访问控制技术及发展趋势
访问控制模型研究现状及展望
2 0 1 3 年第 3 期
计 算 机 与 数 字 丁 程
Co mp u t e r& Di g i t a l En g i n e e r i n g
Vo 1 . 4 1 No . 3
4 52
访 问控 制 模 型 研 究 现 状 及 展 望
任 海 鹏
力 及 范 围 的一 种 方 法 , 它 是 针 对 越 权 使 用 系 统 资 源 的 防 御 措施 , 通过显式地访问受保护资源 , 防止 非 法 用 户 的 入 侵 或
2 早 期 的 访 问控 制 模 型
2 . 1 自主访 问控 制 ( D A( ) 模 型
因为合 法用 户的不慎 操作所 造成 的破坏 , 从 而保证 系统 资 源受控地 、 合法地使用L 。
1 引 言
访 问控 制 技 术 是 信 息 系统 安 全 的核 心 技 术 之 一 。访 问
本 文 旨在 归 纳 总 结 现 有 的 研 究 成 果 , 介 绍 并 对 比典 型 访问控制模型的实现方式 及优缺 点 , 并分析 以后 的发展趋
势。
控制是通过某种途径显式地准许或 限制 主体对 客体访问能
Ab s t r a c t Ac c e s s c on t r o l i s a n i mp o r t a nt i nf o r ma t i o n s e c ur i t y t e c hn o l o g y,wh i c h p l a y s a n i mp o r t a nt r o l e i n ma n y f i e l d s .By c o n t rs a c c e s s t o i n f o r ma t i o n a n d r e s ou r c e ,a c c e s s c o n t r o l e n s ur e s t he c o n f i d e nt i a l i t y a n d i n t e g r i t y O f s y s t e m.I n t h i s p a p e r ,a s u r v e y o n r e
自主访问控制综述
自主访问控制综述摘要:访问控制是安全操作系统必备的功能之一,它的作用主要是决定谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
而自主访问控制(Discretionary Access Control, DAC)则是最早的访问控制策略之一,至今已发展出多种改进的访问控制策略。
本文首先从一般访问控制技术入手,介绍访问控制的基本要素和模型,以及自主访问控制的主要过程;然后介绍了包括传统DAC 策略在内的多种自主访问控制策略;接下来列举了四种自主访问控制的实现技术和他们的优劣之处;最后对自主访问控制的现状进行总结并简略介绍其发展趋势。
1自主访问控制基本概念访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)。
自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体。
1.1访问控制基本要素访问控制由最基本的三要素组成:●主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、I/O设备等。
●客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管道等。
●控制策略(Control Strategy):主体对客体的操作行为集和约束条件集,如访问矩阵、访问控制表等。
1.2访问控制基本模型自从1969年,B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象,经过多年的扩充和改造,现在已有多种访问控制模型及其变种。
本文介绍的是访问控制研究中的两个基本理论模型:一是引用监控器,这是安全操作系统的基本模型,进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系;二是访问矩阵,这是访问控制技术最基本的抽象模型。
1.2.1引用监控器1972年,作为承担美国军的一项计算机安全规划研究任务的研究成果,J. P. Anderson在一份研究报告中首次提出了用监控器(Reference Monitor)、安全内核(Security Kernel)等重要思想。
