Ⅰ 自主訪問控制(DAC)與強制訪問控制(MAC)的原理是什麼,區別在哪裡各有什麼優缺點
雙系統或多系統有什麼優缺點,求祥解。XjU9es
Ⅱ 自主訪問控制和強制訪問控制的區別
強制訪問控制
通過無法迴避的訪問限制來阻止直接或間接地非法入侵。
自主訪問控制
管理的方式不同就形成不同的訪問控制方式。一種方式是由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體,這種控制方式是自主的,我們把它稱為自主訪問控制(Discretionary Access Control——DAC)。在自主訪問控制下,一個用戶可以自主選擇哪些用戶可以共享他的文件。Linux系統中有兩種自主訪問控制策略,一種是9位許可權碼(User-Group-Other),另一種是訪問控制列表ACL(Access Control List)。
強制訪問控制
強制訪問控制(Mandatory Access Control——MAC),用於將系統中的信息分密級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說,在強制訪問控制下,用戶(或其他主體)與文件(或其他客體)都被標記了固定的安全屬性(如安全級、訪問許可權等),在每次訪問發生時,系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。其中多級安全(MultiLevel Secure, MLS)就是一種強制訪問控制策略。
Ⅲ 自主訪問控制的概述
自主訪問控制是保護系統資源不被非法訪問的一種有效手段。但是這種控制是自主的,即它是以保護用戶的個人資源的安全為目標並以個人的意志為轉移的。
自主訪問控制是一種比較寬松的訪問控制,一個主題的訪問許可權具有傳遞性。
計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。
實施機制(例如:訪問控製表)允許命名用戶以用戶和(或)用戶組的身份規定並控制客體的共享;阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。
自主訪問控制機制根據用戶指定方式或默認方式,阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。阻止非授權用戶讀取敏感信息。
Ⅳ 自主訪問控制與強制訪問控制的區別
一、類型不同
1、自主訪問控制:由《可信計算機系統評估准則》所定義的訪問控制中的一種類型。
2、強制訪問控制:在計算機安全領域指一種由操作系統約束的訪問控制。
二、目的不同
1、自主訪問控制:根據主體(如用戶、進程或 I/O 設備等)的身份和他所屬的組限制對客體的訪問。
2、強制訪問控制:目標是限制主體或發起者訪問或對對象或目標執行某種操作的能力。
三、特點不同
1、自主訪問控制:由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己的客體訪問權或部分訪問權授予其他主體,這種控制方式是自主的。
2、強制訪問控制:每當主體嘗試訪問對象時,都會由操作系統內核強制施行授權規則——檢查安全屬性並決定是否可進行訪問。任何主體對任何對象的任何操作都將根據一組授權規則(也稱策略)進行測試,決定操作是否允許。
Ⅳ 訪問控制的基本原理和常見模型
訪問控制的功能及原理:
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
1、認證。包括主體對客體的識別及客體對主體的檢驗確認;
2、控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍;
3、安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。
訪問控制的模型:
主要的訪問控制類型有3種模型:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1、自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
