摘要:
访问控制技术是网络安全体系中的重要技术,它是维护网络安全的一个十分重要的保护屏障。本文首先从访问控制技术的概念和原理进行了阐述,然后访问控制涉及的技术手段进行讨论,最后网络安全中的应用层面的具体应用进行了详细的分析和探讨,希望能对保护网络安全体系结构的研究和设计提出有效的建议。
关键词:
网络安全;访问控制技术;应用;探讨
0前言
随着现代计算机网络的不断普及,网络技术的应用已经深入社会生活的每个角落,尤其是行业的业务办理系统中。当前很多企业的业务办理,普遍使用的网络业务系统进行办公,在网络系统不断发展的过程中,网络安全问题逐渐暴露在人们的眼中,也成为当前急切需要解决的重要问题。针对网络安全问题,IT公司进行了大量的技术开发,访问控制技术由此出现,并成为当前应用较广的网络安全保护措施。
1访问控制概念及其应用的原理
(1)访问控制的概念
访问控制通常会以显式手段对访问能力及访问内容范围,进行限制性的设置。访问控制是一种防范非法用户进行资源访问等入侵行为的有效的技术手段,它可以对用户访问重要资源的权限进行限定,即使是合法用户由于错误操作而造成破坏,也可以通过访问限制来进行阻止,这样就保证了网络资源在可控、合法的条件下进行使用。用户进行系统访问时,只能按照系统授予的权限,禁止越权进行系统访问。虽然,访问控制是以身份认证为技术实现的前提,但是访问控制技术和身份认证技术有着根本性的差别。
(2)访问控制技术应用的原理
当前访问控制技术应用的原理是运用路由器上的访问列表进行数据包有效过滤。由访问列表对网络数据包的传递进行严格的控制,不仅仅是对虚拟终端的线路通信量实施控制,并且对路由选择更新也有很好的控制功能。路由器其自身产生的数据包,并非是由于包过滤功能造成的,如果数据包传输到达某一个端口的时候,路由器就具备对数据是否可以通过路由或者桥接的形式输出的查验功能。假设数据包无法输出,则会被丢弃,如果查验结果是该数据包可以有效输出,那么路由器验证数据包是否能够符合端口定义的包过滤规则,若不符合该规则,路由器仍然会将数据包的传输阻断,数据包会被路由系统丢弃。通常访问列表是由多条规则组成的,因此可以通过制定输入规则来进行数据包的允许或禁止的权限限定,可以将号码作为访问列表的特定标志,同样的访问列表中的所有语句应当对应的同样的号码,这样就导致号码范围会取决于访问列表的类型。
2在网络安全中访问控制的技术手段
访问控制是进行网络安全保护应用的主要技术手段,它通过充分保证网络资源不会被攻击和非法访问。访问控制的技术手段中涉及的内容也很多,比如:入网访问控制、网络权限控制、目录级控制以及属性控制等等,下面进行详细的讨论。
(1)用户入网访问控制
对用户入网访问的操作进行控制是指为网络访问提供了第一层访问控制。其主要的控制功能体现在设置用户登录到服务器的权限,以及用户入网的时间范围。用户的入网访问控制可以分成用户名的识别、用户口令的验证以及用户账号的缺省限制查验这三个主要步骤,必须完成三个步骤才能获得访问权限。
(2)网络权限控制
进行网络权限控制是为了解决有效防范网络非法操作的措施,给予用户及用户组相应的权限。对于用户及用户组进行目录、子目录等网络资源的访问的权限进行控制,可用于具体指定此类用户电影对应操作权限的文件、目录、设备等内容。即以受托者授权用户和用户组使用目录、文件等网络资源,而继承权限屏蔽(irm)方式类似于过滤器,对于子目录从父目录中继承的权限进行控制。
(3)目录级安全控制
网络控制用户对目录进行访问的方式是在一级目录对应获得的权限可以对该一级目录下的所有子目录有效,甚至用户对子目录中的文件访问权限进行授权。提出对于目录中文件的访问权限有:系统管理员权限、读写权限、删除权限、修改权限、查找权限等。判断用户对目录文件的权限的有效性要看两个方面,包括有用户及用户所在组的受托者指派和继承权限屏蔽取消的用户权限。为用户设置合适的访问权限是保证网络资源访问效率的主要因素。
