自主访问控制(DAC)和强制访问控制(MAC)是两种不同的访问控制模型,它们在权限管理和访问策略上有明显的区别。 1. 基于角色的访问控制(RBAC) 定义:基于角色的访问控制通过定义角色来管理用户的权限。用户被分配到一个或多个角色,而角色则具有特定的访问权限。 特点: 灵活性:可以根据组织的需求动态调整角色和权限。
常见的访问控制技术确实包括自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。 自主访问控制(DAC):这是一种使主体(如用户或进程)能够自主地配置其资源的访问权限的机制。具体来说,拥有一定权限范围的主体可以直接或间接地把权限授予其他主体,如文件或资源的拥有者可以将访问权限赋予其他用户。这种...
强制访问控制 MAC 强制访问控制模型 (MAC, Mandatory Access Control), 是为了弥补 DAC 权限控制过于分散的问题而诞生的。在计算机安全领域指一种由操作系统约束的访问控制,目标是限制主体或发起者访问或对对象或目标执行某种操作的能力。任何主体对任何对象的任何操作都将根据一组授权规则(也称策略)进行测试,决定操作是...
自主访问控制 Discretionary Access Control(DAC) 定义:由资源的所有者、某些组的成员确定访问权限。 优点:可以基于数据/资源自主控制权限。 缺点:控制较为分散,不易管理。 例子:文章的发布者指定哪些其它用户可以对这篇文章进行哪些操作。 强制访问控制 Mandatory Access Control(MAC) 定义:给信息添加敏感程度标签,与用...
DAC与MAC对比,DAC的数据存取权限由用户控制,系统无法控制;MAC安全等级由系统控制,用户不能直接进行控制。自主访问控制是指一类可以在主体之间相互转让权限的访问控制,而强制访问控制则指的是另一类强制限制权限的访问控制。MAC会在系统中,对资源与主体,都划分类别与等级。比如:等级分为,秘密级、机密级、绝密级;类别分...
MAC技术适用于对访问控制要求非常严格的场景,通常用于政府机构、军事机构等对安全性要求较高的领域,例如: 保密性要求高的应急预案,如军事机密计划、政府机构的安全预案等。 对访问控制要求非常严格的场景,例如高安全级别的政府机构、军事机构等。 自由访问控制(DAC) ...
MAC、DAC和RBAC是常见的访问控制技术,它们各有优缺点,具体如下: 强制访问控制(MAC) 优点: 提供了高度的访问控制,可以根据应急预案的安全需求,通过强制规则来限制用户的访问权限,从而保护应急预案的机密性、完整性和可用性。 通过强制规则,可以提高应急预案的安全性和可靠性,避免未经授权的人员访问和篡改应急预案。
MAC是为了弥补DAC权限控制过于分散的问题而诞生的。在MAC的设计中,每一个对象都都有一些权限标识,每个用户同样也会有一些权限标识,而用户能否对该对象进行操作取决于双方的权限标识的关系,这个限制判断通常是由系统硬性限制的。比如在影视作品中我们经常能看到特工在查询机密文件时,屏幕提示需要“无法访问,需要一级安全...
在DAC、MAC的基础上, RBAC出现了,RBAC是迄今为止最为普及的权限设计模型。RBAC模型中在用户、权限之间引入“角色(Role)”概念。 RBAC把权限管理过程抽象为“判断逻辑表达式的值是否为True”的求解过程,而逻辑表达式为: Who是否可以对What进行How的访问操作(Operator) ...
基于角色的访问控制(RBAC)是一种广泛采用的权限设计模型,它在数据访问控制(DAC)和自主访问控制(MAC)的基础上引入了“角色”概念,将权限管理抽象为判断逻辑表达式的过程,表达式为:“Who是否可以对What进行How的访问操作”。RBAC关注点在于角色和用户、权限的关系,这些关系是Many-to-Many的,即用户...