您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
等保2.0下,強(qiáng)制訪問(wèn)控制技術(shù)大起底
等保2.0關(guān)于強(qiáng)制訪問(wèn)控制的規(guī)定
1.1. 強(qiáng)制訪問(wèn)控制要求
等保2.0標(biāo)準(zhǔn)在2018年四季度提交國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)報(bào)批,并已在2019年5月正式出臺(tái)。等保標(biāo)準(zhǔn)中對(duì)計(jì)算環(huán)境的訪問(wèn)控制做了詳細(xì)要求,下面表格中列出了等保2.0對(duì)訪問(wèn)控制的要求,黑色字體表示是針對(duì)上一安全級(jí)別增強(qiáng)的要求。
在等級(jí)保護(hù)體系中,級(jí)別越高,對(duì)安全性要求越高。
在三級(jí)等保系統(tǒng)中,要求對(duì)重要的主體、客體采用強(qiáng)制訪問(wèn)控制機(jī)制。
在四級(jí)等保系統(tǒng)中,要求對(duì)所有的主體、客體采用強(qiáng)制訪問(wèn)控制機(jī)制。
等保2.0在原來(lái)基礎(chǔ)上,擴(kuò)展了對(duì)工控系統(tǒng)、大數(shù)據(jù)、云計(jì)算等領(lǐng)域的安全要求。工控系統(tǒng)中很多是涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施(比如:發(fā)電控制系統(tǒng)、、軌道交通控制系統(tǒng)、自來(lái)水控制系統(tǒng)、石油石化生產(chǎn)控制系統(tǒng)等),定級(jí)一般比較高,必須采用強(qiáng)制訪問(wèn)控制機(jī)制來(lái)保證系統(tǒng)的安全性。
1.2. 強(qiáng)制訪問(wèn)控制系統(tǒng)結(jié)構(gòu)
在等保2.0的設(shè)計(jì)技術(shù)要求中,強(qiáng)制訪問(wèn)控制機(jī)制的系統(tǒng)結(jié)構(gòu)如下圖所示:
強(qiáng)制訪問(wèn)控制系統(tǒng)的工作流程說(shuō)明:
初始化:管理員根據(jù)需求確定強(qiáng)制訪問(wèn)控制策略,對(duì)主體、客體進(jìn)行安全標(biāo)記。
啟動(dòng):系統(tǒng)啟動(dòng)時(shí),加載主體、客體安全標(biāo)記以及訪問(wèn)控制規(guī)則表,并對(duì)其進(jìn)行初始化。
訪問(wèn)控制:當(dāng)執(zhí)行程序主體發(fā)出訪問(wèn)客體的請(qǐng)求后,系統(tǒng)安全機(jī)制截獲該請(qǐng)求,并從中取出訪問(wèn)控制相關(guān)的主體、客體、操作三要素信息,然后查詢主體、客體安全標(biāo)記,得到安全標(biāo)記信息,并依據(jù)強(qiáng)制訪問(wèn)控制策略對(duì)該請(qǐng)求實(shí)施策略符合性檢查。如果該請(qǐng)求符合系統(tǒng)強(qiáng)制訪問(wèn)控制策略,則系統(tǒng)將允許該主體執(zhí)行資源訪問(wèn)。否則,該請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。
級(jí)別調(diào)整:管理員可以根據(jù)需要進(jìn)行級(jí)別調(diào)整,級(jí)別調(diào)整后,相關(guān)信息及時(shí)更新到訪問(wèn)控制內(nèi)核。
審計(jì):所有安全配置的修改調(diào)整及主體對(duì)客體的訪問(wèn)信息都支持進(jìn)行日志審計(jì)。
強(qiáng)制訪問(wèn)控制的歷史
訪問(wèn)控制是一種很古老又很有效的計(jì)算機(jī)安全解決方案,也是最直觀最自然的一種方案,直到目前還是絕大多數(shù)系統(tǒng)的基礎(chǔ)必配策略。信息安全問(wèn)題一般歸結(jié)為三大類(lèi):信息保密性(Confidentiality)、信息完整性(Integrity)和信息可用性(Availability),簡(jiǎn)稱(chēng)CIA。訪問(wèn)控制主要是針對(duì)信息保密性和信息完整性問(wèn)題的解決方案。
