2.4.3  強制訪問控制模型

強制訪問控制( Mandatory Access Control，MAC)是指用戶與文件都有一個固定的安全屬性，系統用該安全屬性來決定一個用戶是否可以訪問某個文件。安全屬性是強制性的規定，它由安全管理員或操作系統根據限定的規則確定，用戶或用戶的程序不能加以修改。系統通過比較客體和主體的安全屬性來決定主體是否可訪問客體。如果系統認為具有某一個安全屬性的用戶不適于訪問某個文件，那么任何人（包括文件的擁有者）都無法使該用戶具有訪問該文件的權力。

在自主訪問控制方式中，某一合法用戶可以任意運行一程序來修改他擁有的文件存取控制信息，而操作系統無法區分這種修改是用戶自己的操作，‘還是惡意攻擊的特洛伊木馬的非法操作。通過強加一些不可逾越的訪問限制，系統可以防止某些類型的特洛伊木馬的攻擊。 在強制訪問控制方式中，系統對主體和客體都分配一個特殊的安全屬性，而且這一屬性一般不禽邕更改，系統通過比較主體和客體的安全屬性來決定一個主體是否能夠訪問某個客體，用戶的程序不禽邕改變他自己及任何其他客體的安全屬性。強制訪問控制還可以阻止某個進程共享文件，并阻止通過一個共享文件向其他進程傳遞信息。

強制訪問控制比自主訪問控制具有更高的安全性，能有效防范特洛伊木馬，也可以防止在用戶無意或不負責任的操作時泄露機密信息，適用于專用或安全性要求較高的系統。但是這種機制也使用戶自己受到限制，例如，在用戶共享數據方面不靈活。因此，保護敏感信息一般使用MAQ需對用戶提供靈活的保護，更多地考慮共享信息時，使用DAC。