CISSP的成长之路（二十五）：数据访问控制方法（2）

CISSP的成长之路（二十五）：数据访问控制方法（2）

　　权限描述

　　无权限或空(Null)该权限的用户无法对指定的文件和资源进行任何类型的访问

　　读(Read，r)用户可以对指定的文件和资源进行读操作，但不能进行变更操作

　　写(Write，w)用户可以对指定的文件和资源进行写操作，如进行编辑等

　　执行(Execute, x)用户可以执行指定的程序

　　删除(Delete， d)用户可以删除指定的文件和资源

　　变更(Change，c)用户可以对指定的文件和资源进行读、写和删除操作，但不能改变它的访问权限设置

　　完全控制(Full Control, f)用户对指定的文件和资源有完全的权限，可以读、写、删除、执行和改变该资源的访问权限设置

　　自主式访问控制最为重要的特征是资源所有制(Resource Ownership)，在某些操作系统中，数据的创建者默认就是数据的所有者。数据的所有者除了拥有该数据的完全控制权限外，还能够对数据的访问控制权限进行设置，如果某个用户不是指定数据的所有者，那他就最多只能操作该数据对象，而不能修改该数据对象的访问控制设置。在一些组织中，系统管理员被默认为所有文件的所有者，系统管理员统一为组织中的用户分配访问权限，这种策略的缺陷主要在于系统管理员可能拥有太大的权限，了解太多他本来不应该了解的信息，因此，提供访问权限的共享控制能够在一定程度上提高数据的安全性。

　　自主式访问控制在操作系统和网络系统中的表现形式就是访问控制矩阵和访问控制列表，每个用户和每个访问目标之间的关系通过一个矩阵列出，用户为行、访问目标为列，每一行列的交点就是该用户对访问目标的权限，下图是一个简单的访问控制矩阵示例：

　　表2： 访问控制矩阵示例

　　Mary的文件夹Bob的文件夹Bruce的文件夹打印机01

　　Mary完全控制写写执行

　　Bob读完全控制写执行

　　Bruce无权限写完全控制执行

　　Sally无权限无权限无权限无权限

　　如果是用户和数据的数量非常多，系统需要维护一个巨大的访问控制矩阵，在多个用户同时发起访问请求的时候，将会对系统造成资源的很大开销。因为自主式访问控制是根据访问用户的标识进行的判断的，所以，我们可以设定某些用户允许访问某个数据，并要求系统只在该数据被访问到的时候根据用户允许列表来判读用户是否有权限，这便是访问控制列表的原理。访问控制列表可以看作是访问控制矩阵的简化版，提供了一个控制一个或一组用户对特定数据访问的更简便方法。