DAC
DAC 是基于身份的访问控制。DAC 机制由用户身份(如用户名和密码)控制。DAC 具有自由裁量权,因为所有者可以将对象或任何经过验证的信息转让给其他用户。简单地说,所有者可以决定访问权限。
DAC的属性
- 用户可将其对象所有权转让给其他用户。
- 用户可以决定其他用户的访问类型。
- 授权失败会限制用户在多次尝试失败后的访问权限。
- 未经授权的用户对文件大小、目录路径和文件名等对象特征视而不见。
示例:允许使用 Linux 文件操作系统就是 DAC 的一个示例。
MAC
MAC 中的操作系统将根据用户的身份和数据为其提供访问权限。要获得访问权,用户必须提交个人信息。它非常安全,因为规则和限制都是由管理员制定并严格遵守的。MAC 设置和策略管理将建立在安全的网络中,仅限于系统管理员。
MAC的属性
- MAC 策略有助于减少系统错误。
- 它具有更严格的安全性,因为只有管理员才能访问或更改控制。
- MAC 有一个强制执行的操作系统,可以对输入的应用数据进行标记和划分。
- 维护困难,因为只有管理员才能访问数据库。
示例:普通用户、管理员和访客的窗口访问级别是 MAC 的一些示例。
DAC 和 MAC 的区别 :
| DAC | MAC |
|---|---|
| DAC 代表全权访问控制(Discretionary Access Control)。 | MAC 代表强制访问控制。 |
| DAC 比较容易实现。 | MAC 难以实施。 |
| DAC 使用起来不那么安全。 | MAC 更安全。 |
| 在 DAC 中,所有者可以决定访问权限和特权,并可根据用户身份限制资源。 | 而在 MAC 中,系统只能决定访问权限,资源将根据主体的权限受到限制。 |
| DAC 具有额外的劳动密集型特性。 | MAC 没有劳动密集型属性。 |
| 用户将根据其身份而不是使用级别获得访问权。 | 用户将根据其权力和级别受到限制。 |
| DAC 具有高度灵活性,没有规章制度。 | MAC 缺乏灵活性,因为它有许多严格的规则和条例。 |
| DAC 完全信任用户。 | MAC 只信任管理员。 |
| 决策只基于用户 ID 和所有权。 | 决策将基于对象和任务,它们可以有自己的 ID。 |
| 信息流无法控制。 | 信息流很容易控制。 |
| 商业 DBMS 支持 DAC。 | 商业 DBMS 不支持 MAC。 |
| DAC 可应用于所有领域。 | MAC 可应用于军事、政府和情报领域。 |
| DAC 易受特洛伊木马攻击。 | MAC 可防止病毒从高层流向低层。 |
