| 访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全的核心策略之一。访问控制策略包括以下几种。
|
|
|
|
|
| 入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录服务器并获取网络资源,控制准许用户入网的时间和准许用户在哪台工作站入网。
|
|
|
| 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道关卡中只要有任何一关未通过,该用户便不能进入该网络。
|
|
|
|
|
| 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录继承哪些权限。
|
|
|
| 可以根据访问权限将用户分为以下几类:一是特殊用户(即系统管理员);二是一般用户,系统管理员根据他们的实际需要为他们分配操作权限;三是审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表描述。
|
|
|
|
|
| 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可以进一步指定对目录下的子目录和文件的权限。
|
|
|
| 对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,加强网络和服务器的安全性。
|
|
|
|
|
| 当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。
|
|
|
| 属性往往能控制以下几个方面的权限:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行、修改、显示等。
|
|
|
|
|
| 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,也可以安装和删除软件等。网络服务器的安全控制包括可以设置口令以锁定服务器控制台,以防非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
|
|
|
|
|
| 网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
|
|
|
|
|
| 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用于防范黑客使用自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取安全控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
|
|
|
|
|
| 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用于阻止网络中的黑客访问某个机构网络的屏障,也可称为控制进、出两个方向的通信的门槛。在网络边界上通过建立的相应网络通信监控系统隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙。
|
|
|