学校校园网络安全管理的网络访问控制
学校校园网络安全管理的网络访问控制随着信息技术的快速发展,学校校园网络已经成为学生学习和交流的重要平台。
然而,学校校园网络面临着来自内外的各种威胁和风险,如网络攻击、非法访问、信息泄露等。
因此,学校需要加强网络安全管理,其中网络访问控制是一项非常重要的措施。
一、网络访问控制的概念和作用网络访问控制,简称NAC,是指通过对用户设备的身份验证、授权和准入策略的检查,对进入学校网络的设备和用户进行管理和控制。
它的主要作用有以下几个方面:1. 防止非法访问和网络入侵:通过身份验证和授权的方式,只允许授权用户和设备接入学校网络,有效防止未经授权的设备和用户对网络进行非法访问和入侵。
2. 保护网络资源的安全:通过制定准入策略,限制设备和用户能够访问的资源范围,防止敏感信息被未经授权的人员获取,保护学校网络的安全和数据的完整性。
3. 管理网络带宽的合理分配和使用:通过优化网络访问控制规则和策略,对不同用户和设备进行带宽分配和限制,保证网络带宽的合理利用,提高网络性能和用户体验。
二、网络访问控制的实施方式1. 身份验证和准入控制:学校可以利用账号密码、数字证书或生物特征等方式对用户身份进行验证,并根据用户身份和权限设置不同的访问策略,以实现对网络的准入控制。
2. 网络防火墙和入侵检测系统:学校可以在网络边界和关键节点部署防火墙和入侵检测系统,对进出学校网络的数据包进行检查和过滤,防止恶意攻击和非法访问。
3. 网络流量监测和行为分析:通过网络流量监测和行为分析系统,学校可以实时监控学校网络的流量情况和用户行为,及时发现异常行为和网络威胁,并采取相应的措施进行应对。
4. 设备管理和漏洞修补:学校可以采用统一的设备管理平台,对接入网络的设备进行统一管理和漏洞修补,确保设备的安全性和合规性。
三、网络访问控制的挑战和解决方案1. 复杂多样的用户设备:学校面临着来自不同操作系统、不同设备类型和不同网络接入方式的用户设备,需要针对这些设备进行适配和管理,确保网络访问控制的有效性。
安全访问控制技术应用
安全访问控制技术应用安全访问控制技术在现代信息社会中起着至关重要的作用。
随着网络的发展和应用的普及,保护系统和数据的安全性成为人们关注的重点。
本文将深入探讨安全访问控制技术的应用,包括其定义、原理和常见的应用场景。
一、安全访问控制技术的定义及原理安全访问控制技术是指通过对资源的访问进行控制,确保只有授权的用户可以获得相应的权限来使用系统、数据或其他资源的技术手段。
它通过验证用户身份、控制权限的分配和监控用户访问行为来保护系统和数据的机密性、完整性和可用性。
安全访问控制技术的原理主要包括身份认证、授权和审计三个环节。
身份认证阶段通过验证用户的身份信息来确保其合法性,常见的身份认证方式包括密码验证、指纹识别和智能卡等。
授权阶段根据用户的身份和角色来分配相应的权限,以限制其对系统和数据的访问。
审计阶段通过监控和记录用户的访问行为,及时发现和阻止非法访问活动。
二、安全访问控制技术的应用场景1. 企业内部网络安全企业内部网络通常存储着大量的敏感信息和业务数据,因此需要对员工的访问进行严格控制。
安全访问控制技术可以确保只有经过授权的员工可以访问特定的数据和系统资源,并且可以根据不同的员工角色和级别设置不同的访问权限,进一步增强网络的安全性。
2. 云计算环境安全随着云计算技术的发展,越来越多的企业将数据和应用程序迁移到云平台上。
在这种情况下,安全访问控制技术能够帮助企业确保只有授权的用户可以访问云服务和数据,并且可以对用户的访问行为进行监控和审计,及时发现并阻止潜在的安全威胁。
3. 数据库安全数据库是企业重要的数据存储和管理平台,安全访问控制技术的应用可以防止未经授权的用户访问、修改或删除数据库中的数据。
通过身份认证和授权机制,数据库管理员可以确保只有具备相应权限的用户可以进行相关操作,并且可以对用户的访问行为进行记录和分析,提高数据库的安全性。
4. 物理设备访问控制安全访问控制技术不仅可以应用于网络和系统访问的控制,还可以应用于物理设备的访问控制。
云计算平台的使用权限与访问控制管理
云计算平台的使用权限与访问控制管理随着信息技术的不断发展,云计算平台已经成为企业和个人的重要工具。
