強制存取控制(MAC)方法

MAC機制就是通過對比主體的Label和客體的Label,最終確定主體是否能夠存取客體。 (1)僅當主體的許可證級別大於或等於客體的密級時,該主體才能讀取相應的客體; (2)僅當主體的許可證級別等於客體的密級時,該主體才能寫相應的客體。

所謂MAC是指系統為保證更高程度的安全性,按照TDI/TCSEC標準中安全策略的要求,所採取的強制存取檢查手段。它不是用戶能直接感知或進行控制的。MAC適用於那些對數據有嚴格而固定密級分類的部門,例如軍事部門或政府部門。
在MAC中,DBMS所管理的全部實體被分為主體和客體兩大類。
主體是系統中的活動實體,既包括DBMS所管理的實際用戶,也包括代表用戶的各進程。客體是系統中的被動實體,是受主體操縱的,包括檔案、基表、索引、視圖等等。對於主體和客體,DBMS為它們每個實例(值)指派一個敏感度標記(Label)。
敏感度標記被分成若干級別,例如絕密(Top Secret)、機密(Secret)、可信(Confidential)、公開(Public)等。主體的敏感度標記稱為許可證級別(Clearance Level),客體的敏感度標記稱為密級(Classification Level)。MAC機制就是通過對比主體的Label和客體的Label,最終確定主體是否能夠存取客體。
當某一用戶(或一主體)以標記label註冊入系統時,系統要求他對任何客體的存取必須遵循如下規則:
(1)僅當主體的許可證級別大於或等於客體的密級時,該主體才能讀取相應的客體;
(2)僅當主體的許可證級別等於客體的密級時,該主體才能寫相應的客體。

相關詞條

熱門詞條

聯絡我們