一文读懂敏感标记和强制访问控制，让你恍然大悟。

点击上方蓝字关注我们

强制访问控制（Mandatory AccessControl——MAC）与自主访问相比，MAC提供更严格和灵活的控制方式。MAC首先为所控制的主体和客体指派安全标记，然后依据这些标记进行访问。并且，只有主体标记能支配客体标记时才允许主体访问。

标记是由等级和范围构成，标记是可以比较的，其比较结果的含义是代表了数据的敏感程度。可以根据敏感度将数据分为如下等级：机密、秘密和普通。安全管理员可以给用户授予标记权限，以决定用户可以何种形式（读或写）访问想要访问的数据。当表中的数据被标记标识后，只有用户被授予了访问该标记的权限后，可以读取到或者写该数据。当数据具有多个数据标记时，用户必须具有所有标记的权限才可以访问该数据。

强制访问控制用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说，在强制访问控制下，用户（或其他主体）与元组（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该元组。强制访问控制三个要素：数据标记、用户的会话标记和用户的特权。

• 不上读（NRU），主体不可读安全级别高于他的数据；
• 不下读（NRD），主体不可读安全级别低于他的数据
• 不上写（NWU），主体不可写安全级别高于他的数据。
• 不下写（NWD），主体不可写安全级别低于他的数据。

强制访问规则，分为读访问规则和写访问规则，其中：

读访问规则：

1. 数据标记的等级必须小于等于用户的当前读标记等级；

2. 用户会话读标记必须包含数据标记中的所有范围。

写访问规则：

1. 数据标记的等级必须小于等于用户的当前写标记等级；

2. 数据标记的等级必须大于等于用户的最小等级；

3. 用户的会话写标记必须包含数据标记中的所有范围。

原文始发于微信公众号（网络安全与等保测评）：一文读懂敏感标记和强制访问控制，让你恍然大悟。