CISSP 域5访问控制模型底层理论全拆解归属Domain 5 身份与访问管理 × Domain 3 安全架构与工程权重占 Domain 5 的 35% 以上概念题 规则匹配题 场景题高频必考核心价值所有访问控制体系的底层理论框架是认证与授权的核心执行依据 六条考试红线违反必错红线①参考监视器三大特性不可突破——必须被全程调用 / 不可被旁路 / 可被独立验证红线②模型选择必须与安全目标精准匹配——保密性 → BLP/MAC完整性 → Biba/Clark-Wilson防利益冲突 → Chinese Wall不可错位红线③最小特权 默认拒绝 职责分离是所有模型的通用底层原则无例外红线④高安全涉密场景必须使用 MAC 强制访问控制禁止仅用 DAC 实现核心管控红线⑤所有访问行为全程可审计、日志不可篡改满足合规要求红线⑥BLP 与 Biba 规则完全相反绝对不能记反——这是最高频错题 核心术语速查11条访问控制模型定义主体访问客体的规则、权限逻辑、安全边界的标准化框架主体Subject发起访问请求的主动实体——用户、设备、服务、进程、API 等客体Object被访问的被动资源——文件、数据库、应用、系统、API、数据字段等安全标签Security LabelMAC 模型的核心分配给主体/客体的固定密级属性绝密/机密/秘密/公开系统强制管控用户无法修改参考监视器Reference Monitor拦截所有主体对客体的访问请求、执行权限校验的核心抽象机制是所有访问控制模型的执行中枢可信计算基TCB系统中所有负责执行安全策略的硬件、软件、固件的总和参考监视器是 TCB 的核心组件安全内核Security KernelTCB 中实现参考监视器逻辑的核心组件必须不可旁路、不可篡改最小特权原则仅授予主体完成工作必需的最小权限与最短生效时间职责分离SoD将高风险操作拆分给不同主体禁止单个主体完成全流程Need-to-Know知其所需MAC 模型核心补充规则——哪怕安全等级足够无业务需求也不能访问ACL访问控制列表DAC 模型的核心执行载体由资源所有者自主配置️ 底层核心基础参考监视器 / TCB / 安全内核所有访问控制模型都依赖这三大底层组件先理解它们才能理解所有模型 参考监视器——访问控制的执行中枢官方定义拦截所有主体对客体的访问请求、执行权限校验的逻辑闸门三大不可突破的核心特性必考✅必须被全程调用每一次访问请求都必须经过参考监视器校验没有例外✅不可被旁路校验逻辑不可被绕过、篡改、禁用任何访问不能跳过权限校验✅可被独立验证设计足够精简可被独立审计验证确保逻辑无缺陷通俗理解参考监视器就像大楼的安检闸机——每个人进出都必须刷证过闸闸机不可被绕开设计简单可靠可被验证 可信计算基TCB包含参考监视器、安全内核、OS安全模块、硬件安全芯片、固件、ACL 等所有安全组件TCB 之外的组件视为不可信不可绕过 TCB 执行访问控制TCB 存在安全缺陷 → 整个访问控制体系直接失效 安全内核TCB 中实现参考监视器逻辑的核心组件必须实现参考监视器三大特性且设计足够精简可被全面审计️ 四大模型分类总览OSG 第十版将所有访问控制模型分为四大类选型前先判断类别 自主访问控制DAC资源所有者自主管控权限灵活性高安全性最低 强制访问控制MAC系统基于安全标签强制管控安全性最高灵活性最差 非自主访问控制RBAC / ABAC / Rule-BAC企业主流应用兼顾安全与效率 专项安全目标模型BLP / Biba / Clark-Wilson / Chinese Wall针对特定安全需求设计 模型一自主访问控制DAC官方定义资源所有者有权自主决定将资源的访问权限分配给哪些主体系统不强制干预权限分配核心执行逻辑每个客体有明确所有者通常是创建者所有者自主创建/修改/删除客体的 ACL访问控制列表系统基于 ACL 校验主体的访问权限并执行规则典型应用场景Windows/Linux 文件权限、普通办公系统文档共享、个人文件管理核心优劣✅ 灵活性高配置简单适配个性化权限需求用户体验好❌安全性最低权限管控完全依赖所有者的安全意识易过度授权❌ 无法集中化管控易权限蔓延禁止单独用于涉密高安全场景⚠️ 考试核心考点DAC 核心特点资源所有者自主分配权限系统不强制干预ACL 是 DAC 的核心执行载体DAC 安全性最低禁止单独用于涉密、高安全场景易错点DAC 中系统仅执行 ACL 规则不会主动限制所有者的权限分配 