【文章內(nèi)容簡介】 、客體的相關(guān)屬性來制定的。 ? 分別從以上幾類屬性來對訪問控制策略的基礎進行具體說明，共分五個方面： 主體特征 、 客體特征 、 外部狀況 、 數(shù)據(jù)內(nèi)容/上下文屬性 以及 其他屬性 。 3/23/2023 34 主體屬性 (用戶特征 ) ? 用戶特征 是系統(tǒng)用來決定訪問控制的最常用的因素。通常一個用戶的任何一種屬性，例如年齡、性別、居住地、出生日期等等，均可以作為訪問控制的決策點。下面就是在一般系統(tǒng)訪問控制策略中最常用的幾種用戶屬性： ? 用戶 ID╱ 組 ID： ? 用戶訪問許可級別 ? “需知”原則 (needtoknow) ? 角色 ? 能力列表 (Capability List) 3/23/2023 35 客體屬性 (客體特征 ) ? 在信息系統(tǒng)中，除了主體的屬性被用來作為訪問控制的條件外，與系統(tǒng)內(nèi)客體 (即信息 )相關(guān)聯(lián)的屬性也作為訪問控制策略的一部分。一般來說，客體的特征屬性有如下幾個方面： ? 敏感性標簽：由信息的敏感性級別和范疇兩部分組成 ? 訪問列表（ access list） 3/23/2023 36 外部狀態(tài) ? 某些策略是基于系統(tǒng)主客體屬性之外的某些因素來制定的，例如時間、地點或者狀態(tài)。 ? 另外，上面所述的大多數(shù)屬性均屬于 靜態(tài)信息 ，但也有些訪問策略可能是基于某些 動態(tài)信息 。 3/23/2023 37 數(shù)據(jù)內(nèi)容 /上下文環(huán)境 ? 有些訪問控制策略可能基于數(shù)據(jù)的內(nèi)容。例如，用戶Sunny可能不被允許看到那些月薪超過 15000RMB的員工的文件。 ? 更為復雜的訪問控制策略可能是基于上下文的，這在數(shù)據(jù)庫系統(tǒng)中經(jīng)常用到。 ? 使用靜態(tài)的信息標簽是用人工的方法來決定信息敏感性的一種延續(xù)，而基于數(shù)據(jù)內(nèi)容 /上下文的動態(tài)訪問機制則被認為是取代靜態(tài)標簽的一種潛在的方法。 3/23/2023 38 ? 訪問控制策略 ? 自主訪問控制 (Discretionary Access Control Policy， DAC) ? 強制訪問控制 (Mandatory Access Control Policy，MAC) 3/23/2023 39 自主訪問控制策略 ? 自主性 ：它允許系統(tǒng)中信息的擁有者按照自己的意愿去指定誰可以以何種訪問模式去訪問該客體。 ? 一般來說，自主訪問控制策略是基于系統(tǒng)內(nèi)用戶以及訪問授權(quán)或者客體的訪問屬性來決定該用戶是否有相應的權(quán)限訪問該客體。也可能是基于要訪問的信息的內(nèi)容或是基于用戶在發(fā)出對信息訪問時的相應請求所充當?shù)慕巧珌磉M行訪問控制的。 3/23/2023 40 ? 實際的計算機系統(tǒng)中，自主訪問控制策略由一個 三元組 (S，O， A)表示，其中 S表示主體， O表示客體， A表示訪問模式。 ? 當用戶申請以某種方式訪問某一個客體時，系統(tǒng)“ 引用監(jiān)控器 ” 就根據(jù)系統(tǒng)自主訪問控制策略來檢查主、客體及其相應的屬性或被用來實現(xiàn)自主訪問控制的其他屬性。如果申請的訪問屬性與系統(tǒng)內(nèi)所指定的授權(quán)相同，則授予該主體所申請的訪問許可權(quán)，否則則拒絕該用戶對此信息的訪問。 3/23/2023 41 自主訪問控制策略的優(yōu)點 ? 能夠提供比強制訪問控制策略更為精細的訪問控制粒度。它能夠?qū)⑺O的訪問控制策略細化到具體的某個人。 ? 相對于強制訪問控制策略中的訪問模式只能是“ 讀 ”和“ 寫 ”兩種而言，自主訪問控制策略“自主”的優(yōu)點還表現(xiàn)在它的訪問模式的設定非常靈活。例如，我們可以將它設為“每隔一周的周五可以讀此文件”或“只有讀完文件 1后才能讀此文件”等等。 ? 自主訪問控制策略卓越的靈活性特征使得它適用于各種各樣的操作系統(tǒng)和應用程序，因而使得它在各種情況下得到大量的應用。 3/23/2023 42 自主訪問控制策略的缺點 ? 自主訪問控制策略中危害最大的是它不能防范“特洛伊木馬” 或某些形式的“惡意程序”。 ? 例如，如果某程序中隱藏了“特洛伊木馬”，此“特洛伊木馬”一經(jīng)用戶執(zhí)行，即可將所有屬于他的并且只對他的文件在某一目錄下生成一份拷貝；與此同時，還將這份拷貝設為系統(tǒng)中所有其他用戶均可讀。如此一來，這些原本屬于該用戶的、并且只能他自己讀的文件如今已變得眾人皆知了。這樣，對這些文件的自主訪問控制機制就形同虛設。 ? 為解決此類問題，在系統(tǒng)內(nèi)實現(xiàn)自主訪問控制的同時，利用強制訪問控制策略加強系統(tǒng)的安全性是必要的。 3/23/2023 43 強制訪問控制策略 ? 在強制訪問控制機制下 ， 系統(tǒng)內(nèi)的每一個用戶或主體根據(jù)他對敏感性客體的訪問許可級別被賦予一個 訪問標簽 ；同樣地 ， 系統(tǒng)內(nèi)的每一個客體也被賦予一 敏感性標簽 以反映該信息的敏感性級別 。 系統(tǒng)內(nèi)的 “ 引用監(jiān)視器 ” 通過比較主 、 客體相應的標簽來決定是否授予一個主體對客體的訪問請求 。 所謂 “ 強制 ” ， 就是安全屬性由系統(tǒng)管理員人為設臵 ，或由操作系統(tǒng)自動地按照嚴格的安全策略與規(guī)則進行設臵 ，用戶和他們的進程不能修改這些屬性 。 3/23/2023 44 強制訪問控制的 實質(zhì) 是對系統(tǒng)當中所有的客體和所有的主體分配 敏感性標簽 （ sensitivity label），用戶的敏感性標簽指定了該用戶的敏感等級或信任等級，也稱為 安全許可 （ clearance）；而文件的敏感標簽說明了訪問該文件的用戶必須具備的信任等級。 ? 在大多系統(tǒng)內(nèi) (例如單域系統(tǒng)，即一進程只擁有一個域 )，主體只有一個訪問標簽，而在有些系統(tǒng)中 (例如多域系統(tǒng)，即一個進程擁有多個域 )，一個主體可能有多個訪問標簽(每一個域的進程擁有一個標簽，分別代表著不同的含義 )。 3/23/2023 45 ? 強制訪問控制策略既可以用來防止對信息的非授權(quán)的 篡改 ， 又可以防止未授權(quán)的信息 泄露 。 ? 在一個特定的強制訪問控制策略中 ， 標簽可以以不同的形式來實