当前位置:文档之家 › 浅谈访问控制策略

浅谈访问控制策略

  • 格式:doc
  • 大小:29.00 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

浅谈等级保护技术标准要求中的操作系统标记和强制访问控制

浅谈等级保护技术标准要求中的操作系统标记和强制访问控制
3强 制 访 问 控 制 ( MAC) 操 作 系 统 的 某 一 合 法 用 户 可 任 意 运 行 一 段 程 序 来 修 改 该 用 户 拥 有 的 文
统 允 许 用 户 自己 编 程 ,就 没 办 法 杜 绝
特 洛 伊 木 马 。 但 可 以对 其 过 程 采 取 某 些 措 施 ,这 种 方 法 称 为 过程 控 制 。 例 如 , 告 用 户 不 要 运 行 系 统 目录 以 外 警
别 ;强 制 访 问控 制就 是 依 据 这 个 级 别
某 个 客 体 。用 户 为 某 个 目 的 而 运 行 的 程 序 ,不 能 改 变 它 自己 及 任 何 其 它 客
体 的安 全 属 性 ,包 括 该 用 户 自己 拥 有 的 客 体 。 制 访 问控 制 还 可 以 阻 止 某 强 个 进 程 生成 共 享 文 件 并 通 过 这 个 共 享 文 件 向其 它 进 程 传 递 信 息 。 一 般 强 制 访 问 控 制 采 用 以下 几 种
方法:
为 规 范 我 国 信 息 安 全 建 设 ,0 3 2 0
来 决 定 主 体 以何 种 权 限 对 客 体 进 行 操
( ) 制 访 问控 制 。 1限
年 , 国家 信 息 化领 导 小 组 关 于加 强 《
信 息 安 全 保 障 工 作 的 意 见 》明 确 指 出 “ 行 信 息 安 全 等 级 保 护 ” “ 重 点 实 。 要 保护基 础信 息 网络 和关 系 国家安 全 、
时 防 止 内 、外 非 法 用 户 的 攻 击 就 成 为 当 前 信 息 系统 等 级 化 建 设 中 一 个 至 关 重要 的问题 。
本 文 就 等 级 保 护 技 术 标 准 要 求 中 的 标 记 和 强 制 访 问 控 制 ,谈 谈 作 者 的

浅谈交换机安全配置

浅谈交换机安全配置

浅谈交换机安全配置随着网络安全问题的日益凸显,交换机作为网络设备中的重要组成部分,其安全配置显得尤为重要。

交换机是用来连接网络中各种终端设备的设备,它负责数据的传输和路由,因此交换机的安全性关乎整个网络的安全。

本文将浅谈交换机安全配置,希望对读者有所帮助。

一、交换机安全威胁首先我们需要了解交换机面临的安全威胁。

交换机可能会受到来自外部的攻击,比如黑客通过网络攻击来入侵交换机,获取网络数据或者干扰正常的网络通讯。

内部的员工也可能利用技术手段对交换机进行非法操作,比如窃取公司的敏感数据等。

交换机的安全配置必不可少。

二、交换机安全配置策略1.访问控制访问控制是保障交换机安全的重要手段之一。

通过访问控制列表(ACL)可以对交换机的流量进行控制和过滤,防止未经授权的用户对网络数据进行访问和操作。

管理员可以根据需要设置ACL,比如限制某些IP地址的访问,屏蔽特定的端口等,以达到控制流量的目的。

还可以通过VLAN和端口安全控制来对交换机的端口进行访问控制,保障网络的安全性。

2.端口安全交换机端口是连接终端设备的关键接口,因此需要对端口进行安全配置。

管理员可以通过设置端口安全策略来限制端口的访问权限,比如限制每个端口允许连接的MAC地址数量,当超出限制时自动关闭端口,防止未经授权的设备连接到网络上。

还可以配置端口安全的认证机制,比如802.1x认证,只有通过认证的设备才能接入网络,提高网络的安全性。

3.密钥管理交换机通过密钥来进行认证和加密,因此密钥管理是交换机安全配置中的关键步骤。

管理员需要对交换机的密钥进行合理的管理和保护,确保其不被泄露或被非法使用。

密钥的定期更新也是一项重要的措施,可以有效防止攻击者利用已知的密钥进行网络攻击。

4.端口镜像端口镜像是一种用于监测和审核交换机流量的技术手段,通过将特定端口的流量镜像到监控端口上,管理员可以实时监测和分析网络的流量情况,及时发现异常流量或攻击行为。