2、強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。
3、基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
Ⅵ 安卓系統的自主訪問控制和強制訪問控制是怎麼操作的
自主訪問控制
自主訪問的含義是有訪問許可的主體能夠直接或間接地向其他主體轉讓訪問權。自主訪問控制是在確認主體身份以及(或)它們所屬的組的基礎上,控制主體的活動,實施用戶許可權管理、訪問屬性(讀、寫、執行)管理等,是一種最為普遍的訪問控制手段。自主訪問控制的主體可以按自己的意願決定哪些用戶可以訪問他們的資源,亦即主體有自主的決定權,一個主體可以有選擇地與其它主體共享他的資源。
基於訪問控制矩陣的訪問控製表(ACL)是DAC中通常採用一種的安全機制。ACL是帶有訪問許可權的矩陣,這些訪問權是授予主體訪問某一客體的。安全管理員通過維護ACL控制用戶訪問企業數據。對每一個受保護的資源,ACL對應一個個人用戶列表或由個人用戶構成的組列表,表中規定了相應的訪問模式。當用戶數量多、管理數據量大時,由於訪問控制的粒度是單個用
戶,ACL會很龐大。當組織內的人員發生能變化(升遷、換崗、招聘、離職)、工作職能發生變化(新增業務)時,ACL的修改變得異常困難。採用ACL機制管理授權處於一個較低級的層次,管理復雜、代價高以至易於出錯。
DAC的主要特徵體現在主體可以自主地把自己所擁有客體的訪問許可權授予其它主體或者從其它主體收回所授予的許可權,訪問通常基於訪問控製表(ACL)。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。DAC的缺點是信息在移動過程中其訪問許可權關系會被改變。如用戶A可將其對目標O的訪問許可權傳遞給用戶B,從而使不具備對O訪問許可權的B可訪問O。
強制訪問控制
為了實現完備的自主訪問控制系統,由訪問控制矩陣提供的信息必須以某種形式存放在系統中。訪問矩陣中的每行表示一個主體,每一列則表示一個受保護的客體,而矩陣中的元素,則表示主體可以對客體的訪問模式。目前,在系統中訪問控制矩陣本身,都不是完整地存儲起來,因為矩陣中的許多元素常常為空。空元素將會造成存儲空間的浪費,而且查找某個元素會耗費很多時間。實際上常常是基於矩陣的行或列來表達訪問控制信息。
強制訪問控制是「強加」給訪問主體的,即系統強制主體服從訪問控制政策。強制訪問控制(MAC)的主要特徵是對所有主體及其所控制的客體(例如:進程、文件、段、設備)實施強制訪問控制。
為這些主體及客體指定敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標記,從而系統可以防止特洛伊木馬的攻擊。
Top Secret),秘密級(Secret),機密級(Confidential)及無級別級(Unclassified)。其級別為T>S>C>U,系統根據主體和客體的敏感標記來決定訪問模式。訪問模式包括:
read down):用戶級別大於文件級別的讀操作;
Write up):用戶級別小於文件級別的寫操作;
Write down):用戶級別等於文件級別的寫操作;
read up):用戶級別小於文件級別的讀操作;
自主訪問控制不能抵禦「特洛伊木馬」攻擊,而強制訪問控制能夠有效的防禦「特洛伊木馬」攻擊。MAC最主要的優勢是它阻止特洛伊木馬的能力 一個特洛伊木馬是在一個執行某些合法功能的程序中隱藏的代碼,它利用運行此程序的主體的許可權違反安全策略 通過偽裝成有用的程序在進程中泄露信息 一個特洛伊木馬能夠以兩種方式泄露信息: 直接與非直接泄露 前者, 特洛伊木馬以這樣一種方式工作, 使信息的安全標示不正確並泄露給非授權用戶; 後者特洛伊木馬通過以下方式非直接地泄露信息: 在返回給一個主體的合法信息中編制 例如: 可能表面上某些提問需要回答, 而實際上用戶回答的內容被傳送給特洛伊木馬。
Ⅶ 訪問控制技術的主要類型有哪三種
訪問控制技術主要有3種類型:自主訪問控制、強制訪問控制和基於角色訪問控制。自主訪問控制:用戶通過授權或者回收給其他用戶訪問特定資源的許可權,主要是針對其訪問權進行控制。
