1. DAC 和 MAC 的区别
DAC(自主访问控制)
- 管理权限的方法:用户自己决定谁能访问资源。比如,文件主人可以设置其他人能不能读这个文件。
- 好处是灵活:用户可以随便分配权限,但可能出问题。比如,用户 A 把文件权限给用户 B,结果用户 B 泄露了文件。
- 用在哪儿:普通电脑系统(比如 Windows)常用,适合要求不严的环境。
MAC(强制访问控制)
- 管理权限的方法:系统用安全标签强制管权限。比如,低安全等级的人不能看高等级文件。
- 好处是安全:用户不能随便改权限。比如,军队系统里,用户不能把机密文件随便传给别人。
- 用在哪儿:要求严格的地方(比如政府系统),必须保证数据保密。
2. 访问控制里的主体、客体和访问权
主体(Subject)
- 是什么:指主动做操作的东西,比如用户、程序。
- 例子:用户登录后想打开一个文件,这个用户就是主体。
客体(Object)
- 是什么:被操作的东西,比如文件、打印机。
- 例子:用户想读的文件就是客体。
访问权(Access Right)
- 是什么:主体能对客体做什么操作。比如用户 A 能读某个文件,但不能改。
- 怎么管权限:系统用规则控制。比如管理员设置用户只能看自己部门的文件。
主体和客体的关系
- 主体是操作的人或程序,客体是被操作的东西。
- 同一个东西可能变主体或客体。比如用户 A 读文件时是主体,但别人查用户 A 的账户时,用户 A 的账户就成了客体。