訪問控制系統

A. 訪問控制系統的三要素不包括

訪問控制包括三個要素，即：主體、客體和控制策略。 主體：是可以對其它實體施加動作的主動實體，簡記為S。
客體：是接受其他實體訪問的被動實體, 簡記為O。
控制策略：是主體對客體的操作行為集和約束條件集, 簡記為KS。

B. 安卓系統的自主訪問控制和強制訪問控制是怎麼操作的

自主訪問控制
自主訪問的含義是有訪問許可的主體能夠直接或間接地向其他主體轉讓訪問權。自主訪問控制是在確認主體身份以及（或）它們所屬的組的基礎上，控制主體的活動，實施用戶許可權管理、訪問屬性（讀、寫、執行）管理等，是一種最為普遍的訪問控制手段。自主訪問控制的主體可以按自己的意願決定哪些用戶可以訪問他們的資源，亦即主體有自主的決定權，一個主體可以有選擇地與其它主體共享他的資源。
基於訪問控制矩陣的訪問控製表（ACL）是DAC中通常採用一種的安全機制。ACL是帶有訪問許可權的矩陣，這些訪問權是授予主體訪問某一客體的。安全管理員通過維護ACL控制用戶訪問企業數據。對每一個受保護的資源，ACL對應一個個人用戶列表或由個人用戶構成的組列表，表中規定了相應的訪問模式。當用戶數量多、管理數據量大時，由於訪問控制的粒度是單個用
戶，ACL會很龐大。當組織內的人員發生能變化（升遷、換崗、招聘、離職）、工作職能發生變化（新增業務）時，ACL的修改變得異常困難。採用ACL機制管理授權處於一個較低級的層次，管理復雜、代價高以至易於出錯。
DAC的主要特徵體現在主體可以自主地把自己所擁有客體的訪問許可權授予其它主體或者從其它主體收回所授予的許可權，訪問通常基於訪問控製表（ACL）。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。DAC的缺點是信息在移動過程中其訪問許可權關系會被改變。如用戶A可將其對目標O的訪問許可權傳遞給用戶B，從而使不具備對O訪問許可權的B可訪問O。
強制訪問控制
為了實現完備的自主訪問控制系統，由訪問控制矩陣提供的信息必須以某種形式存放在系統中。訪問矩陣中的每行表示一個主體，每一列則表示一個受保護的客體，而矩陣中的元素，則表示主體可以對客體的訪問模式。目前，在系統中訪問控制矩陣本身，都不是完整地存儲起來，因為矩陣中的許多元素常常為空。空元素將會造成存儲空間的浪費，而且查找某個元素會耗費很多時間。實際上常常是基於矩陣的行或列來表達訪問控制信息。
強制訪問控制是「強加」給訪問主體的，即系統強制主體服從訪問控制政策。強制訪問控制（MAC）的主要特徵是對所有主體及其所控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。
為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標記，從而系統可以防止特洛伊木馬的攻擊。
Top Secret），秘密級（Secret），機密級（Confidential）及無級別級（Unclassified）。其級別為T>S>C>U，系統根據主體和客體的敏感標記來決定訪問模式。訪問模式包括：
read down）：用戶級別大於文件級別的讀操作；
Write up）：用戶級別小於文件級別的寫操作；
Write down）：用戶級別等於文件級別的寫操作；
read up）：用戶級別小於文件級別的讀操作；
自主訪問控制不能抵禦「特洛伊木馬」攻擊，而強制訪問控制能夠有效的防禦「特洛伊木馬」攻擊。MAC最主要的優勢是它阻止特洛伊木馬的能力 一個特洛伊木馬是在一個執行某些合法功能的程序中隱藏的代碼，它利用運行此程序的主體的許可權違反安全策略 通過偽裝成有用的程序在進程中泄露信息 一個特洛伊木馬能夠以兩種方式泄露信息： 直接與非直接泄露 前者， 特洛伊木馬以這樣一種方式工作， 使信息的安全標示不正確並泄露給非授權用戶； 後者特洛伊木馬通過以下方式非直接地泄露信息： 在返回給一個主體的合法信息中編制 例如： 可能表面上某些提問需要回答， 而實際上用戶回答的內容被傳送給特洛伊木馬。

C. 什麼事訪問控制訪問控制包括哪幾個要素

訪問控制是幾乎所有系統（包括計算機系統和非計算機系統）都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術。

訪問控制包括伺服器、目錄、文件等。訪問控制是給出一套方法，將系統中的所有功能標識出來，組織起來，託管起來，將所有的數據組織起來標識出來託管起來， 然後提供一個簡單的唯一的介面，這個介面的一端是應用系統一端是許可權引擎。

(3)訪問控制系統擴展閱讀

實現機制：訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為，實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應，制止非授權用戶的非授權行為；還要保證敏感信息的交叉感染。

為了便於討論這一問題，我們以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源（文件或是資料庫），可能的行為有讀、寫和管理。為方便起見，我們用Read或是R表示讀操作，Write或是W表示寫操作，Own或是O表示管理操作。

D. 對一個系統進行訪問控制的常用方法是

對一個系統進行訪問控制的常用方法是：採用合法用戶名和設置口令。

系統訪問控制技術作為一種安全手段，無論是在計算機安全發展的初期還是在網路發達的現今，作為一種重要的計算機安全防護技術，都得到廣泛應用。訪問控制是通過某種途徑准許或者限制訪問能力，從而控制對關鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作所造成的破壞。

(4)訪問控制系統擴展閱讀

雲訪問控制的優勢：

1、靈活性：基於雲的訪問控制可以滿足公司擴展的需求，方便跨區域辦公人員在不同的區域同時使用，系統還能對訪問許可權進行集中管理。

2、軟體自動更新：由於訪問控制是基於雲服務，因此可以在雲端對各地區實現軟體系統的自動更新，這樣可以節省跨地區維護不同系統所花費的時間。

3、隨時隨地遠程訪問：系統管理人員能夠實時訪問系統，並全面掌握訪問該系統的團體和個人的訪問情況，方便許可權的集中管控。

4、安全性：基於雲的訪問控制系統具有實時更新訪問許可權並將樓層訪問許可權與人力資源資料庫同步的功能，可以保護敏感數據的丟失，並防止在本地伺服器中恢復數據所涉及的高風險。

5、集成度高：當基於雲的訪問控制系統與多個基於雲的應用程序集成時，整個集成為員工提供了無縫、自動化的工作流程。

6、降低成本：基於雲的解決方案可以最大程度地減少IT在IT設備、伺服器和其他IT硬體成本方面的投資。