自主访问控制（DAC）与强制访问控制（MAC）的原理是什么，区别在哪里？各有什么优缺点？

自主访问控制与强制访问控制的区别~

一、类型不同
1、自主访问控制：由《可信计算机系统评估准则》所定义的访问控制中的一种类型。
2、强制访问控制：在计算机安全领域指一种由操作系统约束的访问控制。
二、目的不同
1、自主访问控制：根据主体（如用户、进程或 I/O 设备等）的身份和他所属的组限制对客体的访问。
2、强制访问控制：目标是限制主体或发起者访问或对对象或目标执行某种操作的能力。


三、特点不同
1、自主访问控制：由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。
2、强制访问控制：每当主体尝试访问对象时，都会由操作系统内核强制施行授权规则——检查安全属性并决定是否可进行访问。任何主体对任何对象的任何操作都将根据一组授权规则（也称策略）进行测试，决定操作是否允许。

参考资料来源：百度百科-强制访问控制
参考资料来源：百度百科-自主访问控制

你是在上网络与系统安全吧

是复制的。学习下

自主访问控制（DAC）是一个接入控制服务，它执行基于系统实体身份和它们的到系统资源的接入授权。这包括在文件，文件夹和共享资源中设置许可。

强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问控制（MAC）的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击。

强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。

强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级（Top Secret），秘密级（Secret），机密级（Confidential）及无级别级（Unclassified）。其级别为T>S>C>U，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括：

下读（read down）：用户级别大于文件级别的读操作；

上写（Write up）：用户级别小于文件级别的写操作；

下写（Write down）：用户级别等于文件级别的写操作；

上读（read up）：用户级别小于文件级别的读操作；

图8.1 Bell-Lapadula安全模型

依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性。见图8.1。即不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。

依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。见图8.2。在实际应用中，完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。

图8.2 Biba安全模型

MAC通常用于多级安全军事系统。

强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效。一般强制访问控制采用以下几种方法：

（1）限制访问控制。

一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。MAC可以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。

（2）过程控制

在通常的计算机系统中，只要系统允许用户自己编程，就没办法杜绝特洛伊木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本身执行与否。

（3）系统限制

要对系统的功能实施一些限制。比如，限制共享文件，但共享文件是计算机系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除的。

---

武川县19545411750： 自主访问控制与强制访问控制的区别 - ？
廖松暖胃： 自主访问控制又称自主存取控制(DAC :Discretionary Access Control ):同一用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,用户还可将其拥有的存取权限转授给其他用户.强制访问控制又称强制存取控制(MAC : Mandatory Access Control ):每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证,对于任意一个对象,只有具有合法许可证的用户才可以存取.两者区别:DAC的数据存取权限由用户控制,系统无法控制;MAC安全等级由系统控制,不是用户能直接感知或进行控制的.

武川县19545411750： blp模型中的dac,mac是如何实现的 - ？
廖松暖胃： 是复制的.学习下 自主访问控制(DAC)是一个接入控制服务,它执行基于系统实体身份和它们的到系统资源的接入授权.这包括在文件,文件夹和共享资源中设置许可. 强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策.

武川县19545411750： windows系统实现安全机制的基本手段有哪些 - ？
廖松暖胃： 1.标识、鉴别及可信通路机制 用于保证只有合法用户才能以系统允许的方式存取系统中的资源.用户合法性检查和身份认证机制通常采用口令验证或物理鉴定(如磁卡或IC卡、数字签名、指纹识别、声音识别)的方式.而就口令验证来讲,系统...