强制访问控制(MAC):强制访问控制( Mandatory Access Control,MAC)是指用户与文件都有一个固定的安全属性,系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,用户或用户的程序不能加以修改。系统通过比较客体和主体的安全属性来决定主体是否可访问客体。如果系统认为具有某一个安全属性的用户不适于访问某个文件,那么任何人(包括文件的拥有者)都无法使该用户具有访问该文件的权力。
基于角色访问控制(RBAC):所谓角色就是业务系统中的岗位、职位或者分工。RBAC由管理员负责掌管对系统和数据的访问权限,将这些权限(不同类别和级别的)分别赋予承担不同工作职责的用户,并随时根据业务的要求或变化对角色的存取权限进行调整,包括对可传递性的限制。
主体和客体:主体通常指用户,或由用户发起运行的进程或用户正在使用的设备。主体主动发起对资源的访问,它是系统中信息流的启动者。客体通常是指信息的载体或从其他主体或客体接收信息的实体。
网络安全等级保护中的安全标记
在网络安全等级保护2.0安全计算环境的访问控制的测评条款:g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
对数据资源安全标记:在网络安全等级保护中,我们需要对数据资源的分类、分级结果作为数据安全标记,其中数据资源的分类可根据业务业务范围。
对访问用户安全标记:根据业务应用系统的用户职责及工作流,按照业务所需为用户打上安全标记,并将用户标识与对应的用户安全标记数据存储在用户标签表中。其中,用户安全标记也包含业务范围和业务信息安全保护等级两个要素,其含义与数据安全标记保持一致。数据资源梳理完成后,将安全标记数据存储到数据库中的数据标签表中,该表用于存储数据资源的基本信息以及对应的数据安全标记。
基于安全标记的访问控制实现机制
强制访问控制通过策略将访问控制规则“强加”给访问主体,即系统强制主体服从访问控制策略。对主体及其所操作的客体(如:进程、文件等)进行安全标记,这些标记是实施强制访问控制的依据。当我们进行访问时,系统通过比较主体和客体的安全标记来判断一个主体是否能够访问其要操作的客体。访问控制机制是指对主体访问客体的权限或能力的限制,以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。基于安全标记的访问控制机制是指以安全标记为基础,访问许可是根据访问主体和被访问数据资源的安全标记进行判定。
基于安全标记的访问控制具有强制性,访问控制策略(含安全标记)应由授权主体配置,属于强制访问控制机制,别于自主访问控制机制(DAC)。
