防止黑客入侵之訪問控制技術
訪問控制是網絡安全保護和防范的核心策略之一。訪問控制的主要目的是確保網絡資源不被非法訪問和非法利用。訪問控制技術所涉及內容較為廣泛,包括網絡登錄控制、網絡使用權限控制、目錄級安全控制,以及屬性安全控制等多種手段。
1.網絡登錄控制
網絡登錄控制是網絡訪問控制的第一道防線。通過網絡登錄控制可以限制用戶對網絡服務器的訪問,或禁止用戶登錄,或限制用戶只能在指定的工作站上進行登錄,或限制用戶登錄到指定的服務器上,或限制用戶只能在指定的時間登錄網絡等。
網絡登錄控制一般需要經過三個環節:
一是驗證用戶身份,識別用戶名;
二是驗證用戶口令,確認用戶身份;
三是核查該用戶賬號的默認權限。
在這三個環節中,只要其中一個環節出現異常,該用戶就不能登錄網絡。其中,前兩個環節是用戶的身份認證過程,是較為重要的環節,用戶應加強這個過程的安全保密性,特別是增強用戶口令的保密性。用戶可以使用一次性口令,或使用IC卡等安全方式來證明自己的身份。
網絡登錄控制是由網絡管理員依據網絡安全策略實施的。網絡管理員可以隨時建立或刪除普通用戶賬號,可以控制和限制普通用戶賬號的活動范圍、訪問網絡的時間和訪問方式,并對登錄過程進行必要的審計。對于試圖非法登錄網絡的用戶,一經發現立即報警。
2.網絡使用權限控制
當用戶成功登錄網絡后,就可以使用其所擁有的權限對網絡資源(如目錄、文件和相應設備等)進行訪問。如果網絡對用戶的使用權限不能進行有效的控制,則可能導致用戶的非法操作或誤操作。
網絡使用權限控制就是針對可能出現的非法操作或誤操作提出來的一種安全保護措施。通過網絡使用權限控制可以規范和限制用戶對網絡資源的訪問,允許用戶訪問的資源就開放給用戶,不允許用戶訪問的資源一律加以控制和保護。
網絡使用權限控制是通過訪問控制表來實現的。在這個訪問控制表中,規定了用戶可以訪問的網絡資源,以及能夠對這些資源進行的操作。根據網絡使用權限,可以將網絡用戶分為三大類:
一是系統管理員用戶,負責網絡系統的配置和管理;
二是審計用戶,負責網絡系統的安全控制和資源使用情況的審計;
三是普通用戶,這是由系統管理員創建的用戶,其網絡使用權限是由系統管理員根據他們的實際需要授予的。系統管理員可隨時更改普通用戶的權限,或將其刪除。
3.目錄級安全控制
用戶獲得網絡使用權限后,即可對相應的目錄、文件或設備進行規定的訪問。系統管理員為用戶在目錄級指定的權限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。如果用戶濫用權限,則會對這些目錄、文件或設備等網絡資源構成嚴重威脅。這時目錄級安全控制和屬性安全控制就可以防止用戶濫用權限。
一般情況下,對目錄和文件的訪問權限包括系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。目錄級安全控制可以限制用戶對目錄和文件的訪問權限,進而保護目錄和文件的安全,防止權限濫用。
4.屬性安全控制
屬性安全控制是通過給網絡資源設置安全屬性標記來實現的。當系統管理員給文件、目錄和網絡設備等資源設置訪問屬性后,用戶對這些資源的訪問將會受到一定的限制。
通常,屬性安全控制可以限制用戶對指定文件進行讀、寫、刪除和執行等操作,可以限制用戶查看目錄或文件,可以將目錄或文件隱藏、共享和設置成系統特性等。
5.服務器安全控制
網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網絡服務器的安全控制包括設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
訪問控制技術是防止黑客入侵技術中比較常見和有效地技術之一,希望通過上面的介紹,大家已經清楚地認識了訪問控制技術。
【編輯推薦】
