信息安全工程师（35）访问控制类型

前言

       访问控制是几乎所有系统（包括计算机系统和非计算机系统）都需要用到的一种技术，它基于用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。

一、自主访问控制（DAC）

• 定义：在DAC模型中，资源的所有者可以自行决定谁能够访问他们的资源。用户可以根据自己的判断来授予或撤销其他用户的访问权限。
• 特点：提供了一种相对灵活的访问控制机制，但安全性相对较低，因为授权用户在获得访问某资源的权限后，可能将权限传送给其他用户。
• 实例：Unix/Linux文件系统权限设置，以及Windows文件系统中的访问控制列表（ACL）。

二、强制访问控制（MAC）

• 定义：在MAC模型中，访问决策基于系统定义的安全策略，这些策略由系统管理员设定，并且用户不能更改。系统会为每个主体（如用户）和客体（如文件）分配安全标签，然后根据这些标签之间的关系来决定访问权限。
• 特点：提供了一种更为严格的访问控制机制，能够防止敏感信息的泄露。
• 实例：Bell-LaPadula模型、Biba模型，以及SELinux中的类型强制（TE）机制。

三、基于角色的访问控制（RBAC）

• 定义：RBAC根据用户在组织内的角色来分配权限。角色是一组权限的集合，通过将用户分配给一个或多个角色来简化权限管理。
• 特点：简化了权限管理过程，提高了系统的可扩展性和灵活性。
• 实例：企业内部系统中的管理员、经理、员工等角色。

四、基于规则的访问控制（RuBAC）

• 定义：在这种模型中，访问决策基于预定义的规则集。规则可能包括时间、地点、用户行为等多种因素。
• 特点：提供了一种灵活且强大的访问控制机制，能够根据复杂的业务逻辑来制定访问策略。
• 实例：防火墙规则、网络入侵检测系统等。

五、基于属性的访问控制（ABAC）

• 定义：ABAC是一种更细粒度的访问控制方法，它考虑了更多关于主体、客体以及环境的信息。访问决策基于一系列属性，如用户属性、资源属性、环境条件等。
• 特点：提供了更为精细和动态的访问控制机制，能够根据上下文信息来调整访问策略。
• 实例：XACML（eXtensible Access Control Markup Language）等。

六、多级安全（MLS）

• 定义：多级安全是一种特殊的MAC形式，主要用于处理敏感信息，确保不同级别的信息不会被未经授权的人访问。
• 特点：强调信息的保密性，通过严格的安全级别划分和访问控制策略来保护敏感信息。
• 应用：通常用于军事和政府机构中。

七、其他访问控制模型

• 基于对象的访问控制（OBAC）：将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合。适用于信息量巨大、信息内容更新变化频繁的管理信息系统。
• 基于任务的访问控制（TBAC）：从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制。在工作流环境中提供动态实时的安全管理。

总结

        综上所述，访问控制类型多种多样，每种类型都有其独特的特点和应用场景。在实际应用中，需要根据系统的具体需求和安全策略来选择合适的访问控制类型。

 结语    

停止奋斗

生命也就停止了

！！！