什么是强制访问控制？

强制访问控制的定义

强制访问控制（MAC）是一种集中式的访问控制系统。根据用户的权限等级以及他们试图访问的对象的属性来管控对资源的访问。

MAC以其高度的安全性而著称。各组织都依赖它来进行保护工作。对于敏感数据来说，有必要限制网络攻击的风险，同时满足金融或医疗保健等领域中的监管要求。不过，MAC系统并不注重灵活性。它是一个由中央机构管理的、相对固定的系统。如果灵活性非常重要，那么采用自主管理的系统可能更为合适。

通过强制性的控制措施，用户可以根据他们的职位和角色获得不同的授权级别。管理员可以根据安全需求，为数据或应用程序分配不同的敏感等级。继续阅读以了解更多信息：

• 强制访问控制是如何工作的？
• 强制访问控制的优势
• 与MAC相关的挑战/难题
• 强制访问控制的应用场景

强制访问控制是如何工作的呢？

强制访问控制是一种……基于安全标签的集中式管理访问系统我们将其称为“强制性”规定，因为网络上的这些规定是必须遵循的。用户在共享访问权限或管理访问权限方面几乎没有自由可言。

管理员可以通过中央控制面板来设定权限级别和用户组。他们通过为各种对象创建安全标签，以及为网络用户分配不同的权限等级来实现这一目标。

安全标签包含两个组成部分：许可等级以及安全类别。

清除水平

强制访问系统为每位用户分配一个权限级别。这种分类方式告诉操作系统是否允许访问敏感数据。用户必须拥有与所试图访问的对象相关的权限。如果没有这些权限，那么访问就会被拒绝。

安全等级/类别

管理员还可以……将物品分类为不同的安全等级。例如，属于安全级别5的机密数据可以被分配给某个特定项目。在这种情况下，拥有五级权限的用户可以访问这些数据。不过，他们必须是该项目的成员才行。对于没有加入该项目的用户来说，系统会拒绝他们访问这些数据。

使用安全标签可以提升MAC的细化程度。管理员可以创建安全组，从而阻止那些试图未经授权访问数据的用户。

这就是了。在数据安全性至关重要的场景中，它非常有用。例如，在政府环境中，诸如“机密信息”、“受限制信息”以及“绝密信息”这样的术语非常常见。在这些环境中，保密性是最重要的考虑因素。

强制访问控制的好处

强制访问控制也有其优缺点。它对于某些组织来说更为适用。强制访问控制的重要优势包括：

提升了安全性和数据保护能力

系统管理员可以在网络上的任何位置为这些对象设置访问权限。没有足够权限的用户无法访问这些对象。此外，通过与他人共享凭据来获取访问权限也是不可行的。

防止未经授权的访问，并减少数据泄露的风险。

通过中央化的权限管理，可以有效降低数据泄露的风险。攻击者无法利用那些在自主访问控制系统中常见的多种访问途径来发起攻击。

遵守数据保护标准

根据PCI-DSS等行业规范，MAC被推荐作为数据加密工具。处理金融数据的公司更倾向于采用强制性的控制措施，以保护持卡人数据或保险客户信息等敏感信息的安全。

对于系统管理员来说，有清晰的可见性。

集中式的访问控制方式使得追踪哪些用户能够访问网络资源变得更加容易。不过，对于那些需要灵活配置的系统来说，这种情况可能会成为一个问题，因为这样的系统很难进行大规模的控制。

强制访问控制所面临的挑战与局限性

在选择访问控制系统时，安全团队需要权衡各种利弊。强制访问控制可能带来的限制包括：

复杂性以及实施过程中存在的问题

随着用户群体的不断增加，管理员在维护MAC系统方面面临着巨大的挑战。安全团队必须确保权限信息保持最新状态，并且能够准确反映用户的角色。此外，他们还需要及时为新员工分配权限，同时立即删除那些离职员工的记录。

对用户灵活性和生产力的影响

当用户试图访问数据时，必须提供自己的认证信息。这在使用像Linux或Windows这样的操作系统时可能会成为一个大问题。用户无法自行更改他们的访问设置。只有系统管理员才能通过安全内核来修改这些设置。这种限制访问的方式会减慢数据流的传输速度，从而影响工作效率。