(4)属性安全控制
网络系统管理员可以在权限安全的基础上设置文件、目录等内容对应的访问安全属性。属性的具体设置应当将指定的受托者指派和有效权限进行覆盖,生成对应一张访问属性控制表,以表示用户对网络资源的访问能力。属性能够控制的权限包括:文件数据写入和拷贝、目录查看和删除、文件的执行、隐藏和共享操作等。
(5)服务器安全控制
用户可以使用网络服务器控制台进行系统模块的装载和卸载操作,以及进行软件的安装和删除等。实施网络服务器的安全控制,可以设定口令锁定服务器控制台和服务器登录时间限制,有效防范非法用户对于网络资源进行恶意的修改、删除等破坏性操作。
(6)网络端口和节点的安全控制
信息通过网络端口进入计算机系统中,端口对于网络资源系统进行安全保护的形式,通常是借助自动回呼设备以及静默调制解调器进行加密以识别节点身份。自动回呼设备的作用主要在于用户身份真实性识别,而静默调制解调器的作用主要在于防御黑客利用自动拨号程序攻击网络系统。此外在服务器端和用户端进行系统安全控制的方式。还有用户携带身份验证硬件进行验证,如智能卡、安全密码验证器等,只有用户身份得到访问控制系统确认之后,才能被授权进入用户端。
(7)网络检测和自动锁定控制
服务器可以自身具备一定的监控功能,对用户对网络资源的访问进行记录,一旦出现异常,系统可以自发向网络资源管理人员发送警告提示,通知网络资源管理人员及时采取相应的措施。假如非法攻击和入侵网络的次数达到系统设置的合理数值,网络资源系统也可以自行进行锁定。(8)防火墙控制通过防火墙技术是进行加强网络间访问控制的常见手段,可以有效防范外部网络的用户强行侵入内部网络,对内部网络资源进行窃取、复制等恶意操作。防火墙技术对多个网络间的数据都会在既有的安全规则框架下进行检查,以充分保证网络通信的合法性和安全性,并且可以有效对网络运行是否正常进行监督。
3访问控制技术在网络安全中的应用
访问控制技术在整个的网络信息系统中的各个层面,都可以进行访问控制技术的运用,例如本文从应用系统层、网络层、数据库管理系统层、操作系统层控制技术的运用进行了探讨.
(1)访问控制技术在应用系统层的运用
应用系统是由数据库管理系统、操作系统等软件进行基础架构的,能够为客户提供其需要的软件程序。进行应用系统的开发,就必须考虑访问控制措施的合理规划。而访问控制措施的规划要结合网络信息系统中主要的综合业务系统进行对应的配套开发。业务系统的操作模式,系统中操作主体的权限都是需要进行访问控制规划考虑的重要内容。尤其是该业务系统中的安全管理这一部分,要有针对性的制定访问控制措施的具体规则,进行业务操作必须按照规则来进行。
(2)访问控制技术在网络层的运用
访问控制列表在路由器和三层交换机中有广泛的应用。其中主客体即源地址、端口号与目的地址,在进行访问控制列表的网络资源时,必须遵循相应的保护规则,假如数据包可以充分满足网络安全保护规则标准,才能被则允许输出。MAC地址过滤的步骤中,往往就将待访问目标视为客体,而将MAC地址视为主体,因此通常就是按照定义MAC地址过滤列表来制定相应的保护规则,满足这个保护规则的MAC地址数据包才能被允许输出。此外,网络内部网络和外部网络之分,以源端口号、源IP地址作为主体,而将目的端口号与IP地址作为客体,然后遵循安全保护规则的数据包才能被允许输出,这种技术就是防火墙技术。
(3)访问控制技术在数据库管理系统层的运用
