訪問控制技術網絡安全設計

前言：尋找寫作靈感？中文期刊網用心挑選的訪問控制技術網絡安全設計，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

訪問控制技術是網絡安全體系中的重要技術，它是維護網絡安全的一個十分重要的保護屏障。本文首先從訪問控制技術的概念和原理進行了闡述，然后訪問控制涉及的技術手段進行討論，最后網絡安全中的應用層面的具體應用進行了詳細的分析和探討，希望能對保護網絡安全體系結構的研究和設計提出有效的建議。

關鍵詞：

網絡安全；訪問控制技術；應用；探討

0前言

隨著現代計算機網絡的不斷普及，網絡技術的應用已經深入社會生活的每個角落，尤其是行業的業務辦理系統中。當前很多企業的業務辦理，普遍使用的網絡業務系統進行辦公，在網絡系統不斷發展的過程中，網絡安全問題逐漸暴露在人們的眼中，也成為當前急切需要解決的重要問題。針對網絡安全問題，IT公司進行了大量的技術開發，訪問控制技術由此出現，并成為當前應用較廣的網絡安全保護措施。

1訪問控制概念及其應用的原理

（1）訪問控制的概念

訪問控制通常會以顯式手段對訪問能力及訪問內容范圍，進行限制性的設置。訪問控制是一種防范非法用戶進行資源訪問等入侵行為的有效的技術手段，它可以對用戶訪問重要資源的權限進行限定，即使是合法用戶由于錯誤操作而造成破壞，也可以通過訪問限制來進行阻止，這樣就保證了網絡資源在可控、合法的條件下進行使用。用戶進行系統訪問時，只能按照系統授予的權限，禁止越權進行系統訪問。雖然，訪問控制是以身份認證為技術實現的前提，但是訪問控制技術和身份認證技術有著根本性的差別。

（2）訪問控制技術應用的原理

當前訪問控制技術應用的原理是運用路由器上的訪問列表進行數據包有效過濾。由訪問列表對網絡數據包的傳遞進行嚴格的控制，不僅僅是對虛擬終端的線路通信量實施控制，并且對路由選擇更新也有很好的控制功能。路由器其自身產生的數據包，并非是由于包過濾功能造成的，如果數據包傳輸到達某一個端口的時候，路由器就具備對數據是否可以通過路由或者橋接的形式輸出的查驗功能。假設數據包無法輸出，則會被丟棄，如果查驗結果是該數據包可以有效輸出，那么路由器驗證數據包是否能夠符合端口定義的包過濾規則，若不符合該規則，路由器仍然會將數據包的傳輸阻斷，數據包會被路由系統丟棄。通常訪問列表是由多條規則組成的，因此可以通過制定輸入規則來進行數據包的允許或禁止的權限限定，可以將號碼作為訪問列表的特定標志，同樣的訪問列表中的所有語句應當對應的同樣的號碼，這樣就導致號碼范圍會取決于訪問列表的類型。

2在網絡安全中訪問控制的技術手段

訪問控制是進行網絡安全保護應用的主要技術手段，它通過充分保證網絡資源不會被攻擊和非法訪問。訪問控制的技術手段中涉及的內容也很多，比如：入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等等，下面進行詳細的討論。

（1）用戶入網訪問控制

對用戶入網訪問的操作進行控制是指為網絡訪問提供了第一層訪問控制。其主要的控制功能體現在設置用戶登錄到服務器的權限，以及用戶入網的時間范圍。用戶的入網訪問控制可以分成用戶名的識別、用戶口令的驗證以及用戶賬號的缺省限制查驗這三個主要步驟，必須完成三個步驟才能獲得訪問權限。

（2）網絡權限控制

進行網絡權限控制是為了解決有效防范網絡非法操作的措施，給予用戶及用戶組相應的權限。對于用戶及用戶組進行目錄、子目錄等網絡資源的訪問的權限進行控制，可用于具體指定此類用戶電影對應操作權限的文件、目錄、設備等內容。即以受托者授權用戶和用戶組使用目錄、文件等網絡資源，而繼承權限屏蔽（irm）方式類似于過濾器，對于子目錄從父目錄中繼承的權限進行控制。

