2022年CISP教材知識(shí)點(diǎn)整理：自主訪問控制模型

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

7.3知識(shí)子域：訪問控制

7.3.2自主訪問控制模型

自主訪問控制（Discretionary Access Control，DAC）

資源的所有者（創(chuàng)建者）可以規(guī)定誰有權(quán)訪問它們的資源

它是一種對(duì)單個(gè)用戶執(zhí)行訪問控制的過程和措施

常用于多種商業(yè)系統(tǒng)中，但安全性相對(duì)較低

在DAC中主體權(quán)限較容易被改變，某些資源不能得到充分保護(hù)，不能低于特洛伊木馬的攻擊

1.訪問控制矩陣

DAC可以用訪問控制矩陣來表示

矩陣中的行表示主體對(duì)所有客體的訪問權(quán)限，列表示客體允許主體進(jìn)行的操作權(quán)限，矩陣元素規(guī)定了主體對(duì)客體被準(zhǔn)予的訪問權(quán)

2.訪問控制功能

DAC通常使用訪問控制表或能力表來實(shí)現(xiàn)訪問控制功能

訪問控制矩陣按列讀取即形成訪問控制表

ACL可以決定任何一個(gè)特定的主體是否可對(duì)某一個(gè)客體進(jìn)行訪問。它是利用在客體上附加一個(gè)主題明細(xì)表的方法來表示訪問控制矩陣的。表中的每一項(xiàng)包括主體的身份以及對(duì)該客體的訪問權(quán)。

目前訪問控制表是自主訪問控制實(shí)現(xiàn)中比較好的一種方法

能力（Capabilities）決定用戶對(duì)客體的訪問權(quán)限，系統(tǒng)必須對(duì)每個(gè)用戶維護(hù)一份能力表，即按行讀取訪問控制矩陣，表示每個(gè)主體可以訪問的客體及權(quán)限

用戶可以將自己的部分能力傳給其他用戶，這樣那個(gè)用戶就獲得了讀寫該文件的能力

在用戶較少的系統(tǒng)中，這種方式比較好，但一旦用戶數(shù)增加，便要花費(fèi)系統(tǒng)大量的時(shí)間和資源來維護(hù)系統(tǒng)中每個(gè)用戶的能力表

3.訪問許可和訪問模式

訪問許可和訪問模式描述了主體對(duì)客體所具有的訪問權(quán)與控制權(quán)

訪問許可定義了改變?cè)L問模式的能力或向其他主體傳遞這種能力的能力，訪問模式則指明主體對(duì)客體可進(jìn)行的特定訪問操作

這兩種能力是對(duì)自主訪問控制機(jī)制的控制方式

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識(shí)點(diǎn)整理第七章匯總