強制訪問控制:由系統己經部署的訪問控制策略,按照系統的規定用戶需要服從系統訪問控制策略,比如系統管理員制定訪問策略,其他用戶只能按照規定進行進程、文件和設備等訪問控制。
(7)自主訪問控制模型有哪些特徵擴展閱讀
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。
訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
Ⅷ 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
Ⅸ 自主訪問控制存在哪些主要的安全性問題
從「震網」、「火焰」病毒的大規模爆發,到索尼在線被黑、CSDN數據泄露等信息安全事件的層出不窮,每一次大規模病毒、黑客攻擊行為的出現,都會對用戶信息系統造成嚴重的危害,引起了安全行業的集體反思。作為信息系統的重要組成部分,操作系統承擔著連接底層硬體和上層業務應用的重任,在諸多安全事件中首當其沖,面臨著巨大的安全壓力。而操作系統本身在安全防護上的脆弱性,特別是系統內自主訪問控制機制存在的安全隱患,使用戶在面對病毒、木馬及黑客攻擊時顯得力不從心,最終導致安全事件密集爆發的信息安全「危局」。
掀開自主訪問控制的面紗
為了增強信息系統安全、可靠運行的能力,操作系統內置了一些防護措施,例如身份鑒別、訪問控制、入侵防範等。其中,訪問控制是計算機安全防護體系中的重要環節,包含主體、客體、控制策略三個要素。其中,主體是指可以對其他實體施加動作的主動實體,例如用戶、進程等;客體包括數據、文件、程序等,是接受其他實體訪問的被動實體;控制策略則定義了主體與客體相互作用的途徑。簡而言之,訪問控制是一種通過控制策略授予、約束主體訪問客體行為的安全機制。
訪問控制分為三種模型,即自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色的訪問控制(RBAC)。其中,自主訪問控制在C2級操作系統中應用廣泛,是根據自主訪問控制策略建立的一種模型,允許合法用戶以用戶或用戶組的身份訪問策略規定的客體,同時阻止非授權用戶訪問客體,某些用戶還可以自主地把自己所擁有的客體的訪問許可權授予其他用戶。
自主訪問控制的實現方式包括目錄式訪問控制模式、訪問控製表(ACL)、訪問控制矩陣、面向過程的訪問控制等,其中,訪問控製表是自主訪問控制機制通常採用的一種方式。訪問控製表是存放在計算機中的一張表,本質上是帶有訪問許可權的矩陣,其訪問許可權包括讀文件、寫文件、執行文件等等。在自主訪問控制機制下,每個客體都有一個特定的安全屬性,同時訪問控製表也授予或禁止主體對客體的訪問許可權。在實際工作中,安全管理員通過維護訪問控製表,控制用戶對文件、數據等IT系統資源的訪問行為,來達到安全防控的目的。
從安全性上看,現有操作系統中基於訪問控製表的自主訪問控制存在著明顯的缺陷:一方面,超級用戶(root/Administrator)權力過度集中,可以隨意修客體的訪問控製表,只要擁有超級管理員許可權就可以對伺服器所有的資源進行任意操作;另一方面,客體的屬主可以自主地將許可權轉授給別的主體,一旦把某個客體的ACL修改權轉授出去以後,擁有者便很難對自己的客體實施控制了。因此,在現有的這種訪問控制模型下,操作系統存在很多安全風險。
自主訪問控制下的安全風險
按照訪問許可機制的不同,自主訪問控制又分為三個類型,即自由型、等級型和宿主型。其中,在自由型自主訪問控制機制中,不同主體之間可以自由轉讓客體訪問控製表的修改許可權,意味著任何主體都有可能對某一客體進行操作,系統安全性很難得到保障;在等級型自主訪問控制機制中,用戶可以將擁有修改客體訪問控製表許可權的主體組織成等級型結構,例如按照等級將不同的主體排列成樹型結構,高等級主體自動獲得低等級客體的控制許可權。這種方案的優點是可以選擇值得信任的人擔任各級領導,從而實現對客體的分級控制,缺點是同時有多個主體有能力修改某一客體的訪問許可權。