这对于保障网络的安全性和预防潜在的安全威胁非常重要。

浅谈电子税务系统的信息安全

浅谈电子税务系统的信息安全
关键词 : 电 子税 务 系统 ; 信息安全 ; 防护 措 施
近些年来 , 我国电子税务 系统取 得 了快速 的发展与进 步 , 人 们 2 . 2网络安全措施 。 2 . 2 . 1 访 问控制 。 网络需要防范非法用户 的非 逐渐意识到电子税务系统的重要性 , 在很多领域 中得 到了广泛的应 法访问和合法用户 的非授权访问。 非法用户 的非法访问也就是 黑客 用, 取得 了非常好 的成就 。 然而 , 电子税务系统信息安全方面仍 旧存 或 间谍 的攻击行为 。 访 问控制是 网络安全防范和保护的主要策 略和 在很大 的漏洞 , 使得信息数 据的安全性受 到了极大 的威胁 , 严 重影 重要手段 。 访问控制策略主要包括人 网访 问控制 、 网络 的权限控制 、 响了电子税务系统的正常运行 。 因此 , 针对这一问题 , 只有建立完善 目录级 安全控制 、 属性安全控制 、 网络服务器 安全 控制 、 网络监测 和 的管理体制 , 采 取有效 的防护性 措施 , 才可 以确保 电子税务系统 的 锁定控制 、 网络端 口和节 点的安全控制 以及 防火墙控制 。可 以通过 安全稳定性 。那么 , 本文就 以电子税务系统信息安全 问题 重点 研究 建立 和使用正式 的规程来分配权限 , 培训工作人员和管理人员安全 内容 , 得 出以下相关结论 , 仅供参考。 地 使用系统来完 成对电子税务 系统 信息和数据 的控制访 问。2 . 2 . 2 1 电子 税 务 系统 面 临 的信 息 安 全 威 胁 漏 洞扫描 。在 网络建设 中部署漏洞扫描 系统对 网络中的工作站 、 服 般情况下 , 电子税务系统 中的信息安全 问题大 多是 因为计算 务 器 、 数据库等各种系统以及路 由器 、 交换机 、 防火墙等 网络设备 可 机软件 以及硬件受到破坏所引起的 。因此 , 本文就具 体归纳了几下 能存在 的安全漏 洞进行逐项检查测试 该 , 提供周密 、 可靠 的安全性 几点常见的安全隐患 : 分 析报告 , 然后及时修补 漏洞 , 从根本上解决 网络 安全 问题 , 有效地 1 . 1 物理安全 隐患。 如果计算机在正常运行下 , 受到人为因素或 阻 止人 侵 事 件 的发 生 。 2 . 2 . 3主动 防御 。 可 以说 , 防火 墙 的 出现 , 对 电 其他不确定 因素的影响 , 导致计算机系统 中的软件 、 硬件 、 以及相关 子 税务 系统 的信息安全起到了一定的保 障作 用。但 是 , 虽然 防火墙 元件受到一定的破坏 , 就会对 电子税务 系统 的信息安 全造 成极 坏的 可以对一些非法用户 的访 问进行有效的控制 , 却不能完全抵御所有 因此 , 为 了确保 电子税务系统能够更加安全 、 稳定 影响 。 但是 , 由于现代科技水平的不断提高 , 越来越多 的恶意程序和 的恶意攻击程序 。 有毒软件 出现在市场 中 , 它们 通过 网络设 备中存在 的漏 洞 , 进 入到 的运行 , 可 以配备入侵 检测 系统 , 一旦 电子税务 系统 中 出现入侵程 计算机 系统 中, 破坏计算机 系统 内部 的安 全程序 , 甚至还会 与极端 序 , 就可 以检测出问题原因 , 并启动相应的防护程序 , 尽可 能将损失 机终端共用一个 I P地址 ,使得信息数据在传输 过程 中发生泄密或 程度降到最低 。 丢失 。 2 . 3数据安全。数据安全包括数据传输安全 、 数据存储安全以及 1 . 2网络平 台面临的安全威胁 。电子税 系统通 过网络平台连接 数据的备份 和恢 复三个方 面。 数 据传输安全是指在传输过程中保护 外 网后 , 一 方面面 临来 自外 网节点 的越权访 问、 恶意攻击 和病毒入 数据信息的机密性 和完整性 , 以防被他人截 获 、 修改 , 具体 可通过数 数字签名及 V P N等技术来实现。 数据存储安全是指要 侵, 另一方面面临来 自税务 系统 同级 、 上级和下级节点 的越权访 问 、 据加密技术 、 恶意攻击和病毒人侵 。 保证存储在服务 器或终端上 的数据 的安全 , 对 于要求 保密的重要数 如纳税人 的交易密码 , 需加密后再存储 。 数据备份和恢复可以确 1 . 3应用系统数据面临的威胁 。如果数 据库的安全 口令设置 的 据 , 过 于简单 , 很容易被黑 客或恶意程序 所破解 , 这样就会 电子税务系 保存系统遭到攻 击或 因 自然 因素导致数据不可用时 , 利用 备份的数 统 的安全性受到很大 的威胁 , 再加之没有对 用户权限进行严格 的控 据进行恢复。 制, 无法对系统的运行状态实施动态管 理 , 一旦发生 问题 , 相关技术 2 . 4电子税 务系统的信息安全管理 。对于 电子税务 系统 建立一 即安全管理中心。它用来 给各网络安全 管理人员并不能快速找到原 因所在 , 使 得电子税务系统无法正常运 套集 中管理的机制和设备 , 行。 设备分 发密钥 , 监 控 网络安全设 备的运行状态 , 负责 收集 网络安全 不断完善 1 . 4人为 因素及管理的缺陷 。电子税务系统 内部 的安全 问题也 设备 的审计信息等 。建立健全信息安全管理和防范制度 , 是影 响信息安全 的重要原 因之一 。 由于大部分电子税 务系统管理人 系统 的操作规程 , 严格规范工作人员的操作 行为和水平 。 结 束 语 员对 自身单 位的网络系统有着全 面的掌握 , 了解系统软件 中存在 的 综 上所述 , 可 以得 知 , 电子税务 系统的信息 安全本身 就是一个 漏洞, 他们会利用 这些不足 之处来攻击 电子税 务系统 , 造成信 息数 据 的泄密 , 使得 电子税务系统 的安全性无法得到绝对的保 障。 其次 , 规模庞大 、 内容复杂 的工程 , 其可发展空 间还很大 , 还需要进一步研 因此 , 想要确保电子税务系统持续稳定 的运行 , 使得信息 很 多税务部门对于电子税 务系统信 息安全 问题 的重视度不高 , 缺乏 发 和完善 。 税 完善 的信 息管理体 系 , 相关 的技术管理人 员专业能力较差 , 并 没有 数据 的安全得到充足 的保障 ,就要 通过 先进 的技 术手 段来实现 , 定期对 电子税务系统进行 定期对 电子税务系统进行检测与维护 , 最终导致 电子税务 系统的安 务部门要建立完善 的信息安全管理体系 , 检测与调试 ,相关管理人员必须具备较强的专业 知识与专业技能 , 全稳定性受到极大的威胁 。 能够对系统 的运行状态实施全方位的监测 , 从而保证 电子税务 系统 2 电子 税 务 系统 信 息安 全 的 防护 措 施 想要确保 电子税务系统能够安全稳 定的运行 , 就 要充 分做好信 的正常运行 , 为人们带来更 多的便捷 。 参 考 文 献 息安全 的防护措施 , 下面 , 针对上述存在的信息安全问题 , 提出几点 f 1 1 韩改莉. 电子税务 系统 中计算机 网络的安全策略f J j . 电脑知 识与技 有效的解决对策 : 2 0 0 8 , 4 : 5 0 — 5 2 . 2 . 1 物理安全措施 。 作为 电子税务系统的硬件基础 , 物理安全是 术 , 2 1 谭 荣华, 徐 夫田, 谢 波峰 . 我 国税务信 息化建设 的七 大重点f J ] . 涉外 信息安全 的第一道防线 。 物理安全包 括环境 、 设备及线路的安全 , 主 『 税 务 , 2 0 0 2 , 1 0 : 2 6 — 3 0 . 要是指 防盗 、 防火 、 防静 电、 防雷击 以及 防电磁 泄漏。要根据接入 网 3 1 杨 茂云 . 信 息 与 网络 安 全 使 用 教 程 【 M】 . 北京: 电 子 工 业 出版 社 , 络设备 的数量 、 功耗 和负载等及 时地对设备进行 扩容扩充 , 并做好 『