上世紀(jì)60年代末,Lampson開(kāi)始對(duì)訪問(wèn)控制進(jìn)行正式定義并進(jìn)行形式化描述工作。他提出了主體和客體這兩個(gè)基本概念,并提出需要有一個(gè)訪問(wèn)矩陣來(lái)描述主體與客體之間的訪問(wèn)關(guān)系。
1973年,Bell和LaPadula將軍事領(lǐng)域的訪問(wèn)控制形式化為一套數(shù)學(xué)模型,即BLP模型,這個(gè)模型是一個(gè)類(lèi)似于政府文件分級(jí)管理策略的多極安全訪問(wèn)模型,側(cè)重于系統(tǒng)的保密性。
1977年,Biba對(duì)系統(tǒng)的完整性進(jìn)行了研究,提出了一種與BLP模型在數(shù)學(xué)上對(duì)偶的完整性保護(hù)模型,即BIBA模型。
同期,Boebert和Kain提出了DTE模型(Domain,Type,Entity),把主體分到不同的域(Domain),客體設(shè)定不同的類(lèi)型(Type),主體和客體都被稱(chēng)為實(shí)體(Entity),根據(jù)域和類(lèi)型綜合判斷進(jìn)行訪問(wèn)控制。
1983年,是訪問(wèn)控制模型標(biāo)準(zhǔn)化最有紀(jì)念意義的一年。這一年美國(guó)國(guó)防部提出了《計(jì)算機(jī)系統(tǒng)可信賴性評(píng)估標(biāo)準(zhǔn)》,即TCSEC,也稱(chēng)為橘皮書(shū)。該標(biāo)準(zhǔn)中詳細(xì)的定義了兩種軍事系統(tǒng)的訪問(wèn)控制模式:自主訪問(wèn)控制DAC(Discretionary Access Control)和強(qiáng)制訪問(wèn)控制MAC(Mandatory Access Control)。
DAC即自主訪問(wèn)控制,對(duì)象(一般指文件等)的屬主全權(quán)管理該對(duì)象的訪問(wèn)控制策略,有權(quán)讀取、修改、轉(zhuǎn)移對(duì)象信息,并且可以把這種權(quán)限轉(zhuǎn)移給其他主體。通常DAC使用ACL(訪問(wèn)控制列表)來(lái)控制主體對(duì)客體的訪問(wèn)權(quán)限。DAC的優(yōu)點(diǎn):非常簡(jiǎn)單,在一定程度上實(shí)現(xiàn)了多用戶的權(quán)限隔離和資源保護(hù)。DAC的缺點(diǎn):資源管理過(guò)于分散,給控制這個(gè)系統(tǒng)的安全造成很大不便;無(wú)法防范木馬攻擊,如果某個(gè)管理員登錄后帶進(jìn)來(lái)一個(gè)木馬程序,該木馬程序?qū)碛性摴芾韱T的全部權(quán)限。
MAC即強(qiáng)制訪問(wèn)控制,它可以彌補(bǔ)DAC在防范木馬型攻擊方面不足。在MAC系統(tǒng)中強(qiáng)制執(zhí)行訪問(wèn)控制策略,每一個(gè)主體(包括用戶和程序)和客體都擁有固定的安全標(biāo)記,主體能否對(duì)客體進(jìn)行相關(guān)操作,取決于主體和客體所擁有安全標(biāo)記的關(guān)系(如:安全標(biāo)記同為“機(jī)密”則可以執(zhí)行操作)。MAC的優(yōu)點(diǎn):可以防范木馬攻擊,木馬程序無(wú)法繼承該用戶的安全級(jí)別,必須按強(qiáng)制訪問(wèn)控制策略進(jìn)行相關(guān)訪問(wèn)。MAC的缺點(diǎn):適用于等級(jí)觀念明顯的行業(yè)(如軍隊(duì)等一些機(jī)要部門(mén))或安全性要求極高的系統(tǒng),適用范圍比較小;不夠靈活,易用性比較差。
BLP、BIBA和DTE都屬于MAC模型。
在上世紀(jì)80年代到90年代初這段時(shí)期,計(jì)算機(jī)越來(lái)越普及,在企業(yè)中很多權(quán)限是和職位或角色直接綁定的。于是,一些研究人員開(kāi)始將角色(Role)作為一個(gè)管理對(duì)象抽象出來(lái),這時(shí)角色被認(rèn)為是組織中的一個(gè)職位或位置。角色和用戶開(kāi)始分離,通過(guò)給用戶指定角色來(lái)獲得相應(yīng)的權(quán)限。
