2-2:访问控制-访问控制策略与模型
网络安全管理制度中的安全域划分与访问控制
网络安全管理制度中的安全域划分与访问控制网络安全管理在当今信息时代成为各个组织和企业必不可少的一部分。
为了保障网络系统的安全,安全域划分与访问控制是一种重要的管理手段。
本文将详细介绍安全域划分与访问控制的概念、原则和实施方法,以帮助读者更好地理解和应用这一管理制度。
一、安全域划分在网络系统中,安全域是指一组拥有相同安全等级和访问权限的资源集合。
安全域的划分可以根据组织的结构、业务需求和安全等级来进行。
常见的安全域划分模式包括:主机级安全域、子网级安全域和应用级安全域等。
1. 主机级安全域主机级安全域是以主机为单位进行划分的安全域。
在这种模式下,每个主机作为一个独立的安全域,拥有自己的资源和权限。
主机级安全域的划分可以按照主机的功能、用途和安全等级来进行,以实现对各个主机的精细化管理和访问控制。
2. 子网级安全域子网级安全域是以子网为单位进行划分的安全域。
在这种模式下,一个子网内的主机之间可以自由访问,而不同子网之间的访问需要经过访问控制设备进行筛选。
子网级安全域的划分基于网络拓扑和物理隔离的原则,可以提高网络的安全性和可管理性。
3. 应用级安全域应用级安全域是以应用程序为单位进行划分的安全域。
在这种模式下,每个应用程序拥有独立的安全域,根据应用程序的访问权限和功能需求进行资源的划分和管理。
应用级安全域的划分可以实现对特定应用程序的安全隔离和访问控制,减少潜在的安全风险。
二、访问控制访问控制是指根据安全策略和权限规则,对网络资源进行授权和限制访问的过程。
在网络安全管理中,访问控制是一项关键的安全保障措施,通过配置和管理访问控制策略,可以有效控制用户对网络资源的访问行为。
1. 访问控制模型访问控制模型是访问控制策略的基础,常见的访问控制模型包括强制访问控制(MAC)、自主访问控制(DAC)和基于角色的访问控制(RBAC)等。
- 强制访问控制(MAC)模型是以主体和客体的安全等级为基础,通过强制策略对访问进行限制。
《网络与信息安全》8:访问控制-访问控制策略与模型
Chinese Wall模型
• 中国墙策略组合了商业的自主和法律上的强 制控制。其⺫标是阻止引起利益冲突的信息 流。业务服务员可以代表在同一个业务部⻔ 的几个客户,这将引起利益冲突。!
– Brewer and Nash (1989)
• BLP模型通常假设访问权限是静态的;中国 墙模型则对于每次访问操作主体的访问权限 是动态改变的。
– 干泛应用于军队、政府等对安全要求较高的组 织
– 标签
• 安全标签是限制在⺫标上的一组安全属性信息项, 可用于支持多级访问控制策略
9
访问控制策略
• 机密性模型!
– Bell-Lapadula机密性模型
• 完整性模型!
– Biba完整性模型 – Clark-Wilson模型
• 动态模型!
– Chinese Wall模型
– 访问控制列表机制最适合于有相对少的需要被 区分的用户,并且这些用户中的绝大多数是稳 定的情况。如果访问控制列表太大或经常改变, 维护访问控制列表会成为最主要的问题
– 不同于其它的机制,对于大范围的⺫标粒度访 问控制列表均适用,包括非常好的粒度
– 另一个优点是一个⺫标的拥有者或管理者可以 很容易地废除以前授予的许可
29
访问控制策略
• 基于角色的策略!
– 基于角色的访问控制是一个复合的规则,可以 被认为是基于身份策略和基于规则策略的变体
– 基本思路:管理员创建角色,给角色分配权限, 给角色分配用户,角色所属的用户可以执行相 应的权限
30
访问控制策略
• 基于角色的策略!
