Isteğe bağlı erişim kontrolü - Discretionary access control

İçinde bilgisayar Güvenliği, Isteğe bağlı erişim kontrolü (DAC) bir tür giriş kontrolu tarafından tanımlanan Güvenilir Bilgisayar Sistemi Değerlendirme Kriterleri^[1] "ait oldukları öznelerin ve / veya grupların kimliğine dayalı olarak nesnelere erişimi kısıtlamanın bir yolu olarak. ihtiyari belirli bir erişim iznine sahip bir öznenin bu izni başka bir konuya (belki de dolaylı olarak) geçirebilmesi anlamında (tarafından kısıtlanmadıkça) zorunlu erişim kontrolü )".

İsteğe bağlı erişim kontrolü, genellikle zorunlu erişim kontrolü (MAC). Bazen bir bütün olarak sistemin zorunlu erişim kontrolünden yoksun olduğunu söylemenin bir yolu olarak "isteğe bağlı" veya "tamamen isteğe bağlı" erişim kontrolüne sahip olduğu söylenir. Öte yandan, sistemlerin hem MAC hem de DAC'yi aynı anda uyguladığı söylenebilir; burada DAC, öznelerin birbirleri arasında aktarabileceği bir erişim kontrolleri kategorisine atıfta bulunur ve MAC, birinciye kısıtlamalar getiren ikinci bir erişim kontrol kategorisine atıfta bulunur. .

Uygulamalar

Pratikte terimin anlamı, TCSEC standardında verilen tanım kadar net değildir, çünkü DAC'ın TCSEC tanımı herhangi bir uygulamayı empoze etmez. En az iki uygulama vardır: sahipli (yaygın bir örnek olarak) ve yetenekli.^[2]

Sahibi ile

DAC terimi, her nesnenin bir nesneye sahip olduğunu varsayan bağlamlarda yaygın olarak kullanılır. sahip Bu, nesneye erişim izinlerini kontrol eder, bunun nedeni muhtemelen birçok sistemin DAC'yi sahip kavramını kullanarak gerçekleştirmesidir. Ancak TCSEC tanımı, sahipler hakkında hiçbir şey söylemez, bu nedenle teknik olarak bir erişim kontrol sistemi, DAC'ın TCSEC tanımını karşılamak için bir sahip kavramına sahip olmak zorunda değildir.

Kullanıcılar (sahipler) bu DAC uygulaması altında politika kararları alma ve / veya güvenlik öznitelikleri atama yeteneğine sahiptir. Basit bir örnek, Unix dosya modu Kullanıcı, Grup ve Diğerlerinin her biri için 3 bitin her birinde yazma, okuma ve çalıştırmayı temsil eden. (Başına ek özellikleri gösteren başka bir bit eklenir).

Yeteneklerle

Başka bir örnek olarak, yetenek sistemleri Bazen, yetenek tabanlı güvenlik temelde "öznelerin kimliğine dayalı olarak" erişimi kısıtlamakla ilgili olmasa bile öznelerin diğer konulara erişimlerini aktarmalarına izin verdikleri için isteğe bağlı kontroller sağladıkları şeklinde tanımlanır (yetenek sistemleri genel olarak izinlere izin vermez "başka bir konuya" geçilmesi için; izinlerini geçmek isteyen öznenin önce alıcı konuya erişimi olması gerekir ve denekler genellikle sistemdeki tüm konulara erişemez).

Ayrıca bakınız

Erişim kontrol Listesi
Öznitelik Tabanlı Erişim Kontrolü (ABAC)
Bağlam tabanlı erişim kontrolü (CBAC)
Grafik tabanlı erişim kontrolü (GBAC)
Kafes tabanlı erişim kontrolü (LBAC)
Zorunlu erişim kontrolü (MAC)
Organizasyon bazlı erişim kontrolü (OrBAC)
Rol tabanlı erişim kontrolü (RBAC)
Kural setine dayalı erişim kontrolü (RSBAC)
Yeteneğe dayalı güvenlik
Konum tabanlı kimlik doğrulama
Risk tabanlı kimlik doğrulama
XACML (Genişletilebilir Erişim Kontrolü Biçimlendirme Dili)

Referanslar

Alıntılar

^ Güvenilir Bilgisayar Sistemi Değerlendirme Kriterleri. Amerika Birleşik Devletleri Savunma Bakanlığı. Aralık 1985. DoD Standard 5200.28-STD. Arşivlenen orijinal 2006-05-27 tarihinde.
^ http://fedoraproject.org/wiki/Features/RemoveSETUID - Fedora 15, SETUID'i (Linux çekirdeği) yetenekleri lehine kaldıracak şekilde ayarlandı

Kaynaklar

P.A. Loscocco, S. D. Smalley, P.A. Muckelbauer, R. C. Taylor, S. J. Turner ve J. F. Farrell. Başarısızlığın Kaçınılmazlığı: Modern Bilgi İşlem Ortamlarında Hatalı Güvenlik Varsayımı. 21. Ulusal Bilgi Sistemleri Güvenliği Konferansı Bildirilerinde, s. 303–14, Ekim 1998. PDF versiyonu.

[1] Güvenilir Bilgisayar Sistemi Değerlendirme Kriterleri. Amerika Birleşik Devletleri Savunma Bakanlığı. Aralık 1985. DoD Standard 5200.28-STD. Arşivlenen orijinal 2006-05-27 tarihinde.

[2] ttp://fedoraproject.org/wiki/Features/RemoveSETUID - Fedora 15, SETUID'i (Linux çekirdeği) yetenekleri lehine kaldıracak şekilde ayarlandı

[1]

[2]