浅谈如何保障网络信息安全

浅谈如何保障网络信息安全

浅谈如何保障网络信息安全浅谈如何保障网络信息安全网络信息安全是当今互联网时代面临的重大挑战之一。

随着互联网的普及和信息技术的迅猛发展,网络安全问题也逐渐受到人们的重视。

本文将从以下几个方面浅谈如何保障网络信息安全。

1. 加强用户教育和意识培养用户是网络信息安全的第一道防线。

加强用户的网络安全教育和意识培养对于保障网络信息安全至关重要。

用户应当了解网络信息安全的基本知识,如密码的设置与保护、不可疑、定期更新操作系统和防软件等。

同时,用户应该保持警惕,提高对网络信息安全风险的认知。

2. 建立健全的安全管理体系企业和组织应该建立健全的网络信息安全管理体系,制定相应的安全政策和规定,并确保其有效执行。

这包括制定合理的密码策略、访问控制策略、数据备份策略等。

同时,进行定期的安全风险评估和安全漏洞扫描,及时发现并修补系统或应用程序的安全漏洞。

3. 强化网络设备和系统的安全防护网络设备和系统是信息流通的基础,其安全防护至关重要。

对于网络设备和系统,可以采取一系列措施保障其安全,如定期更新安全补丁、加强访问控制、启用防火墙、使用入侵检测和防御系统等。

通过事前和事中的安全防护措施,可以有效减少网络攻击和信息泄露的风险。

4. 构建高可用的数据备份和恢复方案数据备份是保障网络信息安全的一项重要措施。

在网络系统遭受攻击或意外灾害时,数据备份可以提供重要数据的恢复和恢复过程中的容错能力。

因此,建立高可用的数据备份和恢复方案对于保障网络信息的长期安全至关重要。

定期备份数据,并将备份数据存储在安全可靠的地方,同时进行定期的备份验证,确保备份数据的完整性和可用性。

5. 加强安全监控和事件响应能力加强安全监控和事件响应能力可以及时发现和应对网络安全威胁。

通过部署安全监控系统,及时发现异常行为和网络攻击,并采取相应的措施进行响应和处置。

建立完善的安全事件响应机制,包括明确责任人、建立响应流程、定期进行演练等,以提高对安全事件的响应能力。

浅谈办公自动化与网络安全

浅谈办公自动化与网络安全

浅谈办公自动化与网络安全引言概述:办公自动化是指通过计算机技术和信息管理系统来实现办公过程的自动化,提高办公效率和工作质量。

然而,随着办公自动化的普及和应用,网络安全问题也变得日益突出。

本文将从五个方面探讨办公自动化与网络安全的关系。

一、数据存储与保护1.1 数据备份与恢复:办公自动化系统中的数据备份和恢复功能对于防止数据丢失和恢复误操作至关重要。

定期备份数据并建立可靠的恢复机制,可以有效防范数据丢失的风险。

1.2 数据加密与权限控制:办公自动化系统中的敏感数据应该进行加密存储,确保数据在传输和储存过程中的安全性。

同时,通过权限控制机制,对不同用户进行不同程度的数据访问权限限制,可以减少数据泄露的风险。

1.3 数据安全审计与监控:建立数据安全审计和监控机制,对办公自动化系统的数据操作进行记录和监控,及时发现潜在的安全风险和异常操作,保障数据的安全性和完整性。

二、网络通信与防护2.1 网络隔离与防火墙:办公自动化系统中的网络通信应该与其他网络环境进行隔离,通过设置防火墙等网络安全设备,防止未授权的访问和攻击。

2.2 网络访问控制与认证:建立网络访问控制和身份认证机制,限制非法用户的访问,并确保合法用户的身份安全。

采用复杂的密码策略和双因素认证等技术手段,提高网络的安全性。

2.3 网络安全培训与意识:加强员工的网络安全培训和意识教育,提高员工对网络安全的认识和防范能力,减少因员工疏忽而导致的安全漏洞。

三、软件应用与漏洞修复3.1 及时更新与升级:办公自动化系统中使用的软件应及时更新和升级,以修复已知的漏洞和提高系统的安全性。

同时,及时安装安全补丁和更新,减少被恶意软件利用的风险。

3.2 强化访问控制:通过设置访问控制策略,限制软件应用的访问权限,减少恶意软件的传播和潜在威胁。

3.3 安全审计与漏洞扫描:定期进行安全审计和漏洞扫描,发现和修复系统中的安全漏洞,提高系统的安全性和稳定性。

四、移动办公与设备管理4.1 设备安全策略:建立设备安全策略,限制移动设备的访问权限,确保设备的安全性。

大数据平台数据访问安全控制策略研究

大数据平台数据访问安全控制策略研究

2017年11月第20卷第22期中国管理信息化China Management InformationizationNov.,2017Vol.20,No.22业进行分析,企业通过这些关联数据,分析提炼出对自己企业有用的信息,继而制定企业战略,防范风险。