– 角色的定义
• 每个角色与一组用户和有关的动作相互关联,角色 中所属的用户可以有权执行这些操作
14
(完整版)访问控制
访问控制在计算机系统中,认证、访问控制和审计共同建立了保护系统安全的基础。
认证是用户进入系统的第一道防线,访问控制是鉴别用户的合法身份后,控制用户对数据信息的访问。
访问控制是在身份认证的基础上,依据授权对提出请求的资源访问请求加以控制。
访问控制是一种安全手段,既能够控制用户和其他系统和资源进行通信和交互,也能保证系统和资源未经授权的访问,并为成功认证的用户授权不同的访问等级。
访问控制包含的范围很广,它涵盖了几种不同的机制,因为访问控制是防范计算机系统和资源被未授权访问的第一道防线,具有重要地位。
提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。
一旦用户登录之后需要访问文件时,文件应该有一个包含能够访问它的用户和组的列表。
不在这个表上的用户,访问将会遭到拒绝。
用户的访问权限主要基于其身份和访问等级,访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。
访问控制模型是一种从访问控制的角度出发,描述安全系统并建立安全模型的方法。
主要描述了主体访问客体的一种框架,通过访问控制技术和安全机制来实现模型的规则和目标。
可信计算机系统评估准则(TCSEC)提出了访问控制在计算机安全系统中的重要作用,TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。
访问控制在准则中被分为两类:自主访问控制(DiscretionaryAccess Control,DAC )和强制访问控制(Mandatory Access Control ,MAC )。
近几年基于角色的访问控制(Role-based Access Control ,RBAC )技术正得到广泛的研究与应用。
访问控制模型分类自主访问控制自主访问控制(DAC ),又称任意访问控制,是根据自主访问控制策略建立的一种模型。
允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。
某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。
数据隐私与安全教学大纲
数据隐私与安全教学大纲一、课程概述随着信息技术的飞速发展,数据隐私与安全问题日益凸显,成为了当今社会关注的焦点。
本课程旨在为学生提供全面的、深入的数据隐私与安全知识,培养学生的数据保护意识和应对数据安全挑战的能力。
二、课程目标1、使学生了解数据隐私与安全的基本概念、原理和重要性。
2、帮助学生掌握数据隐私保护的法律法规和政策要求。
3、培养学生识别和评估数据安全风险的能力。
4、教导学生掌握常见的数据安全技术和防护措施。
5、培养学生在实际工作和生活中遵守数据隐私和安全规范的意识和习惯。
三、课程内容(一)数据隐私与安全基础1、数据的定义、类型和价值2、数据隐私与安全的概念和内涵3、数据隐私与安全的重要性和影响(二)数据隐私法律法规1、国内外数据隐私法律法规概述《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》欧盟《通用数据保护条例》(GDPR)2、法律法规对数据处理的要求和限制数据收集的合法性、正当性和必要性数据存储和传输的安全要求数据主体的权利和数据控制者的义务(三)数据安全风险评估1、数据安全风险的类型和来源内部威胁(如员工疏忽、恶意行为)外部威胁(如黑客攻击、网络钓鱼)技术漏洞(如软件缺陷、系统配置错误)2、数据安全风险评估的方法和工具风险识别技术(如资产识别、威胁识别、脆弱性识别)风险评估模型(如定性评估、定量评估)风险评估工具的使用(四)数据加密技术1、加密的基本原理和算法对称加密算法(如 AES)非对称加密算法(如 RSA)哈希函数(如 SHA-256)2、加密技术在数据保护中的应用数据传输加密(如 SSL/TLS)数据存储加密(如全盘加密、文件加密)(五)访问控制与身份认证1、访问控制的模型和策略自主访问控制(DAC)强制访问控制(MAC)基于角色的访问控制(RBAC)2、身份认证的方法和技术用户名/密码认证多因素认证(如密码+令牌、指纹+密码)生物识别技术(如指纹识别、人脸识别)(六)网络安全与数据保护1、网络安全的基本概念和技术防火墙技术入侵检测与防御系统(IDS/IPS)虚拟专用网络(VPN)2、无线网络安全与移动设备数据保护WiFi 