mac強制訪問控制

㈠ 訪問控制的基本原理和常見模型

訪問控制的功能及原理：
訪問控制的主要功能包括：保證合法用戶訪問受權保護的網路資源，防止非法的主體進入受保護的網路資源，或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後，還需要對越權操作進行監控。因此，訪問控制的內容包括認證、控制策略實現和安全審計。
1、認證。包括主體對客體的識別及客體對主體的檢驗確認；
2、控制策略。通過合理地設定控制規則集合，確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用，又要防止非法用戶侵權進入系統，使重要信息資源泄露。同時對合法用戶，也不能越權行使許可權以外的功能及訪問范圍；
3、安全審計。系統可以自動根據用戶的訪問許可權，對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證，並做出相應評價與審計。
訪問控制的模型：
主要的訪問控制類型有3種模型：自主訪問控制（DAC）、強制訪問控制（MAC）和基於角色訪問控制（RBAC）。
1、自主訪問控制
自主訪問控制（Discretionary Access Control，DAC）是一種接入控制服務，通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件，文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問，並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略，通常，可通過訪問控制列表來限定針對客體可執行的操作。
2、強制訪問控制
強制訪問控制（MAC）是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象，按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。
3、基於角色的訪問控制
角色（Role）是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層，表示為許可權和用戶的關系，所有的授權應該給予角色而不是直接給用戶或用戶組。

㈡ 訪問控制技術的類型機制

訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站，信息安全重點關注的是二者兼顧，物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式：自主訪問控制（DAC）、強制訪問控制（MAC）和基於角色訪問控制（RBAC）。
1）自主訪問控制
自主訪問控制（Discretionary Access Control，DAC）是一種接入控制服務，通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件，文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問，並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略，通常，可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者，可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表（ACL）。
③每次訪問時都以基於訪問控制列表檢查用戶標志，實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式，是應用最廣泛的訪問控制策略。然而，它所提供的安全性可被非法用戶繞過，授權用戶在獲得訪問某資源的許可權後，可能傳送給其他用戶。主要是在自由訪問策略中，用戶獲得文件訪問後，若不限制對該文件信息的操作，即沒有限制數據信息的分發。所以DAC提供的安全性相對較低，無法對系統資源提供嚴格保護。
2）強制訪問控制
強制訪問控制（MAC）是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象，按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中，每個用戶及文件都被賦予一定的安全級別，只有系統管理員才可確定用戶和組的訪問許可權，用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別，決定用戶是否可以訪問該文件。此外，MAC不允許通過進程生成共享文件，以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略，一般採用3種方法：限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統，對專用或簡單系統較有效，但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式，常用的分為4級：絕密級（Top Secret）、秘密級（Secret）、機密級（Confidential）和無級別級（Unclas sified），其中T>S>C>U。所有系統中的主體（用戶，進程）和客體（文件，數據）都分配安全標簽，以標識安全等級。
通常MAC與DAC結合使用，並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後，才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊，由於用戶不能直接改變強制訪問控制屬性，所以強制訪問控制提供了一個不可逾越的、更強的安全保護層，以防範偶然或故意地濫用DAC。
3）基於角色的訪問控制
角色（Role）是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層，表示為許可權和用戶的關系，所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制（Role-Based Access Control，RBAC）是通過對角色的訪問所進行的控制。使許可權與角色相關聯，用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色，用戶可依其責任和資格分派相應的角色，角色可依新需求和系統合並賦予新許可權，而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性，降低管理開銷，提高企業安全策略的靈活性。
RBAC模型的授權管理方法，主要有3種：
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組（Group，許可權分配的單位與載體）指定一個角色。
RBAC支持三個著名的安全原則：最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務，如核對賬目等。後者可通過許可權的抽象控制一些操作，如財務操作可用借款、存款等抽象許可權，而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問，並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法，一般在操作系統的控制下，按照事先確定的規則決定是否允許主體訪問客體，貫穿於系統全過程。
訪問控制矩陣（Access Contro1 Matrix）是最初實現訪問控制機制的概念模型，以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性，列表示客體的訪問許可權屬性，矩陣格表示所在行的主體對所在列的客體的訪問授權，空格為未授權，Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問，實現認證與訪問控制的分離。在實際應用中，對於較大系統，由於訪問控制矩陣將變得非常大，其中許多空格，造成較大的存儲空間浪費，因此，較少利用矩陣方式，主要採用以下2種方法。
1）訪問控制列表
訪問控制列表（Access Control List，ACL）是應用在路由器介面的指令列表，用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表，表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL，容易判斷出對特定客體的授權訪問，可訪問的主體和訪問許可權等。當將該客體的ACL置為空，可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時，雖然需要遍歷查詢所有客體的ACL，耗費較多資源，但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式，以少量工作組的形式，而不許單個個體出現，可極大地縮減列表大小，增加系統效率。
2）能力關系表
能力關系表（Capabilities List）是以用戶為中心建立訪問許可權表。與ACL相反，表中規定了該用戶可訪問的文件名及許可權，利用此表可方便地查詢一個主體的所有授權。相反，檢索具有授權訪問特定客體的所有主體，則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢，主要優點是，可集中存儲用戶身份信息，用戶只需一次向伺服器驗證身份，即可使用多個系統的資源，無需再向各客戶機驗證身份，可提高網路用戶的效率，減少網路操作的成本，增強網路安全性。根據登入的應用類型不同，可將SSO分為3種類型。
1）對桌面資源的統一訪問管理
對桌面資源的訪問管理，包括兩個方面：
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展，「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具，可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略，Windows並不主動提供與其他系統的直接連接。現在，已經有第三方產品提供上述功能，利用Active Directory存儲其他應用的用戶信息，間接實現對這些應用的SSO服務。
2）Web單點登入
由於Web技術體系架構便捷，對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中，Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用，提供完整的Web SSO解決方案。
3）傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上，實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面，可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API，通過調用信息安全基礎設施提供的訪問管理服務，實現統一訪問管理。
在不同的應用系統之間，同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排（EAI）平台建設一同進行。