对内部威胁的防护能力较弱

强制访问控制确实能够有效防范多种攻击。不过，它仍然容易受到内部人员的威胁。那些拥有管理权限的用户可以绕过这些控制措施，或者向外部人员授予访问权限。因此，单纯的权限等级并不能完全保护系统免受内部人员的攻击。

实施强制访问控制

MAC的实施过程各不相同，但通常会遵循类似的模板。

1. 中央管理员负责定义各种安全分类和群组（例如项目或部门）。这些分类和群组构成了每个安全标签的基础。
2. 管理员为每个对象分配安全属性。每个安全标签都包含了一个权限级别以及相应的安全类别。
3. 每个用户账户都会被分配与其角色相匹配的安全属性。这些属性包括权限以及所属的组信息。
4. 当用户访问某个对象时，操作系统会将其凭据与MAC数据库进行比对。如果用户的凭据符合相关条件，系统就会允许其访问该对象；反之，系统则会拒绝访问，或者要求用户提供额外的认证信息。

当组织实施强制访问控制时，遵循安全最佳实践是非常重要的。如果配置不当，就会影响到访问权限的分配和角色分配。此外，这种配置方式还会导致访问系统的性能下降，从而使得网络的使用变得更加困难。

需要考虑的最佳实践/建议

创建清晰且相关的安全标签

标签上应明确标注所需的权限级别。同时，还需要注明资源在访问系统中的分类信息。同时，要明确定义用户组或角色。确保只有合适的用户被分配到相应的组中。

请选择合适的分类系统。

MAC系统涉及不同的权限等级划分，用户和对象也都有相应的分类。例如，文件可以被归类为“公开”、“机密”、“绝密”或“最高机密”。同一组用户拥有相同的权限等级。同时，需要注意为各个对象分配正确的分类标签。

请说明该系统的工作原理。

这些权限层级结构应该让网络用户能够理解。那些在军事或情报机构中才具有意义的术语，显然并不适用于信用卡公司。请详细说明这些术语在安全政策中的含义，以便所有用户都能理解。

测试访问系统

请不要认为，安全标签就等同于顺畅的访问控制。必须确保那些没有所需权限的用户无法访问相关资源。同时，也要确保合法用户能够轻松访问资源，而不会受到不必要的干扰。

实际中强制访问控制的应用示例

强制访问控制在多层次安全系统中非常有用。它们在分层化的环境中表现良好。这种环境涉及到不同级别的用户，这些用户拥有不同的安全权限。

这与那些在相同的许可级别下应用规则集的多边安全系统形成了对比。像自主访问控制这样的多边解决方案，在需要快速且易于使用的场景中非常有效。不过，它们在保障数据安全性方面则效果较差。

在小型企业或消费领域中，MAC这种技术其实相当罕见。不过，它确实有一些重要的应用场景。

• 政府、军队以及情报机构这些组织采用强制性的控制措施来实施严格的权限管理。政府机构负责处理大量需要保护的机密数据，但这些数据也必须能够被员工访问。MAC技术使得这一需求得以实现。管理员可以设定各种分类标准，同时让需要使用这些机密数据的用户能够安全地连接到相关数据。
• 企业及其他私人组织大型企业和组织通常使用MAC技术来保护客户数据。例如，MAC技术可以帮助保险和银行类企业限制能够访问财务信息的用户数量。这样就能降低数据泄露以及声誉受损的风险。

混合型的强制访问与自主访问系统非常常见。例如，一家公司可以通过Linux安全内核来实施MAC机制，从而限制用户访问敏感资源。不过，用户仍然可以轻松地使用其他控制手段来浏览网络中的其他内容。

强制访问控制就是如此。一种由中央机构管理的访问系统MAC为每个网络用户分配一个安全等级。同时，它还会为网络上的各种对象分配诸如权限级别和组身份等安全属性。拥有正确安全凭证的用户可以访问受保护的对象。如果不符合条件，那么访问将被拒绝。

MAC技术既安全又可靠。因此，它在高安全性环境中被广泛应用。不过，这种工具会带来一定的管理负担，且使用起来并不方便。此外，大规模使用它时也会面临一些操作上的困难。