图2 数据挖掘的网络信息安全防范模型其次,使用Web数据挖掘技术对网络信息进行分类分析。

企业应将所有的信息进行综合,然后按照一定的指标分出类别,并对这些不同类别的信息进行整理,方便后续的检索。

该项功能主要依靠人工智能来完成,以保证资料能够得到完整的利用。

再次,使用Web数据挖掘技术对网络信息进行聚类分析。

企业应将这些具有共同点的信息进行分类,将这些数据分成各个小组,但每一个小组都要有一个共同的类似点,以便于从整体对局部进行分析。

最后,利用Web数据挖掘技术,根据收集到的资源信息的不同点进行分类,分类后根据这些不同点的特征,分析出对自身企业有用的信息。

从整体上说,Web数据挖掘技术通过运用其强大的分析能力,可对网络信息进行筛选、整合,企业可再根据这些整合出来的资源信息,为自身制定战略,为企业发展提供一个良好的网络信息环境。

4 结 语网络技术在给用户带来便利的同时,也给用户的信息安全造成了极大的威胁,科技进步,黑客技术也在不断进步,为了使信息得到最大的保护,网络信息的安全技术要随着科技的进步不断发展,为互联网的运用提供一个完善安全的网络系统。

本文通过Web数据挖掘技术,将网络信息安全防范与该技术进行有效整合,提高了我国企业的网络信息安全度,以为我国企业的发展提供一个良好的环境。

主要参考文献[1]刘波.浅谈数据挖掘技术在临床医学领域中的应用[J].电子世界,2017(12).[2]赵炬红,陈坤彦.基于数据挖掘技术的茶叶营销策略分析[J].福建茶叶,2017(5).[3]崔道江,陈琳,李勇.智能检索引擎中的网络数据挖掘技术优化研究[J].计算机测量与控制,2017(6).[4]王珣.基于Spark平台的大数据挖掘技术研究[J].微型电脑应用,2017(6).0 引 言大数据是IT行业的一大颠覆性技术变革,以Hadoop为核心的大数据平台在互联网、金融、运营商中得到了广泛使用,并且影响巨大。

浅谈计算机网络安全及防范

浅谈计算机网络安全及防范
体安全。
⑥ 建 立 网络智 能型 日志 系统 。 日志 系统 具有 综合 性数 据记 录功 能和 自动 分类 检 索 能力 。
() 化 访 问控制 策 略 。访 问控 制 是 网络 安 2强 全 防 范和 保 护 的主要 策 略 , 的主 要任 务是 保证 它
网络资源不被非法使用和非法访 问。 各种安全策
nt r)的一 个好 处 就是 提 高 了网络 安 全 性 。 ewok 由于 交换机 只 能在 同一 VL N 内的 端 口之 间交 A
换数 据 ,不 同 VL N 的端 口不 能直接 访 问 ,因 A
威 胁 ,归结起来 ,主 要有 三点 :① 人 为 的无 意失 误 。 人 为 的恶 意攻击 。 也是 目前计 算机 网络 ② 这
缺 陷和漏 洞恰恰 就是 黑客进 行 攻击 的 首选 目标 。 绝 大 部分 网络 入侵 事 件都 是 因为 安全 措 施 不完
善 ,没有 及 时补上系 统漏 洞造 成 的 。
获 取 多方 面实 际利 益 的方 向转移 ,网上 木 马、间
谍 程序 、 意 网站 、网络 仿 冒等 的出现和 日趋 泛 恶 滥 ; 机 、掌上 电脑 等无 线终 端 的处理 能力和 功 手
决 。总之 ,安全 问题 已经摆在 了非常重 要 的位 置 上 ,网络 安全 如果 不加 以防范 , 严重 地影 响到 会
网络 的应 用 。
心 、以路 由器 为边 界 的网络传 输格 局 , 加上 基 再 于中心 交换 机 的访 问控 制功 能和 三层交 换 功能 ,
所 以采取物理分段与逻辑分段两种方法来实现
⑤属性安全控制策略 当用文件、目 录和 网
络 设 备时 ,网络 系统 管理 员应 给 文件 、目录等 指 定访 问属性 。 性安全 控制 可 以将 给 定 的属 性 与 属 网络 服务 器 的文件 、 目录 和 网络 设 备联 系起 来 。 属 性 安 全 在权 限安 全 的基础 上 提 供 更 进 一 步 的

浅谈校园网安全控制策略

浅谈校园网安全控制策略

浅谈校园网安全控制策略[摘要]数字化大学已成为当前各高校信息化建设发展的主要目标。

校园网络作为信息化建设的主要载体,校园网络安全已经成为当前各高校网络建设中不可忽视的首要问题。

文章基于当前高校网络安全的现状及特点,提出相应的控制策略。

[关键词]网络;安全策略;数据;访问1引言随着我国经济与科技的不断发展,教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。

随着各高校网络规模的急剧膨胀,网络用户的快速增长,校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。

2目前高校校园网络的安全现状2.1操作系统的安全问题目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux 等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。

如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。

2.2病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响高校校园网络安全的主要因素。

2.3黑客在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。

大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。

黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。

2.4口令入侵为管理和计费的方便,一般来说,学校为每个上网的老师和学生分配一个账号,并根据其应用范围,分配相应的权限。

某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成了费用管理的混乱。

2.5非正常途径访问或内部破坏在高校中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据;一些学生通过非正常的手段获取习题的答案或在考前获得考试内容,使正常的教学练习失去意义。

浅谈校园网络出口安全访问控制

浅谈校园网络出口安全访问控制

浅谈校园网络出口安全访问控制徐燕婷(无锡工艺职业技术学院,江苏宜兴214206)应用科技£fi笥要]校园网络出口安全访问控制可以做到对校内用户的网络访问有效地控制,可以对网络恶意行为进行有效地防御。