模型二强制访问控制MAC官方定义系统基于预定义的安全标签强制管控主体对客体的访问用户/所有者无法修改安全标签与访问规则是安全性最高的访问控制模型核心执行逻辑系统为每个主体分配固定的安全许可标签Clearance——绝密/机密/秘密/公开系统为每个客体分配固定的安全分类标签Classification系统基于预定义的强制规则自动校验标签匹配关系决定是否允许访问任何用户/所有者都无法修改安全标签或绕过规则只有安全管理员可基于合规流程修改典型应用场景军方/政府涉密系统、关键信息基础设施、高安全等级金融核心系统核心优劣✅ 安全性极高系统强制管控无法绕过✅ 集中化管控可实现严格的多级保密管控满足保密法规❌ 灵活性极差配置复杂运维成本极高❌ 不适用于普通企业办公场景用户体验差⚠️ 考试核心考点MAC 核心特点系统强制管控用户无法修改标签与规则与 DAC 完全相反安全标签是 MAC 的核心分主体安全许可标签 客体安全分类标签MAC 是涉密场景的唯一合规模型核心补充规则Need-to-Know——哪怕安全等级足够无业务需求也不能访问BLP 模型是 MAC 的典型代表 模型三非自主访问控制企业主流场景题核心企业最主流的访问控制体系既解决了 DAC 安全性不足也解决了 MAC 灵活性不足 RBAC——基于角色的访问控制官方定义将权限与角色绑定主体通过归属角色获得权限不直接给主体分配权限实现用户-角色-权限解耦核心执行逻辑基于岗位/部门/职责预定义标准化角色财务会计、系统管理员、普通员工等将完成该岗位必需的最小权限绑定到对应角色给主体分配角色主体通过角色继承权限岗位变动时仅需调整角色归属无需批量修改权限OSG 官方定义的三大层级必考核心 RBAC基础模型包含用户/角色/权限/会话四大元素层级 RBAC增加角色的层级继承关系上级角色可继承下级角色权限受限 RBAC增加职责分离规则包括静态职责分离不能同时归属互斥角色和动态职责分离同一会话中不能同时激活互斥角色典型应用场景大中型企业内部系统、标准化岗位权限自动化分配、ERP/CRM等企业级系统核心优劣✅ 标准化程度高运维效率高易实现职责分离与最小特权✅ 当前最成熟的企业级访问控制模型❌ 对动态、跨部门、非标准化场景灵活性不足❌ 角色数量过多会导致角色爆炸运维复杂度大幅提升⚠️ 考试核心考点核心是权限与角色绑定而非用户-权限直接绑定三大层级是高频概念题考点RBAC 可轻松实现静态/动态职责分离易错点RBAC 基于岗位角色而非用户属性与 ABAC 有本质区别 Rule-BAC——基于规则的访问控制官方定义基于预定义的全局强制规则决定是否允许主体的访问请求规则对所有主体生效通常与其他模型结合使用典型规则示例仅允许 8:00-18:00 工作时间访问业务系统禁止来自境外 IP 的管理员登录请求仅允许公司内网网段访问核心数据库未启用 MFA 的用户禁止访问敏感财务系统典型应用场景防火墙 ACL、网络访问控制、与 RBAC/ABAC 结合补充全局规则⚠️ 考试核心考点Rule-BAC 的核心是预定义全局强制规则对所有主体生效Rule-BAC 通常作为其他模型的补充而非单独使用⚡ 易混淆Rule-BAC基于规则与 RBAC基于角色是完全不同的模型不可混淆防火墙的 ACL 规则是 Rule-BAC 的典型应用 ABAC——基于属性的访问控制官方定义基于主体属性、资源属性、环境属性、操作属性四大维度通过动态策略引擎决定是否允许访问是零信任架构的核心访问控制模型也是 OSG 第十版重点强化内容四大属性维度主体属性部门、岗位、角色、安全等级、认证等级、设备健康状态等资源属性资源的密级、分类、归属部门、业务类型、数据标签等环境属性访问时间、IP 地址、网络位置、当前风险评分、威胁情报等操作属性操作类型读/写/删除/执行、访问的 API 接口、数据操作范围等核心执行逻辑策略引擎实时拉取四大维度属性 → 匹配动态策略 → 实时决策是否允许访问 → 属性变化时可实时调整权限典型应用场景零信任架构、云原生、微服务、跨企业合作、大数据细粒度访问管控核心优劣✅ 灵活性极高可实现超精细化动态授权完美适配零信任架构✅ 无需预定义大量角色解决 RBAC 的角色爆炸问题❌ 配置复杂度高前期策略设计难度大运维成本高❌ 对属性数据的完整性、实时性要求极高⚠️ 考试核心考点ABAC 核心是基于四大属性维度动态策略引擎实时授权是零信任架构的核心访问控制模型第十版重点强化ABAC 是动态授权RBAC 是静态角色绑定二者有本质区别ABAC 可实现基于上下文的细粒度访问控制适配复杂动态场景 模型四专项安全目标模型规则匹配题必背⚠️这四个模型规则必须精准记住绝对不能混淆 