安全设置移动设备的加密和锁屏应用程序的权限管理(七)数据库安全1、数据库安全的威胁和防护措施SQL 注入攻击的防范数据库加密和访问控制数据库备份与恢复2、数据脱敏技术数据脱敏的方法和场景数据脱敏工具的使用(八)隐私保护技术1、匿名化和假名化技术匿名化的原理和方法假名化的实现和应用2、差分隐私技术差分隐私的概念和原理差分隐私在数据发布中的应用(九)数据隐私与安全管理1、数据隐私与安全策略的制定和实施2、数据隐私与安全培训和教育3、数据隐私与安全事件的应急响应和处理四、教学方法1、课堂讲授通过讲解理论知识,使学生掌握数据隐私与安全的基本概念、原理和技术。
实现数据安全保护的5种技术
实现数据安全保护的5种技术数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。
数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。
数据保密性的理论基础是密码学,而可用性、可控性和完整性是数据安全的重要保障,没有后者提供技术保障,再强的加密算法也难以保证数据的安全。
与数据安全密切相关的技术主要有以下几种,每种相关但又有所不同。
1) 访问控制:该技术主要用于控制用户可否进入系统以及进入系统的用户能够读写的数据集;2) 数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权范围扩散到非授权范围;3) 推理控制:该技术用于保护可统计的数据库,以防止查询者通过精心设计的查询序列推理出机密信息;4) 数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露;5) 数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完整性。
在上述技术中,访问控制技术占有重要的地位,其中1)、2)、3)均属于访问控制范畴。
访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权与审计等。
其中安全模型是访问控制的理论基础,其它技术是则实现安全模型的技术保障。
本文侧重论述访问控制技术,有关数据保护技术的其它方面,将逐渐在其它文章中进行探讨。
1. 访问控制信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问,这些访问控制规则称为安全策略,安全策略反应信息系统对安全的需求。
安全模型是制定安全策略的依据,安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性)及其与系统行为的关系。
建立安全模型的主要目的是提高对成功实现关键安全需求的理解层次,以及为机密性和完整性寻找安全策略,保证数据共享的安全性,安全模型是构建系统保护的重要依据,同时也是建立和评估安全操作系统的重要依据。
自20世纪70年代起,Denning、 Bell、Lapadula等人对信息安全进行了大量的理论研究,特别是1985年美国国防部颁布可信计算机评估标准《TCSEC》以来,系统安全模型得到了广泛的研究,并在各种系统中实现了多种安全模型。
计算机系统安全zl第3章访问控制策略
第3章 访问控制策略
引用监控器及其对应的安全核必须满足以下三个原则:
✓
(1) 完备性原则。指主体在没有对安全内核的引用
监控器提出请求并获准时,不能访问客体。也就是说,所
有的信息访问都必须经过安全内核。
✓
(2) 隔离性原则。 内核和引用监控器都要有防篡改
能力。实现时必须将映射引用监控器的安全核与外部系统
第3章 访问控制策略
数据库的访问规则通常以四元组(s,o,r,p)的形式给出,r 表示访问权,p是谓词表达的相关条件(限定条件)。
例如,设employee为一关系,其属性(职工编号,职工姓 名,住址,电话,薪水),如果工资单管理员只能读月工 资不大于1000员的雇员属性,则访问规则可写成: (s,o,r,p)=(工资单管理员 ,employee,read, 薪水<1000)
分软件负责系统安全,通过对OS的重构,将与安全有关的 软件隔离在OS的一个可信核内,而OS的大部分软件无需负 责系统安全。 安全核必须是适于保护的,并且要保证越过安全核的检查 控制是不可能的;安全核必须尽可能小,以便对它的正确 性进行检验。