本文通过对网络安全理论的研究,提出了校园网络出口访问控制系统的安全体系模型,以需求的网络出口安全的需求。

供键翊安套;访问控静1.身份戳证随着计算机网络技术的迅速发展,校园网也日趋普及,其为充分利用优质教育资源提供了可能。

全国各个高校都建立了自己的校园网,通过中国教育科研网(C er net)成为I nt em e t的一员。

校园网络作为学校重要的基础设施,担当着教学、科研、管理和对外交流等学多角色。

它具有联结形式的多样性、终端分布不均匀性和网络的开放性和互联性等特征,如何保护校园网络的安全是一个复杂的问题。

高校校园网的管理者也已经将安全因素看作网络建设、改造的关键环节。

1校园网网络出口面临的问题。

.校园网络出口作为校园网与因特网连接的重要桥梁,如何保证对网络出口进行有效地访问控制,成为各个高校在网络建设规划中考虑的重要问题之一。

典型的网络出口面临的问题是:1)随着校园网络规模的日益扩大,校园网络原来的出口已经无法满足发展的需要:2)人们对网络的依赖性增强,建立可信的网络信息环境成为追切的需求,苟时网络出口的可信度提出了较高的要求:3)复杂繁多的安全认证方式使用户应用困难,同时也增加了安全访问控制的工作难度;4)恶意代码通过网络途径扩散,危害性高;5)网络攻击技术日趋复杂,攻击工具和工具搠作易得:6)网络安全防范缺乏体系,用户安全防范意识不强。

2校园网网络出口安全访问控制系统通过建立集成身份认证、访问控制、安全防御功能的网络出口安全访问控制系统将成为保障校园网络安全的第—道防御系统。

21系统模型根据对网络出口的安全需求的分析,以及系统的设计原则,并参考已有的信息安全模型提出了关于网络出口访问控制的系统安全模型,如图2-1。

浅谈如何利用访问控制列表技术保障校园网网络安全

浅谈如何利用访问控制列表技术保障校园网网络安全

不 够全 面 。 至存 在很大 的误 区 。例 如 : 为 网络 A L可 以限定 或简化路 由更新 信息 的长 度 .从 而 甚 认 C 建设越 高档越 好 , 在建设 中盲 目追求 高 投人 , 校 限制通过 路 由器某 一 网段 的通信 流量 。 对 园 网络建 设 的建 设 缺乏 综 合规 划 及 开发 应 用 : 认 3 A L是 提供 网络安全访 问的基本 手段 。如 )C 为建 好 了校 园 网络 , 连接 了 It nt就 等 于 实 现 A L允许 主机 A访 问人力 资 源 网络 . ne e. r C 而拒 绝 主机 了教学 和办公 的 自动化和 信息化 .而 缺乏 对校 园 B访 问 。 网络 的综 合管 理 、 技术人 员 和教师 的应 用培训 , 缺
3 访 问控制 列表 的分类 、 目前 A L分 为标 准 A L C C 、扩展 A L和 基 于 C
之有效 的方 法 . 既可 以很好地 杜绝 网络 安全 隐患 . 时 间 的 A L三种 标 准 A L可 以阻止 来 自某 一 C C 还可 以省 去购买 硬件 防火墙 的开支 下 面本 人便 网络 的所有 通信 流量 .或者 允许来 自某 一 特定 网 简单谈 谈如何 利用 访 问控制列 表技术 来 保 障校 园 络 的所 有通 信流 量 .或 者拒绝 某 一协议 簇 的所 有 网 的 网 络 安 全 通 信流 量 。扩 展 A L比标 准 A L提供 了更 广 泛 C C
文抛砖 引玉 , 与各位 同行共 同利 用各种 先进 的 网络技 术 来保 障校 园 网的 网络安 全 , 其更 好地 服 使
务 于广 大师 生。
【 键 词 】 访 f控 制列表 网络安 全 校 园网 关 : - l
背 景 术手 段 。 随着 经 济 的发 展 和 国 家科 教 兴 国 战略 的 实 2 访 问控 制列表 的功 能 、 施 .校 园网络建设 已逐 步成 为学校 的基础建 设项 1 A L可 以限制 网络流量 、 高 网络性 能 。 )C 提 如

浅谈基于角色的访问控制技术

浅谈基于角色的访问控制技术

原理和特点 。
关键词 自主访 问控制 强制访 问控制
中 图分 类 号 T 3 P1
1 引 言
随着 计算 机技 术 , 别是 网络 技 术 的 发 展 , 特 大 型 网络应 用 系统 或数 据 库 管 理 系 统 所 面 临 的一 个 难 题 就是 日益 复 杂 的数 据 资 源 的安 全 管 理 。 国际 标 准化组 织 IO在 网络 安 全 (S 79 2) S I0 48— 中定 义 了五个层 次 型安 全 服务 : 身份 认 证 服 务 、 问控 制 访
法使 用 。 目前 的主 流访 问控制 技术 有 : 自主访 问控 制 、 制访 问控 制 、 于 角色 的访 问控制 。 强 基
尽 管 D C 已 在 许 多 系 统 中 得 以 实 现 ( 如 A
U I ), NX 然而 D C的一个致命弱点是 : 问权的 A 访
授予 是可 以传 递 的。一 旦 访 问 权被 传 递 出去将 难
户进程 )可以 自主地将其拥有 的对客体的访 问权 限全部或部分地授予给其它主体。方法是建立系 统访 问控制矩阵 , 矩阵的行对应系统 主体 , 列对 应系统的客体 , 元素表示主体对客体的访问权限。 为提 高系统 性能 , 在实 际 应用 中常 常是建 立基 于行 (主体)或列 (客体 )的访问控制方法。 基 于行的方法是在每个 主体上都 附加一个该 主体可以访问的客体的明细表 , 根据表 中信息的 不同可分为三种形式 : 能表 (C pb ie)、 权 aai i l s 前 t
方 向: 软件 开发 。
维普资讯
16 4

