什么是强制访问控制MAC

时间：2012-3-8

  强制访问控制(MAC)是一种不允许主体干涉的访问控制类型.它是基于安全标识和信息分级等信息第三性的访问控制,通过比较资源的第三性与主体的级别来确定是否允许访问,系统将所有主体和客体分成不同的安全等级,给予客体的安全等级能反映出客体本身的敏感程度;主体的安全等级,标志着用户不会将信息透露给未经授权的用户,通常安全等级可分为四个级别,绝密,机密,秘密以及普通,这些安全级别可以支配同一级别或低一级别的对象.

  当一个主体访问一个客体时必须条例各自的安全级别需求,特别是如下两个原则必须遵守.
1.Read Down;主体安全级别高于被读取对象的级别.
2.Write up;主体安全级别低于被定稿对象的级别.

  这些规则可以防止高级别对象的信息传播到低级别的对象中,这样系统中的信息只能在同一层次传送或流向更高一级.

  强制访问控制在军事和市政安全领域应用较多,例如,某些对安全要求很高的操作系统中规定了强制访问控制策略,安全级别由系统管理员按照严格程序设置,不允许用户修改,如果系统设置的用户安全级别不允许用户访问这个文件,那么不论用户是否是这个文件的拥有者都将不能访问.