在网络系统中,不仅仅是操作系统具有重要性,数据库管理系统也是非常重要的,它是组成应用系统构架的重要内容。在数据库管理系统中,访问控制技术也被视为一个关键性的安全保护措施。数据库管理系统将身份认证通过的登录信息作为主体,而系统中的文件、字段、表以及操作作为对应的客体。控制用户访问的规则也会对用户在数据库中的存取操作的执行产生影响。数据库中的存取矩阵也是对用户访问控制规则的反应。数据库中,列在该存取矩阵中代表着系统客体,比如字段、表等等,阵列的各个单元表示的是主体对于客体或相异主体之间的存取方法,比如进行数据库中的增删、查询、修改等操作。数据库管理系统由于其数据的重要性,进行应用系统设计时要考虑将数据库中内容作为依据,因而访问控制措施对于数据库管理系统中数据的保护而言就具有重要意义。由于一旦数据库管理系统的访问权限被非法用户获取后,就可能出现不需要经过应用系统直接获取数据库中数据的情况,因此,网络系统开发管理部门就需要重视制定严格有效数据库系统的访问控制方案,对于数据库管理系统中主体的最小权限进行深入分析,然后再进行存取矩阵的设定工作。一般而言,应用系统用户没有直接获取数据库管理系统权限的途径,这样进行规划的目的在于不会对数据库管理系统进行直接操作,通过制定有效的管控措施来避免直接授权操作。如果存在直接登录进行数据库系统操作的必要,那么也要进行操作的限制,不能对开发用户进全面的授权。可以降低查询权限的授予要求,但一定要对数据库系统中数据增删和修改操作权限的严格限制。
(4)访问控制技术在操作系统层的运用
在网络操作系统中的系统操作层面,用户的身份认证有着极其重要作用,也是进行访问控制依据的内容,并以此来进行网络安全管理。随着技术的不断进步,进行用户身份认证的方法有很多,如口令、指纹以及身份卡以等等。系统会对身份认证没有通过的用户实施禁入措施,假如用户的身份认证正确,那么系统会将登录系统的身份信息作为主体,而将系统的设备、数据文件、系统操作、系统进程作为客体,通常会出现比如数据读写、删除以及修改等操作行为。通常利用用户对信息存取控制进行用户的身识别和存取访问规则的制定,系统会根据需要授予不同的用户不一样的系统存取的权限,比如在写入或者读取方面。通常以存取矩阵模型来进行访问控制规则的表示,因此从大型矩阵阵列则可以看出系统安全运行的状态。系统主体由行进行表示,而对应的系统客体则用列来进行表示。主体对于客体或各个不同主体之间的存取是通过阵列单元进行填入的数值表示的。数据库管理系统以及操作系统都是通过科学的设置访问控制措施来对内部与外包开发人员进行有效限,以有效避免出现内部与外包开发人员故意越权进行操作系统的情况。因为假如出现对系统的内部和外包开发人授予权限过多的情况,那么网络系统的安全就难以得到保障。进行网络系统开发的科技部门必须对于操作系统访问控制措施的设计给予充分的重视,对于文件系统中的用户要按照最小权限进行授予,再在此基础上通过存取矩阵进行科学的设定。
4结束语
随着现代社会中网络科技的迅速发展和普及,计算机网络在各行各业的业的业务系统建设建设中占据了相当重要的位置。在网络安全体系结构的设计中,访问控制已经成为保障网络安全的核心技术手段之一。访问控制措施的设计必须符合相关的标准和要求,即严格遵循最小权限授予原则、分散系统业务职责给多人负责,对非法用户的操作进行及时阻止等,以此充分保障网络安全体系结构设计的科学性。
作者:梁树军 李玉华 尚展垒 单位:郑州轻工业学院
引用:
[1]房文治.网络安全访问控制技术[J].电子技术与软件工程,2014.
[2]许鑫.基于访问控制模型实现银行网络安全目标[J].计算机技术与发展,2012.
[3]王铁钢.浅谈“访问控制”技术在银行网络安全中的运用[J].计算机光盘软件与应用,2012.
[4]黄义强.探究网络安全中的访问控制技术[J].无线互联科技,2011.
基金项目:
本文由郑州市科技攻关项目(153PKJGG26)资助。