第3章 访问控制策略
引用监控器的关键作用:是对主体到客体的每一次访问 都要实施控制,并对每一次访问活动进行审计记录,就 好比用户与目标之间带护卫的大门。
第3章 访问控制策略
强调指出:
模型虽是以矩阵形式给出,但访问权、访问规则 的存储通常不采用矩阵形式,这是因为访问矩阵十分 稀疏,存储十分浪费空间。因此,实现访问矩阵模型 时需要采用一些有效的方法。
第3章 访问控制策略
3.5.2 状态转换
保护系统的状态变化体现为访问控制模型的变化。 系统状态的转换是依靠一套本原命令来实现的, 这些 命令是用一系列改变访问控制矩阵内容的本原操作来定 义的。 在访问矩阵模型中定义了6种本原操作, 如表32 所示。
计算机安全技术-----第12讲 访问控制技术
计算机网络安全技术
5.2.3 基于角色(juésè)的访问控制模 型
在上述两种访问控制模型中,用户的权限可以变更,但必须 在系统管理员的授权下才能进行。然而在具体实现时,往往 不能满足实际需求。主要问题在于:
➢ 同一用户在不同的场合需要以不同的权限访问系统,而变更权限 必须经系统管理员授权修改,因此很不方便。
另一方面当受控对象的属性发生改变或者受控对象发生继承和派生行为时无须更新访问主体的权限只需要修改受控对象的相应访问控制项即可从而减少了主体的权限管理减轻了由于信息资源的派生演化和重组等带来的分配设定角色权限等的工作5353访问控制的安全策略访问控制的安全策略与安全级别与安全级别访问控制的安全策略有以下两种实现方式
共四十三页
计算机网络安全技术
控制策略
控制策略A(Attribution)是主体对客体的访问规则集,
即属性集合。访问策略实际上体现了一种授权行为,也 就是客体对主体的权限允许。
访问控制的目的是为了限制访问主体对访问客体的 访问权限,从而使计算机网络系统在合法范围内使 用;它决定用户能做什么,也决定代表一定用户身 份的进程(jìnchéng)能做什么。为达到上述目的,访问控 制需要完成以下两个任务:
计算机网络安全技术
第5章 访问控制技术(jìshù)
共四十三页
计算机网络安全技术
本章 学习目标 (běn zhānɡ)
访问控制的三个要素、7种策略、 内容、模型(móxíng)
访问控制的安全策略与安全级别 安全审计的类型、与实施有关的问
题 日志的审计 Windows NT操作系统中的访问控
共四十三页
计算机网络安全技术
安全审计 的类型 (shěn jì)
建立访问控制模型
建立访问控制模型一、引言在现代信息技术高速发展的时代,信息安全已经成为了一项不可忽视的任务。
为了保护系统和数据的安全,建立访问控制模型是非常重要的一项工作。
访问控制模型可以帮助我们管理和控制用户对系统资源的访问权限,从而降低风险并防止未经授权的访问。
二、访问控制模型的概述访问控制模型是一种用于描述和实施访问控制策略的框架。
它定义了一套规则和机制,使得授权用户可以获得访问特定资源的权限,而未经授权用户则无法获得相应的权限。
一个访问控制模型通常包含以下几个要素:1.主体(Subject):主体是指尝试访问资源的实体,通常是用户、进程或者设备。
2.对象(Object):对象是指被访问的资源,可以是文件、数据库、网络服务等。
3.权限(Permission):权限是指授权用户可以执行的操作或者访问资源的能力。
4.安全策略(Security Policy):安全策略是指根据特定需求或要求所定义的访问控制规则。
三、访问控制模型的类型1. 强制访问控制(MAC)强制访问控制是一种安全性最高的访问控制模式。
在强制访问控制中,系统管理员可以为每个主体和对象分配一个安全级别或者标签,并通过安全策略来限制主体对对象的访问权限。
在这种模式下,访问由系统完全控制,主体和对象的安全级别必须满足预先设定的规则。
2. 自主访问控制(DAC)自主访问控制是一种基于所有者的访问控制模式。
在自主访问控制中,每个对象都有一个所有者,该所有者可以决定授予其他主体对其对象的访问权限。
这种授权通常是通过访问控制列表(ACL)来实现的,ACL包含了可以访问对象的主体列表和相应的权限。
3. 角色基础访问控制(RBAC)角色基础访问控制是一种基于角色的访问控制模式。
在RBAC中,每个用户被分配一个或多个角色。
角色定义了用户可以具备的权限集合,而不是将权限直接分配给每个用户。
