問題:什麼是訪問控制策略?訪問控制策略是什麼意思?
訪問控制策略是網路安全防範和保護的主要策略,其任務是保證網路資源不被非法使用和非法訪問。各種網路安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網路安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作許可權控制策略、目錄安全控制策略、屬性安全控制策略、網路伺服器安全控制策略、網路監測、鎖定控制策略和防火牆控制策略等7個方面的內容。
1.入網訪問控制策略
入網訪問控制是網路訪問的第1層安全機制。它控制哪些使用者能夠登入到伺服器並獲准使用網路資源,控制准許使用者入網的時間和位置。使用者的入網訪問控制通常分為三步執行:使用者名稱的識別與驗證;使用者口令的識別與驗證;使用者賬戶的預設許可權檢查。三道控制關卡中只要任何一關未過,該使用者便不能進入網路。
對網路使用者的使用者名稱和口令進行驗證是防止非法訪問的第一道關卡。使用者登入時首先輸入使用者名稱和口令,伺服器將驗證所輸入的使用者名稱是否合法。使用者的口令是使用者入網的關鍵所在。口令最好是數字、字母和其他字元的組合,長度應不少於6個字元,必須經過加密。口令加密的方法很多,最常見的方法有基於單向函式的口令加密、基於測試模式的口令加密、基於公鑰加密方案的口令加密、基於平方剩餘的口令加密、基於多項式共享的口令加密、基於數字簽名方案的口令加密等。經過各種方法加密的口令,即使是網路管理員也不能夠得到。系統還可採用一次性使用者口令,或使用如智慧卡等可攜式驗證設施來驗證使用者的身份。
網路管理員應該可對使用者賬戶的使用、使用者訪問網路的時間和方式進行控制和限制。使用者名稱或使用者賬戶是所有計算機系統中最基本的安全形式。使用者賬戶應只有網路管理員才能建立。使用者口令是使用者訪問網路所必須提交的准入證。使用者應該可以修改自己的口令,網路管理員對口令的控制功能包括限制口令的最小長度、強制使用者修改口令的時間間隔、口令的惟一性、口令過期失效後允許入網的寬限次數。針對使用者登入時多次輸入口令不正確的情況,系統應按照非法使用者入侵對待並給出報警資訊,同時應該能夠對允許使用者輸入口令的次數給予限制。
使用者名稱和口令通過驗證之後,系統需要進一步對使用者賬戶的預設許可權進行檢查。網路應能控制使用者登入入網的位置、限制使用者登入入網的時間、限制使用者入網的主機數量。當交費網路的使用者登入時,如果系統發現「資費」用盡,還應能對使用者的操作進行限制。
2.操作許可權控制策略
操作許可權控制是針對可能出現的網路非法操作而採取安全保護措施。使用者和使用者組被賦予一定的操作許可權。網路管理員能夠通過設定,指定使用者和使用者組可以訪問網路中的哪些伺服器和計算機,可以在伺服器或計算機上操控哪些程式,訪問哪些目錄、子目錄、檔案和其他資源。網路管理員還應該可以根據訪問許可權將使用者分為特殊使用者、普通使用者和審計使用者,可以設定使用者對可以訪問的檔案、目錄、裝置能夠執行何種操作。特殊使用者是指包括網路管理員的對網路、系統和應用軟體服務有特權操作許可的使用者;普通使用者是指那些由網路管理員根據實際需要為其分配操作許可權的使用者;審計使用者負責網路的安全控制與資源使用情況的審計。系統通常將操作許可權控制策略,通過訪問控制表來描述使用者對網路資源的操作許可權。
3.目錄安全控制策略
訪問控制策略應該允許網路管理員控制使用者對目錄、檔案、裝置的操作。目錄安全允許使用者在目錄一級的操作對目錄中的所有檔案和子目錄都有效。使用者還可進一步自行設定對目錄下的子控制目錄和檔案的許可權。對目錄和檔案的常規操作有:讀取(read)、寫入(write)、建立(create)、刪除(delete)、修改(modify)等。網路管理員應當為使用者設定適當的操作許可權,操作許可權的有效組合可以讓使用者有效地完成工作,同時又能有效地控制使用者對網路資源的訪問。
4.屬性安全控制策略
訪問控制策略還應該允許網路管理員在系統一級對檔案、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網路伺服器的檔案、目錄和網路裝置聯絡起來。屬性安全策略在操作許可權安全策略的基礎上,提供更進一步的網路安全保障。網路上的資源都應預先標出一組安全屬性,使用者對網路資源的操作許可權對應一張訪問控制表,屬性安全控制級別高於使用者操作許可權設定級別。屬性設定經常控制的許可權包括:向檔案或目錄寫入、檔案複製、目錄或檔案刪除、檢視目錄或檔案、執行檔案、隱含檔案、共享檔案或目錄等。允許網路管理員在系統一級控制檔案或目錄等的訪問屬性,可以保護網路系統中重要的目錄和檔案,維持系統對普通使用者的控制權,防止使用者對目錄和檔案的誤刪除等操作。
5.網路伺服器安全控制策略
網路系統允許在伺服器控制台上執行一系列操作。使用者通過控制台可以載入和解除安裝系統模組,可以安裝和刪除軟體。網路伺服器的安全控制包括可以設定口令鎖定伺服器控制台,以防止非法使用者修改系統、刪除重要資訊或破壞資料。系統應該提供伺服器登入限制、非法訪問者檢測等功能。
6.網路監測和鎖定控制策略
網路管理員應能夠對網路實施監控。網路伺服器應對使用者訪問網路資源的情況進行記錄。對於非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,引起網路管理員的注意。對於不法分子試圖進入網路的活動,網路伺服器應能夠自動記錄這種活動的次數,當次數達到設定數值,該使用者賬戶將被自動鎖定。
7.防火牆控制策略
防火牆是一種保護計算機網路安全的技術性措施,是用來阻止網路黑客進入企業內部網的屏障。防火牆分為專門裝置構成的硬體防火牆和執行在伺服器或計算機上的軟體防火牆。無論哪一種,防火牆通常都安置在網路邊界上,通過網路通訊監控系統隔離內部網路和外部網路,以阻檔來自外部網路的入侵。
網路安全策略和網路安全機制
考研初試專業課中的乙個題目,考的是有關安全機制和安全策略有關的方面,在專業課教材裡翻了好久沒有找到相關的內容,拿到複試的教材後發現才裡面有提到 於是今天拿出來總結一下好了安全策略是指在乙個特定的環境裡,為保證提供一定安全級別的安全保護所必須遵守的規則。主要包括以下內容 隨著應用環境的不同 實施客體的...
企業網路安全策略
調查表明 網路安全的威脅80 來自網路內部。其原因是 網路使用者不及時公升級系統補丁 公升級病毒庫的現象普遍存在,私設 伺服器 私自訪問外部網路 使用系統管理員禁止使用的軟體等行為在企業網路內部比比皆是。但就目前來說,解決企業網路安全問題仍是乙個比較棘手的事情,因為它涉及面特廣了,必須系統 全面地綜...
《網路安全原理與實踐》一1 7 部署網路安全策略
網路安全原理與實踐 定義了安全策略之後,下一步要做的就是部署它。部署安全策略不是一件簡單的事情,它包括技術性和非技術性兩方面的內容。找到能夠互相相容的裝置,並且通過這些裝置真正地實現安全策略具有足夠的挑戰性,同時對所有相關的團隊提出乙個切實可行的設計也同樣困難。在開始實現安全策略之前,有幾點需要記住...