（3）目錄級安全控制

網絡控制用戶對目錄進行訪問的方式是在一級目錄對應獲得的權限可以對該一級目錄下的所有子目錄有效，甚至用戶對子目錄中的文件訪問權限進行授權。提出對于目錄中文件的訪問權限有：系統管理員權限、讀寫權限、刪除權限、修改權限、查找權限等。判斷用戶對目錄文件的權限的有效性要看兩個方面，包括有用戶及用戶所在組的受托者指派和繼承權限屏蔽取消的用戶權限。為用戶設置合適的訪問權限是保證網絡資源訪問效率的主要因素。

（4）屬性安全控制

網絡系統管理員可以在權限安全的基礎上設置文件、目錄等內容對應的訪問安全屬性。屬性的具體設置應當將指定的受托者指派和有效權限進行覆蓋，生成對應一張訪問屬性控制表，以表示用戶對網絡資源的訪問能力。屬性能夠控制的權限包括：文件數據寫入和拷貝、目錄查看和刪除、文件的執行、隱藏和共享操作等。

（5）服務器安全控制

用戶可以使用網絡服務器控制臺進行系統模塊的裝載和卸載操作，以及進行軟件的安裝和刪除等。實施網絡服務器的安全控制，可以設定口令鎖定服務器控制臺和服務器登錄時間限制，有效防范非法用戶對于網絡資源進行惡意的修改、刪除等破壞性操作。

（6）網絡端口和節點的安全控制

信息通過網絡端口進入計算機系統中，端口對于網絡資源系統進行安全保護的形式，通常是借助自動回呼設備以及靜默調制解調器進行加密以識別節點身份。自動回呼設備的作用主要在于用戶身份真實性識別，而靜默調制解調器的作用主要在于防御黑客利用自動撥號程序攻擊網絡系統。此外在服務器端和用戶端進行系統安全控制的方式。還有用戶攜帶身份驗證硬件進行驗證，如智能卡、安全密碼驗證器等，只有用戶身份得到訪問控制系統確認之后，才能被授權進入用戶端。

（7）網絡檢測和自動鎖定控制

服務器可以自身具備一定的監控功能，對用戶對網絡資源的訪問進行記錄，一旦出現異常，系統可以自發向網絡資源管理人員發送警告提示，通知網絡資源管理人員及時采取相應的措施。假如非法攻擊和入侵網絡的次數達到系統設置的合理數值，網絡資源系統也可以自行進行鎖定。（8）防火墻控制通過防火墻技術是進行加強網絡間訪問控制的常見手段，可以有效防范外部網絡的用戶強行侵入內部網絡,對內部網絡資源進行竊取、復制等惡意操作。防火墻技術對多個網絡間的數據都會在既有的安全規則框架下進行檢查,以充分保證網絡通信的合法性和安全性,并且可以有效對網絡運行是否正常進行監督。

3訪問控制技術在網絡安全中的應用

訪問控制技術在整個的網絡信息系統中的各個層面，都可以進行訪問控制技術的運用，例如本文從應用系統層、網絡層、數據庫管理系統層、操作系統層控制技術的運用進行了探討.

（1）訪問控制技術在應用系統層的運用

應用系統是由數據庫管理系統、操作系統等軟件進行基礎架構的，能夠為客戶提供其需要的軟件程序。進行應用系統的開發，就必須考慮訪問控制措施的合理規劃。而訪問控制措施的規劃要結合網絡信息系統中主要的綜合業務系統進行對應的配套開發。業務系統的操作模式，系統中操作主體的權限都是需要進行訪問控制規劃考慮的重要內容。尤其是該業務系統中的安全管理這一部分，要有針對性的制定訪問控制措施的具體規則，進行業務操作必須按照規則來進行。

（2）訪問控制技術在網絡層的運用

訪問控制列表在路由器和三層交換機中有廣泛的應用。其中主客體即源地址、端口號與目的地址，在進行訪問控制列表的網絡資源時，必須遵循相應的保護規則，假如數據包可以充分滿足網絡安全保護規則標準，才能被則允許輸出。MAC地址過濾的步驟中，往往就將待訪問目標視為客體，而將MAC地址視為主體，因此通常就是按照定義MAC地址過濾列表來制定相應的保護規則，滿足這個保護規則的MAC地址數據包才能被允許輸出。此外，網絡內部網絡和外部網絡之分，以源端口號、源IP地址作為主體，而將目的端口號與IP地址作為客體，然后遵循安全保護規則的數據包才能被允許輸出，這種技術就是防火墻技術。

