訪問控制模型之強制訪問控制模型

強制訪問控制模型(MAC Model)

強制訪問控制是一種強加給訪問主體（即系統強制主體服從訪問控制策略）的訪問方式，給主體和客體分配不同的安全屬性，而且這些安全屬性不像ACL那樣輕易就被修改，系統通過比較主體和客體的安全屬性決定主體是否被允許訪問客體。強制訪問控制可以防範特洛伊木馬和用戶濫用許可權，它通過梯度安全標籤實現信息的單向流通，具有更高制的安全性。但其實現的代價也更大，實現的工作量較大，管理不便且不夠靈活，而且過於強調保密性，對系統連續工作能力、授權的可管理性等方面考慮不足，一般用在安全級別要求比較高的多層次安全級別的軍事系統中。

和DAC模型不同的是，MAC是一種多級訪問控制策略，它的主要特點是系統對訪問主體和受控對象實行強制訪問控制，系統事先給訪問主體和受控對象分配不問的安全級別屬性，在實施訪問控制時，系統先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。由於MAC通過分級的安全標籤實現了信息的單向流通，其中最著名的是Bell-LaPadula模型和Biba模型：Bell-LaPadula模型具有只允許向下讀、向上寫的特點，可以有效地防止機密信息向下級泄露；Biba模型則具有不允許向下讀、向上寫的特點，可以有效地保護數據的完整。

強制訪問控制（英語：mandatory access control，縮寫MAC）在計算機安全領域指一種由操作系統約束的存取控制，目標是限制主體或發起者訪問或對對象或目標執行某種操作的能力。在實踐中，主體通常是一個進程或線程，對象可能是文件、目錄、TCP/UDP埠、共享內存段、I/O設備等。主體和對象各自具有一組安全屬性。每當主體嘗試訪問對象時，都會由操作系統內核強制施行授權規則——檢查安全屬性並決定是否可進行訪問。任何對象對任何對象的任何操作都將根據一組授權規則（也稱策略）進行測試，決定操作是否允許。在資料庫管理系統中也存在訪問控制機制，因而也可以應用強制訪問控制；在此環境下，對象為表、視圖、過程等。

通過強制訪問控制，安全策略由安全策略管理員集中控制；用戶無權覆蓋策略，例如不能給被否決而受到限制的文件授予訪問許可權。相比而言，自主訪問控制（DAC）也控制受試者訪問對象的能力，但允許用戶進行策略決策和/或分配安全屬性。（傳統Unix系統的用戶、組和讀-寫-執行就是一種DAC。）啟用MAC的系統允許策略管理員實現組織範圍的安全策略。在MAC（不同於DAC）下，用戶不能覆蓋或修改策略，無論為意外或故意。這使安全管理員定義的中央策略得以在原則上保證向所有用戶強制實施。

在歷史上和傳統上，MAC與多層安全（MLS）和專業的軍用系統密切相關。在此環境中，MAC意味著高度嚴格以滿足MLS系統的約束。但在最近，MAC已從MLS本身中發展出來，並變得更加主流。最近的MAC實現有諸如面向Linux的SELinux和AppArmor，以及面向Windows（Mandatory Integrity Control for Windows）的強制完整性控制，它們使管理員得以關注沒有嚴格或MLS約束時遇到的如網路攻擊或惡意軟體等問題。

歷史上，MAC與作為保護美國等級信息的多層安全（MLS）手段密切相關。《可信計算機系統評估標準》（TCSEC）就是就這一主題的開創性工作，其中將MAC定義為「基於對象中包含信息的敏感性（由標籤表示）來顯示對對象的訪問途徑以及對象訪問這種敏感信息的授權」。MAC的早期實現有Honeywell的SCOMP、USAF SACDIN、NSA Blacker，以及的波音MLS LAN。

術語MAC中的「強制性」已經因其在軍事系統中的使用而獲得了特殊含義。在這方面，MAC意味著非常高的健壯性，確保控制機制能夠抵抗任何類型的破壞，從而使他們能夠執行由政府命令授權的訪問控制，諸如面向美國等級信息的第12958號行政命令。強制施行的保證性要求要高於商業應用，因此這不允許採用「儘力而為」的機制。MAC只接受能夠絕對或者幾乎絕對地保證任務執行的機制。這點對於不熟悉高保證策略的人來說可能很困難或者被假定為不切實際。

有關Bell-Lapadula、Biba等控制模型，將在將來某個時間，每個模型用一篇篇幅進行介紹。同樣本期內容，資料有來自於百度、谷歌、維基百科、專業書籍。接下來，我將整理「基於用戶角色的訪問控制」，期待與愛好技術的朋友一起學習。

題外話，根據《瓦森納協定》規定，B1級（有關級別劃分，請參閱「《一起簡單了解美國TCSEC分類及分級》」）以上操作系統和資料庫等，對我國禁運。2013年12月，《瓦森納協定》對出口限制技術清單進行了修訂，以包括基於互聯網的監控系統。出口管制制度下的新技術包括「入侵軟體」，旨在打敗計算機或網路的保護措施以提取數據或信息的軟體-以及IP網路監視系統。一些科技公司已經表達了擔心，控制範圍可能過於寬泛，限制了安全研究人員識別和糾正安全漏洞的能力。

大家也清楚，只要我國攻克一個技術難關，《瓦森納協定》在名錄里就會刪掉其對我們禁運的內容。其聲明不針對任何國家的《瓦森納協定》，可謂司馬昭之心路人皆知。當然，他們是針對整個國際上的所有發展中國家，希望一直實現其經濟利益剪刀差吧。我國在自主研發上已經有了長足發展，正在一點點突破《瓦森納協定》。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！