信息安全工程师（34）访问控制模型

前言

       访问控制模型是实现访问控制的基础，不同的访问控制模型提供了不同的访问控制策略和机制，以适应不同的安全需求。

一、自主访问控制模型（DAC）

• 定义：指资源的所有者有权决定谁可以访问其资源以及访问的方式。资源的所有者可以根据需要自由地修改访问控制列表（ACL），从而控制其他用户对该资源的访问。

• 优点：灵活性高，资源所有者可以根据具体情况随时调整访问权限。

• 缺点：

  • 由于权限管理的灵活性，容易导致权限滥用和安全漏洞。
  • 当系统中资源数量和用户数量较多时，权限管理的复杂性会显著增加，给系统管理员带来较大的负担。

二、强制访问控制模型（MAC）

• 定义：一种更为严格和系统化的访问控制机制。在这种模型中，系统根据预先定义的安全策略，自动对用户的访问行为进行控制，资源的访问权限不能由资源所有者任意修改。

• 应用：通常用于安全性要求较高的场合，如军事和政府机构。

• 主要模型：

  • BLP模型：主要关注信息的机密性，防止敏感信息泄露。通过“简单安全性原则”和“*-属性”这两个原则，确保了敏感信息不会被低级别用户读取或篡改，从而保护信息的机密性。
  • Biba模型：与BLP模型相反，主要关注信息的完整性，防止数据被非法修改。通过“简单完整性原则”和“完整性*属性”这些原则，确保了高完整性级别的信息不会被低完整性级别的用户篡改，从而保护数据的完整性。
  • Clark-Wilson模型：侧重于业务系统中的数据完整性，通过一套认证规则和强制访问控制，确保数据的正确处理。
  • Chinese Wall模型：主要用于解决利益冲突问题，通常应用于金融、法律等行业。该模型将资源分为若干冲突类，同一冲突类中的资源不能同时被同一用户访问。

三、基于角色的访问控制模型（RBAC）

• 定义：通过角色来管理用户的访问权限。RBAC模型将权限赋予角色，然后将用户分配到相应的角色，从而间接地获得相应的权限。

• 组成要素：

  • 用户（User）：系统的使用者。
  • 角色（Role）：一组相关权限的集合。
  • 权限（Permission）：对资源的访问操作。
  • 会话（Session）：用户在某一时间段内的活动。

• 优点：

  • 简化了权限管理。当系统中的用户数量和资源数量较多时，通过角色的管理，可以显著减少权限管理的复杂性，提高系统的可管理性和灵活性。
  • 便于实现基于组织结构和业务流程的访问控制策略，满足实际应用中的需求。

四、其他访问控制模型

• 基于对象的访问控制模型（OBAC）：OBAC访问控制系统是从信息系统的数据差异变化和用户需求出发，有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。控制策略和控制规则是OBAC访问控制系统的核心所在。
• 基于任务的访问控制模型（TBAC）：TBAC是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。
• 基于属性的访问控制模型（ABAC）：ABAC使用多个属性（如用户、资源、环境和行为特征）进行决策。这种访问控制模型允许管理员为每个属性定义规则，并将其组合以形成访问控制策略。

总结

       综上所述，各种访问控制模型各有其特点和应用场景，选择适合的访问控制模型对于确保系统安全至关重要。

 结语     

只争朝夕

不负韶华

！！！

原文地址：https://blog.csdn.net/m0_73399576/article/details/142719744

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！