琳等 : 浅谈基 于角 的访 问控 制技 术
第3 5卷
伊木 马之 类 的攻击 。MA C通 过无 法 回避 的存 取 限

计算机网络建设中安全策略问题论文

计算机网络建设中安全策略问题论文

浅谈计算机网络建设中的安全策略问题摘要:随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。

计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。

但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,这决定了网络存在着不可避免的信息安全隐患。

所以网上信息的安全和保密成为当前人们迫在眉睫需要解决的问题。

本文主要通过介绍目前在计算机网络中存在的主要安全威胁并提出构建网络安全的防护体系,从而对网络安全的防护策略进行探讨。

关键词:计算机网络应用安全问题分析措施21世纪信息时代的重要特征是数字化、网络化和信息化,计算机网络作为现代社会的基础设施,已经越来越多地出现在人们的工作、学习和生活当中,在给人们带来种种物质和文化生活享受的同时,也带来了诸多的网络安全威胁问题,诸如网络数据窃密、病毒攻击、黑客侵袭、木马挂马、陷门等。

这些都给社会造成了严重的危害,因此,如何消除安全隐患,建立一个安全、稳定、高效的计算机信息网络系统,越来越受到人们的关注。

1 计算机网络安全的内涵何为计算机网络安全,国际标准化组织(iso)将之定义为:数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。

随着我国计算机技术的飞速发展,很多敏感信息,甚至是国家机密,难免会吸引很多人的攻击,急剧增加的计算机犯罪已经成为普遍的国际性问题。

例如,欧州各国的小型企业每年因计算机病毒导致的经济损失高达几百亿欧元,而这些病毒主要是通过电子邮件进行传播的,而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,因此网络信息已成为我国社会发展的重要保证。

2 计算机网络安全威胁的分类当前计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。

影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有。

浅谈访问控制在银行网络安全中的应用

浅谈访问控制在银行网络安全中的应用
Ja g Z o g in h n
(a k f i g uIfr t n e h oo yDv ino h n z o rn hC a g h u 2 0 ,h a B n a s , omai c n l is f a g h uBa c ,h n z o 1 0 0C i ) oJ n n oT g io C 3 n Abt c:sifr t n t hooy cni e ee p n,a rcm r a bn sd  ̄ o eui saf ac l sr t nomao cnlg ot usdvl met j o mec l ak o n w r scrya nni a A i e n o m o i k t i a
bu i e see to i idngc r d f n a e tlwo ka c s on o st e o e u ngt es f peai noft ewo k. i sn s lcr ncbul i o ea u d m na r ,c e sc t li hek y t ns r a eo r to n r i h hen t r Th s pa rwi ay i ea c s on o ppi ai n i eb n i g s se newo ks c rt. pe l a l sst c e sc t la lc to nt a k n y t m t r e u iy ln h r h K e wo dsAc e sc n r lBa k n ewo k; t r s c rt y r : c s o to ; n i g n t r Newo k e u y i
( )M C地 址过 滤策 略 一 A
服务的VA; L N 开发 测试 的 V A ; L N 以及 电话银 行和 视频 会议 的 V A , L N

浅谈档案保密工作的保障措施

浅谈档案保密工作的保障措施

浅谈档案保密工作的保障措施档案保密工作是保障国家和组织机构重要信息安全的一项重要工作。

以下是浅谈档案保密工作的保障措施的内容,具体包括以下几个方面:1. 分级管理:档案根据其重要性和保密等级进行分级管理,确定不同的保密级别和管理权限。

不同级别的档案需要采取不同的保密措施,确保信息的安全性和完整性。

2. 访问控制:对保密级别较高的档案,设置访问权限,只有经过严格审批的人员才能够访问,并且记录每一次访问的人员和时间,以便追责和监督。

使用密码、指纹、卡片等多重认证方式,增加访问的难度和安全性。

3. 物理保护:采取物理隔离和保护措施,确保档案的安全。

将重要的档案存放在专门的保密库房中,安装监控摄像头和报警系统,严禁非授权人员靠近和接触档案。

4. 网络保护:对电子档案采取网络保护措施,加密存储和传输档案信息,设置防火墙和安全网关,提高系统的安全性。

定期对系统进行安全检查和漏洞修补,及时更新安全软件。

5. 人员教育培训:进行档案保密意识教育和培训,提高员工对保密工作的重视和认识。

组织开展保密知识的宣传和培训,加强员工的保密意识和操作技能,提高保密工作的效率和准确性。

6. 安全审计:定期进行安全审计和风险评估,及时发现和解决潜在的安全问题。

对档案的使用和访问情况进行监控和记录,及时发现和处理不当行为,并追究相关责任。

7. 应急预案:制定完善的档案保密的应急预案和危机处置方案,预先设定应对措施和步骤,提高应对突发事件和安全事故的能力。

对于发生的安全事故,及时启动应急预案,最大程度地减少损失。

档案保密工作是确保国家和机构重要信息安全的关键环节。

通过合理分级管理、访问控制、物理保护、网络保护、人员教育培训、安全审计和应急预案等措施,可以全面提高档案保密的工作效果和保障水平,有效防止信息泄密和非法使用。

浅谈教育城域网网络安全建设

浅谈教育城域网网络安全建设

浅谈教育城域网网络安全建设【摘要】教育城域网的特点包括用户众多、数据传输频繁等,网络安全在这种环境下显得格外重要。

本文主旨介绍教育城域网网络安全建设的必要性。

在重点讨论了建立网络安全意识、加强网络设备安全防护、优化网络拓扑结构、加强网络访问控制和建立网络安全事件应急预案等方面的措施。

在强调了教育城域网网络安全建设的重要性,并展望了未来的发展方向。

总结指出,只有不断加强网络安全建设,教育城域网才能更好地为教育事业服务,保障网络安全。

【关键词】教育城域网、网络安全、建立网络安全意识、网络设备安全防护、网络拓扑结构、网络访问控制、网络安全事件应急预案、重要性、未来发展方向、总结1. 引言1.1 教育城域网的特点教育城域网是指专门为教育机构建立起来的网络系统,具有以下几个特点:1. 教育特色突出:教育城域网的网络服务主要面向教育教学和管理需求,提供教育资源共享、在线教育、数字化图书馆等功能,满足师生学习和教学需求。