它提供了许多便利和灵活性,但同时也带来了一些安全风险。
使用权限与访问控制管理成为保护云计算平台安全的重要手段。
本文将从不同角度探讨云计算平台的使用权限与访问控制管理的重要性,并介绍一些相应的措施。
使用权限是指用户对云计算平台资源的操作和管理能力。
一个有效的使用权限系统可以确保只有授权用户能够访问和操作云资源。
首先,我们来看一下使用权限管理的目的。
一方面,使用权限管理能够保护云计算平台资源的安全。
通过将不同的用户分配至不同的权限级别,可以确保敏感信息和重要资源只能被授权人员访问。
例如,一个企业拥有多名员工,其中有些员工需要访问客户数据,而另一些员工只需要访问内部文件。
通过使用权限管理系统,企业可以根据员工的职责和需求,为不同的用户分配不同的权限,从而确保数据的安全。
另一方面,使用权限管理还能够提高工作效率和合作的便利性。
通过合理的权限分配,员工可以根据自己的职责和需要,快速地访问所需的资源,无需等待其他人的协助。
这将大大提升工作效率,同时也保证了高效的团队合作。
接下来,我们来介绍一些常见的使用权限与访问控制管理措施。
第一,强密码策略。
云计算平台通常会要求用户设置密码来保护账户安全。
一个强密码策略可以有效防止暴力破解和密码泄露。
例如,要求密码长度不少于八位,包含大小写字母、数字和特殊字符等要求,同时要求用户定期更新密码。
第二,多因素身份验证。
多因素身份验证是指用户通过多个验证因素来确认自身身份的方法。
除了用户名和密码外,还可以结合其他信息,如指纹、验证码、手机短信等。
多因素身份验证大大提高了账户安全性,即使密码泄露,黑客也无法通过其他验证因素登录。
第三,角色权限分配。
通过角色权限管理,管理员可以根据不同职责和需求,将用户分配至不同的角色,并为每个角色分配相应的权限。
这样一来,可以简化权限管理的复杂度,并保证只有需要的人员才能访问敏感资源。
云计算技术在安全领域的发展现状与未来趋势分析
云计算技术在安全领域的发展现状与未来趋势分析随着信息技术的快速发展,云计算技术在各行各业的应用越来越广泛。
在安全领域,云计算技术也逐渐崭露头角,带来了新的机遇和挑战。
本文将就云计算技术在安全领域的发展现状以及未来的趋势进行分析。
首先,让我们来看一下云计算技术目前在安全领域的发展现状。
随着云计算的普及,越来越多的企业将数据和应用迁移到云端,这给安全带来了新的挑战。
云计算的核心在于数据中心虚拟化和资源共享,这使得安全控制变得更加复杂。
一方面,企业需要保护自己的数据和应用不被未经授权的访问,另一方面,他们也需要确保云服务提供商的安全性能能够满足自身的需求。
因此,在云计算技术的发展中,安全成为了一个重要的考量因素。
当前,云计算技术在安全领域的主要发展趋势有三个方面:加密技术的改进、可信计算的研究以及访问控制的增强。
加密技术是保护数据安全的重要手段,近年来,研究人员不断改进加密算法,以提高其安全性和效率。
例如,基于同态加密的数据处理技术,可以在保护数据隐私的同时,实现在加密状态下进行计算,极大程度地降低了数据泄露的风险。
可信计算是指在不可信环境下运行的程序能够得到可靠结果的计算模型和相关技术。
当前,研究者正在探索更高效和安全的可信计算模型,以应对云计算环境中的各种安全威胁。
访问控制是指在云环境中对用户访问资源进行控制和管理的手段。
由于云计算环境中涉及多个用户和角色,访问控制的增强是确保云环境安全性的重要步骤。
目前,基于身份管理和多因素认证的访问控制技术正在得到越来越广泛的应用。
除了现有的发展趋势外,云计算技术在安全领域的未来还有很大的发展空间。
首先,随着技术的不断进步,无线通信网络的普及和应用将为云计算技术的发展提供更好的基础。
无线通信网络的安全性问题一直是云计算的痛点之一,但随着5G技术的迅猛发展,无线网络的带宽和安全性都将得到极大增强,从而为云计算提供更可靠的网络接入。
其次,随着人工智能和大数据技术的发展,云计算技术有望在安全领域发挥更大的作用。
计算机网络安全技术与应用
计算机网络安全技术与应用随着计算机网络的发展和普及,人们在日常生活、工作、学习中越来越离不开网络。
然而,网络的便利性也带来了安全性的隐患,网络安全问题成为一个日益严重的社会问题。
其中,计算机网络安全技术和应用的重要性不言而喻。
本文将从以下几个方面探讨计算机网络安全技术与应用。
