自主式訪問(wèn)控制最為重要的特征是資源所有制(Resource Ownership)���,在某些操作系統(tǒng)中����,數(shù)據(jù)的創(chuàng)建者默認(rèn)就是數(shù)據(jù)的所有者�。數(shù)據(jù)的所有者除了擁有該數(shù)據(jù)的完全控制權(quán)限外,還能夠?qū)?shù)據(jù)的訪問(wèn)控制權(quán)限進(jìn)行設(shè)置��,如果某個(gè)用戶不是指定數(shù)據(jù)的所有者�,那他就最多只能操作該數(shù)據(jù)對(duì)象,而不能修改該數(shù)據(jù)對(duì)象的訪問(wèn)控制設(shè)置�。在一些組織中,系統(tǒng)管理員被默認(rèn)為所有文件的所有者��,系統(tǒng)管理員統(tǒng)一為組織中的用戶分配訪問(wèn)權(quán)限,這種策略的缺陷主要在于系統(tǒng)管理員可能擁有太大的權(quán)限��,了解太多他本來(lái)不應(yīng)該了解的信息���,因此���,提供訪問(wèn)權(quán)限的共享控制能夠在一定程度上提高數(shù)據(jù)的安全性。
自主式訪問(wèn)控制在操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中的表現(xiàn)形式就是訪問(wèn)控制矩陣和訪問(wèn)控制列表�,每個(gè)用戶和每個(gè)訪問(wèn)目標(biāo)之間的關(guān)系通過(guò)一個(gè)矩陣列出,用戶為行����、訪問(wèn)目標(biāo)為列,每一行列的交點(diǎn)就是該用戶對(duì)訪問(wèn)目標(biāo)的權(quán)限���,下圖是一個(gè)簡(jiǎn)單的訪問(wèn)控制矩陣示例:
表2: 訪問(wèn)控制矩陣示例
如果是用戶和數(shù)據(jù)的數(shù)量非常多�����,系統(tǒng)需要維護(hù)一個(gè)巨大的訪問(wèn)控制矩陣�,在多個(gè)用戶同時(shí)發(fā)起訪問(wèn)請(qǐng)求的時(shí)候����,將會(huì)對(duì)系統(tǒng)造成資源的很大開銷��。因?yàn)樽灾魇皆L問(wèn)控制是根據(jù)訪問(wèn)用戶的標(biāo)識(shí)進(jìn)行的判斷的���,所以,我們可以設(shè)定某些用戶允許訪問(wèn)某個(gè)數(shù)據(jù)���,并要求系統(tǒng)只在該數(shù)據(jù)被訪問(wèn)到的時(shí)候根據(jù)用戶允許列表來(lái)判讀用戶是否有權(quán)限���,這便是訪問(wèn)控制列表的原理���。訪問(wèn)控制列表可以看作是訪問(wèn)控制矩陣的簡(jiǎn)化版���,提供了一個(gè)控制一個(gè)或一組用戶對(duì)特定數(shù)據(jù)訪問(wèn)的更簡(jiǎn)便方法。
強(qiáng)制訪問(wèn)控制:強(qiáng)制訪問(wèn)控制是一種用在處理高敏感性數(shù)據(jù)的系統(tǒng)中的訪問(wèn)控制方法����,和自主式訪問(wèn)控制一樣,強(qiáng)制訪問(wèn)控制也屬于基于策略的訪問(wèn)控制方法����。強(qiáng)制訪問(wèn)控制的最顯著特征是,要求對(duì)系統(tǒng)中的所有訪問(wèn)者(用戶����、程序等)和所有資源(文件�����、數(shù)據(jù)和設(shè)備等)都分配一個(gè)安全標(biāo)識(shí)��,在訪問(wèn)者要求訪問(wèn)資源時(shí)����,系統(tǒng)會(huì)比較訪問(wèn)者和資源各自的安全等級(jí)����,在符合安全策略規(guī)定的前提下,訪問(wèn)者才能訪問(wèn)資源���。安全等級(jí)的劃分和安全度的控制在強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)的設(shè)計(jì)文檔中規(guī)定�。下圖是強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)的一個(gè)簡(jiǎn)單示例:
圖1:強(qiáng)制訪問(wèn)控制的簡(jiǎn)單示例
我們來(lái)分析一下強(qiáng)制訪問(wèn)控制的特性���,它使用安全標(biāo)簽來(lái)確定訪問(wèn)者是否可以訪問(wèn)某個(gè)資源�,因?yàn)榻M織的安全策略規(guī)定了安全標(biāo)簽是如何定義的��,因此���,組織的系統(tǒng)管理員和信息的所有者共同維護(hù)強(qiáng)制訪問(wèn)控制的部署����,系統(tǒng)管理員部署并維護(hù)強(qiáng)制訪問(wèn)控制措施,而信息的所有者負(fù)責(zé)對(duì)信息分配安全標(biāo)簽�,并對(duì)能夠訪問(wèn)該資源的用戶進(jìn)行授權(quán)。和自主式訪問(wèn)控制一樣���,用戶要訪問(wèn)某個(gè)資源����,必須經(jīng)過(guò)該資源所有者的授權(quán)(為資源標(biāo)記合適的安全標(biāo)簽)��,但強(qiáng)制訪問(wèn)控制還要求用戶通過(guò)系統(tǒng)基于用戶標(biāo)簽的控制這一額外控制措施�����,從這點(diǎn)上來(lái)說(shuō)��,強(qiáng)制訪問(wèn)控制的安全性要比自主式訪問(wèn)控制好�。
我們用一個(gè)簡(jiǎn)單的例子來(lái)說(shuō)明強(qiáng)制訪問(wèn)控制是如何運(yùn)作的:在某個(gè)組織中��,安全等級(jí)從低到高分為3級(jí)�,公開���、雇員、經(jīng)理�。如果一個(gè)名為 Report.doc的文件的安全等級(jí)為雇員,組織中所有標(biāo)記為雇員和經(jīng)理的用戶都能夠訪問(wèn)這個(gè)文件����,而組織的客人(標(biāo)記為公共)則不能訪問(wèn)該文件。這個(gè)文件即使是由經(jīng)理級(jí)的用戶提交���,只要該用戶將文件授權(quán)為雇員級(jí)別就能訪問(wèn)����,只要是雇員以上級(jí)別的用戶就能訪問(wèn)��,這也體現(xiàn)了強(qiáng)制訪問(wèn)控制的信息所有者授權(quán)這一特性����。
強(qiáng)制訪問(wèn)控制的另外一個(gè)重要用途是控制信息從其他系統(tǒng)輸入或輸出到其他系統(tǒng)中,由于信息的輸入輸出操作往往可能造成未授權(quán)的訪問(wèn)��,例如一份標(biāo)記為秘密的文檔在一個(gè)不安全的打印機(jī)上輸出���。因此��,處理高敏感性信息的信息系統(tǒng)往往會(huì)使用強(qiáng)制訪問(wèn)控制����,來(lái)限制信息是如何輸入和輸出的。
