10.2.2  访问控制策略

访问控制策略的制定和实施是围绕主体、客体和授权三者之间的关系展开的，在策略的制定和实施中，要遵循下列原则：

（1）最小授权原则 最小授权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。最小授权原则的优点是最大程度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权使用主体的危险。

（2）最小泄露原则 最小泄露原则是指主体执行任务时，按照主体需要知道的信息最小化的原则分配给主体权力。

（3）权限制约原则 权限制约原则是指通过权限分离，在不同角色之间形成相互制约的关系，例如管理、操作与审计之间，或者操作、复核角色之间的权限制约等。

（4）多级安全策略 多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源，只有安全级别比它高的主体才能够访问。

访问控制策略有以下两种实现方式：基于身份的访问控制策略和基于规则的访问控制策略。

1.基于身份的访问控制策略

基于身份的访问控制全策略，其目的是过滤主体对数据或资源的访问，只有通过认证的那些主体才有可能正常使用客体资源。基于身份的访问控制策略包括基于个人的访问控制策略和基于组的访问控制策略。基于身份的访问控制策略一般采用能力表或访问控制列表实现。

（1）基于个人的访问控制策略 基于个人的策略是指以用户为中心建立的一种策略，这种策略由一组列表组成，这些列表限定了针对特定的客体，哪些用户可以实现何种操作行为。

（2）基于组的访问控制策略 基于组的策略是基于个人的策略的扩充，指一些用户被允许使用同样的访问控制规则访问同样的客体。

2.基于规则的访问控制策略

基于规则的访问控制策略中的授权通常依赖于敏感性。在一个安全系统中，数据或资源被标注安全标记。代表用户进行活动的进程可以得到与其原发者相应的安全标记。基于规则的访问控制策略，由系统通过比较用户的安全级别和客体资源的安全级别，判断是否允许用户可以进行访问来实现。在基于规则的访问控制策略系统中，所有数据和资源都被标注了安全标记，用户的活动进程与其原发者必须具有相同的安全标记。