一、计算机网络安全技术的分类计算机网络安全技术可以分为以下几类:1. 密码技术:包括加密和解密技术,利用加密方法将明文转换为密文,从而保证信息安全。
2. 认证技术:认证技术是指确定用户身份的技术,包括用户密码、指纹识别、智能卡等。
3. 访问控制技术:访问控制技术是指限制用户对网络资源的访问权限,包括访问控制列表、访问认证码等。
4. 防火墙技术:防火墙技术用于控制网络流量,保障网络的安全和可靠性。
5. 漏洞扫描技术:漏洞扫描技术是指对计算机软件、硬件等进行安全的检查和测试,以发现可能存在的漏洞和错误。
二、计算机网络安全技术的应用计算机网络安全技术广泛应用于各个领域。
其中,在企业网络中,应用最为广泛。
企业网络安全技术主要应用于以下几个方面:1. 防御DDoS攻击:DDoS攻击是指利用大量的恶意流量来占用目标网络的带宽,使得目标网络无法正常服务的攻击方式。
采用DDoS攻击的黑客通常使用僵尸网络或者botnet等方式,攻击难以防范。
企业可以使用DDoS防御设备来进行防御,降低黑客攻击的风险。
2. 网络访问控制:企业网络在日常运营中需要进行良好的网络访问控制,以确保内部安全。
使用访问控制技术可以进行用户认证和权限管理,保护敏感数据。
3. 网络防火墙:网络防火墙可以控制网络流量,自动识别危险网络流量并进行拦截,保护企业网络的安全。
4. 邮件扫描和过滤:邮件是企业网络中发送和接收信息的主要方式,但是邮件也是黑客传播病毒和恶意代码的一种途径。
为了保护内部网络的安全,企业可以使用邮件过滤技术,自动扫描和过滤恶意邮件。
三、计算机网络安全技术的发展趋势当前,计算机网络安全的发展趋势主要体现在以下几个方面:1. 大数据应用:近年来,随着大数据技术的发展,企业和各行各业开始广泛应用大数据技术。
新型网络环境下的访问控制技术
新型网络环境下的访问控制技术随着互联网的普及和发展,新型网络环境下的访问控制技术成为了网络安全领域的关键课题。
传统的网络环境下,访问控制主要是基于网络边界的防火墙和路由器来实现的,但是在新型网络环境下,访问控制技术需要适应云计算、大数据、物联网等新技术和新应用的需求,具有更高的性能、更灵活的策略、更全面的监管等特点。
本文将从新型网络环境下的特点、访问控制技术的发展趋势以及一些典型的访问控制技术进行介绍,旨在为读者提供一个全面的了解新型网络环境下的访问控制技术。
一、新型网络环境下的特点新型网络环境主要包括云计算、大数据、物联网等技术,具有以下特点:1. 虚拟化和多租户:云计算环境下的虚拟机技术和容器技术使得服务器资源能够灵活地划分和管理,多个租户可以共享同一套硬件资源,因此访问控制需要对不同的租户和虚拟机进行细粒度的管控。
2. 大规模和高性能:大数据环境下对数据的处理速度和存储容量有特别的要求,访问控制需要在保证高性能的同时能够对数据进行有效的筛选和监管。
3. 多样性和复杂性:物联网环境下的终端设备类型多样,工作环境复杂,访问控制需要对不同的终端设备和应用场景进行智能的管控。
以上特点使得新型网络环境下的访问控制技术需要具备更高的灵活性、高性能和智能化的特点。
二、访问控制技术的发展趋势在新型网络环境下,访问控制技术的发展趋势主要体现在以下几个方面:1. 智能化:访问控制技术需要具备智能识别和智能决策的能力,能够根据用户的身份、行为和设备特征进行动态的访问控制。
2. 细粒度控制:随着虚拟化和多租户的普及,访问控制需要对网络、应用、数据和用户等进行更加细粒度的控制。
3. 自适应性:访问控制技术需要具备自适应性,能够根据网络环境的变化和威胁的变化进行自动的调整和优化。
4. 集中化和分布式:访问控制技术需要在集中管理和分布式管理之间取得平衡,能够集中管理全局的访问策略,又能够在本地快速响应访问请求。
5. 透明化和隐私保护:访问控制技术需要在确保访问透明的能够对用户的隐私进行有效的保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
马红红
信息安全2011级2班
一.访问控制技术
计算机系统的活动主要是在主体(进程、用户)和客体(资源、数据)之间进行的。
计算机安全的核心问题是确保主体对客体的访问的合法性,即通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性。
