系统安全-访问控制

5.1.1 访问控制的概念

访问:主体与客体之间的信息流动交互

访问控制:限制主体对客体的访问权力

包含4 要素:主体、客体、引用监控器、访问控制策略
主体 可以是 用户、计算机进程、 服务和设备等
客体 是被访问资源的 对象,在信息流动 中处于被动地位。
引用监控器

它是监督主体和客体之间授权访问关系的部件,实现时 采用引用验证规则 三个原则:自我保护、始终活跃、设计足够小
访问控制策略 它是主体对客体的 相关访问规则集合

遵循的原则:最小特权、最小泄露、多级安全

5.1.2 访问控制描述方法

访问控制矩阵:以主体为行、客体为列,记录权限

访问控制列表 (ACL):从客体出发,列权限

访问能力表:从主体出发,列可访问客体

授权关系表:主体 - 权限 - 客体对应,可排序等价于 ACL / 能力表

基于所有权的访问控制

基于所有权(DAC+MAC)

自主访问控制 (DAC)

资源所有者可自主授权 / 回收权限,常用在操作系统、数据库;优点灵活,缺点权限易扩散不安全。

强制访问控制 (MAC)

系统统一强制管控,用户无权改权限;用于高密级系统,核心是安全等级。

BLP 模型:保机密性,规则:下读、上写

• BLP模型的目的是保护数据的机密性,但无法阻止未授权主体 修改客体信息,破坏其完整性

Biba 模型:保完整性,规则:上读、下写

基于角色的访问控制

权限不直接给用户,而是给角色,用户分配角色

模型族:RBAC0 (基础)→RBAC1 (角色继承)→RBAC2 (约束)→RBAC3 (统一模型)

核心:简化管理、支持职责分离、最小权限、互斥角色

基于任务的访问控制

基于任务的访问控制 (TBAC)采用"面向 任务"的观点,对象的访问权限控制不是静止不变的,而是随着执行任务的上下文环境发生变化

权限有时效性,按任务顺序 / 依赖授权,主动访问控制

基于属性的访问控制

基于属性的访问控制(ABAC)是通过对实体属性添 加约束策略的方式实现主客体之间的授权访问

在ABAC模型中,并不关心访问者是谁,而只需知道 访问者具有哪些属性,这就使得一个访问控制系统 中的2个不同实体,在另一个访问控制系统中可能映 射为具有相同属性的2个主体

1、访问控制是对主体访问客体的能力或权力的限制,它包括
主体、客体、引用监控器和访问控制策略

2.基于所有权的访问控制分为:自主访问控制,强制访问控制

3、访问控制的二元组描述方法通常包含访问控制矩阵、访问控制表、访问能力表,授权关系表

自主访问控制 是指资源的所有者不仅拥有该资源的全部访问权限,而且能够自主的将访问权限授予其他的主体,或从授予权限的主体收回其访问权限。
强制访问控制。它不再让普通用户管理资源的授权,即使是资源的创建者也不行,而将资源的授权权限全部收归系统,由系统对所有资源进行统一的强制性控制,按照事先制定的规则决定主体对资源的访问权限,即使是创建者用户,在创建一个资源后,也可能无权访问该资源。

3、访问控制策略制定遵循的基本原则是什么?举例说明。

答题要点:(1)遵循最小特权、最小泄漏、多级安全原则。(2)举例的要求:最小特权应强调权限的最小划分,以保证对主体权力最大限度的限制,同时又不影响主体的功能实现;最小信息泄漏需要说明只有必要的信息被主体知道,是在主体确定做某件事之前把信息分配给主体;多级安全原则强调安全等级的划分,并基于安全等级限制信息的流动。

相关推荐
chenyulin454519 分钟前
企业微信API:海量会话存档数据的高性能检索与Elasticsearch索引设计
大数据·人工智能·安全·企业微信
启雀AI10 小时前
生物医疗行业如何建设合规、安全、可复用的知识库?
人工智能·安全·软件构建·知识图谱·知识库
Sirius Wu10 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
冬奇Lab11 小时前
每日一个开源项目(第160篇):Destructive Command Guard - 在 AI Agent 运行 rm -rf 之前拦截它
人工智能·安全·开源
ChainSafeAI00212 小时前
Summer.fi 遭600万美元漏洞攻击,安全警报拉响
安全
一勺菠萝丶15 小时前
生产环境平滑升级实战-Nginx维护页数据库迁移与安全回滚
数据库·nginx·安全
味悲16 小时前
搭建WAF+宝塔反向代理
安全
BenSmith17 小时前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全
happyness4417 小时前
AI重构实战案例:安全地将旧系统中大量基于 Thread 和同步阻塞的硬件通信代码,重构为现代的 async/await Task 异步架构
人工智能·安全·重构
Dola_Zou18 小时前
以CmASIC重塑AI+边缘设备的安全与商业复利
人工智能·安全·软件工程·软件加密