自主访问控制和强制访问控制-凯发体育客户端

很多网络安全、计算机、通讯管理人员可能缺少接触到一些具体技术实现过程。因此往往从文章上去理解自主访问控制和强制访问控制。而网络上为了帮助理解常常举例一些典型的案例。而这些典型案例本身可能导致对技术的含义发生误解。

例如：主体和客体等等，文件上传数据库，文件下载数据库等等，一些敏感标记管理（环境条件）也会是访问控制审计和允许访问的条件。以至于如何界定谁是主体和客体？，谁申请建立访问链接？，谁同意建立访问链接？，实际在计算机用户间的访问各自都可能会扮演主体访问查询信息或扮演客体提供共享资源，而不仅仅是文件库的访问管理。如果是两个用户应用程序间的数据通讯访问只需要强制访问控制允许，所谓的读写文件保护模型功能并不存在，因为两端都是用户各自的应用通讯程序进行数据库文件操作。当然直接通过系统读写其它用户文件需要符合强制访问控制和文件主（客体）的访问规则。不要把文件操作和系统强制的访问限制技术等都归于强制访问控制的标信道标记管理，windows系统同样有主体、客体，文件读写授权保护和用户组和域管理技术等，只有unix和selinux才使用信道标记。其显著特点是传输的数据帧格式的用户数据有不同的封装格式，含有信道标记，是安全等级通讯访问标记，一般仅仅作用于用户（系统程序）、通讯访问进程（用户程序）和文件，并于上述的敏感标记具有关联性。没有对其它普通计算机的开放性。对于上机用户操作而言几乎完全相同。用户每天可能编制无数文件，请注意系统权限、用户权限、权限继承等关系。强制访问控制标记是系统设置的安全等级属性演化的安全网络/信道等级标记。

同时提醒一下，套接字通讯。很多研究者认为，在大型计算机中，套接字的申请和管理是通讯访问控制的关键，同时是具有唯一管理者，在同一操作系统的内部网络的强制访问控制事实上可以采用套接字。并具有完全的等效结构化信道会话标记功能。套接字会话标记，不仅仅解决了大型计算机内部网络对通讯访问的强制管理，同时也解决了经系统管理员允许，可以外访外部的网络。2007年左右被所有操作系统产品供应商所接受。也解决了开放互联性问题，当然在计算机与计算机通讯时，强制的说法并不成立。

强制访问控制保护逻辑本身需要考虑谁来强制通讯访问授权，保护谁？技术问题最好能够问清楚逻辑！同时强制访问控制主要是为了解决涉密等级保护。信道设计需要了解涉密等级和信道设计的关系。信息的密级取决于信息的内容，通讯传输不会改变信息内容的密级，信息密级只能由计算机或人工确认改变，只要是涉密通讯，通讯双方都会成为涉密计算机。同级别涉密计算机成员间的信道可以进行普通数据的通信，信道的密级取决于信道中成员最低的密级。高密级的计算机不能在低密级的信道中传输高密级信息。高密级的计算机可以加入不同密级的信道（用户组）。请注意好的信道设计需要很多文件操作处理。

自主访问控制：以用户自主访问控制的通讯参数为依据，来实现安全访问策略.

用户自建的it系统通讯访问架构，其典型访问架构为用户组、c/s、b/s架构等。it系统中的用户通过相互允许建立的互访安全通讯访问策略规则。用户可以根据其通讯访问需要自主建立通讯访问规则。这些通讯访问控制保护机制在用户本身有问题或心怀恶意时，其安全保护作用就难以有效。

强制访问控制：以第三方强制访问控制标记（信道）为依据，来实现安全访问策略

由系统或通讯访问管理者，作为第三方，采用通讯访问授权的方式（信道标记）强制对用户的访问进行限制（用户组通讯访问授权）。用户必须在满足信道标记授权允许的条件下，才能按自己的访问控制策略进行通信。显然unix/selinux内部以太网中，没有防火墙、网闸、ids、ips、加固软件、可信计算技术、传输加密等大家可能已经熟知的网络安全设备和技术。却被公认为符合最高等级的网络安全标准，这就是强制访问控制的作用。

关键之处，既然有了通讯访问授权，还需要检测通讯访问是否与通讯授权相一致，即依据通讯访问授权为法规，对数据访问进行访问授权审计和实时访问验证监控。不要理解五个安全等级是五个虚拟网，尽管很多用户只能属于一个安全组，但是领导可以是多个安全组的成员。此时网络信道标记就会增加。如果干过系统管理员就知道，安全类别来看，能同时加入五个安全组的类别只有一个，内同时加入4个安全组的仅仅5个，同时加入3个安全组的10个、同时加入2个用户组的也就10个。一般系统管理能管百来个安全信道标记就不错了。其它都是用户自主访问控制的事情。主要，客体/主体都是用户创建，是用户权限管理。系统一般只管安全通信访问。