2. 用户多样性:教育城域网服务对象涵盖学校师生、管理人员以及教育行业相关合作伙伴,用户类别众多,要求网络系统能够支持大规模用户同时在线。

3. 安全性要求高:由于教育城域网涉及师生个人信息和学校重要数据,网络安全性要求较高,需要采取一系列措施确保网络数据的安全性和可靠性。

4. 管理繁杂:教育城域网网络设备众多,网络拓扑结构复杂,管理维护任务繁重,需要专门的网络管理团队来保障网络系统的稳定运行。

5. 教育教学需求导向:教育城域网的建设和运行需根据教育教学需求调整网络服务和功能,持续提升服务水平和用户体验,促进教育信息化的深入发展。

1.2 网络安全的重要性网络安全在今今社会已经成为一个重要的议题,尤其是对于教育城域网这样的网络环境来说更是至关重要。

网络安全的重要性主要体现在以下几个方面:教育城域网承载了大量的教育资源和信息,包括学生的学习资料、教师的教学资源、学校的管理信息等。

如果网络安全得不到保障,这些重要信息就有可能遭到泄霎,造成严重的信息安全问题。

计算机网络安全问题初探

计算机网络安全问题初探

计算机网络安全问题初探作者:耿岩吴静来源:《消费电子·理论版》2013年第12期摘要:随着计算机网络在人类生活中的广泛应用,计算机网络安全成为人们深切关注的话题。

由于计算机网络的开放性、互连性,针对计算机网络的攻击事件也随之增加。

因此,我们应该不断研究出新的计算机网络防范措施,能够针对不同的威胁,实施先进的计算机网络技术和计算机体系,同时加强计算机日常防护工作,这样才能够确保网络信息的保密性和可用性。

从而为计算机用户带来极大的方便,真正享受到网络信息带来的优势。

关键词:计算机网络;网络安全;黑客中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 24-0000-01一、什么是计算机安全国际标准化组织(ISO)对“计算机安全”进行了如下定义:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。

计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。

主要包括两个方面,一是物理安全,物理安全是指系统设备及相关设施受到物理保护,免于破坏、丢失等;二是逻辑安全,包括信息的完整性、保密性和可用性。

二、影响计算机网络安全的主要因素(一)网络系统本身的问题可以导致计算机信息系统不安全的因素包括软件系统、硬件系统、环境因素和人为因素等几方面。

其中最主要的因素就是操作系统。

操作系统是许多程序在计算机上运行的平台,它给用户带来了很大的便利,却也埋下了很大的隐患。

目前流行的操作系统均存在网络安全方面的漏洞。

黑客就是利用这些操作系统自身所存在的安全漏洞侵入系统。

由于计算机安全技术的发展速度滞后于计算机技术的发展速度,黑客利用两者之间的空白期,研究发现系统的漏洞,这样就造成对网络系统安全的提前预谋。

这种人为的恶意攻击是计算机网络安全最大的威胁。

(二)自然灾害计算机信息系统仅仅是一个智能机器,容易受到自然灾害及环境的影响。

浅谈企业内部网中的网络安全漏洞及其防范措施

浅谈企业内部网中的网络安全漏洞及其防范措施

浅谈企业内部网中的网络安全漏洞及其防范措施摘要:企业内部网因工作性质的原因,网络安全尤为重要,而威胁网络安全的一个重要安全隐患,是网络安全漏洞,其对企业内部网具有潜在的威胁,采取强有力的安全防护措施,是十分重要的。

关键词:网络安全漏洞危害防范措施Abstract:The internal net in business enterprise threatens an important and safe of the network safety gets because of reason that work kind,network safety particularly for importance,is a safe loophole in network,its have the latent threat to the internal net in business enterprise,adopt the powerful and safe protection measure,is very important.Keywords:Safe loophole in network;Endanger;Against the measure 目前针对计算机网络的安全事件层出不穷,针对重要信息资源的入侵行为在持续不断增加,重要信息、资料与数据被窃取,安全事件对各行各业造成了极大的威胁和带来重大损失。

造成入侵者有机可乘的一个重要原因是网络安全漏洞,因计算机网络系统的脆弱性,为计算机网络安全漏洞提供了客观条件。

企业内部网虽然局限于企业内部,但因企业内部网的工作性质、地理环境及跨地区的网络结构,使得利用网络信息技术进行工作的同时,网络安全漏洞时刻威胁着企业内部网的网络安全和信息安全。

因此对网络安全漏洞的了解及安全防范措施很有必要。

1 网络安全漏洞的定义由于人们经常使用的各种计算机软件、应用系统及相关硬件没有彻底进行完善,能够被他人利用来干非法的事,且和安全相关的缺陷。

计算机网络安全的防范策略

计算机网络安全的防范策略

浅谈计算机网络安全的防范策略随着计算机网络的不断发展,internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。

全球信息化已成为人类发展的大趋势,但由于internet是一个开放的,无控制机构的网络以及计算机网络联结形式的多样性,致使网络系统的硬件、软件及网络上传输的信息易遭受计算机病毒、黑客的侵袭。

它可使计算机和计算机网络数据和文件丢失,系统瘫痪。

人为的网络入侵和攻击行为使得网络安全面临新的挑战。

因此,无论是局域网还是广域网,都存在着自然和人为等诸多因素的脆弱性和潜在威胁,这也使我们不得不将网络的安全措施提高到一个新的层次,以确保网络信息的保密性、完整性、可靠性和可用性。

一、网络系统结构设计合理与否是网络安全运行的关键全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。

应在认真研究的基础上下大气力抓好网络运行质量的设计方案。

为解除这个网络系统固有的安全隐患,可采取以下措施。

1、网络分段技术的应用将从源头上杜绝网络的安全隐患问题。

因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。

2、以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

二、强化计算机管理是网络系统安全的保证1.加强设施管理,建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作,确保计算机网络系统实体安全。