1992年,David Ferraiolo和Rick Kuhn合作提出了RBAC(Role-Based Access Control)模型,參見(jiàn)注【1】。在RBAC中,在用戶和訪問(wèn)權(quán)限之間引入角色的概念,用戶與特定的一個(gè)或多個(gè)角色相關(guān)聯(lián),角色與一個(gè)或多個(gè)訪問(wèn)許可權(quán)相關(guān)聯(lián),角色可以根據(jù)工作需要?jiǎng)?chuàng)建或刪除。
RBAC在2004年2月被美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)(ANSI)和IT國(guó)際標(biāo)準(zhǔn)委員會(huì)(INCITS)接納為ANSI INCITS 359-2004標(biāo)準(zhǔn)。RBAC在管理大型網(wǎng)絡(luò)應(yīng)用時(shí)表現(xiàn)出很強(qiáng)的靈活性和經(jīng)濟(jì)性,迅速成為當(dāng)前最具影響的高級(jí)訪問(wèn)控制模型。
現(xiàn)在隨著分布式計(jì)算等新興技術(shù)的快速發(fā)展,企業(yè)應(yīng)用大集成、應(yīng)用邊界逐漸消失,傳統(tǒng)的面向封閉環(huán)境的RBAC模型面臨著新的難題。比如:在業(yè)務(wù)數(shù)據(jù)集成的場(chǎng)景,角色呈爆炸式增長(zhǎng),導(dǎo)致訪問(wèn)控制的配置復(fù)雜度也呈指數(shù)式提升,RBAC要隨需求的變化不斷進(jìn)行策略的變更維護(hù),工作量巨大且很難保證及時(shí)性,也無(wú)法保證數(shù)據(jù)被安全訪問(wèn)。一種新型的基于屬性的訪問(wèn)控制技術(shù)ABAC(Attribute-Based Access Control)隨之誕生,這也是目前關(guān)于訪問(wèn)控制方面的最新研究方向。
可以看出,訪問(wèn)控制技術(shù)始終在隨著計(jì)算機(jī)技術(shù)一起發(fā)展。早期的計(jì)算機(jī)非常昂貴,主要應(yīng)用于軍事、金融等特殊應(yīng)用場(chǎng)景,當(dāng)時(shí)訪問(wèn)控制技術(shù)也比較嚴(yán)格,以MAC模型為主。隨著計(jì)算機(jī)在企業(yè)的廣泛應(yīng)用,針對(duì)企業(yè)內(nèi)按角色分配權(quán)限的場(chǎng)景,RBAC模型成為主流。現(xiàn)在,分布式計(jì)算、云服務(wù)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)逐漸得到廣泛應(yīng)用,對(duì)訪問(wèn)控制的靈活性要求越來(lái)越高,ABAC模型成為大家研究的焦點(diǎn)。
強(qiáng)制訪問(wèn)控制模型和標(biāo)記技術(shù)
3.1. 基本概念
強(qiáng)制訪問(wèn)控制機(jī)制的核心是為主體、客體做標(biāo)記,根據(jù)標(biāo)記的安全級(jí)別,參照策略模型決定訪問(wèn)控制權(quán)限,保證數(shù)據(jù)的單向流動(dòng)。
客體(Objects),是一種既包含有信息,又可以被訪問(wèn)的實(shí)體(文件、目錄、記錄、程序、網(wǎng)絡(luò)節(jié)點(diǎn)等)。
主體(Subjects),是一種可以操作客體,使信息在客體之間流動(dòng)的實(shí)體(進(jìn)程或用戶)。通常,主體同時(shí)也是一個(gè)客體。因?yàn)楫?dāng)一個(gè)程序存放在內(nèi)存或硬盤(pán)上時(shí),那么它就與其它數(shù)據(jù)一樣被當(dāng)作客體,可供其它主體訪問(wèn),但當(dāng)這個(gè)程序運(yùn)行起來(lái)去訪問(wèn)別的客體,它就成為了主體。
安全標(biāo)記,可能是安全級(jí)別或者其他用于策略判斷的標(biāo)記,典型的安全級(jí)別從低到高包括:公開(kāi)(Unclassified)、秘密(Confidential)、機(jī)密(Secret)、高密(Top Secret)。
