3.1.2访问控制策略 访问控制策略( Access Control Policy)是 在系统安全策略级上表示授权,是对访问如何控 制、如何作出访问决定的高层指南。 1.自主访问控制 自主访问控制①DAC)也称基于身份的访问控 制(IBAC),是针对访问资源的用户或者应用设 置访问控制权限;根据主体的身份及允许访问的 权限进行决策;自主是指具有某种访问能力的主 体能够自主地将访问权的某个子集授予其它主体 访问信息的决定权在于信息的创建者
3.1.2 访问控制策略 访问控制策略(Access Control Policy)是 在系统安全策略级上表示授权,是对访问如何控 制、如何作出访问决定的高层指南。 1. 自主访问控制 自主访问控制(DAC)也称基于身份的访问控 制 (IBAC),是针对访问资源的用户或者应用设 置访问控制权限;根据主体的身份及允许访问的 权限进行决策;自主是指具有某种访问能力的主 体能够自主地将访问权的某个子集授予其它主体 ,访问信息的决定权在于信息的创建者
特点:灵活性高,被大量采用 缺点:安全性最低 ■自主访问控制可以分为以下两类: (1)基于个人的策略 (2)基于组的策略 自主访问控制存在的问题:配置的粒度小, 配置的工作量大,效率低。 2.强制访问控制 强制访问控制(MAC)也称基于规则的访问控 制(RBAC),在自主访问控制的基础上,增加了 对资源的属性(安全属性)划分,规定不同属性下 的访问权限
◼自主访问控制可以分为以下两类: (1) 基于个人的策略 (2) 基于组的策略 • 自主访问控制存在的问题:配置的粒度小, 配置的工作量大,效率低。 • 特点:灵活性高,被大量采用。 • 缺点:安全性最低。 2. 强制访问控制 强制访问控制(MAC)也称基于规则的访问控 制(RBAC),在自主访问控制的基础上,增加了 对资源的属性(安全属性)划分,规定不同属性下 的访问权限
3.基于角色的访问控制 基于角色的访问控制(RBAC)是与现代的商 业环境相结合后的产物,同时具有基于身份策略 的特征,也具有基于规则的策略的特征,可以看 作是基于组的策略的变种,根据用户所属的角色 作出授权决定。 4.多级策略法 多级策略给每个目标分配一个密级,一般安 全属性可分为四个级别:最高秘密级(Top Secret)、秘密级( Secret)、机密级 Confidene)以及无级别级( Unclassified)
3. 基于角色的访问控制 基于角色的访问控制(RBAC)是与现代的商 业环境相结合后的产物,同时具有基于身份策略 的特征,也具有基于规则的策略的特征,可以看 作是基于组的策略的变种,根据用户所属的角色 作出授权决定。 4.多级策略法 多级策略给每个目标分配一个密级,一般安 全属性可分为四个级别:最高秘密级(Top Secret)、秘密级(Secret)、机密级( Confidene)以及无级别级(Unclassified )
3.1.3访间控制的常用实现方法 访问控制的常用实现方法是指访问控制策略 的软硬件低层实现。访问控制机制与策略独立, 可允许安全机制的重用。安全策略之间没有更好 的说法,应根据应用环境灵活使用。 1.访问控制表(ACL) 优点: 控制粒度比较小,适用于被区分的用户数比 较小的情况,并且这些用户的授权情况相对比较 稳定的情形
3.1.3 访问控制的常用实现方法 访问控制的常用实现方法是指访问控制策略 的软硬件低层实现。访问控制机制与策略独立, 可允许安全机制的重用。安全策略之间没有更好 的说法,应根据应用环境灵活使用。 1. 访问控制表(ACL) •优点: 控制粒度比较小,适用于被区分的用户数比 较小的情况,并且这些用户的授权情况相对比较 稳定的情形
2.访问能力表 授权机构针对每个限制区域,都为用户维护 它的访问控制能力。 3.安全标签 发起请求的时候,附属一个安全标签,在目 标的属性中,也有一个相应的安全标签。在做出 授权决定时,目标环境根据这两个标签决定是允 许还是拒绝访问,常常用于多级访问策略。 4.基于口令的机制 (1)与目标的内容相关的访问控制 (2)多用户访问控制 (3)基于上下文的控制
2. 访问能力表 授权机构针对每个限制区域,都为用户维护 它的访问控制能力。 3. 安全标签 发起请求的时候,附属一个安全标签,在目 标的属性中,也有一个相应的安全标签。在做出 授权决定时,目标环境根据这两个标签决定是允 许还是拒绝访问,常常用于多级访问策略。 4. 基于口令的机制 (1)与目标的内容相关的访问控制 (2)多用户访问控制 (3)基于上下文的控制