一、引言

在當(dāng)今信息化社會中，信息系統(tǒng)的安全性成為了組織和個人關(guān)注的焦點(diǎn)。隨著信息技術(shù)的不斷發(fā)展和應(yīng)用，信息系統(tǒng)的復(fù)雜性和規(guī)模不斷擴(kuò)大，系統(tǒng)中存儲和處理的信息量也日益增長。這種情況下，如何有效保護(hù)信息系統(tǒng)中的敏感數(shù)據(jù)和資源，防止未經(jīng)授權(quán)的訪問、篡改和濫用，成為信息安全的關(guān)鍵問題之一。訪問控制作為信息系統(tǒng)中的重要安全功能，其任務(wù)是在為用戶對系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對用戶的訪問權(quán)進(jìn)行管理，確保信息系統(tǒng)的安全性和穩(wěn)定性。

二、為什么需要訪問控制

訪問控制的主要目的是保護(hù)信息系統(tǒng)中的資源，防止未經(jīng)授權(quán)的訪問和濫用，從而保障信息的機(jī)密性、完整性和可用性。具體來說，訪問控制的必要性主要體現(xiàn)在以下幾個方面：

防止信息泄露：信息系統(tǒng)中存儲了大量的敏感數(shù)據(jù)，如個人隱私、商業(yè)機(jī)密等。如果沒有有效的訪問控制，這些數(shù)據(jù)可能被未經(jīng)授權(quán)的用戶訪問，導(dǎo)致信息泄露，給個人和組織帶來嚴(yán)重的損失。

保護(hù)信息完整性：未經(jīng)授權(quán)的用戶可能對信息系統(tǒng)中的數(shù)據(jù)進(jìn)行篡改，破壞數(shù)據(jù)的完整性。訪問控制可以防止非法用戶對數(shù)據(jù)進(jìn)行修改，確保數(shù)據(jù)的正確性和可靠性。

保證系統(tǒng)可用性：訪問控制不僅要防止非法用戶的訪問，還要防止合法用戶的越權(quán)操作，避免因誤操作或惡意操作導(dǎo)致系統(tǒng)資源的濫用和系統(tǒng)的癱瘓，保障系統(tǒng)的正常運(yùn)行。

滿足法律法規(guī)要求：許多行業(yè)和領(lǐng)域都對信息安全有嚴(yán)格的法律法規(guī)要求，如金融、醫(yī)療等行業(yè)。通過實(shí)施有效的訪問控制，組織可以滿足相關(guān)法律法規(guī)的要求，避免因安全事件導(dǎo)致的法律風(fēng)險。

三、訪問控制是什么

訪問控制是指對用戶訪問信息系統(tǒng)中的資源進(jìn)行管理和控制，確保只有經(jīng)過授權(quán)的用戶才能訪問特定的資源。訪問控制的核心是身份鑒別和授權(quán)管理。身份鑒別是通過一定的手段（如用戶名/密碼、生物識別等）確認(rèn)用戶的身份，而授權(quán)管理則是根據(jù)用戶的身份和權(quán)限，決定用戶可以訪問哪些資源、進(jìn)行哪些操作。

訪問控制模型是實(shí)現(xiàn)訪問控制的基礎(chǔ)，不同的訪問控制模型提供了不同的訪問控制策略和機(jī)制，以適應(yīng)不同的安全需求。主要的訪問控制模型包括自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型。

四、三大訪問控制模型介紹

1.自主訪問控制模型

自主訪問控制模型（Discretionary Access Control, DAC）是指資源的所有者有權(quán)決定誰可以訪問其資源以及訪問的方式。在這種模型中，每個資源都有一個訪問控制列表（Access Control List, ACL），列出了對該資源具有訪問權(quán)限的用戶及其權(quán)限類型。資源的所有者可以根據(jù)需要自由地修改訪問控制列表，從而控制其他用戶對該資源的訪問。

DAC模型的優(yōu)點(diǎn)在于靈活性高，資源所有者可以根據(jù)具體情況隨時調(diào)整訪問權(quán)限。然而，其缺點(diǎn)也很明顯：由于權(quán)限管理的靈活性，容易導(dǎo)致權(quán)限濫用和安全漏洞；同時，當(dāng)系統(tǒng)中資源數(shù)量和用戶數(shù)量較多時，權(quán)限管理的復(fù)雜性會顯著增加，給系統(tǒng)管理員帶來較大的負(fù)擔(dān)。

2.強(qiáng)制訪問控制模型

強(qiáng)制訪問控制模型（Mandatory Access Control, MAC）是一種更為嚴(yán)格和系統(tǒng)化的訪問控制機(jī)制。在這種模型中，系統(tǒng)根據(jù)預(yù)先定義的安全策略，自動對用戶的訪問行為進(jìn)行控制，資源的訪問權(quán)限不能由資源所有者任意修改。強(qiáng)制訪問控制模型通常用于安全性要求較高的場合，如軍事和政府機(jī)構(gòu)。

