acm:即access control mechanism
acm為系統管理員提供了一種控制哪些使用者、程序可以訪問不同的檔案、裝置和介面等的一種方式。當需要確保計算機系統或網路安全時,acm是乙個主要的考慮因素。
acm主要有以下6種方式:
1) 自主訪問控制:discretionary access control (dac)
2) 訪問控制列表:access control lists (acls)
3) 強制訪問控制:mandatory access control (mac)
4) 基於角色的訪問控制:role-based access control (rbac)
5) 多級安全:multi-level security (mls)
6) 多類安全:multi-category security (mcs)
dac為檔案系統中的物件(檔案、目錄、裝置等)定義基本的訪問控制,即典型的檔案許可權和共享等。此訪問機制通常由物件的所有者來決定。
acl為乙個subject(程序、使用者等)可訪問哪些object提供了進一步的控制。
mac是一種安全機制,此安全機制是限制了
使用者(subject)對它自己所建立的物件所擁有的「控制級別」。與dac不一樣,在dac中,使用者對他們自己的object(檔案、目錄、裝置等)擁有完全的控制權;而在mac中,對所有的檔案系統objects增加了額外的labels或categories。在subjects(使用者或程序)與objects互動之前,它們必須對這些categories或labels進行合適的訪問(即先要進行許可權判斷)。
對訪問的控制徹底化,對所有的檔案、目錄、埠的訪問,都是基於策略設定的。這些策略是由管理員設定的、一般使用者是無權更改的。
rbac是控制使用者訪問檔案系統objects的一種可先方法。它不是基於使用者許可權進控制, 系統管理員基於商業功能需求建立對應的角色(roles),這些角色對object有不同的型別和訪問級別。
與dac和mac系統相比,在dac和mac系統中,使用者基於它們自己和object的許可權來訪問objects;而在rbac系統中,在使用者與objects(檔案、目錄、裝置等)互動之前,
使用者必須是乙個適當組的成員或角色。
從系統管理員的角度看,rbac更易於通過控制組成員,從而控制哪些使用者可以訪問檔案系統的哪些部分。
對於使用者只賦予最小許可權。對於使用者來說,被劃分成一些role,即使是root使用者,你要是不在sysadm_r裡,也還是不能實行sysadm_t管理操作的。因為,哪些role可以執行哪些domain也是在策略裡設定的。role也是可以遷移的,但是只能按策略規定的遷移。
multi-level security (mls)是乙個具體的強制訪問控制安全方案。在此方案中,程序被叫做「subjects」,檔案、目錄、套接字和其它作業系統被動實體被叫做「objects」。
multi-category security (mcs) 是乙個增強的selinux,允許使用者標記檔案類別。在selinux中,mcs是mlsand重用mls框架的介面卡。
informix 的安全訪問控制機制
資料庫安全 資料庫安全是及其重要的,無論使購買產品和歷史分析資料,乙個公司都需要有健全的資料庫安全計畫,通過如下方式來確定 誰可以訪問資料庫伺服器例項和資料庫 從哪兒以什麼方式驗證使用者密碼 使用者的授權級別 使用者能夠執行的命令 使用者能夠讀取或者修改的資料 使用者能夠建立 修改或刪除的資料庫物件...
Android 安全訪問機制
概述 android是乙個多程序系統,在這個系統中,應用程式 或者系統的部分 會在自己的程序中執行。系統和應用之間的安全性通過linux的facilities 工具,功能 在程序級別來強制實現的,比如會給應用程式分配user id和group id。更細化的安全特性是通過 permission 機制...
資料庫安全性訪問控制機制
資料庫安全最重要的一點就是確保只授權給有資格的使用者訪問資料庫的許可權,同時令所有未被授權的人員無法接近,主要通過資料庫系統的訪問控制機制實現。通俗的說,就是通過給使用者定義許可權和檢查使用者的許可權是否合法來保證資料安全問題,例如,老師選舉a同學作為班長,那麼a同學就會有相應去管理班級的許可權 相...