请注意一些事实，个人计算机/服务器用户往往拥有对个人计算机/服务器及操作系统的管理权，而在unix系统上机用户没有计算机系统和计算机内部网络的管理权。所谓第三方的强制访问的管理者必然是通讯访问的管理者。无论是网络安全等级保护标准中（安全标记、结构化保护，访问验证）还是实际的大型计算机系统安全保护的实际应用中，自主访问控制和强制访问控制都是配套一起使用的。因为用户程序间的通讯访问本身无法由系统来完成。数据脱敏后成为低密级数据或统计分析后成为高密级的数据都是依赖于用户程序的处理。

acl访问控制技术：在系统审计保护、安全标记保护中（测评标准），往往被用作替代强制访问控制技术，但实际上两者区别显著。特别是通讯访问控制依据完全不同。该技术本身难以依据it系统的通讯访问架构进行强制性的通讯访问授权。显然是依据用户的ip来进行访问控制管理，而不是依据信道标记来访问控制管理。

可信计算架构中的安全标记和结构化信道标记：由于需要用户个人计算机/服务器的参与（由操作系统或应用程序嵌入标记或审计标记），因此也依赖于用户/计算机是否可信。

unix/selinux系统（内部网络）的信道标记或网络vlan标记：相对于上机用户或个人计算机/服务器而言是独立的第三方网络通讯访问管理者，不需要可信计算为基础。可以完全实现通讯访问授权/保护/验证

典型结构化信道访问控制设计

在unix和vlan的强制访问控制（信道设计）标记管理中，上机用户和个人计算机/服务器同样需要搭建比较复杂的强制访问控制信道访问架构。由于很多网络工程师没有unix上机经验，故如何用vlan技术构造用户组或依据it系统的访问架构，采用vlan用户组技术实现强制访问控制，感到非常难。事实上任何曾经在大型计算机上机的人，特别是需要构造一个it系统通讯访问架构的计算机人员都会了解用户组的作用，本身与windows的用户组没有通讯访问方面的区别，由于现代的用户访问需要查询域名服务器（外网或内网）来获知实际的ip地址 ，所以现在“域”的概念更为普及。域名的普遍使用也是改变了网络设计。

由于强制制访问控制标记管理的计算机通讯访问架构是基于用户组技术来构造用户自己的it系统通讯访问架构。下面采用vlanid标记对接，构造vlan用户组实现强制访问控制

1）工业控制系统

上图通过对工业控制系统分成五个子系统，控制网络、两个现场总线、人机互操作系统、存储系统。每个子系统计算节点需要分布在不同的物理区域（交换机）。不能牺牲设备远程维护功能。除控制层所有设备互联，其它计算节点的设备成员通过访问控制信道与相关控制层内相关设备链接。vlan标记阻断了非通讯授权的可能。

2）典型c/s、b/s架构

vlanid标记安全访问策略的一致性（标记对接）和审计和访问（寻址）验证通讯授权原理

网络威胁分类和通讯访问授权保护的作用

显然，采用通讯访问授权（强制访问控制/结构化信道设计），并依据访问授权审计，已经可以获得最高安全等级的网络安全保护！！！

很多学者以为强制访问控制是对文件/数据库的读写（下读/上写）保密性要求，或下写/上读（完整性）要求，两者不可兼容。实际上可能对交互式用户组办公不理解。如：下图，不同用户组隔离，但允许用户加入不同涉密等级的用户组。用户涉密等级却决于原有用户组id（gid），由系统强制允许访问，，比对用户组id时只有三个可能“大于、等于、小于”这是多用户操作系统的管理目前的缺陷，不支持多身份（角色）的访问控制，而且是针对用户组（信道）具有不同涉密等级用户不安全情况的处理。实际上即使国外涉密办公也采用oa系统，如:oracle,只需要提供可信的信道保障。如下图所示。所有信道/网络中，用户的涉密等级都是同涉密等级的用户，强制访问控制与多角色访问控制使用。只需要是可信信道保障。淘汰的概念不要再用了！！！！

强制访问控制的定义已经改变：

关于强制访问控制需要了解unix用户组的使用和unix系统内部用户组可信信道设计这样就可以在设计系统的vlan信道和加密信道时不会被标准里一些不恰当的说法迷惑。

编辑于 2022-10-28 21:55・ip 属地上海

同类热门推荐 02资格考试 46698人看过 12星座明日运势（10/26） 17993人看过 12星座明日运势（10/25） 22562人看过 12星座明日运势（10/16） 15977人看过 明天走势如何 21189人看过 本站只为传播信息，不对所发布的内容本身负责。如有凯发k8国际手机app下载的版权及其它问题，请联系站长处理。

本文tag：[自主]