CISSP的成长之路（二十五）：数据访问控制方法（5）

CISSP的成长之路（二十五）：数据访问控制方法（5）

　　针对数据库的访问控制：

　　随着数据库技术在企业的广泛应用，数据这个概念已经不只是存储在企业系统或网络内的文件这么简单，企业数据库同样也会存储很多高价值的信息，如银行数据库内存储的用户账户信息，医疗机构数据库内存储的病人信息等。因为这些数据的存储和组织形式和标准的文件目录形式不同，因此，传统的文件访问控制方式不能直接运用到数据库上。目前针对数据库的访问控制模式由两个部分组成：首先是连接性控制，用户在连接到数据库之前，需要进行特定的用户身份验证;其次是控制数据库中的哪些数据可以为用户访问到，这可以通过控制用户的数据视图(View)来实现。尽管针对数据库的访问控制使用到了访问控制CBK中的许多基础技术，但关于数据库安全的更多话题却是在下一个CBK——应用程序安全提到，J0ker到时将会更详细的给大家介绍。

　　基于内容的访问控制：

　　基于内容的访问控制，是比基于文件目录、基于数据更为高级也更为细致的访问控制方法，其控制策略取决于被访问对象的数据内容，所以，在使用基于内容的访问控制之前，需要提供以下几个关键的属性：

　　被访问目标的基本信息

　　为了提高访问控制的有效性，有时需要对被访问目标增加一个额外的标签，被访问目标的内容也需要经过复审

　　记录内容，并和符合现有策略的另一个目标进行比较

　　能够进行基于内容的访问控制的工具，如一个使用字典单词检查的程序等

　　基于内容的一个最常见的例子是用于互联网网站的分级制度，通过对各种类型的网站进行分类和标记，用户程序可以方便的限制或允许对某类网站的访问。如在许多企业中，不允许在上班时间访问娱乐网站，企业管理员只需要通过策略设置不允许访问标记为“娱乐“的网站即可。目前互联网网站分级采用的是W3C理事会发布的互联网内容选择平台(PICS)标准，所有支持PICS标准的程序都能够根据互联网网站的PICS设置，来对网站的访问进行控制。

　　强制用户界面(Constrained User Interface)：强制用户界面也是应用较广的一种访问控制方式。强制用户界面控制的原理是，通过用户界面和接口限制用户能够访问到的功能、信息和接口，来控制访问者对特定资源的访问能力。如我们经常看到的应用程序中的灰色不能点击按钮，就属于强制用户界面，另外，遍布在公共查询场所的自动查询机也是强制用户界面的一个应用实例，它通过一个固定的界面，限制使用者只能访问和查询特定的内容。