许多操作系统都具有使用某种技术的内置访问控制。 IBM 的 z/OS 是颇具声望的、成熟的大型机操作系统,其中包括的系统授权工具 (SAF) 就是该操作系统本身为验证用户授权而发出的调用集。
z/OS 环境中的 Access Control 软件为 SAF 调用设置返回代码,然后 z/OS 会根据该代码批准或拒绝访问。 设置什么返回代码由安全管理员根据安全数据库中定义的访问规则和策略决定。
其他操作系统(如 OS/2)也提供类似的访问控制技术。 OS/2 Access Control 模块(称为安全启用服务 (SES))的概念基础与 z/OS SAF 相同。
遗憾的是,基于 UNIX 的操作系统却没有采用这种设计方式。 授权决定主要是针对文件访问做出的,并且由操作系统本身使用文件 inode 条目中的九个位 (rwx‑rwx‑rwx) 执行。 与 SAF 不同的是,没有为事件截获提供出口点。 因此,要执行比大型机类型安全软件包的功能更加复杂的功能,需要进一步提高安全性。
|
版权所有 © 2013 CA。
保留所有权利。
|
|