通过角色的分配和管理,可以简化权限的管理,并提高系统的安全性。
4. 属性基础访问控制(ABAC)属性基础访问控制是一种基于属性的访问控制模式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
30
访问控制策略
• 基于角色的策略
– 角色的定义
• 每个角色与一组用户和有关的动作相互关联,角色 中所属的用户可以有权执行这些操作
– 角色与组的区别
• 组:一组用户的集合 • 角色:一组用户的集合+一组操作权限的集合
31
访问控制策略
• 基于角色的策略
–例
• 在银行环境中,角色可分为出纳员、系统管理员、 顾客、管理者和审计员
19
Biba模型
• Biba等人在1977年提出的 • 保护信息的完整性 • 基于主体、客体以及它们的完整性密级, 对系统中的每个主体和客体均分配一个称 为完整性等级的密级。
20
Biba模型
O5 Read Read S2 Write O3 Read Read S1 Write Write O1
21
– 应用环境 – 根据主体的许可级与客 体密级来确定访问许可 – 在处理一个访问请求时, 目标环境比较请求上的 许可级和目标上的标签, 应用策略规则决定是允 许还是拒绝访问
11
主体 可信计算基 非可信组件环境
客体
主体 客体
客体 主体 主体
客体
Bell-Lapadula 模型
• 主体(subject):是这样的一种实体,它引起信息在 客体之间的流动。通常,这些实体是指人、进程 或设备等,一般是代表用户执行操作的进程。如 编辑一个文件时,编辑进程是存取文件的主体, 而文件是客体。 • 客体(object):系统中被动的主体行为承担者。对 一个客体的访问隐含着对其所含信息的访问。客 体的实体类型有记录、程序块、页面、段、文件、 目录、目录树和程序,还有位、字节、字、字段、 处理器、视频显示器、键盘、时钟、打印机和网 络节点等。
27
Chinese Wall模型
• 所以,当Tony访问了Bank of America的数据,就 不能再访问CitiBank的数据,反之亦然 • 问题2:间接的信息流动
– 通过Gas公司的信息流动
Bank of America a Citibank c Bank of the West b
28
Shell Oil s Union '76 u
– Brewer and Nash (1989)
• BLP模型通常假设访问权限是静态的;中国 墙模型则对于每次访问操作主体的访问权 限是动态改变的。
26
Chinese Wall模型
• 问题:
– Tony为American Bank 做投资咨询,Citibank Bank也请Tony做投资咨询。这就出现了一个利 益冲突,因为Tony对任何一家银行的投资建议 都会受到他与另外一家银行交换的信息的影响。
• 隐蔽通道是一个不受安全机制控制的信息流;它 违反MAC策略,从高安全等级的主体向低安全等 级的主体泄漏信息。
– 隐蔽通道涉及两个程序,其中一个必须是特洛伊木马。 – 隐蔽通道通常具有复杂的机制,实现较困难。 – 隐蔽通道利用共享资源作为通信通路。这要求空间共 享或时间共享。隐蔽存储通道(covert storage channel) 使用共享资源的属性。隐蔽定时通道( covert timing channel )使用在对共享资源访问中的时态或排序关系
• 重点用于商业应用 • 设计目标
– 防止导致利益冲突的信息流动
• 起源
– 1929美国股灾后的立法
• 特点
– Screen
25
Chinese Wall模型
• 中国墙策略组合了商业的自主和法律上的 强制控制。其目标是阻止引起利益冲突的 信息流。业务服务员可以代表在同一个业 务部门的几个客户,这将引起利益冲突。
AU Trojan
Trojan BU
process
process
AU Trojan
Trojan BU
process
17
Bell-Lapadula 模型
• 模型存在的问题
– 只涉及机密性,而没有涉及完整性 – 没有解决访问控制的管理问题 – 包含隐蔽通道
18
隐蔽通道(Covert Channel)
O4
Write
O2
Biba模型
process
AU Trojan Trojan BU
process
process
AU Trojan
Trojan BU
process
22
模型对比
BLP Biba
机密性
完整性
信息向上流动! 信息向下流动!
