2.4.1訪問控制模型的基本概念

一個信息系統(tǒng)在進行安全設(shè)計和開發(fā)時，必須滿足某一給定的安全策略，即有關(guān)管理、 保護和發(fā)布敏感信息的法律、規(guī)則和實施細(xì)則。如，將系統(tǒng)的用戶和信息劃分為不同的等級，用戶能讀信息，當(dāng)且僅當(dāng)用戶的等級高于或等于信息的等級；用戶能寫信息，當(dāng)且僅當(dāng)用戶等級低于或等于信息的等級。

訪問控制模型是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，可以是非形式化的，也可以是形式化的，它綜合了各種因素，包括系統(tǒng)的使用方式、使用環(huán)境、授權(quán)的定義、共享的資源和受控思想等。訪問控制模型通過對主體的識別來限制對客體的訪問權(quán)限，具有以下三個特點：

◇精確的、無歧義的；

◇簡單的、抽象的，容易理解；

◇只涉及安全性質(zhì)，不過多牽扯系統(tǒng)的功能或其實現(xiàn)細(xì)節(jié)。

主體是使信息在客體間流動的一種實體。通常，主體是指人、進程或設(shè)備等，例如對文件進行操作的用戶是一種主體；用戶調(diào)度并運行的某個進程也是一種主體；調(diào)度一個例程的設(shè)備也是一種主體。在計算機系統(tǒng)中，用戶首先在系統(tǒng)中注冊，，然后啟動某一進程并使該進程為用戶完成某項工作，該進程繼承了啟動它’的用戶的屬性，如訪問權(quán)限等，這時，與用戶相對應(yīng)的進程也是一種主體。

客體是一種信息實體，或者是從其它主體或客體接收信息的實體。通常，數(shù)據(jù)塊、存儲頁、文件、目錄、程序等都屬于客體。在系統(tǒng)中，文件是一個處理單位的最小信息集合，每一個文件就是一個客體，如果每個文件還可以分成若干小塊，而每個小塊又可以單獨處理，那么每個小塊也是一個客體。