9、声明创建：企业安全访问控制全解析

声明创建：企业安全访问控制全解析

在企业级安全管理中，声明创建是一个至关重要的环节，它涉及到对服务的访问控制、权限管理以及相关数据的处理。下面将详细介绍声明创建的各个方面。

1. 服务的访问控制要求

服务的访问控制包括强制访问和自主访问。强制访问具有更高的优先级，在强制访问和自主访问中，拒绝访问的控制规则优先执行。

• 自主访问控制列表（DAC） ：每个Web服务都配备了用于自主访问控制的自主访问控制列表（DAC），在适用的情况下，还会有第二个用于强制访问控制的访问控制列表（MAC）。
• 强制访问控制（MAC） ：部分Web服务设有用于强制访问控制的MAC存储。MAC的设计旨在允许具有有效声明的持有者访问特定的Web服务，并拒绝无效声明者的访问。最初的MAC由信息所有者所在的组织指定。
• 访问控制逻辑 ：访问控制先进行强制访问检查，再进行自主访问检查。强制访问具有允许和拒绝访问的功能，拒绝访问优先。例如，非美国公民（Non - USCITIZEN）可能会被拒绝访问，一旦出现拒绝情况，访问控制决策结束，无需考虑其余的强制和自主数据存储内容。在评估允许值时，对于强制访问控制，所有条件都必须满足（类似于数学中的“与”运算）。假设没有拒绝访问的情况，再评估自主访问的允许侧，只要有一个匹配项就允许访问（类似于数学中的“或”运算）。

2. 访问控制要求（ACR）

ACR是对访问要求和所需数据的正式声明。角色和权限基于个人在业务流程、组织或整个企业中的角色以及相关信息资产