自主访问控制（DAC）

　　自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其 它用户共享他的文件。用户有自主的决定权。

　　自主访问控制一个安全的操作系统需要具备访问控制机制。它基于对主体及主体所属的主体组的识别，来限制对客体的访问，还要校验主体对客体的访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地（也可能是单位方式）将访问权，或访问权的某个子集授予其它主体。

　

强制访问控制（MAC）

　　 强制访问控制是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者 是操作系统根据限定的规则确定的，用户或户的程序不能加以修改。如果系统认为具有某一个安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问该文件的权力。

　　强制访问控制施加给用户自己客体的严格的限制，也使用户受到自己的限制。但是，系统为了防范特洛伊木马，必须要这么做。即便是不存在特洛伊木马，强制访问控制也有用，它可以防止在用户无意或不负责任操作时，泄露机密信息。

 

访问控制列表（ACL）

　　传统类UNIX系统中的文件、目录等都依靠文件主、所在组和其它方式来设置其读、写和执行（rwx）许可权限，这种方式会造成文件本身权限的不必要扩散，导致危害事件发生。

　　访问控制机制能够提供细粒度的文件权限控制，使用访问控制列表（ACL）实现以特定用户或特定组为单位的访问许可权限的分配，从而防止文件本身权限的不必要扩散，保护了信息数据的机密性。

 

 

上一页　 下一页