访
问
控
制
方
法
描
述
强制访问控制
(MAC)
当你尝试访问一个标签为“最高机密”的文件时,只有当你拥有了查看最高
机密文件的权限时,这个文件才会对你开放。
在这种模式下,通过比较对象的安全等级和用户的安全许可来对访问加以
控制。
文件和其他资源等对家会根据对象本身的敏感程度分配不同等级的安全标
签。
用户也会被分配一个安全等级或许可,当用户尝试访问一个对象时,
他们的许可等级必须和对象的安全等级一致。如果匹配,用户就能访问对
象,
如果不匹配,用户就会被拒绝访问。通常只有系统管理员才能修改MAC安
全标签。
自主访问控制
(DAC)
当你尝试访问一个被保护的文件时,你要做的就是请求管理员允许你访
问,
然后开始使用这个文件。在这种模式下,每个对象的访问时根据用户的身
份
进行定制的。所有的对象都会配置一个访问控制列表(ACL),说明了允
许访问
这些对象的主体(用户或其他实体)。管理员可以自行决定是否要将用户
放在
列表中,并为他们配置特定的访问等级。与MAC不同,在DAC授权机制
中,通常
对象的所有者就能修改他们对象的ACL。
基于角色的访问控
制(RBAC)
当你尝试访问一个标签为 “员工数据库” 的文件时,你会被拒绝访问。
这是因为你的身份时员工,不允许访问HR才能访问的文件夹。
在这种模式下,用户会被分配预定义角色,对网络对象进行配置,
使之只对特定角色开放。访问的控制时基于用户被分配到的角色。
一位用户可能一次性被分配到多个角色,或者在用户的职业生涯中
可能从一个角色转换到另一个角色。通常情况下,角色会在请求访问时,
根据管理员设置的策略和规则进行动态分配的。
基于规则的访问控
制
防火墙限制规则集就是一种基于规则的访问控制。这是一种基于一组
操作规则或限制条件的非任意技术。比如一位雇员可能允许在上午9点
到下午7点登陆系统。如果他想在下午10点的时候登陆,就会被拒绝访问,
即使他有正确的证书。在赋予一个主体访问对象权限之前,总是要检查规
则集合。
访
问
控
制
模
式
加
密密
码
类
型
评论0