23
模型对比
• BL与Biba的信息流模型
24
Chinese Wall模型
• 安全标签是限制在目标上的一组安全属性信息项, 可用于支持多级访问控制策略
9
访问控制策略
• 机密性模型
– Bell-Lapadula机密性模型
• 完整性模型
– Biba完整性模型 – Clark-Wilson模型
• 动态模型
– Chinese Wall模型
10
Bell-Lapadula 模型
• 基于安全标签的访问控 制
13
Bell-Lapadula 模型
• 主体的安全等级称为许可级( clearance) • 客体的安全等级称为密级(classification) • 安全级别的集合形成一个满足偏序关系的 格,此偏序关系称为支配(dominate) ≥关 系。
14
Bell-Lapadula 模型
绝密
绝密
机密
机密
36
访问控制实现机制
• 能力模型
37
访问控制实现机制
• 能力模型
UserA Obj1 Own R W O O R R W O Obj2 Obj3
38
访问控制实现机制
• 能力模型
– 能力是发起者拥有的一个有效标签,它授权持 有者能以特定的方式访问特定的目标。 – 从发起者的环境中根据一个关于用户的访问许 可存储表产生能力。即运用访问矩阵中用户包 含的每行信息产生能力
– 以包含在客体中的信息敏感性和访问这些敏感 性信息的主体的正式授权信息为基础,对访问 进行限制的策略。 (TCSEC,1985)
8
访问控制策略
• 强制访问控制
– 应用于处理敏感数据的多级系统,多级系统指 的是一个具有多种不同安全等级的信息和用户 的系统。 – 广泛应用于军队、政府等对安全要求较高的组 织 – 标签
– 特点
• 通过增加一层间接性提高了灵活性 • 易于被非技术性的组织策略制定者理解,也易于映 射到基于组的策略及使用访问控制矩阵实现 • 一个用户可以具有多个角色
32
访问控制策略
• 其他策略
– 基于值的策略 – 多用户策略 – 基于上下文的策略
33
访问控制实现机制
• 访问控制列表(ACL)
34
访问控制实现机制
Standard Oil e ARCO n
Chinese Wall模型
• 所以,如果Tony处理A公司业务,那么仅当 客体不能被处理与A公司利益冲突信息的主 体访问的时候,允许A对该客体进行写操作
29
访问控制策略
• 基于角色的策略
– 基于角色的访问控制是一个复合的规则,可以 被认为是基于身份策略和基于规则策略的变体 – 基本思路:管理员创建角色,给角色分配权限, 给角色分配用户,角色所属的用户可以执行相 应的权限
6
访问控制策略
• 基于身份的策略
– 基于个人的策略
• 使用用户的访问控制矩阵表示 • 应具有隐含或显示的缺省策略
– 基于组的策略
• 一组用户对于一个目标具有同样的权限 • 需对组成员进行定义 • 组的成员可以改变
7
访问控制策略
• 强制访问控制(Mandatory Access Control) (
读、修改、管理 修改、 读、修改、管理 修改、
目标y 目标
目标z 目标
读、修改、管理 修改、
读、修改 读、修改
3
访问控制策略
4
访问控制策略
• 分类
访问控制策略 基于身份 策略 基于规则 策略 基于角色 策略
5
访问控制策略
• 基于身份的策略
– 属于自主式策略,根据主体的身份及允许访问 的权限进行决策 – 适用于安全要求较低的环境 – 缺点:信息在移动过程中其访问权限关系会被 改变。如用户A可将其对目标O的访问权限传递 给用户B,从而使不具备对O访问权限的B可访问 O
• 访问控制列表(ACL)
Obj1 userA Own R W O O O R userB userC R W
35
访问控制实现机制
• 访问控制列表(ACL)
– 访问控制列表机制最适合于有相对少的需要被 相对少的需要被 区分的用户,并且这些用户中的绝大多数是稳 区分的用户 定的情况。如果访问控制列表太大或经常改变, 维护访问控制列表会成为最主要的问题 – 不同于其它的机制,对于大范围的目标粒度访 问控制列表均适用,包括非常好的粒度 – 另一个优点是一个目标的拥有者或管理者可以 很容易地废除以前授予的许可
12
Bell-Lapadula 模型
• 敏感性标签(sensitivity label):用以表示客体安全 级别并描述客体数据敏感性的一组信息,在可信 计算基中把敏感性标记作为强制访问控制决策的 依据 • 每个安全等级是一个二元组:L=(sl, C),其中
– 密级(classification) sl是集合{绝密(Top Secret),机密 (confidential),秘密(Secret),公开 (unclassification)}中 的任何一个元素;此集合是全序的 – 类别的集合C是系统中非层次的元素集合的一个子集。 该集合中的元素依赖于所考虑的环境和应用领域。