Bell-LaPadula 模型BLP核心目标保障数据保密性ConfidentialityMAC 模型的典型代表军方涉密系统标准模型三大核心规则必考简单安全规则不上读主体只能读取安全等级等于或低于自身安全许可的客体秘密级用户 → 可读秘密级/公开级不能读机密级/绝密级星号属性规则不下写主体只能写入安全等级等于或高于自身安全许可的客体机密级用户 → 可写机密级/绝密级不能写秘密级/公开级防止高密级数据泄露到低密级强星规则在满足前两条规则的基础上通过 ACL 实现自主访问控制两条规则同时满足才允许访问核心特点仅关注保密性完全不关注完整性基于安全标签实现强制访问控制核心补充Need-to-Know——安全等级够用也不代表有权访问⚠️ 考试考点BLP 核心目标保密性区别 Biba 的完整性不上读、不下写必须精准记住不能和 Biba 记反BLP 不保障完整性 Biba 模型核心目标保障数据完整性IntegrityBLP 的镜像模型规则与 BLP 完全相反三大核心规则必考与 BLP 完全相反简单完整性规则不下读主体只能读取完整性等级等于或高于自身的客体高完整性财务系统进程 →不能读低完整性用户上传文件防恶意代码注入星号完整性规则不上写主体只能写入完整性等级等于或低于自身的客体普通用户低完整性→不能修改系统核心配置文件高完整性调用规则主体只能调用完整性等级等于或低于自身的进程禁止低完整性主体调用高完整性进程核心特点仅关注完整性完全不关注保密性规则与 BLP完全相反是 BLP 的镜像模型适配商业场景中防止数据被篡改的需求⚠️ 考试考点Biba 核心目标完整性区别 BLP 的保密性不下读、不上写必须精准记住不能和 BLP 记反Biba 不保障保密性 BLP vs Biba 对照速记最高频必考BLP保密性核心目标 → 保密性读取规则 → 不上读只读低于或等于自身等级写入规则 → 不下写只写高于或等于自身等级Biba完整性核心目标 → 完整性读取规则 → 不下读只读高于或等于自身等级写入规则 → 不上写只写低于或等于自身等级记忆口诀BLP 保密 → 往上读会泄密不上读Biba 完整 → 往下读会污染不下读 Clark-Wilson 模型核心目标商业场景数据完整性 防范内部舞弊Biba 模型的商业落地增强版专为企业财务/交易等商业场景设计四大核心术语必考CDI受约束数据项需要保障完整性的核心商业数据财务数据、交易记录、账户余额UDI非约束数据项不受完整性管控的非核心数据用户输入的原始数据、公开信息IVP完整性验证程序验证 CDI 完整性是否符合商业规则的程序如财务对账程序TP转换程序唯一可修改 CDI 的程序通过标准化良构事务修改 CDI禁止用户直接修改 CDI五大核心规则必考CDI 的修改必须通过 TP 执行禁止用户直接修改必须通过 IVP 定期验证CDI 的完整性必须实现职责分离——TP 开发者、使用者、IVP 验证者必须是不同的主体所有 TP 操作必须写入审计日志全程可追溯UDI 转入 CDI 必须经过 TP 校验防止非结构化数据污染核心商业数据⚠️ 考试考点Clark-Wilson 核心商业完整性 防舞弊核心手段是良构事务 职责分离核心术语 CDI / TP / IVP 是概念题必考区别于 BibaBiba 基于标签的系统级完整性Clark-Wilson 基于事务与职责分离的商业完整性Clark-Wilson 是唯一强制要求职责分离的访问控制模型 Chinese Wall 模型Brewer-Nash 模型核心目标防范利益冲突Conflict of Interest专为金融、咨询、法律等专业服务机构设计防止同一主体访问存在利益冲突的竞争客户数据核心执行逻辑将客户数据按行业/竞争关系划分为利益冲突类COI同一 COI 中的互为竞争对手的客户数据划分为不同数据集主体一旦访问了某个 COI 中的一个客户数据集就永久不能访问该 COI 中其他竞争对手的数据集主体可自由访问不同 COI的数据集以及同一 COI 中已访问客户的数据集典型示例咨询师访问了 A 银行项目数据 → 永久不能访问 B 银行、C 银行的项目数据但可以访问制造业、零售业等其他 COI的客户数据核心特点是动态访问控制模型权限随访问行为动态变化专为专业服务机构设计适配金融/咨询/法律场景合规要求⚠️ 考试考点Chinese Wall 核心防范利益冲突是唯一针对利益冲突设计的访问控制模型核心是**利益冲突类COI**的划分是动态模型权限随访问行为变化而非固定不变易错点Chinese Wall 的权限是动态变化的不是固定分配 