感谢您阅读《信息安全技术之：网络基础安全技术要求》，您可前往信创致远http://www.dengbao110.com/查看完整版内容。

5.4 强制访问控制

5.4.1 访问控制策略

网络强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。在网络安全技术要求中，可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控制策略有：

a)      多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOIS 控制范围内的所有主体对客体的直接或间接的访问应满足：向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体；向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标记中的非等级类别包含于客体标记中的非等级类别，主体才能写该客体；

b)基于角色的访问控制（BRAC）：基本思想是，按角色进行权限的分配和管理；通过对主体进行角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角色权限。在基于角色的访问控制中，标记信息是对主体的授权信息；

c)特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成自身任务所需要的最小权限。

5.4.2 访问控制功能

SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF 应有能力提供：在标记或命名的标记组的客体上，执行访问控制 SFP；按受控主体和受控客体之间的允许访问规则，决定允许受控主体对受控客体执行受控操作；按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作。

5.4.3 访问控制范围

网络安全技术强制访问控制的覆盖范围分为：

a)子集访问控制：对每个确定的强制访问控制，SSF 应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作；

b)完全访问控制：对每个确定的强制访问控制，SSF 应覆盖信息系统中所有的主体、客体及其之间的操作，即要求 SSF 应确保 SSC 内的任意一个主体和任意一个客体之间的操作将至少被一个确定的访问控制 SFP 覆盖。

5.4.4 访问控制粒度

网络强制访问控制的粒度分为：

a)中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；

b)细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级和/或元素级。

5.4.5 访问控制环境

a)单一安全域环境：在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则。当被控客体输出到安全域以外时，应将其标记信息同时输出；