访问控制技术手段.pdfVIP

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使 用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括 入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获 取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控 制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检 查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口 令进行验证是防止非法访问的第一道防线。为保证口令的安全性，用户口令不能显示在显示 屏上，口令长度应不少于6 个字符，口令字符最好是数字、字母和其他字符的混合，用户 口令必须经过加密。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验 证用户的身份。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。 用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、 用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口 令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登 录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访 问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资 源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入 侵，应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一 定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定 用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（irm）可作 为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。 继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根 据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据 他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审 计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件 和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问 权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文 件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素：用户的受 托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当 为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有 效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而 加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安 全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。 1 用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属 性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权 限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐 含文件、共享、系统属性等。 服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载 模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁 定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服 务器登录时间限制、非法访问者检测和关闭的时间间隔。 2