网络服务器访问控制方法研究.docVIP

网络服务器访问控制方法研究 　　摘要：网络服务器是网络中用于存储共享资源的站点，同时也承担着管理网络资源、维护资源子网的责任。保护网络服务器的安全，保证网络共享资源不被非法使用和非法访问是网络安全工作的最主要的任务。本文将结合Windows操作系统来说明各种服务器访问控制策略。 　　关键词：网络服务器；访问控制方法；用户权限控制；访问控制表 　　中图分类号：TP302 文献标识码：A 文章编号：1007-9599 （2012） 17-0000-02 　　网络服务器访问控制是直接运用于网络服务器上的网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要措施。在各种保护安全策略中，服务器的访问控制是重要的核心策略之一。 　　1 访问控制和账户管理 　　1.1 基本的访问控制方法。在各种网络访问控制方法中，入网访问控制是第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户登录控制可分为3个方面：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。用户只有通过了这3方面的检查，才能进入该网络。 　　用户名或用户账号是所有计算机系统中最基本的安全形式，只有系统管理员才能建立。用户登录时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒绝登录。用户的口令是用户入网的关键，必须经过加密，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。 　　操作系统将用户的标识记录在一个用户账户中，将用户在系统中能做或不能做什么的信息全都收集在一起，仅当用户能给出正确的口令才能得到账户下的系统服务。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。 ???　对于WindowsNT，除了使用上述基本的访问控制方法外，以域结构的方式组织和管理网络中的服务器资源，一方面使用户使用网络资源更方便，另一方面又能保障网络资源的安全性。 　　1.2 Windows操作系统的账户安全参数。Windows操作系统具备一般的账户安全特性，用户的账户中记录着账户所属的组。组是一系列用户的代号，是一种简化网络管理的方法，同时也是简化对目标访问的途径，所以必须对组进行仔细的计划和控制。 　　Windows操作系统的“账户策略”中有一些与口令控制有关的策略，这些策略适用于该系统中存储的所有账户。例如，用户可以设置口令的最短长度、口令的有效期限、当口令失效后是否允许用户修改其口令、用户是否可以使用以前用过的口令等。最重要的口令策略是锁定策略，当在一个指定时间段内提供指定次数的假口令之后，其账户将被锁定而无法再登录系统。此后按照设置可以在一段时间后自动解锁，或由管理员对账户解锁。账户的锁定保护也适用于远程登录。 　　账户锁定策略的唯一例外是管理员账户Administrator永远不会被锁定，至少在域控制器上如此。因此为了安全考虑，应该为其取一个较长的、随机的好口令，并且仅在特别紧急的时候使用。平时，管理员可以用其他的管理账户登录，进行系统的管理，同时把这些账户设置为具有锁定能力。 　　2 用户权限控制 　　用户权限是由系统管理员赋予用户的特殊属性。只有当用户拥有所需要的访问权限，系统才能满足用户所提出的特殊请求。权限中大多数与管理有关，而许多权限则仅有操作系统自身可使用。一个用户的权限可以延伸到用户在本地或远程会话过程中运行的所有程序中。 　　用户的权限控制是针对网络非法操作所提出的一种安全保护措施。权限控制机制控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。权限控制有两种实现方式：受托者指派和继承权限屏蔽。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限要求。操作系统可以根据访问权限将用户分为以下几类： 　　2.1 特殊用户（即系统管理员）。 　　2.2 一般用户，系统管理员根据他们的实际需要为他们分配操作权限。 　　2.3 审计用户，负责网络的安全控制与资源使用情况的审计。 　　操作系统有自己的权限数据库，其中记录了在该机上可以使用的各个账户的权限。一个域账户在一些机器上有某些权限，而在另一些机器上则可能具有其他的权限。 　　其中，远程登录和控制本地登录这两个权限具有特殊的重要性。前者允许一个用户在该系统的键盘上