2.强化访问控制策略。

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。

各种安全策略必须相互配合才能真正起到保护作用,但访问控制是保证网络安全最重要的核心策略之一。

浅谈办公自动化网络安全 毕业论文【整理版】

浅谈办公自动化网络安全 毕业论文【整理版】
3、可用性
可用性是指被授权实体访问并按需求使用的特性,即当需要时能否存取和访问所需的信息。
4、可控性
可控性是指对信息的传播及内容具有控制能力。
2.3网络安全预警
办公自动化网络安全预誓系统分为人侵预警和病毒预警两部分。
目标:保护软件和信息的完整性。
(1)应提醒用户警觉未授权软件或恶意软件的危险;
(2)并且管理员应适当地引入特殊的控制手段检测或防范这些软件的侵袭;
(4)网络安全协议的原因。在互联网上使用的协议是TCP/IP,其IPV版在设计之初没有考虑网络安全问题,从协议的根本上缺乏安全的机制,这是互联网存在的安全威胁的主要原因。
3.数据破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。
首先是黑客侵人,黑客基于各种原因侵人网络,其中恶意侵人对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。
办公自动化网络建立以后,在运用安全设计原则的基础上如何很好地协调系统的安全和系统的灵活性、开 放性,是在设计系统安全时必须考虑的问题.分析此类办公自动化网络系统的特点,安全威胁主要有4个方面: 一是外界黑客或非法用户的侵入;二是病毒的侵害:三是内部人员闯入非允许进入的节点,获取非授权的资料; 四是设备发生问题影响网络的运行.为了防止这类事情的发生,在设计方案中根据实际情况,制定一系列的防 范措施.这些措施主要有:
其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据
第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。

浅谈强制访问控制MAC

浅谈强制访问控制MAC

浅谈强制访问控制(MAC)【摘要】访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。

访问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。

从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。

访问控制分类:1)传统访问控制:自主访问控制DAC,强制访问控制MAC;2)新型访问控制:基于角色的访问控制RBAC,基于任务的访问控制TBAC……。

本文主要谈论传统访问控制中的强制访问控制MAC。

【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型引言随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,给用户造成严重损失。

访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。

访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。

访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。

其中,强制访问控制就在次方面有很重要的作用。

访问控制从实现的基本理念来分有以下两种:1)强制访问控制(Mandatory access control)2)自主访问控制(Discretionary access control)本文主要谈论强制访问控制控制,包括其定义、原理及其分类。

一、强制访问控制MAC ( Mandatory Access Control ) 源于对信息机密性的要求以及防止特洛伊木马之类的攻击。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

浅谈访问控制策略
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。

然而,对这两个概念的含义往往有不同的理解。

希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。

在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。

在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。

一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。

当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。

其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。

上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。

网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。

也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。

这就需要通过所谓的可信第三方(如由CA
系统提供的认证机制)实现数据交换双方身份的真实性认证。

关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。

对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。

当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。

访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。

其实.访问控制在更广的范围有着更广泛的含义。

在许多情况下.人们往往把身份鉴别也称作是一种访问控制。

如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。

问题是需要对其具体含义做清晰的描述。

这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
谈到访问控制.首先必须对访问控制的粒度有所了解。

访问控制讲的是对主体访问客体的控制。

粒度显然涉及主体和客体两个方面。

主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法).网络用户也有以IP地址为单位实施访问控制的。

客体的访问控制粒度由粗到细可以是整个应用系统某个网络系统.某个服务器系统,某个操作系统.某个数据库管理系统、某个文件某个数据库.数据库中的某个表甚至库表中的某个记录或字段等。

一般来讲对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问.通常是采用身份鉴别的方法进行控制.也就是相对的粗粒度访问控制。

细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制.也就是GB17859中所描述的经典的访问控制。

这类访问控制分为自主访问控制和强制访问控制两种。

当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制,实现以服务器为粒度的访问控制。

所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问.并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。

访问对象的创建者还有权进行授权转让” 即将
授予其他用户访问权限的权限转让给别的用户。

需要特别指出的是,在一些系统中.往往是由系统管理员充当访问对象的创建者角色并进行访问授权而在其后通过”授权转让将权限转让给指定用户.于是容易引起这种访问控制不是由用户自主决定访问权限的误会。

所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建
的对象进行统一的强制性控制,按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问,即使是创建者用户,在创建一个对象后.也可能无权访问该对象。

强制访问控制常见的安全模型是Bell—La padula模型(也称多级安全模型)。

该模型的安全策略分为强制访问和自主访问两部分。

自主访问控制允许用户自行定义其所创建的数据.它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。

由于它的自主访问控制策略已广为人们熟知。

所以在提到多级安全模型时.往往重点探讨其强制访问控制策略。

多级安全模型的强制访问控制策略以等级和范畴
作为其主、客体的敏感标记,并施以”从下读、向上写”的简单保密性规则。

需要强调的是.作为敏感标记的等级和范畴.必须由专门设置的系统安全员,通过由系统提供的专门界面设置和维护.敏感标记的改变意味着访问权限的改变。

因此可以说.所有用户的访问权限完全是由安全员根据需要决定的。

强制访问控制还有其他安
全策略比如角色授权管理。

该安全策略将系统中的访问操作按角色进行分组管理。

一种角色执行一组操作.由系统安全员统一进行授权。

当授予某个用户某一角色时,该用户就具有执行该角色所对应的一组操作的权限。

当安全员撤销其授予用户的某一角色时,相应的操作权限也就被撤销。

这完全类似于现实社会中对领导职务的任命和撤销。

这一策略的访问权限也是通过安全员通过角色授权决定的。

与访问控制相关联的另一个十分重要的概念是用户一主体绑定。

这一概念的引入.对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。

作为动态运行的系统进程.它在不同时间段为不同的用户服务因而无法为其设置固定的敏感标记。

通过用户一主体绑定机制.可以将进程动态地与其所服务的用户相关联。

于是.在任何时候.进程所实施的访问操作都能够通过这种关联找到其所服务的用户,也就能找到实施强制访问控制的主体。

操作是由进程实施的.而确定是否允许进行此次访问的主体对象却是进程为其服务的用户。