自主访问控制是使用访问控制列表实现的。 安全管理员为每个对象(资源或资源组)创建配置文件并修改配置文件的访问控制列表。 从主体可以操纵它的意义上说,这种类型的控制是自由裁量的。 因为资源的所有者可以决定谁可以访问资源以及拥有什么权限。 在这篇文章中,我们将准确了解什么是自主访问控制 (DAC)、它的示例以及它如何与非自主访问控制区分开来。
什么是自主访问控制 (DAC)
一种称为自主访问控制 (DAC) 的安全访问控制根据所有者组和/或对象的主体建立的策略允许或禁止对项目的访问。 DAC 方法的控制由用户标识定义。 通过使用登录期间提供的凭据,例如用户名和密码。 DAC 是可选的,因为主体(所有者)有权授予其他用户访问经过身份验证的对象或信息的权限。 换句话说,所有者控制对象访问的权限。
与其他类型的访问控制相比,这些系统提供最多的权限并且是最可定制的。 但是,由于它们具有极大的灵活性,它们并不是最安全的。 这样做的原因是一个人可以完全控制系统。 他们能够向他们不应该的人提供访问权限。 此外,DAC 系统为企业所有者而不是安全专家提供控制。 这是对用户的访问权限和权限。 他们还需要完全了解安全最佳实践和建议。
因此,该工具的最佳应用包括不需要高级别安全性的企业。 以及需要最大灵活性和实用性的位置。 典型的用例包括学校、教练设施、小型企业、初创公司和小型企业。
处置访问控制 (DAC) 的优缺点
以下是使用 DAC 的一些优点:
- 用户友好性: 用户界面易于使用和操作,这种方法使处理数据和权限相对简单。
- 灵活性:如前所述,此控件提供了最多的许可和最直接的方法来允许访问其他人。
- 几乎没有任何维护:由于这些系统不需要持续的维修和维护,因此需要管理来减少对它们的管理。
以下是使用自主访问控制的一些缺点:
- 不太可信: 由于访问权限可以很容易地从一个人转移到另一个人,而且信息可能会泄露到公司之外,因此 DAC 并不是最安全的解决方案。
- 难以监控数据流:因为 DAC 是去中心化的,所以很难监控数据流和访问权限。 实现此目的的唯一方法是使用 ACL(访问控制列表)。 但是,这仅适用于拥有少量员工的小型企业。
访问控制的类型有哪些?
三种主要类型的访问控制系统是自主访问控制 (DAC)、基于角色的访问控制 (RBAC) 和强制访问控制 (MAC)。
为什么自主访问控制很重要?
自由访问限制降低了安全风险。 它创建了一个防火墙来抵御恶意软件攻击和未经授权的访问。 通过提供高度加密的安全协议,在允许访问之前必须绕过该协议。
我们如何实现自由访问控制方法?
- 确定访问权限: 主体根据某些策略使用对象执行操作的能力取决于他们是否有权访问它。
- 授予访问权限: 通过提供访问权限,您可以允许某人使用特定对象。
什么是自主访问控制弱点?
- 权限过多或权限不足的用户: 用户可能是多个嵌套工作组的一部分。 不一致的权限可能会授予用户过多或不足的权限。
- 限制控制: 安全管理员监控公司内的资源分配是一项挑战。
自主访问控制示例
例如,在自主访问控制中,每个系统对象(文件或数据对象)都有一个所有者或创建对象的人。 因此,项目的所有者确定访问策略。 DAC 的一个常见示例是 Unix 文件模式,它在三位中的每一位中指定每个用户、组和其他方的读取、写入和执行权限。
DAC 的特点包括:
- 用户有能力修改对象的所有者。
- 用户负责确定其他用户的访问级别。
- 经过多次尝试,权限错误限制了用户访问。
- 文件大小、文件名、目录路径都是对象属性,对没有权限的用户是不可见的。
- 基于用户标识和/或组成员资格,在访问控制列表 (ACL) 批准期间确定对象访问。
例如,销售人员可能被授予访问计费系统的权限。 这样他们就可以查看与包含其特定销售 ID 号的客户资料相关的计费活动。 但不是其他客户的计费活动。 因为可以为某些用户定制访问权限。 只有负责监督整个网络的人才能访问所有数据。 因此,黑客、企业间谍,甚至心怀不满的前雇员寻找一种对公司进行报复的方法,不太可能利用它来实施犯罪。
DAC 的精确组织取决于有用程序的种类以及访问权限的分配方式。 一些选项允许分配特定的登录凭据,这些凭据随后可用于修改每个程序的权限。
非自主访问控制
非自主访问控制 (NDAC) 是指除自主访问控制 (DAC) 之外的任何许可控制策略。 强制访问控制 (MAC),其中仅当主体的许可与客体的敏感度级别匹配时才授予授权,经常被称为 NDAC。
非自主访问控制模型示例
在非自主访问控制方案下,用户不能自行决定转移访问权限。 非自主访问控制示例包括:
- 在基于角色的访问控制下,根据管理员分配的职责允许访问。
- 在基于规则的访问管理中,访问是使用已建立的规则确定的。 路由器和防火墙广泛使用这种访问限制来保护网络安全。
- 在基于属性的访问管理下,访问由职位、团队、位置和设备等用户属性决定。
自主访问控制和非自主访问控制有什么区别?
非自由裁量成本包括租金、税收、债务支付和食物等。 酌情成本是超出认为必要的任何支出。
MAC和DAC有什么区别?
DAC 和 MAC 的主要区别在于前者使用访问控制方法。 资源所有者控制访问权限,后者根据用户的许可级别授予访问权限。
什么是 DAC 型号?
DAC 模型是一种基于身份的访问控制范例,让用户可以在一定程度上控制他们的数据。
常见问题
什么是自主访问控制?
一种称为自主访问控制 (DAC) 的安全访问控制根据所有者组和/或对象的主体建立的策略允许或禁止对项目的访问。
访问控制的三种类型是什么?
三种主要类型的访问控制系统是自主访问控制 (DAC)、基于角色的访问控制 (RBAC) 和强制访问控制 (MAC)。
MAC和DAC有什么区别?
DAC 和 MAC 的主要区别在于前者使用资源所有者控制访问的访问控制方法,而后者根据用户的许可级别授予访问权限。