Достоинства дискреционных моделей
В качестве достоинств дискреционных моделей можно отметить следующее:
- 1. универсальность (полнота охвата);
- 2. наглядность (интуитивная понятность);
- 3. гибкость;
- 4. удобство для пользователя при децентрализованном управлении (права назначаются пользователями).
Недостатки дискреционных моделей
- 1. Низкоуровневость (излишняя детализированность) модели и из-за этого сложность полной реализации модели;
- 2. при децентрализованном управлении затрудняется централизованный контроль за безопасностью;
- 3. сложность администрирования, неудобство для пользователей и недостаток гибкости при централизованном управлении (права назначаются системным администратором);
- 4. проблема троянских программ.
Проблема троянских программ
Самым крупным недостатком дискреционных моделей, в частности модели Харрисона-Руззо-Ульмана, является наличие проблемы троянских коней. дискреционный троянский компьютер вирусный Троянская программа (троянский конь) — программа, которая «на поверхности» выполняет одно действие (например, редактирование файла), а «в глубине» производит нечто неожиданное и нежелательное (например, передает нелегальному пользователю право чтения). Пользователь запускает какую-нибудь программу на компьютере. Это инициирует последовательность операций. зачастую скрытых от его взора. Такие процессы управляются операционной системой. Троянские кони рассчитывают на то, что когда пользователь вызывает такой набор операций, он обычно верит в то, что система произведет все, как полагается.
Результаты исследования модели Харрисона-Руззо-Ульмана показали, что сложно предсказать, каким образом будут распределяться права доступа в данной модели, даже если мы имеем полное представление о программах, ответственных за распределение прав. Например, пользователь имеет право на запуск программы другого пользователя. Первый пользователь может не знать, что эта программа без явных указаний передаст набор его прав второму.
Однако троянские кони ограничены схемой авторизации, т. е. набором прав в системе. Они могут модифицировать состояние системы, используя только те команды, которые доступны им в текущем состоянии.
Все это позволяет сделать следующий вывод: модель Харрисона-Руззо-Ульмана обладает большими выразительными свойствами, но чрезвычайно слабыми защитными характеристиками. Ограничения, вводимые с целью повышения защитных свойств, приводят к снижению практического эффекта модели. Не существует какого-либо общего случая модели Харрисона-Руззо-Ульмана, для которого проблема безопасности была бы эффективно разрешима.
