标签：主体 存取控制 数据库 访问 MAC 详解 客体 级别

所谓的存取控制通俗地讲就是对数据进行分类，确保只有有权限的人才能访问敏感数据，存取控制分为自主存取控制（DAC）和强制存取控制（MAC）

自主存取控制（DAC）

不同的数据库对象设定不同的权限，授予不同的人，执行访问操作时，进行权限合法检查，无权拒绝访问
验证是单向的，仅验证主体（用户）是否有权访问
自主存取控制属于计算机安全性国际标准中的C2级别

强制存取控制（MAC）

与自主存取控制不同，不仅需要验证主体（用户）是否有权访问，而且非法用户即使拿到了数据，也无法读取数据的内容，数据（客体）还要验证拿到数据的用户是否能够读写
**实现机制：**给主体一个标签，给客体一个标签，只有主客体相匹配才能执行操作。主体指数据库操作人员，客体指数据。
标签级别： TS>=S>=C>=P (绝密、机密、可信、公开)
**读取规则：**主体级别>=客体级别 可读；主体级别<=客体级别 可写
示例： 老板TS、S财务、C分公司财务、P普通员工

普通员工可以给老板写建议书、举报信，但不能读老板信箱内容（上写，禁止上读）。老板可以读取所有文件，绝对不允许把自己客户资源等核心机密写到普通员工都能看到公告板上（下读，禁止下写）
分公司可以给公司财务写自己的财务数据，但不能读公司财务报表；公司财务可以查看分公司财务报表，但不允许将公司的财务数据，写给分公司的财务文件而泄密。
强制存取控制（MAC）属于计算机安全性国际标准中的B1级别

标签：主体,存取控制,数据库,访问,MAC,详解,客体,级别
来源： https://blog.csdn.net/guoyp2126/article/details/115382855

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。