3.2. BLP模型
強(qiáng)制訪問(wèn)控制模型中最經(jīng)典的是Bell和LaPadula提出的BLP模型,主要用于保證數(shù)據(jù)的機(jī)密性。該模型的核心規(guī)則是“不上讀、不下寫(xiě)”,即低級(jí)別不能讀取高級(jí)別的數(shù)據(jù),高級(jí)別不能修改低級(jí)別的數(shù)據(jù),保證數(shù)據(jù)只能從低級(jí)別往高級(jí)別流動(dòng)。該模型的示意圖如下:
BLP模型的來(lái)源是軍事安全策略,也受到美國(guó)國(guó)防部的特別推崇,是一種多級(jí)安全策略模型。
BLP模型的優(yōu)缺點(diǎn)分析:
3.3. Biba模型
和BLP完全對(duì)應(yīng)的另外一個(gè)經(jīng)典模型是Biba模型,主要用于保證數(shù)據(jù)的完整性,該模型的核心規(guī)則是“不下讀、不上寫(xiě)”,即低級(jí)別不能修改高級(jí)別的數(shù)據(jù),高級(jí)別不能讀取低級(jí)別的數(shù)據(jù),保證數(shù)據(jù)只能從高級(jí)別往低級(jí)別流動(dòng)。
Biba模型的優(yōu)缺點(diǎn)分析:
3.4. DTE模型
DTE是另外一種強(qiáng)制訪問(wèn)控制的模型,基于訪問(wèn)控制矩陣,通過(guò)增加域(Domain)和類(lèi)型(Type)的概念,達(dá)到分域分類(lèi)型控制的目的。
在DTE模型里,所有的控制集合為,D代表域,T代表類(lèi)型,P代表訪問(wèn)授權(quán),L代表安全級(jí)別。DTE的保密性模型判斷條件類(lèi)似下面表格:
在DTE模型的訪問(wèn)矩陣?yán)?,每一個(gè)域是一行,每一個(gè)類(lèi)型是一列,所有的主體都屬于一個(gè)域,所有的客體都關(guān)聯(lián)一種類(lèi)型。當(dāng)然,前面講過(guò),主體也是客體,所有也關(guān)聯(lián)一種類(lèi)型。通過(guò)規(guī)則模型判斷后生成的訪問(wèn)控制矩陣類(lèi)似下圖:
可以看出,DTE模型是一種更靈活的并且兼容了BLP和BIBA的MAC模型。
DTE模型的優(yōu)缺點(diǎn)分析:
3.5. 安全標(biāo)記技術(shù)
確定了訪問(wèn)控制模型后,還有一個(gè)重要的技術(shù)點(diǎn)就是設(shè)立安全標(biāo)記。安全標(biāo)記需要針對(duì)每個(gè)主體和客體分別設(shè)定,并且需要隨主體、客體在系統(tǒng)內(nèi)的遷移而遷移,不能因?yàn)橹黧w、客體的位置轉(zhuǎn)移而丟失或破壞安全標(biāo)記。在DTE模型里,主要是設(shè)定域和類(lèi)型。比如一個(gè)發(fā)送郵件的程序作為主體所具有的安全級(jí)別,不會(huì)因?yàn)樵摮绦虮豢截惖搅硗庖粋€(gè)目錄就發(fā)生改變。
目前對(duì)主體、客體進(jìn)行安全標(biāo)記的方法可以歸為2種,基于數(shù)據(jù)本身做標(biāo)記和基于數(shù)據(jù)的唯一性標(biāo)識(shí)做標(biāo)記,對(duì)比說(shuō)明如下:
具體來(lái)講可以參考下面的幾個(gè)具體做法:
1. 對(duì)用戶基于用戶名進(jìn)行標(biāo)記,因?yàn)橛脩裘谙到y(tǒng)里面都是唯一標(biāo)識(shí)并不允許改動(dòng)的。
2. 對(duì)文件基于文件全路徑(有時(shí)需要附加Hash值)進(jìn)行安全標(biāo)記。文件的全路徑(有時(shí)需要附加Hash值)是文件的唯一標(biāo)識(shí),類(lèi)似家里的門(mén)牌號(hào)。該方案的難點(diǎn)在于跟蹤文件的拷貝、修改、重命名等操作,確保數(shù)據(jù)全程安全標(biāo)記的一致性。類(lèi)似家里搬家或者有人員的增加減少都需要及時(shí)跟蹤調(diào)整相關(guān)安全標(biāo)記。