访问控制是对进入系统的控制,通常作为对资源访问处理的一部分,它的作用是对需要访问系统及其数据的人进行识别,并检查其合法身份。
1.访问控制主要有两种不同的类型:自由访问控制和强制访问控制
1)自主访问控制(又称任选访问控制)
自主访问控制是应用得很广泛的访问控制方法,用这种方法,资源的所有者(也往往是创建者)可任意规定谁可以访问他们的资源。
这样,用户或用户进程就可有选择的与其他用户共享资源,它是一种对单个用户执行访问控制的过程和措施。
①方法(是基于矩阵的行或列来表达访问控制信息)
a.基于行的自主访问控制:是在每个主体上都附加一个该主体可访问的客体的明细表。
按照表内信息的不同,可分为3种形式。
权利表(权能表),根据该表可决定用户是否可以对客体进行访问,以及可以进行何种访问;前缀表,包括受保护的客体名和主体对它的访问权;口令,主体对客体进行访问前,必须向操作系统提供该客体的口令。
b.基于列的自主访问控制:是对每个客体附加一份可访问它的主体的明细表,有两种形式。
保护位,它不能完备的表达访问控制矩阵,但可对所有主体、主体组以及该客体的拥有者指明一个访问模式集合,拥有者是唯一能够改变客体保护位的主体;访问控制表,每个客体都有一张访问控制表(ACL)记录该客体可被哪些主体访问以及访问的形式。
主体访问控制表可以决定任何一个特定的主体是否可对某一客体进行访问,它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的,表中的每一项包括主体的身份和对该客体的访问权。
②类型
a.等级型:可将对修改客体访问控制表的能力的控制组织成等级型的。
优点是可通过选择值得信任的人担任各级领导,使得可用最可信的方式对客体实施控制,缺点是会同时有多个主体有能力修改它的访问控制表。
b.有主型:是对客体设置一个拥有者,它是唯一有权访问客体访问控制表的主体。
拥有者对其拥有的客体具有全部控制权,但无权将客体的控制权分配给其它主体。
c.自由型:一个客体的生成者可对任何一个主体分配对它拥有的客体的访问控制表的修改权,还可使其对其它主体具有分配这种权利的能力。
2) 强制访问控制(MAC)
在强制访问控制中,系统给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员可确定用户和用户组的访问权限。
系统通过比较客体和主体的安全属性来决定主体是否可访问客体。
此外,强制访问控制不允许一个进程生成共享文件,从而防止进程通过共享文件将信息从一个进程传送到另一个进程。
MAC可通过使用敏感标号对所有用户和资源强制执行安全策略,即实现强制访问控制。
MAC可抵御特洛依木马和用户滥用职权等攻击,当敏感数据需在多种环境下受到保护时,就需要使用MAC。
强制访问控制是比自主访问控制功能更强的访问控制机制,但是这种机制也给合法用户带来许多不便。
例如,在用户共享数据方面不灵活且受到限制。
因此,一般在保护敏感信息时使用MAC,需对用户提供灵活的保护且更多的考虑共享信息时,使用MAC。
2.基于角色的访问控制(RBAC)
基于角色的访问控制根据常见的访问需求来分组用户。
你可以为一组执行同样的工作并且对资源的访问有着类似需要的用户分配一个角色。
通过简单的将多个用户分到某个组,然后根据访问控制的目的来为该组赋予相应的权限,基于角色的访问控制简化了用户访问权限的授予和撤销工作。
当存在大量员工调动或员工角色经常需要变更时这特别有用。
使用RBAC 的组织报告说,与使用传统的基于用户的访问系统相比,在分配新用户访问权限和提高改变、修改、终止用户权限的能力上,基于角色的访问控制在时间的花销上有了显著地降低。
RBAC 在机构快速调整方面也有很大的帮助,并能提高生产力和效率。
3.访问控制列表
访问控制列表(Access Control Lists,ACL)是关于用户信息的列表或文件,这些用户被授予访问系统或资源(数据库等)的权限。
这个文件保存用户的ID和与之相关的系统资源访问权限或权限集合。
这些权限通常是读(Read)、写(Write)、更新(Update)、删除(Delete)或重命名。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
二.发展趋势
随着企业信息系统的建立及规模的不断扩大,存储在系统中的敏感数据和关键数据也越来越多,而这些数据都依赖于系统来进行处理、交换、传递。
