自主访问控制与强制访问控制的区别

一、类型不同

1、自主访问控制：由《可信计算机系统评估准则》所定义的访问控制中的一种类型。

2、强制访问控制：在计算机安全领域指一种由操作系统约束的访问控制。

二、目的不同

1、自主访问控制：根据主体（如用户、进程或 I/O 设备等）的身份和他所属的组限制对客体的访问。

2、强制访问控制：目标是限制主体或发起者访问或对对象或目标执行某种操作的能力。

三、特点不同

1、自主访问控制：由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。

2、强制访问控制：每当主体尝试访问对象时，都会由操作系统内核强制施行授权规则——检查安全属性并决定是否可进行访问。任何主体对任何对象的任何操作都将根据一组授权规则（也称策略）进行测试，决定操作是否允许。

参考资料来源：百度百科-强制访问控制

参考资料来源：百度百科-自主访问控制

自主访问控制又称自主存取控制(DAC :Discretionary Access Control )：
同一用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，用户还可将其拥有的存取权限转授给其他用户。

强制访问控制又称强制存取控制(MAC : Mandatory Access Control )：
每一个数据对象被标以一定的密级，每一个用户也被授予某一个级别的许可证，对于任意一个对象，只有具有合法许可证的用户才可以存取。

两者区别：DAC的数据存取权限由用户控制，系统无法控制；MAC安全等级由系统控制，不是用户能直接感知或进行控制的。

①自主存取控制（Discretionary Access Control ，简称DAC）：用户对不同的数据对象有不同的存取权限，不同用户对同一对象有不同的权限，可转授用户存取权限。
TCSEC中的 C2级
灵活
②强制存取控制（Mandatory Access Control，简称MAC）：每一数据对象标以一定密级，每一用户对应某一级别的许可证，只有具有合法许可证的用户才可以存取某一对象。
TCSEC中的B1级
严格
③两者区别
1）自助存取控制机制仅仅通过对数据的存取权限进行安全控制，为数据本身并无安全标记；强制存取控制机制则对数据本身进行密级标记，无论数据如何复制，标记与数据是一个不可分的整体，只有符合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性。
2）强制存取控制的安全性级别更高。
3）DAC的数据存取权限由用户控制，系统无法控制；MAC安全等级由系统控制，不是用户能直接感知或进行控制的。