cissp访问机制

  能力表(Capability tables)：作为基于角色的访问控制方法用来控制用户权限的后台部分，能力表存储了用户可以如何操作特定数据的保护标识。能力表往往表现成授权表格的形式，它由三部分所组成：访问者、数据、访问权限，能力表的列描述了访问者对表中所有数据的访问权限，而能力表的列则描述了访问控制和访问者按照其授权对特定数据的访问权限。

  针对数据库的访问控制：随着数据库技术在企业的广泛应用，数据这个概念已经不只是存储在企业系统或网络内的文件这么简单，企业数据库同样也会存储很多高价值的信息，如银行数据库内存储的用户账户信息，医疗机构数据库内存储的病人信息等。

  因为这些数据的存储和组织形式和标准的文件目录形式不同，因此，传统的文件访问控制方式不能直接运用到数据库上。目前针对数据库的访问控制模式由两个部分组成：首先是连接性控制，用户在连接到数据库之前，需要进行特定的用户身份验证;其次是控制数据库中的哪些数据可以为用户访问到，这可以通过控制用户的数据视图(View)来实现。

  尽管针对数据库的访问控制使用到了访问控制CBK中的许多基础技术，但关于数据库安全的更多话题却是在下一个CBK——应用程序安全提到，J0ker到时将会更详细的给大家介绍。

  基于内容的访问控制：基于内容的访问控制，是比基于文件目录、基于数据更为高级也更为细致的访问控制方法，其控制策略取决于被访问对象的数据内容。

  所以，在使用基于内容的访问控制之前，需要提供以下几个关键的属性：被访问目标的基本信息，为了提高访问控制的有效性，有时需要对被访问目标增加一个额外的标签，被访问目标的内容也需要经过复审、记录内容，并和符合现有策略的另一个目标进行比较。

  能够进行基于内容的访问控制的工具，如一个使用字典单词检查的程序等 　　基于内容的一个最常见的例子是用于互联网网站的分级制度，通过对各种类型的网站进行分类和标记，用户程序可以方便的限制或允许对某类网站的访问。