㈢ 自主訪問控制與強制訪問控制的區別

一、類型不同

1、自主訪問控制：由《可信計算機系統評估准則》所定義的訪問控制中的一種類型。

2、強制訪問控制：在計算機安全領域指一種由操作系統約束的訪問控制。

二、目的不同

1、自主訪問控制：根據主體（如用戶、進程或 I/O 設備等）的身份和他所屬的組限制對客體的訪問。

2、強制訪問控制：目標是限制主體或發起者訪問或對對象或目標執行某種操作的能力。

三、特點不同

1、自主訪問控制：由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體，這種控制方式是自主的。

2、強制訪問控制：每當主體嘗試訪問對象時，都會由操作系統內核強制施行授權規則——檢查安全屬性並決定是否可進行訪問。任何主體對任何對象的任何操作都將根據一組授權規則（也稱策略）進行測試，決定操作是否允許。

㈣ 自主訪問控制和強制訪問控制的區別

• 強制訪問控制

• 通過無法迴避的訪問限制來阻止直接或間接地非法入侵。

• 自主訪問控制

• 管理的方式不同就形成不同的訪問控制方式。一種方式是由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問控制（Discretionary Access Control——DAC）。在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。Linux系統中有兩種自主訪問控制策略，一種是9位許可權碼（User-Group-Other），另一種是訪問控制列表ACL（Access Control List）。

• 強制訪問控制

• 強制訪問控制（Mandatory Access Control——MAC），用於將系統中的信息分密級和類進行管理，以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說，在強制訪問控制下，用戶（或其他主體）與文件（或其他客體）都被標記了固定的安全屬性（如安全級、訪問許可權等），在每次訪問發生時，系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。其中多級安全（MultiLevel Secure, MLS）就是一種強制訪問控制策略。