- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于内网安全的访问控制系统.pdf
至QQ Q:
ChinaNew TechnologiesandProducts
信 息 技 术
基于内网安全的访问控制系统
陈 帅
(杭州师范大学钱江学院计算机科学与技术专业,浙江 杭州 310012)
摘 要:目前 。基于网络的攻击和不安全行为成为影响内网用户正常工作的主要 因素,也是造成密级要求比较高的内网网络泄密的
主要 因素。本文对 内网安全访 问控制系统进行 了探讨和研究。
关键N :N络攻击 ;内网安全 ;访 问控制
1引言 病毒防护。目前世界上每天都有新的计 选择地与其它主体共享他的资源 。
当前,政府、企业等主要的内网组建者在 算机病毒产生,计算机病毒给社会带来了难 强制访 问控制 (MAC)。强制访问控制是
网络安全防护建设中,普遍采用传统的内网 以估量的损失。随着计算机病毒 的发展 ,计算 “强加”给访问主体的,即系统强制主体服从
边界安全防护技术,即在内网的边缘设置网 机反病毒的技术与计算机病毒的检测技术也 访问控制政策 。强制访问控制(MAC)的主要特
关型边界防火墙、AAA认证、入侵检测系统 在发展。第一代反病毒技术 ,单纯进行病毒特 征是对所有主体及其所控制的客体(例如:进
IDS等等网络边界安全防护技术 ,对网络入 征代码分析 ,将病毒从带毒文件中清楚掉 ,第 程 、文件 、段、设备)实施强制访 问控制。为这
侵进行监控和防护,抵御来 自外网的攻击 ,防 二代则采用静态广谱特征扫描方法检测病 些主体及客体指定敏感标记,这些标记是等
止内网资源、信息遭受损失,保证内网业务流 毒,可以更多的检测到变形病毒 ,但误报率也 级分类和非等级类别的组合,它们是实施强
程的有效进行。这种解决策略是针对外部人 提高了。第三代反病毒技术的主要特点是将 制访问控制的依据。系统通过比较主体和客
侵的防范,对于来 自网络内部的对企业 网络 静态扫描与动态仿真跟踪技术结合起来 ,第 体的敏感标记来决定一个主体是否能够访问
资源、信息资源的破坏和非法行为的安全防 四代反病毒技术 ,基于病毒家族体系的命名 某个客体。用户的程序不能改变他 自己及任
护却起不到任何作用。对于那些需要经常移 规则、多位 CRC校验和扫描机理、启发式智 何其它客体的敏感标记 ,从而系统可 以防止
动的终端设备在安全防护技术就更是鞭长莫 能代码分析模块、动态数据还原模块、内存解 特洛伊木马的攻击。强制访问控制一般与自
及 了,由此可能会严重危及内部网络的安全。 毒模块、自身免疫模块等先进的反病毒技术, 主访问控制结合使用,并且实施一些附加的、
2内网安全访 问控制系统 较好的解决了以前反病毒技术顾此失彼 的状 更强的访问限制 。一个主体只有通过了自主
2.1系统安全机制 态。 与强制性访问限制检查后 ,才能访问某个客
系统的安全机制包括以下几个部分 : 密码技术。计算机系统经常需要采用数 体。
标识与鉴别。标识与鉴别是涉及系统和 据加密的方法从体制上保证信息不被篡改和 3系统总体功能
用户的一个过程。标识就是系统要标识用户 泄漏。数据加密不仅可以用于数据保密,而且 本系统为一个基于 CS/结构的系统,主
的身份,并为每个用户分配一个名称用户标 也可以通过加密,解密的双向变换实现对数 要分为两个子系统,一个为管理中心服务器
识符(UserID)。用户标识符必须是唯一的并且 据的完整性检验。密码技术是对传输信息和 端 Server,一个为管理客户端 Client。管理中
不能被伪造。将用户标识符与用户联系的动 存储信息进行保护的重要手段 ,可以大大加 心 Server部署在一个管理服务器上 ,功能主
作称为鉴别。为了识别用户的真实身份,它总 强信息保密性、完整性、可认证性等。密码技 要包括:基于规则的安全审计、客户管理、报
是需要用户具有能够证明他身份的特殊信 术可以实现信息加密、数字签名等安全服务。 警管理、日志管理等 。管理客户端 Client部
息,这个信息是秘密的,任何其他用户都不能 加密算法根据密钥性质的不
文档评论(0)