Discretionary Access Constrol (DAC)

Dalam keamanan komputer, kontrol akses diskresioner (DAC) adalah jenis kontrol akses yang ditentukan oleh Kriteria Evaluasi Sistem Komputer Tepercaya “Sebagai cara membatasi akses ke objek berdasarkan identitas subyek /kelompok yang menjadi bagiannya. Kontrol bersifat diskresioner dalam arti bahwa subjek dengan izin akses tertentu mampu meneruskan izin tersebut (mungkin secara tidak langsung) ke subjek lain (kecuali dikendalikan oleh kontrol akses wajib) “.

Kontrol akses diskresioner biasanya dibahas berbeda dengan kontrol akses wajib (MAC). Kadang-kadang suatu sistem secara keseluruhan dikatakan memiliki kontrol akses “diskresioner” atau “murni diskresioner” sebagai cara untuk mengatakan bahwa sistem tersebut tidak memiliki kontrol akses wajib. Di sisi lain, sistem dapat dikatakan untuk mengimplementasikan MAC dan DAC secara bersamaan, di mana DAC mengacu pada satu kategori kontrol akses yang dapat ditransfer satu sama lain, dan MAC mengacu pada kategori kedua dari kontrol akses yang memberikan batasan pada yang pertama.

Discretionary Access Constrol (DAC) merupakan suatu mekanisme data security yang menitik beratkan pada security objects, security subjects, dan access previleges dalam hal ini, DAC akan membatasi akses pada objek-objek berdasarkan identitas subjek atau group dimana mereka berada. Dalam DAC, keamanan data dapat direpresentasikan bahwa :

1. Userdapat menjaga data yang mereka miliki
2. Ownerdapat memberikan grant pada user lain
3. Ownerdapat memberikan definisi tipe akses yang akan diberikan pada user apakah akses tersebut berupa read, write, execute

Definisi Discretionary Access Control yaitu suatu mekanisme dalam pembatasan akses kepada objek-objeknya berdasarkan identitas subjek-subjek dan/atau group subjek dimana objek tersebut berada.

Mekanisme Discretionary Access Constrol (DAC) untuk database security, bagaimana konsep mekanisme security ini dapat digunakan oleh user pada database yang mereka akses. Database yang akan ditinjau merupakan database relasional sederhana dengan beberapa tabel dan view.

Dalam DAC, setiap objek sistem (file atau objek data) dimiliki pemilik, dan setiap objek awal yg dimiliki adalah subjek yang menyebabkan pembuatannya. Dengan demikian, kebijakan akses suatu objek ditentukan oleh pemiliknya.

Contoh khas DAC adalah mode file Unix, yang  mengizinkan untuk baca, tulis, dan jalankan di masing-masing dari tiga bit untuk setiap pengguna, grup, dan lainnya.

Atribut DAC meliputi:

1. Pengguna dapat mentransfer kepemilikan objek ke pengguna lain.
2. Pengguna dapat menentukan jenis akses pengguna lain.
3. Setelah beberapa upaya, kegagalan otorisasi membatasi akses pengguna.
4. Pengguna yang tidak sah buta terhadap karakteristik objek, seperti ukuran file, nama file, dan jalur direktori.
5. Akses objek ditentukan selama otorisasi daftar kontrol akses (ACL) dan berdasarkan identifikasi pengguna dan / atau keanggotaan grup.

DAC mudah diimplementasikan dan intuitif tetapi memiliki kelemahan tertentu, termasuk:

1. Kerentanan yang melekat (Trojan horse)
2. Pemeliharaan atau kemampuan ACL
3. Berikan dan cabut pemeliharaan izin
4. Terbatasnya kekuatan otorisasi negatif