強(qiáng)制訪問控制模型包括以下幾種具體的實(shí)現(xiàn)：

• BLP模型

Bell-LaPadula模型，簡稱BLP模型，主要關(guān)注信息的機(jī)密性，防止敏感信息泄露。該模型基于兩個基本原則：

簡單安全性原則（Simple Security Property）：用戶只能讀取其安全級別不高于自身的資源，即”不上讀“。

*-屬性（Star Property）：用戶只能寫入其安全級別不低于自身的資源，即”不下寫“。

通過這兩個原則，BLP模型確保了敏感信息不會被低級別用戶讀取或篡改，從而保護(hù)信息的機(jī)密性。

• Biba模型

Biba模型與BLP模型相反，主要關(guān)注信息的完整性，防止數(shù)據(jù)被非法修改。該模型基于以下原則：

簡單完整性原則（Simple Integrity Property）：用戶只能寫入其完整性級別不低于自身的資源，即”不上寫“。

完整性*屬性（Integrity * Property）：用戶只能讀取其完整性級別不高于自身的資源，即”不下讀“。

通過這些原則，Biba模型確保了高完整性級別的信息不會被低完整性級別的用戶篡改，從而保護(hù)數(shù)據(jù)的完整性。

• Clark-Wilson模型

Clark-Wilson模型側(cè)重于業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)完整性，通過一套認(rèn)證規(guī)則和強(qiáng)制訪問控制，確保數(shù)據(jù)的正確處理。該模型引入了以下概念：

用戶（User）：系統(tǒng)的使用者。

變換程序（Transformation Procedure, TP）：系統(tǒng)中的程序，用于對數(shù)據(jù)進(jìn)行操作。

約束數(shù)據(jù)項(xiàng)（Constrained Data Item, CDI）：需要保護(hù)的關(guān)鍵數(shù)據(jù)。

非約束數(shù)據(jù)項(xiàng)（Unconstrained Data Item, UDI）：不需要特別保護(hù)的數(shù)據(jù)。

Clark-Wilson模型通過定義一系列認(rèn)證規(guī)則，確保只有合法的TP才能對CDI進(jìn)行操作，從而保證數(shù)據(jù)的完整性和一致性。

• Chinese Wall模型

Chinese Wall模型主要用于解決利益沖突問題，通常應(yīng)用于金融、法律等行業(yè)。該模型將資源分為若干沖突類（Conflict Class），同一沖突類中的資源不能同時被同一用戶訪問。通過這種隔離機(jī)制，Chinese Wall模型防止了用戶在處理不同客戶的信息時產(chǎn)生利益沖突，是一種同等考慮保密性和完整性的訪問控制模型。

3.基于角色的訪問控制模型

基于角色的訪問控制模型（Role-Based Access Control, RBAC）通過角色來管理用戶的訪問權(quán)限。RBAC模型將權(quán)限賦予角色，然后將用戶分配到相應(yīng)的角色，從而間接地獲得相應(yīng)的權(quán)限。RBAC模型的核心要素包括：

用戶（User）：系統(tǒng)的使用者。

角色（Role）：一組相關(guān)權(quán)限的集合。

權(quán)限（Permission）：對資源的訪問操作。

會話（Session）：用戶在某一時間段內(nèi)的活動。

RBAC模型的優(yōu)點(diǎn)在于簡化了權(quán)限管理。當(dāng)系統(tǒng)中的用戶數(shù)量和資源數(shù)量較多時，通過角色的管理，可以顯著減少權(quán)限管理的復(fù)雜性，提高系統(tǒng)的可管理性和靈活性。同時，RBAC模型也便于實(shí)現(xiàn)基于組織結(jié)構(gòu)和業(yè)務(wù)流程的訪問控制策略，滿足實(shí)際應(yīng)用中的需求。

五、總結(jié)

訪問控制是信息系統(tǒng)中至關(guān)重要的安全功能，通過對用戶訪問權(quán)限的管理，保護(hù)系統(tǒng)中的敏感數(shù)據(jù)和資源，防止未經(jīng)授權(quán)的訪問、篡改和濫用。自主訪問控制模型、強(qiáng)制訪問控制模型和基于角色的訪問控制模型是三種主要的訪問控制模型，各自具有不同的特點(diǎn)和適用場景。

自主訪問控制模型靈活性高，適用于對權(quán)限管理要求不嚴(yán)格的小型系統(tǒng)；強(qiáng)制訪問控制模型提供了嚴(yán)格的安全保障，適用于安全性要求較高的場合；基于角色的訪問控制模型通過角色來簡化權(quán)限管理，適用于用戶和資源數(shù)量較多的大型系統(tǒng)。在實(shí)際應(yīng)用中，往往需要根據(jù)具體的安全需求和系統(tǒng)特點(diǎn)，選擇合適的訪問控制模型，或者將多種模型結(jié)合使用，以實(shí)現(xiàn)最佳的安全效果。通過有效的訪問控制，信息系統(tǒng)可以在安全策略的保障下有序工作，確保信息的機(jī)密性、完整性和可用性，從而為組織和個人的信息安全提供堅實(shí)的保障。