2.4.1訪問控制模型的基本概念

一個信息系統在進行安全設計和開發時，必須滿足某一給定的安全策略，即有關管理、 保護和發布敏感信息的法律、規則和實施細則。如，將系統的用戶和信息劃分為不同的等級，用戶能讀信息，當且僅當用戶的等級高于或等于信息的等級；用戶能寫信息，當且僅當用戶等級低于或等于信息的等級。

訪問控制模型是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，可以是非形式化的，也可以是形式化的，它綜合了各種因素，包括系統的使用方式、使用環境、授權的定義、共享的資源和受控思想等。訪問控制模型通過對主體的識別來限制對客體的訪問權限，具有以下三個特點：

◇精確的、無歧義的；

◇簡單的、抽象的，容易理解；

◇只涉及安全性質，不過多牽扯系統的功能或其實現細節。

主體是使信息在客體間流動的一種實體。通常，主體是指人、進程或設備等，例如對文件進行操作的用戶是一種主體；用戶調度并運行的某個進程也是一種主體；調度一個例程的設備也是一種主體。在計算機系統中，用戶首先在系統中注冊，，然后啟動某一進程并使該進程為用戶完成某項工作，該進程繼承了啟動它’的用戶的屬性，如訪問權限等，這時，與用戶相對應的進程也是一種主體。

客體是一種信息實體，或者是從其它主體或客體接收信息的實體。通常，數據塊、存儲頁、文件、目錄、程序等都屬于客體。在系統中，文件是一個處理單位的最小信息集合，每一個文件就是一個客體，如果每個文件還可以分成若干小塊，而每個小塊又可以單獨處理，那么每個小塊也是一個客體。