MAC是指系统为保证更高程度的安全性,按照TDI/TCSEC标准中安全策略的要求,所采取的强制存取检查手段。
强制存取控制(MAC)方法详细介绍
MAC是指系统为保证更高程度的安全性,按照TDI/TCSEC标准中安全策略的要求,所采取的强制存取检查手段。
强制存取控制(MAC)方法简介
所谓它不是用户能直接感知或进行控制的。MAC适用于那些对数据有严格而固定密级分类的部门,例如军事部门或政府部门。
强制存取控制(MAC)方法分类
在MAC中,DBMS所管理的全部实体被分为主体和客体两大类。
主体
是系统中的活动实体,既包括DBMS所管理的实际用户,也包括代表用户的各进程。
客体
是系统中的被动实体,是受主体操纵的,包括文件、基表、索引、视图等等。对于主体和客体,DBMS为它们每个实例(值)指派一个敏感度标记(Label)。
强制存取控制(MAC)方法敏感度级别
敏感度标记被分成若干级别,例如绝密(Top Secret)、机密(Secret)、可信(Confidential)、公开(Public)等。主体的敏感度标记称为许可证级别(Clearance Level),客体的敏感度标记称为密级(Classification Level)。MAC机制就是通过对比主体的Label和客体的Label,最终确定主体是否能够存取客体。
强制存取控制(MAC)方法遵循规则
当某一用户(或一主体)以标记label注册入系统时,系统要求他对任何客体的存取必须遵循如下规则:
(1)仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体;
(2)仅当主体的许可证级别小于或等于客体的密级时,该主体才能写相应的客体。
