【访问控制-安全标记】自主访问控制和强制访问控制
在Linux操作系统:
一提到自主访问控制,人们想到的是基于属主、属组的读写执行的访问控制体系。
一提到强制访问控制,人们想到的是Selinux,基于Se的策略控制主体对客体的访问。
自主访问控制、强制访问控制,是一种安全策略,不能将其与具体的安全实现划等号。即使我们使用基于属主、属组的安全机制,也同样能够实现强制访问控制。
什么是自主访问控制、强制访问控制?
(一)自主访问控制:
由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。
自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制是自主的,即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。
自主访问控制是一种比较宽松的访问控制,一个主题的访问权限具有传递性。
其强调的是自主,自己来决定访问策略,其安全风险也来自自主
(二)强制访问控制:
用户的权限和客体的安全属性都是系统管理员人为设置,或由操作系统自动地按照严格的安全策略与规则进行设置,用户和他们的进程不能修改这些属性。
其强调是强制,由系统来决定。
不能说强制访问控制相比较而言,漏洞会更少一些,就使用强制访问控制替换自主访问控制。
其原因在于,这两种安全策略适用的是不同的场合。
有些安全策略,只有用户知道,系统是无法知道的,那么适合自主访问控制。
有些安全策略,系统是已知的,是固定的,不受用户影响的,那么适合强制访问控制。
因此自主访问控制和强制访问控制的差别,不在于安全强度,而在于适用的场合不同。
【访问控制-安全标记】自主访问控制和强制访问控制相关推荐
- CISP——访问控制(自主访问控制和强制访问控制)
访问控制基本概念 什么是访问控制 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用 访问控制作用 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访 ...
- 走进GBase 8s之安全功能(二)安全标记与强制访问控制
安全标记 GBase 8s中的主体(数据库用户)与客体(数据对象)均需标以敏感标记(简称标记),标记分为安全等级标记与范畴标记,等级标记是用正整数表示,而范畴标记则用集合表示. 由负责强制访问控制管理 ...
- linux 敏感标记 权限,闲话Linux系统安全(二)——强制访问控制(MAC)
安全秘笈第二式--不安全的特殊权限和强制访问控制(MAC) 在DAC的机制中,不管是所有权加权限的管理办法,还是文件系统访问控制列表(facl),都是非常强大的访问控制机制,均可以对文件资源进行比较有 ...
- 自主访问控制 强制访问控制_快速访问控制
自主访问控制 强制访问控制 In this tutorial, we'll discuss about Swift Access Control. Before we get a hang of it ...
- NISP二级7.3 强制访问控制模型
目录 强制访问控制模型 什么是强制访问控制(MAC ) 特点 BLP模型 BLP模型的安全策略包括自主安全策略和强制安全策略两个部分. BLP模型的构成 BLP模型的策略 注意点 关键知识点 Biba ...
- Linux桌面需要强制访问控制,Linux强制访问控制机制模块详细描述(1)
原标题:Linux强制访问控制机制模块详细描述(1) 2 详细分析 2.1模块功能描述 对于SELinux中实现的MLS,其主要通过安全级别对系统资源的访问进行限制,相关操作定义在security/s ...
- linux之selinux强制访问控制
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户.组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领 ...
- linux 7 没有权限访问,技术|RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制...
RHCSA 认证:SELinux 精要和控制文件系统的访问 尽管作为第一级别的权限和访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 Linux(Security Enhance ...
- Linux桌面需要强制访问控制,RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制...
RHCSA 认证:SELinux 精要和控制文件系统的访问 尽管作为第一级别的权限和访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 Linux(Security Enhance ...
最新文章
- 如何处理单元测试产生的数据,下列哪些说法是正确的
- Windows中的一个类似路由器命令的命令
- AWS回应Elastic修改开源协议:创建“真正”开源的Elasticsearch分支
- USACO Section1.3 Combination Lock 解题报告
- python吃内存还是cpu_Python2 得到 CPU 和内存信息要怎么实现呢?
- 使用rapid-framework自动生成struct2
- iOS之深入解析高阶容器的原理和应用
- word2013标题编号变成黑框
- 724. 寻找数组的中心索引
- 整站php_小白同学的福利:PHP常见面试题(附答案)
- Android设备运用Clockworkmod Recovery恢复模式安装定制的Rom
- 修复 Windows 10 设置界面里面混乱的语言翻译
- p-7-24青蛙跳台阶
- 国泰君安国际助力智加科技加速全球商业化布局
- 杭电acm 4540威威猫系列故事——打地鼠
- 基于php+mysql的村镇干部绩效考核系统
- [转贴]Symbian开发入门 - UIQ开发教程
- 全球工业互联网发展实践及启示!
- 软考信息安全工程师笔记(第二章--密码学基础与应用)
- VMware+Windgb+Win7内核驱动调试