36 1 Sy Security系统安全 关于计算机网络访问控制技术的分析 白云 (云南省昆明市呈贡大学城云南交通职业技术学院图书馆云南昆明650106) 摘要:计算机网络访问控制技术是经过授权的主体向某些客体提供所授权的访问服务,同时拒绝向非授权 的主体访问客体的行为提供服务的策略。它可以访问主体对关键资源的访问,防止非法用户的侵入或因合 法用户的不慎操作而造成的破坏。本文通过对访问控制的概念和4种主要访问控制技术的介绍,针对高校校园网 络来给出网络安全策略建议,并分析访问控制技术的发展趋势。 关键词:网络;访问控制;技术;角色;任务 随着信息时代的推进,信息系统安全问题逐渐凸 显。计算机网络运行中,不仅要考虑抵御外界攻击,还 要注重系统内部防范,防止涉密信息的泄漏。作为防止 (二)强制访问控制 强制访问控制MAC中的主体被系统强制服从于事 先制订的访问控制策略,并将所有信息定位保密级别, 每个用户获得相应签证,通过梯度安全标签实现单向 信息流通模式。MAC安全体系中,可以将通过授权进行 访问控制的技术应用于数据库信息管理,或者网络操 作系统的信息管理。 信息系统内部遭到威胁的技术手段之一,利用访问控 制技术可以避免非法用户侵入,防止外界对系统内部 资源的恶意访问和使用,保障共享信息的安全。目前普 遍使用的访问控制策略主要有强制访问控制策略,自 主访问控制策略,基于角色的访问控制策略以及基于 任务的访问控制策略等。 一(三)基于角色的访问控制 基于角色的访问控制RBAC是指在应用环境中,通 、访问控制技术的相关概念 过对合法的访问者进行角色认证,来确定其访问权限, 简化了授权管理过程。RBAC的基本思想是在用户和访 问权限之间引入了角色的概念,使其与权限关联,利用 在访问控制系统中一般包括3个要素: 1.主体:发出访问操作的主动方,一般指用户或 发出访问请求的智能体如程序、进程、服务等。 2.客体:接受访问的对象,包括所有受访问控制 角色的稳定性而对用户与权限关系的易变性作出补 偿,并可以涵盖在一个组织内执行某个事务所需权限 的集合,可根据事务变化实现角色权限的增删。 (四)基于任务的访问控制 基于任务的访问控制TBAC是一种新型的访问控 机制保护的系统资源,如操作系统中的内存、文件,数 据库中的记录,网络中的页面或服务等。 3.访问控制策略:主体对客体访问能力和操作行 为的约束条件,定义了主体对客体实施的具体行为以 及客体对主体的条件约束。 制和授权管理模式,较为适合多点访问控制的分布式 计算和信息处理活动以及决策制定系统。TBAC从基于 任务的角度来实现访问控制,能有效解决提前授权问 题,并将动态授权联系给用户、角色和任务,保证最小 权责。 二、访问控制技术的分类 (一)自主访问控制 自主访问控制DAC的主要特征体现在允许主体对 访问控制施加特定,也就是可将权限授予或收回 于其他主体,其基础模型是访问控制矩阵模型,访问控 三、高校网络防护策略 校园网络安全是一项较为复杂的系统工程,不仅 局域网之间的互动非常频繁,并且内网与的信息 交换量巨大,在访问控制上要严格把关,保护内息 和资源。可包括以下防护策略: 制的粒度是单个用户。目前应用较多的是基于列客体 的访问控制列表,简称ACL,其优点在于简易直观。但在 遇到规模相对较大、需求较为复杂的网络任务时,管理 员工作量增长较为明显,风险也会随之增大。 (一)使用ACL访问控制列表技术,通过网络 流量、上网时间、防止网络病毒以及访问的网 Sys Security系统安全 37 站等措施学生滥用网络,从而加强校园网的安全。 (二)在计算机及其联网之间设置防火墙,用来加 系统并授权用户处理范围,以及在系统信息的完整性 方面采取加密办法的访问控制技术越来越引起人们的 重视,访问控制服务在网络安全体系结构中也逐渐占 据不可替代的地位。 强访问控制,防止非法用户通过进入内网并访问 资源,保护内部网络的操作环境。防火墙技术主要作用 于网络入口处,用来监测网络通信功能。 (三)身份验证和存取控制共同使用,主要包括对 人员、数据标识、权限控制、类型控制等。两者结合 起来,分别将不同的的操作权限赋予不同身份的合法 用户,来实现不同安全级别的信息分级管理。 (四)内容审计技术是对访问控制技术的补充和 辅助,包括对邮件往来的审计、WEB网页的审计、TELNET 的审计、FTP审计和即时聊天工具审计等。 2010(4). 参考文献 [1]刘兆平.访问控制技术实现与展望[J].才智, [2]张昀.基于角色的访问控制模型N-RBAC[J].软 件导刊,201 0(1). [3]吴开超,沈志宏,周园眷,阎保平.信息系统访 问控制的层次模型[J】.计算机工程与设计,2 009(1). [4】胡燕妮,黄铂.浅析数据库访问控制技术…. 四、结语 访问控制技术就是通过不同的手段和策略实现网 武汉生物工程学院学报,2 009(1). [5】彭云,万臣,刘丹,姚春荣,张艳.基于信任的访 问控制[J].武汉生物工程学院学报,2 009(4). 络上的访问控制,保证网络资源不被非法使用和访 问。随着网络信息保密与加密技术水平的提高,在计算 机系统入口采取访问控制的办法,鉴别访问的用户及 (上接30页) 毕业生通讯录管理系统的不足,大大降低了系统的开 json = json+ {LBID:’ +rs getStr i ng( LBID ) +一,发成本。系统运行良好,具有一定的推荐使用价值。 LBNUMBER:一+rs.getStr i ng —( LB NUMBER ) +一,参考文献 LBNAME:一+rs.getStr i ng [1】徐会生,何启伟,康爱媛.深入浅出Ext JS .( LB NAME ) + ’,北京:人民邮电出版社,2009:2 33—255. LBBEIZHU:’”+FS.getStr ing —[2]强锋科技,陈衍卿.JavaScriPt完全自学宝典 【M】.北京:清华大学出版社,2008:49 3-5 05. [3】封超,晁阳.Tomcat与Java Web开发技术详解 ( LB BEIZHU ) + ) : if(rs.i sLastO!-true)( jSOn json+ , : [M】.北京:清华大学出版社,2008:322-324. [4]章志明,张正球,余敏.基于MVC思想的科研 管理信息平台[J].计算机与现代化,2005(9):6326 5. [5]月影.JavaScript王者归来[M].北京:清华 大学出版社,2008:471—488. 】 ) json=json+ ]】 : //System.out.printI n(json): [6]卫军,夏慧军,盂腊春.ExtJS Web应用程序开 发指南[M].北京:机械工业出版社,2 009:226-2 30. l catch(SOLException e1)( 五、结束语 毕业生通讯录管理系统采用ExtJS框架,使不懂 美工的程序员也能做出友好的用户界面,克服了传统
