存取控制類型(Types of Access Controls)

存取控制的類型決定了主體（Subject）如何訪問對象（Object），這些策略依據存取控制技術及安全性來確定實現機制。

存取控制的類型包括以下幾種：

自主存取控制（Discretionary Access Control, DAC）

DAC 決定由某個對象的擁有者採取的存取控制，來決定其他主體對該對象的存取控制權限。這種存取控制也稱為「需要知道」模式。擁有者的決策取決於以下因素：

• 文件和數據的所有權：決定用戶的存取策略。

• 存取權限和許可：擁有者為其他主體設置存取權限。

• DAC 的特性：

  • 對象的擁有者可以將所有權轉讓給其他用戶。
  • 存取控制可防止多次未經授權的嘗試存取對象。
  • 防止未經授權的用戶查看文件大小、文件名稱、目錄路徑等詳細信息。
  • DAC 使用存取控制列表（ACL）來識別和授權用戶。

• 缺點：

  • 需要維護存取控制列表和用戶的存取權限。
  • DAC 的例子包括 UNIX、Linux 和 Windows 的存取控制。

強制存取控制（Mandatory Access Control, MAC）

MAC 決定用戶的使用和存取策略。用戶只能在具有特定資源存取權限的情況下才能訪問該資源。
常用於標記為高度機密的數據。網絡管理員依據操作系統和安全內核來實施 MAC。

• MAC 的實施方式：

  • 基於規則的存取控制（Rule-Based Access Control）：根據主體和對象之間的信任等級，決定是否允許或拒絕存取對象。
  • 基於格子的存取控制（Lattice-Based Access Control）：為多個主體和對象定義複雜的控制要求。

• 優缺點：

  • MAC 提供高度的安全性，因為存取控制由網絡管理員決定。
  • MAC 策略可最大限度減少錯誤的發生。
  • 操作系統根據 MAC 將傳入數據進行標記和標籤，從而創建外部應用控制策略。

• MAC 的例子包括 SE Linux 和 Trusted Solaris。

基於角色的存取控制（Role-Based Access Control, RBAC）

RBAC 基於系統確定的存取策略來提供存取許可。
用戶無法更改由系統創建的存取策略，這意味著存取權限不受用戶控制。

RBAC 的規則：

• 角色分配（Role Assignment）：為用戶分配某個角色，使其能夠執行操作。
• 角色授權（Role Authorization）：用戶需要進行角色授權才能獲得該角色。
• 交易授權（Transaction Authorization）：交易授權允許用戶僅執行其被授權的操作。