, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать же свои права другому пользователю он не может.

Пользователь, обладающий правами передачи своих прав доступа к объекту другому пользователю, может сделать это. При этом, пользователь, передающий права, может указать непосредственно, какие из своих прав он передает другому.

Например, если Пользователь_1 передает право доступа к Файлу_1 на чтение пользователю Гость, то у пользователя Гость появляется право чтения из Файла_1.

Таблица 2

Вариант Количество субъектов доступа (пользователей) Количество объектов доступа

Наши рекомендации