Control de acceso discrecional
DAC es un medio para restringir el acceso a entes, basado
en la identidad de los sujetos y los conjuntos a los que estos conciernen. Los
controles son discrecionales en el sentido que un usuario o un proceso que
tiene permiso de acceso a información dado por mediosdiscrecionales es capaz de
pasar esa información a otro sujeto.
La plataforma de este tipo de seguridad es que se les
accede a explicar explícitamente, a los usuarios individuales, o a los
programas actuando en nombre de esos usuarios, los tipos de accesos que otros
usuarios tienen sobre información bajo su control. Las claves del control de
acceso discrecional son las identidades de usuarios y objetos.
Deficiencias de DAC
En la mayoría de los sistemas que utilizan DAC, cualquier
proceso que seejecuta en nombre de un usuario, adquiere los derechos de acceso
de ese usuario. Los dispositivos de control de acceso discrecionales limitan el
acceso a objetos asentados solamente en la identidad de los sujetos que tratan
de adherirse a estos objetos.
Se puede mostrar que DAC es solo efectivo para restringir
el acceso a usuarios “honestos”, impidiendo que recuperen archivos de otros
usuarios y evitando el mal uso o la destrucción accidental de información.
Mecanismos de DAC
· Capacidades:
La capacidad es un atributo que identifica tanto al objeto como a losderechos
de acceso que poseen los usuarios. Existen dos propiedades fundamentales.
· Perfiles:
Utiliza una lista de objetos protegidos asociada a cada usuario. Las acciones
decreación, borrado y modificación de los accesos a los objetos protegidos
requieren muchasoperaciones dado que gran cantidad de perfiles de usuarios
deben ser actualizados.
· Listas de control de
accesos: Las listas de control de accesos permiten que
acualquier usuario particular se le garantice o se le niegue el acceso a un
objeto protegido en particular.
· Bits de protección:
Este método es un intento incompleto de representar la matriz deacceso por
columnas. El problema es que el sistema no puede permitir o quitar accesos
sobreobjetos a usuarios aislados.
· Contraseñas:
Debe existir una contraseña por objeto, o una por objeto para cada tipo
deacceso. Este mecanismo tiene muchos problemas. El
sistema no puede controlar ladistribución de permisos de acceso dado que las
contraseñas se pueden compartir, la dificultadque tienen las personas de
recordar gran cantidad de contraseñas
AUTOR:
TORREALBA,
LUIS
CI:
16.505.518
No hay comentarios:
Publicar un comentario