北邮网络安全-防火墙_直接实施访问控制矩阵(acm)并不可行

访问控制

联系操作系统中的文件安全，访问控制就是系统对用户或用户所在的组限制他们使用资源

访问控制的两个任务
识别和确认访问系统的用户
决定该用户可以对某一系统资源进行何种类型的访问
用户+权限

三要素：主体+客体+控制策略

访问控制策略（重要）

最小特权原则

就是最大限度地限制了主体权力，尽量不要让主体有一些多余的权力防止出事

最小泄漏原则

就是主体在执行时，尽量不要给主体多余的信息，是信息最小化的原则

多级安全策略

主体和客体间的数据流向和权限控制按照安全级别来划分

具有高安全级别的主体可以访问低安全级别的客体，但不能修改或写入；具有低安全级别的主体不能访问高安全级别的客体，但可以修改或写入同一安全级别的客体。（最好查查，网上这样写，和印象中不太一样）

访问控制模型

自主访问控制模型DAC

允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。拥有客体权限的用户，可以将该客体的权限分配给其他用户

联想一下MySQL中的grant语句，还有那个with grant option

DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的。

缺点：

安全性较低，不能抵御特洛伊木马等恶意程序的攻击。

不能有效地实现多级安全策略，因为用户可以随意修改自己拥有的客体的权限

强制访问控制模型（MAC）

系统事先给访问主体和受控对象分配不同的安全级别属性，实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象

MAC对访问主体和受控对象标识两个安全标记：

一个是具有偏序关系的安全等级标记；

另一个是非等级分类标记。

具有偏序关系的安全等级标记 & 非等级分类标记
具有偏序关系的安全等级标记是指在一个集合中，不同的安全等级可以按照一定的规则进行比较，但不一定所有的安全等级都是可比较的。
非等级分类标记是指在安全领域中，用来表示主体或对象所属的组织或部门的一种标记，通常由一组标签或名称组成

强制访问控制模型举例（MAC）

这里介绍Lattice模型，BellLaPadula模型（BLP Model）和Biba模型（Biba Model）

Lattice模型

在Lattices模型中，每个资源和用户都服从于一个安全类别。这些安全类别我们称为安全级别

信息资源对应一个安全类别，用户所对应的安全级别必须比可以使用的客体资源高才能进行访问

特点：
它是一种多级安全模型，可以实现不同等级的数据机密性和完整性保护
它是一种基于安全集束的模型，可以支持主体和客体属于多个安全集束，从而提高灵活性
它是一种由操作系统约束的访问控制，不允许用户自行修改权限

适用于需要对信息资源进行明显分类的系统

Bell-LaPadula模型

这种模型无上读，无下写，主要用于军事系统

无上读、无下写，这两个规则可以防止信息从高等级流向低等级，也就是防止信息泄露

BLP模型的出发点是维护系统的保密性，有效地防止信息泄露，忽略了完整性指
标，使非法、越权篡改成为可能

Biba模型

BLP模型只解决了信息的保密问题，其在完整性定义存在方面有一定缺陷，Biba模型是一种用于实施访问控制的状态机模型，主要用于保护数据的完整性

禁止向上写，没有向下读

Biba模型是和BLP模型相对立的模型，Biba模型改正了被BLP模型所忽略的信息完整性问题，但在一定程度上却忽视了保密性

基于角色的访问控制模型（RBAC）

基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。

（联想一下数据库系统概论，有这个的）

<