访问控制！

还是感谢王继林教授的授课orz

访问控制

• 访问控制对机密性、完整性起直接作用
• 对与可用性
  1. 谁可以颁发网络可用性的网络管理指令
  2. 谁可以滥用资源
  3. 谁可以获得防止攻击的信息

主体、客体和授权

1. 主体 访问者
2. 客体 访问目标
3. 授权 规定对资源可执行的动作（读、写、执行或拒绝访问）

控制访问策略

1. 最小权限原则 该干啥就给啥权限，别给多余的权限
2. 最小泄露原则 一些事情知道的人越少越好 只给必须的资源

决定访问权限

• 用户分组
  1. 特殊用户
  2. 一般用户
  3. 审计用户
• 资源分类
• 资源及使用
• 访问规则

主体对客体的访问权可以转让吗？

• 自主访问控制 能 （例如Windows，Linux，ios，Android）
• 强制访问控制 不能 （学生成绩查询系统，军队汇报系统（下级可以向上级通讯，上级不能向下传递，通过安全标签实现信息单向流通））
• 基于角色的访问控制 不能

1985美国国防部橘皮书

分七类： A B3 B2 B1 C2 C1 D windows是C2级，实现自主访问控制 超过C2级的操作系统不得向中华人民共和国出售

访问控制的实现机制

1. 访问控制矩阵 稀疏矩阵 横向与纵向的压缩，使用链表
2. CPU指令集的区域划分
3. 内存控制
4. 计时器