CISSP的成长之路（二十五）：数据访问控制方法（1）

CISSP的成长之路（二十五）：数据访问控制方法（1）

在CISSP的成长之路的上一篇文章《分布式访问控制方法》，J0ker给大家介绍了用于控制用户资源访问的几种分布式访问控制方法。在实际的应用中，我们往往还需要对数据和信息进行更为细致的访问控制，比如，企业需要允许财务部门访问今年上半年的企业详细财务报告，但同时应该拒绝其他部门访问，之前介绍过的集中式或分布式访问控制方法就不太合适应用在这种场景中，这时候，我们就要用到下面提到的几种数据访问控制方法。

　　在CISSP的成长之路的上一篇文章《分布式访问控制方法》，J0ker给大家介绍了用于控制用户资源访问的几种分布式访问控制方法。在实际的应用中，我们往往还需要对数据和信息进行更为细致的访问控制，比如，企业需要允许财务部门访问今年上半年的企业详细财务报告，但同时应该拒绝其他部门访问，之前介绍过的集中式或分布式访问控制方法就不太合适应用在这种场景中，这时候，我们就要用到下面提到的几种数据访问控制方法。

　　在CISSP的CBK中介绍了目前最为常用的5种数据访问控制方法：自主式访问控制(Discretionary Access Control, DAC)、强制访问控制(Mandatory Access Control, MAC)、基于角色的访问控制(Role Based Access Control, RBAC)、基于内容的访问控制(Content Based Access Control， CBAC)和固定界面访问控制(Constrained Interface Access Control, CIAC)。J0ker将在本文和下一个文章中逐个介绍这些数据访问控制方法：

　　自主式访问控制：自主式访问控制是一种根据用户标识和/或用户所属的组别，对文件及其他系统资源访问进行控制的访问控制方法，由于它主要进行访问控制操作的标准主要基于用户标识和权限分配，此外用户权限的分配是由数据的所有者实施的，因此通常我们也认为DAC也是一种基于访问策略的访问控制方法，这点也是DAC与下面将要提到的MAC最大的区别。在实践中，自主式访问控制通常是通过访问控制矩阵(Access Control Matrix，ACM)和访问控制列表(Access Control List, ACL)来实现的：

　　我们知道，在计算机和网络系统中，数据和信息的组织形式最多的还是基于文件结构(File Structure)形式，也即数据和信息存储在文件中，而文件则根据一定的分类规则来分到不同的文件夹(目录)中。数据和信息的这种组织形式，使得我们能够很方便的决定某个用户对某个集合(文件或文件夹)的信息有什么样的访问权限，与此同时，其他的用户对这个信息集合有什么样的访问权限，在大多数的操作系统和网络系统中，常常设置以下几种数据访问权限：