（3）訪問控制技術在數據庫管理系統層的運用

在網絡系統中，不僅僅是操作系統具有重要性，數據庫管理系統也是非常重要的，它是組成應用系統構架的重要內容。在數據庫管理系統中，訪問控制技術也被視為一個關鍵性的安全保護措施。數據庫管理系統將身份認證通過的登錄信息作為主體，而系統中的文件、字段、表以及操作作為對應的客體。控制用戶訪問的規則也會對用戶在數據庫中的存取操作的執行產生影響。數據庫中的存取矩陣也是對用戶訪問控制規則的反應。數據庫中，列在該存取矩陣中代表著系統客體，比如字段、表等等，陣列的各個單元表示的是主體對于客體或相異主體之間的存取方法，比如進行數據庫中的增刪、查詢、修改等操作。數據庫管理系統由于其數據的重要性，進行應用系統設計時要考慮將數據庫中內容作為依據，因而訪問控制措施對于數據庫管理系統中數據的保護而言就具有重要意義。由于一旦數據庫管理系統的訪問權限被非法用戶獲取后，就可能出現不需要經過應用系統直接獲取數據庫中數據的情況，因此，網絡系統開發管理部門就需要重視制定嚴格有效數據庫系統的訪問控制方案，對于數據庫管理系統中主體的最小權限進行深入分析，然后再進行存取矩陣的設定工作。一般而言，應用系統用戶沒有直接獲取數據庫管理系統權限的途徑,這樣進行規劃的目的在于不會對數據庫管理系統進行直接操作,通過制定有效的管控措施來避免直接授權操作。如果存在直接登錄進行數據庫系統操作的必要,那么也要進行操作的限制，不能對開發用戶進全面的授權。可以降低查詢權限的授予要求,但一定要對數據庫系統中數據增刪和修改操作權限的嚴格限制。

（4）訪問控制技術在操作系統層的運用

在網絡操作系統中的系統操作層面，用戶的身份認證有著極其重要作用，也是進行訪問控制依據的內容，并以此來進行網絡安全管理。隨著技術的不斷進步，進行用戶身份認證的方法有很多，如口令、指紋以及身份卡以等等。系統會對身份認證沒有通過的用戶實施禁入措施，假如用戶的身份認證正確，那么系統會將登錄系統的身份信息作為主體，而將系統的設備、數據文件、系統操作、系統進程作為客體，通常會出現比如數據讀寫、刪除以及修改等操作行為。通常利用用戶對信息存取控制進行用戶的身識別和存取訪問規則的制定，系統會根據需要授予不同的用戶不一樣的系統存取的權限，比如在寫入或者讀取方面。通常以存取矩陣模型來進行訪問控制規則的表示，因此從大型矩陣陣列則可以看出系統安全運行的狀態。系統主體由行進行表示，而對應的系統客體則用列來進行表示。主體對于客體或各個不同主體之間的存取是通過陣列單元進行填入的數值表示的。數據庫管理系統以及操作系統都是通過科學的設置訪問控制措施來對內部與外包開發人員進行有效限，以有效避免出現內部與外包開發人員故意越權進行操作系統的情況。因為假如出現對系統的內部和外包開發人授予權限過多的情況，那么網絡系統的安全就難以得到保障。進行網絡系統開發的科技部門必須對于操作系統訪問控制措施的設計給予充分的重視，對于文件系統中的用戶要按照最小權限進行授予，再在此基礎上通過存取矩陣進行科學的設定。

4結束語

隨著現代社會中網絡科技的迅速發展和普及，計算機網絡在各行各業的業的業務系統建設建設中占據了相當重要的位置。在網絡安全體系結構的設計中，訪問控制已經成為保障網絡安全的核心技術手段之一。訪問控制措施的設計必須符合相關的標準和要求，即嚴格遵循最小權限授予原則、分散系統業務職責給多人負責，對非法用戶的操作進行及時阻止等，以此充分保障網絡安全體系結構設計的科學性。

作者：梁樹軍 李玉華 尚展壘 單位：鄭州輕工業學院

引用：

[1]房文治.網絡安全訪問控制技術[J].電子技術與軟件工程，2014.

[2]許鑫.基于訪問控制模型實現銀行網絡安全目標[J].計算機技術與發展，2012.

[3]王鐵鋼.淺談“訪問控制”技術在銀行網絡安全中的運用[J].計算機光盤軟件與應用，2012.

[4]黃義強.探究網絡安全中的訪問控制技術[J].無線互聯科技，2011.

基金項目：

本文由鄭州市科技攻關項目（153PKJGG26）資助。