從市場應用情況看,等級型自主訪問控制是使用范圍最為廣泛的安全機制,現有C2級大型商用伺服器操作系統(如AIX、HP-UX、Solaris、Windows Server、LinuxServer等)中的訪問控制機制均為等級型自主訪問控制,涉及金融、能源、軍工等國家命脈行業。在這些系統中,位於樹型結構頂端的超級用戶擁有無上的許可權,可以對其他用戶擁有的資源進行任意修改和訪問。許可權的高度集中,客觀上放大了系統的安全風險。針對等級型自主訪問控制,攻擊者可以通過暴力破解、系統漏洞利用、木馬攻擊等多種方式竊取管理員許可權,進而實現對目標系統的完全控制。事實證明確實如此,無論是曾經肆虐全國的「灰鴿子」木馬,還是震驚全球的「震網」、「火焰」等病毒,都將獲得管理許可權作為一種重要手段,在此基礎上成功入侵系統並實施破壞行為。
完善自主訪問控制機制
為了提升信息系統的安全防護能力,我國頒布了《信息安全等級保護管理辦法》,並制定了一系列國家標准,為用戶開展信息安全等級保護工作提供指導意義。其中,《GB/T 20272-2006信息安全技術-操作系統安全技術要求》是專門針對操作系統安全防護的國家標准,該標准在「自主訪問控制」部分提出了明確的要求:「客體的擁有者應是唯一有權修改客體訪問許可權的主體,擁有者對其擁有的客體應具有全部控制權,但是,不充許客體擁有者把該客體的控制權分配給其他主體。」
從技術要求的細節上看,滿足等級保護標準的自主訪問控制機制實質上是宿主型自主訪問控制。在這種機制下,用戶需要對客體設置一個擁有者,並使其成為唯一有權訪問該客體訪問控製表的主體,確保了受保護客體訪問控製表控制權的唯一性,有效規避由於系統管理員信息泄露而給系統帶來的巨大危害,同時也限制了病毒對系統的破壞行為,幫助用戶提升防病毒、防黑客攻擊的能力。
目前,國內已經出現滿足等級保護操作系統技術要求的安全產品,例如椒圖科技推出的JHSE椒圖主機安全環境系統(以下簡稱JHSE),就基於宿主型自主訪問控制機制保障操作系統的安全。此外,JHSE還採用了強制訪問控制模型,為訪問主體和受保護的客體分配不同的安全級別屬性,在實施訪問控制的過程中,系統將對主體和客體的安全級別屬性進行比較,之後再決定主體是否可以訪問受保護的客體,從而實現了細粒度的安全訪問控制機制。可以相信,隨著安全技術的持續進步和用戶安全意識的不斷增強,操作系統將會在面對病毒、木馬及黑客攻擊時扭轉不利局面,為整體信息系統的安全運行提供可靠支撐。
Ⅹ 熟悉這四種許可權管理模型,產品迭代才能心裡有數
從本質來說,無論何種類型的許可權管理模型都可以抽象出三個基本的要素——即:用戶(user)、系統/應用(system/application)、策略(policy)。
策略決定了用戶和不同功能應用之間如何交互。反過來,也就是說,無論設計何種許可權管理的模型,都是基於這三個基本要素來展開。
本文聚焦於目前應用最廣的RBAC模型,但在這里提出三個基本要素,主要是為了幫助大家更好的理解許可權管理,不至於在眾多許可權模型中迷失。
不同的公司或軟體提供商,設計了無數種控制用戶訪問功能或資源的方法。但無論哪種設計,都可歸到四種經典許可權模型里——自主訪問控制(DAC,Discretionary Access Control)、強制訪問控制 (MAC,Mandatory Access Control)、基於角色訪問控制 (RBAC,Role-based Access Control) 和基於屬性訪問控制 (ABAC,Attribute-based Access Control).
(我覺得翻譯不好,但也找不到更貼切的。本文下面內容均以英文首字母來代替:DAC,MAC,RBAC,ABAC)。
本文主要就RBAC展開分析該模型的使用場景,以及如何基於該模型設計出合適的許可權管理體系。但從文章便於理解的完整性的角度來考慮,會對DAC,MAC和ABAC進行簡要的介紹。
DAC: 被操作對象,根據訪問控制規則,來判斷操作主體可對操作對象做哪些操作,比如只讀或者是可寫的許可權。而自主的含義,則是擁有某種許可權的用戶,可以把許可權賦予其他用戶。
MAC: 被操作對象及用戶兩方均有各自的許可權標識,用戶能否對對象進行操作,取決於許可權標識的對照關系。這種模型多用於等級制度明顯,信息訪問安全性要求高的場景,比如軍事。
