5.4 強制訪問控制

5.4.1 訪問控制策略

網絡強制訪問控制策略應包括策略控制下的主體、客體，及由策略覆蓋的被控制的主體與客體間的操作。可以有多個訪問控制安全策略，但它們必須獨立命名，且不能相互沖突。當前常見的強制訪問控制策略有：

a) 多級安全模型：基本思想是，在對主、客體進行標記的基礎上，SSOIS控制范圍內的所有主體對客體的直接或間接的訪問應滿足：

——向下讀原則：僅當主體標記中的等級分類高于或等于客體標記中的等級分類，且主體標記中的非等級類別包含了客體標記中的全部非等級類別，主體才能讀該客體；

——向上寫原則：僅當主體標記中的等級分類低于或等于客體標記中的等級分類，且主體標記中的非等級類別包含于客體標記中的非等級類別，主體才能寫該客體；

b) 基于角色的訪問控制（BRAC）：基本思想是，按角色進行權限的分配和管理；通過對主體進行角色授予，使主體獲得相應角色的權限；通過撤消主體的角色授予，取消主體所獲得的相應角色權限。在基于角色的訪問控制中，標記信息是對主體的授權信息；

c) 特權用戶管理：基本思想是，針對特權用戶權限過于集中所帶來的安全隱患，對特權用戶按最小授權原則進行管理。實現特權用戶的權限分離；僅授予特權用戶為完成自身任務所需要的最小權限。

5.4.2 訪問控制功能

SSF應明確指出采用一條命名的強制訪問控制策略所實現的特定功能。SSF應有能力提供：

——在標記或命名的標記組的客體上，執行訪問控制SFP；

——按受控主體和受控客體之間的允許訪問規則，決定允許受控主體對受控客體執行受控操作；

——按受控主體和受控客體之間的拒絕訪問規則，決定拒絕受控主體對受控客體執行受控操作。

5.4.3 訪問控制范圍

網絡強制訪問控制的覆蓋范圍分為：

a) 子集訪問控制：對每個確定的強制訪問控制，SSF應覆蓋信息系統中由安全功能所定義的主體、客體及其之間的操作；

b) 完全訪問控制：對每個確定的強制訪問控制，SSF應覆蓋信息系統中所有的主體、客體及其之間的操作，即要求SSF應確保SSC內的任意一個主體和任意一個客體之間的操作將至少被一個確定的訪問控制SFP覆蓋。

5.4.4 訪問控制粒度

網絡強制訪問控制的粒度分為：

a） 中粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級；

b） 細粒度：主體為用戶級，客體為文件、數據庫表級和/或記錄、字段級和/或元素級。

5.4.5 訪問控制環境

a) 單一安全域環境：在單一安全域環境實施的強制訪問控制應在該環境中維持統一的標記信息和訪問規則。當被控客體輸出到安全域以外時，應將其標記信息同時輸出；

b) 多安全域環境：在多安全域環境實施統一安全策略的強制訪問控制時，應在這些安全域中維持統一的標記信息和訪問規則。當被控制客體在這些安全域之間移動時，應將其標記信息一起移動。