3. 對(duì)文件基于文件本身進(jìn)行安全標(biāo)記,安全標(biāo)記記錄在文件的屬性內(nèi)。這個(gè)方案可以很容易的保證安全標(biāo)記在各種情況下的全程一致性。該方案的難點(diǎn)在于需要研究各種操作系統(tǒng)的文件數(shù)據(jù)結(jié)構(gòu)(包括硬盤(pán)存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)和內(nèi)存映像數(shù)據(jù)結(jié)構(gòu)),和操作系統(tǒng)的耦合比較緊。
4. 另外,還有一些像數(shù)據(jù)庫(kù)表之類(lèi)的應(yīng)用數(shù)據(jù),適合采用獨(dú)立安全標(biāo)記的方法。主要原因是我們很難研究搞懂各種應(yīng)用數(shù)據(jù)的結(jié)構(gòu),其他應(yīng)用的數(shù)據(jù)結(jié)構(gòu)不一定有合適的擴(kuò)展方案供我們做標(biāo)記。
當(dāng)前主流產(chǎn)品的相關(guān)實(shí)現(xiàn)
強(qiáng)制訪問(wèn)控制模式自提出以來(lái),在目前的主流產(chǎn)品上都有相關(guān)實(shí)現(xiàn),主要包括:Linux系統(tǒng)上的SELinux、Windows系統(tǒng)上的MIC(Mandatory Integrity Control)、FreeBSD系統(tǒng)的TrustedBSD、Oracle為Solaris系統(tǒng)提供的Trusted Extensions等。
4.1. SELinux on Linux
SELinux主要由美國(guó)國(guó)家安全局NSA開(kāi)發(fā),是一個(gè)內(nèi)核模塊,現(xiàn)在已經(jīng)被集成在版本號(hào)為2.6以后的Linux內(nèi)核版本中,可以控制打開(kāi)或關(guān)閉。SELinux有三種工作模式:強(qiáng)制模式(違反規(guī)則被阻止并記錄日志)、容忍模式(違反規(guī)則不阻止只記錄日志)、關(guān)閉模式(不生效)。
SELinux主要擴(kuò)展了類(lèi)型Type標(biāo)簽,實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制策略。SELinux提供了各種常見(jiàn)的MAC模型,比如BLP、Biba都有現(xiàn)成的模板可以使用。
SELinux在Linux內(nèi)核以安全模塊LSM(Linux Security Modules)的形式集成進(jìn)來(lái),系統(tǒng)的架構(gòu)如下圖:
SELinux默認(rèn)是關(guān)閉的,要打開(kāi)該功能需要修配置文件并重啟,配置文件修改見(jiàn)下圖:
SELinux的開(kāi)源項(xiàng)目社區(qū)為:https://github.com/SELinuxProject
4.2. MIC on Windows
從Windows Vista和Windows 2008開(kāi)始,微軟在Windows內(nèi)建了強(qiáng)制完整性保護(hù)機(jī)制,即MIC(Mandatory Integrity Control)。MIC采用類(lèi)似Biba的模型實(shí)現(xiàn),保護(hù)Windows內(nèi)核模塊的安全。
Windows系統(tǒng)對(duì)外主要使用自主訪問(wèn)控制模型DAC,MIC運(yùn)行在DAC的下層,即優(yōu)先根據(jù)MIC策略進(jìn)行控制,再根據(jù)DAC策略進(jìn)行控制。
MIC模型中共分為4個(gè)安全級(jí)別:低、中、高、系統(tǒng)級(jí)。Windows系統(tǒng)服務(wù)運(yùn)行在系統(tǒng)級(jí),管理員運(yùn)行的進(jìn)程運(yùn)行在高安全級(jí)別,其他進(jìn)程運(yùn)行在中安全級(jí)別。當(dāng)一個(gè)進(jìn)程試圖訪問(wèn)另一個(gè)文件時(shí),其安全級(jí)別必須高于被訪問(wèn)對(duì)象。
MIC在Windows里沒(méi)有對(duì)外的圖形化操作界面,僅提供了命令行來(lái)設(shè)置文件的安全級(jí)別。命令行參考下圖:
4.3. TrustedBSD on FreeBSD
TrustedBSD 也是以內(nèi)核擴(kuò)展的形式集成在FreeBSD 系統(tǒng)中,為強(qiáng)制訪問(wèn)控制策略提供支持。從FreeBSD 5.0 RC2版本開(kāi)始,F(xiàn)reeBSD就開(kāi)始內(nèi)部集成TrustedBSD,但是缺省情況下,內(nèi)核二進(jìn)制代碼中并沒(méi)有包括對(duì)MAC框架的支持。
MAC 框架是一個(gè)插入式的訪問(wèn)控制框架,允許新的安全策略更方便地融入內(nèi)核。安全策略可以編譯時(shí)靜態(tài)鏈接到內(nèi)核中,也可以在引導(dǎo)時(shí)加載,甚至在運(yùn)行時(shí)動(dòng)態(tài)加載。該框架所提供的標(biāo)準(zhǔn)化接口,使得運(yùn)行在其上的安全策略模塊能對(duì)系統(tǒng)對(duì)象進(jìn)行安全標(biāo)記,從而實(shí)現(xiàn)各種強(qiáng)制訪問(wèn)控制的安全模型。
安全策略作為一個(gè)獨(dú)立的動(dòng)態(tài)內(nèi)核鏈接(KLD)模塊,可以獨(dú)立于內(nèi)核進(jìn)行編譯,再在使用的時(shí)候掛接到MAC框架上。在主體訪問(wèn)客體時(shí),MAC框架會(huì)調(diào)用所有的安全策略,只有當(dāng)所有的安全策略均表示同意,MAC框架才會(huì)授權(quán)這次訪問(wèn),TrustedBSD的系統(tǒng)結(jié)構(gòu)如下圖:
關(guān)于TrustedBSD的詳細(xì)內(nèi)容請(qǐng)參考注 【2】官方網(wǎng)站相關(guān)文檔
4.4. Trusted Extensions on Solaris
Oracle提供可信擴(kuò)展Trusted Extensions 加入 Solaris 系統(tǒng),保護(hù)系統(tǒng)的安全性。Trusted Extensions可以提供自主訪問(wèn)控制和強(qiáng)制強(qiáng)制訪問(wèn)控制兩種控制模型。
Trusted Extensions提供的強(qiáng)制訪問(wèn)控制模型在經(jīng)典的DTE模型基礎(chǔ)上進(jìn)行了改進(jìn):
1. 增加了區(qū)域(Zone)的概念,保證數(shù)據(jù)的隔離,不同區(qū)域之間不能通信。
2. 支持同級(jí)別的多個(gè)安全標(biāo)簽。比如設(shè)定絕密級(jí)別的安全標(biāo)記可以包括:絕密、絕密A、絕密B、絕密AB,如下圖:
則不同標(biāo)簽之間的比較關(guān)系為:絕密 AB支配自身并且嚴(yán)格支配其他標(biāo)簽,絕密A支配自身并且嚴(yán)格支配絕密,絕密 B支配自身并且嚴(yán)格支配絕密,絕密 A和絕密B不相交無(wú)法比較。
綜合來(lái)看,Trusted Extensions的強(qiáng)制訪問(wèn)控制模型有點(diǎn)像DTE模型但又不是DTE模型,應(yīng)該是Oracle結(jié)合自身業(yè)務(wù)設(shè)計(jì)出來(lái)的模型。
基于LSM框架的SELinux作為L(zhǎng)inux的一個(gè)安全模塊,可以禁用,或?qū)⑵湓O(shè)置為容忍或強(qiáng)制執(zhí)行模式。而Trusted Extensions是Solaris的一個(gè)配置,無(wú)法禁用,權(quán)限策略可擴(kuò)展,但始終強(qiáng)制執(zhí)行。這兩個(gè)框架都利用內(nèi)核解釋的進(jìn)程權(quán)限管理(特權(quán))來(lái)進(jìn)行訪問(wèn)控制。
Trusted Extensions為Solaris添加了區(qū)域的安全標(biāo)簽,而SELinux則擴(kuò)展了類(lèi)型的安全標(biāo)簽。Trusted Extensions的區(qū)域概念可以提供完全虛擬化的環(huán)境,標(biāo)記區(qū)域中的應(yīng)用程序無(wú)需修改即可運(yùn)行,同時(shí)提供了一套圖形化界面來(lái)配置安全策略和標(biāo)記,易用性更好一些。