因此,保护系统及其数据不被未经授权的非法访问显得越来越重要,访问控制作为网络安全防范和保护的主要策略,主要是要明确访问对象并确定授权。
包括以下几个方面:
(一)用户访问管理
为防止对计算机信息系统的未经授权的访问,建立一套对信息系统和服务的访问权限分配程序时必须的。
这些程序应当覆盖用户访问的每一个阶段,从新用户的注册到不再需要访问信息系统和服务的用户最终的注销。
通常,一个计算机信息系统是一个多用户的系统,为防止对信息系统的非法操作,需要一种正式的用户注册和注销的安全保护措施,用户和用户组被赋予一定的权限,体现为用户组可以访问哪些系统资源,当不再需要对信息系统访问时,又可以注销这些权限。
特权访问具有超越一般用户对系统访问的权限,而对系统特权的不当使用往往可能导致系统发生故障,故特权分配可参照因素有:根据系统资源及每个应用软件的实际需要确定分配、建立在需要与就事论事的基础上、系统升级或更新版本后,特权所赋予的限度应重新审核。
在计算机信息系统中,用户口令与账号的使用不仅能确定谁正在使用系统,是何时登录使用系统的,也能控制系统使用者在系统中可以做什么,因此,对口令和账号的管理是极其重要的。
为了保持对数据和信息服务存取的有效控制,对用户访问的权限应进行定期复查。
(二)网络访问控制
为保护网络服务,应控制对内部和外部网络服务的访问,这对于确保对网络和网络访问有访问权限的用户是完全必要的。
与网络服务的不安全连接会影响自身系统的安全性,因此应明确对用户提供哪些特权才可直接访问其服务。
网络服务使用策略应考虑到网络和网络服务的使用,具体应包括:允许访问的网络与网络服务、用于确定谁可访问那些网络和网络服务的授权、保护对网络连接和网络服务的访问管理措施等。
网络的最大特征是最大限度的资源共享和最大程度的路径自由选择,而这也可能为那些未经授权的访问创造了机会,成为信息系统安全的一种隐患。
故从终端用户到计算机服务器的路径必须受到控制。
例如,建立一条强制路径,从而达到降低安全风险的目的。
对于远程访问控制,需要进行远程访问用户认证,这需要对用户的身份加以确认和保护。
拨号访问和访问控制也要求对用户口令的识别和保护其安全。
网络在使用通信和信息的共享变得跟为容易的同时,其自身也更多的被曝露在损坏和毁坏的攻击之中,因而必须加强网络的安全管理。
(三)应用系统访问控制
应用系统,特别是敏感的或关键的业务应用系统,对一个企业或一个机构来说是一笔财富。
为确保应用系统的访问是经过授权的,其应当:控制用户对应用程序的访问,并要求对所制定的业务访问控制策略一致、对超越应用程序限制的任何一个实用程序和操作系统中的部
分软件提供保护,防止未经授权访问、不影响有共享信息资源的其它系统的安全、只能向所有权人及其他被指定和经授权者或确定的用户群提供访问权限。
为支持对信息访问的限制要求,可采用的管理措施有:提供菜单控制访问应用系统的功能;通过对用户文件的适当编辑,限制用户对未经授权访问的信息或应用系统功能的了解;控制用户对应用系统访问的权限,包括读、写、删除及执行等权限;含有敏感信息的应用系统的输出只包括与输出使用相关的信息,而且只送到得到授权的终端和地点。
敏感系统如果条件允许应使用专用(隔离的)计算环境,而且只同可信任的其他应用系统共享资源。
(四)数据库访问控制
数据库访问控制是对用户数据库各种资源,包括表、视窗、各种目录以及实用程序等的权利(包括创建、撤销、查询、增、删、改、执行等)的控制。
这是数据安全的基本手段。
对数据库进行访问控制,首先要正确识别用户,防止可能的假冒。
数据库用户在DBMS(数据库管理系统)注册时,给每一个用户标识。
用户标识是用户公开的标识,不能成为其鉴别用户的凭证。
鉴别用户身份,一般采用:利用只有用户知道的信息鉴别用户,如广泛使用的口令;利用只有用户知道的物品鉴别用户,如磁卡;利用用户的个人特征鉴别用户,如指纹、声音、签名等。
对一般数据库用户、具有支配部分数据库资源特权的数据库用户、具有DBA 特权的数据库用户要进行明确的区分,才能确保其合法授权。
参考文献
1.徐超汉,计算机信息安全管理,电子工业出版社,2006—4
2.中国信息安全产品测评认证中心,信息安全理论与技术,人民邮电出版社,2004—7
3.百度网站,
4.Mark Merkow Jim Breithaupt,信息安全原理与实践,清华大学出版社,2008—10。