ABAC和RBAC有很多相通的地方,而且相比較而言ABAC實際上更靈活,符合未來發展的方向。因此,我們分析完RBAC後,再回過頭來看ABAC。
Role-based Access Control,基於角色的許可權控制模型。
顧名思義,給用戶定義角色,通過角色來控制許可權。 目前來說基於角色許可權控制模型是應用較廣的一個。特別是2B方向SAAS領域,應用尤其常見。
如上圖示,用戶擁有角色,且可擁有多個角色,而每個角色對應不同許可權。
這樣的好處是:不必為每一個用戶去配置許可權,擁有極大的靈活性和便利性。而當用戶及許可權的量級又大到另一個級別時,又引入了角色組和許可權組概念,此處不做延伸,有興趣的讀者可以去搜些資料來看。
我們已經知道什麼是RBAC模型了,在分析怎麼來根據此模型來設計許可權體系之前,我們再把這個模型要素進行拆分一下。
首先是:用戶、角色、許可權。
而許可權,具體到某個軟體來說,實際上包含兩個方面。一個是菜單許可權,另一個是數據許可權。
不同的行業會有不同的使用場景,用戶角色許可權模型也會有不同程度上的變化。但歸到底層來說,還是離不開上面我畫的這個圖。
上面這個圖是從官網看到的,銷售自動化領域十分典型的用戶許可權管理設計。
接下來,我們來抽象一個場景或者說案例,來輔助我們理解整個許可權管理設計的過程。假設A公司是個中大型的生產製造公司,公司有OA、HR、CRM、ERP一系列管理軟體。公司員工以萬計,不同人員職責不同,體現在管理軟體上,就是會需要使用不同的功能來完成工作。
帳號是人和軟體進行交互時的一個身份的轉化。賬號的背後,代表了這個操作的人。賬號管理應該是所有需要和系統交互的人的統一管理,包含基礎信息,比如:這個人的名字,性別、手機號、部門以及其他屬性。
角色管理,就是要從實際場景出發,比如:使用系統的企業或者團體,有哪幾類使用的角色——也就是說,有哪幾類人,是需要有不同的業務菜單和業務數據的。
說到底,角色管理,就是把這個角色對應的人平時工作需要的菜單、功能給劃到一個組里。給這一個個的操作組定義不同的名稱——即角色名稱。
當然,這個角色管理除了規定了該角色的人平時可對哪些功能進行查看操作,還需規定這個角色,能看到哪些范圍內的數據。也就是前面提到的,許可權實際上包含的是菜單許可權和數據許可權兩部分。
系統內功能控制的顆粒度越細,對使用者來說配置角色便越靈活,但對系統的設計者來說,系統的復雜度自然也會上升,成本也會增加。
因此,到底控制到哪一層級,就要視具體業務場景來定,比如:有些行業的系統,可能控制到一級菜單就可以(某些SAAS工具),但有些系統,不僅需要控制所有的子級菜單,每一個按鈕操作,甚至還會需要控制到不同的欄位(比如Salesforce的許可權控制系統)。
不過,我們抽象出了基本的模型,根據實際業務再去發散,就不是最困難的事了。
至此,我們可以了解到:RBAC模型實際上能解決大部分的許可權設計問題了。
那麼,ABAC到底是什麼呢?它存在的意義在哪裡?關於未來的許可權設計趨勢,它能帶給我們什麼啟發呢?
帶著這些問題,我們先來看看到底什麼是ABAC模型。
ABAC,Attribute-based Access Control. 基於屬性的訪問控制。而屬性,總的來說有三類:用戶屬性、系統或應用被訪問屬性(數據和操作)、環境屬性。
也就是說,系統根據一組或多組屬性是否滿足預設規則來動態的控制,誰可以訪問哪些功能數據和操作。RBAC模型,其實可以看成是靜態的、單組屬性的ABAC模型。
用例子來理解這個模型就是:只有當用戶角色為Admin,在工作時間內,且處在C棟大樓B實驗室,才可以訪問D文件。
實際上,ABAC是個可以以最細顆粒度來管理許可權的模型。它可以讓設計者,利用任何一個用戶屬性、環境屬性,或者多個屬性之間的交集、並集等來組合出動態的許可權判斷邏輯。
它是這么強大,既可以有效的幫助信息辨別能力差的用戶過濾垃圾信息。也可以讓商家用到營銷廣告填滿你生活的每個角落卻不自知。
但我一直堅信, 科技 絕對是讓生活更美好。
許可權管理,可能是每個2B產品經理需要面對的問題。但無論C端還是B端的產品,了解許可權管理的設計法則,讓自己更好的理解產品的架構,讓產品的每次迭代都心裡有數。
題圖來自Unspalsh, 基於CC0協議。