其他专项模型速记Graham-Denning 模型定义 8 个基础权限操作解决权限安全分配与转移问题是访问控制的基础理论模型Harrison-Ruzzo-UllmanHRU模型权限状态转换模型定义权限创建/修改/删除的 6 个基础操作是理论模型考点较少Take-Grant 模型基于权限传递规则管控权限的授予Grant与获取Take边界防止权限无限制扩散 模型选型标准场景题核心依据OSG 第十版明确没有绝对最优的模型只有最适配的模型按核心安全目标选保密性优先 →MAC / BLP完整性优先 →Biba / Clark-Wilson防利益冲突 →Chinese Wall按业务场景选标准化岗位 →RBAC动态/云原生/零信任 →ABAC普通办公 →DAC涉密/军方 →MAC按合规要求选涉密/军方 →MAC 强制要求金融/上市公司商业 →Clark-Wilson 优先专业服务机构 →Chinese Wall 优先按运维成本选小型/简单场景 →DAC大中型企业标准化 →RBAC复杂动态场景 →ABAC按技术架构选云原生/零信任 →ABAC传统本地架构 →RBAC网络边界管控 →Rule-BAC⚠️ 七大官方误区纠正考试高频错题❌ 误区1BLP 和 Biba 规则一样可以通用✅官方纠正二者是完全镜像相反的模型。BLP 核心是保密性规则是「不上读、不下写」Biba 核心是完整性规则是「不下读、不上写」。绝对不能记反这是最高频错题。❌ 误区2RBAC 和 Rule-BAC 是同一个模型只是叫法不同✅官方纠正二者是完全不同的模型。RBAC 基于岗位角色绑定权限Rule-BAC 基于全局强制规则管控访问核心逻辑、适用场景完全不同不可混淆。❌ 误区3DAC 模型配置严格的 ACL可以用于涉密高安全场景✅官方纠正DAC 安全性最低权限完全依赖资源所有者的安全意识无法集中化强制管控官方明确禁止单独用于涉密/高安全场景涉密场景必须使用 MAC 模型。❌ 误区4ABAC 可以完全替代 RBAC所有企业都应该切换到 ABAC✅官方纠正二者各有适用场景没有绝对优劣。RBAC 适配标准化岗位场景运维成熟稳定ABAC 适配动态复杂的零信任场景。二者可结合使用绝大多数企业核心场景仍以 RBAC 为基础。❌ 误区5Clark-Wilson 和 Biba 都保障完整性没有区别✅官方纠正二者核心目标都是完整性但实现逻辑完全不同。Biba 基于完整性标签的强制管控适配系统级完整性保障Clark-Wilson 基于良构事务 职责分离专为企业商业场景、防范内部舞弊设计是 Biba 的商业落地增强版。❌ 误区6访问控制模型规则设计合理可以绕过参考监视器执行✅官方纠正参考监视器的三大特性是不可突破的红线所有模型的执行都必须经过参考监视器全程校验不可被旁路任何可被绕过的访问控制体系都是无效的。❌ 误区7Chinese Wall 模型的权限是固定的分配后不会变化✅官方纠正Chinese Wall 是动态访问控制模型主体的访问权限随访问行为动态变化——一旦访问某个 COI 的数据集就自动失去该 COI 中其他竞争数据集的访问权限而非固定不变。 跨域关联8个域全覆盖Domain 1 安全与风险管理访问控制模型是风险缓解的核心落地措施模型选择必须基于风险评估结果Domain 2 资产安全资产分级分类直接决定模型选择与管控强度数据密级/完整性要求是模型设计的核心依据Domain 3 安全架构与工程参考监视器、TCB、安全内核是所有模型的底层基础安全架构设计必须原生内置访问控制模型Domain 4 通信与网络安全Rule-BAC 是防火墙 ACL 的核心理论基础ABAC 是零信任网络架构的核心访问控制模型Domain 5 身份与访问管理本知识点是 Domain 5 的核心理论框架认证与授权的执行都必须基于适配的访问控制模型Domain 6 安全评估与测试访问控制模型有效性验证、越权漏洞检测、策略合规审计是渗透测试的核心内容Domain 7 安全运营权限审计、异常访问行为监控、权限生命周期管理是安全运营的核心日常工作Domain 8 软件开发安全应用层访问控制模型设计、越权漏洞防护是 DevSecOps 的核心组成部分考前速记口诀BLP 保密不上读不下写Biba 完整不下读不上写Clark-Wilson 良构事务 职责分离 → 商业防舞弊Chinese Wall COI 动态 → 防利益冲突DAC 所有者自主MAC 系统强制RBAC 角色绑定ABAC 动态属性参考监视器三特性必须调用 / 不可旁路 / 可被验证