控制關鍵區域訪問的技術

『壹』 訪問控制技術的主要類型有哪三種

訪問控制技術主要有3種類型：自主訪問控制、強制訪問控制和基於角色訪問控制。自主訪問控制：用戶通過授權或者回收給其他用戶訪問特定資源的許可權，主要是針對其訪問權進行控制。

強制訪問控制：由系統己經部署的訪問控制策略，按照系統的規定用戶需要服從系統訪問控制策略，比如系統管理員制定訪問策略，其他用戶只能按照規定進行進程、文件和設備等訪問控制。

(1)控制關鍵區域訪問的技術擴展閱讀

訪問控制的主要功能包括：保證合法用戶訪問受權保護的網路資源，防止非法的主體進入受保護的網路資源，或防止合法用戶對受保護的網路資源進行非授權的訪問。

訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後，還需要對越權操作進行監控。因此，訪問控制的內容包括認證、控制策略實現和安全審計。

『貳』 對一個系統進行訪問控制的常用方法是

對一個系統進行訪問控制的常用方法是：採用合法用戶名和設置口令。

系統訪問控制技術作為一種安全手段，無論是在計算機安全發展的初期還是在網路發達的現今，作為一種重要的計算機安全防護技術，都得到廣泛應用。訪問控制是通過某種途徑准許或者限制訪問能力，從而控制對關鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作所造成的破壞。

(2)控制關鍵區域訪問的技術擴展閱讀

雲訪問控制的優勢：

1、靈活性：基於雲的訪問控制可以滿足公司擴展的需求，方便跨區域辦公人員在不同的區域同時使用，系統還能對訪問許可權進行集中管理。

2、軟體自動更新：由於訪問控制是基於雲服務，因此可以在雲端對各地區實現軟體系統的自動更新，這樣可以節省跨地區維護不同系統所花費的時間。

3、隨時隨地遠程訪問：系統管理人員能夠實時訪問系統，並全面掌握訪問該系統的團體和個人的訪問情況，方便許可權的集中管控。

4、安全性：基於雲的訪問控制系統具有實時更新訪問許可權並將樓層訪問許可權與人力資源資料庫同步的功能，可以保護敏感數據的丟失，並防止在本地伺服器中恢復數據所涉及的高風險。

5、集成度高：當基於雲的訪問控制系統與多個基於雲的應用程序集成時，整個集成為員工提供了無縫、自動化的工作流程。

6、降低成本：基於雲的解決方案可以最大程度地減少IT在IT設備、伺服器和其他IT硬體成本方面的投資。

『叄』 lan常用的訪問控制技術有哪幾種

區域網常用的訪問控制方式有3種，分別是載波多路訪問/沖突檢測（CSMA/CD）、令牌環訪問控製法（Token Ring）和令牌匯流排訪問控製法（Toking Bus）。
分別適用於：
CSMA/CD訪問控制方式主要用於匯流排型和樹狀網路拓撲結構、基帶傳輸系統，適用於匯流排型區域網；
令牌環介質訪問控制方法是通過在環狀網上傳輸令牌的方式來實現對介質的訪問控制；
令牌匯流排訪問控製法主要用於匯流排型或樹狀網路結構中，目前微機局域中的主流介質訪問控制方式。

『肆』 訪問控制技術的安全策略

訪問控制的安全策略是指在某個自治區域內（屬於某個組織的一系列處理和通信資源范疇），用於所有與安全相關活動的一套訪問控制規則。由此安全區域中的安全權力機構建立，並由此安全控制機構來描述和實現。訪問控制的安全策略有三種類型：基於身份的安全策略、基於規則的安全策略和綜合訪問控制方式。 訪問控制安全策略原則集中在主體、客體和安全控制規則集三者之間的關系。
（1）最小特權原則。在主體執行操作時，按照主體所需權利的最小化原則分配給主體權力。優點是最大限度地限制了主體實施授權行為，可避免來自突發事件、操作錯誤和未授權主體等意外情況的危險。為了達到一定目的，主體必須執行一定操作，但只能做被允許的操作，其他操作除外。這是抑制特洛伊木馬和實現可靠程序的基本措施。
（2）最小泄露原則。主體執行任務時，按其所需最小信息分配許可權，以防泄密。
（3）多級安全策略。主體和客體之間的數據流向和許可權控制，按照安全級別的絕密（TS）、秘密（S）、機密（C）、限制（RS）和無級別（U）5級來劃分。其優點是避免敏感信息擴散。具有安全級別的信息資源，只有高於安全級別的主體才可訪問。
在訪問控制實現方面，實現的安全策略包括8個方面：入網訪問控制、網路許可權限制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路監測和鎖定控制、網路埠和節點的安全控制和防火牆控制。 授權行為是建立身份安全策略和規則安全策略的基礎，兩種安全策略為：
1）基於身份的安全策略
主要是過濾主體對數據或資源的訪問。只有通過認證的主體才可以正常使用客體的資源。這種安全策略包括基於個人的安全策略和基於組的安全策略。
（1）基於個人的安全策略。是以用戶個人為中心建立的策略，主要由一些控制列表組成。這些列表針對特定的客體，限定了不同用戶所能實現的不同安全策略的操作行為。
（2）基於組的安全策略。基於個人策略的發展與擴充，主要指系統對一些用戶使用同樣的訪問控制規則，訪問同樣的客體。
2）基於規則的安全策略
在基於規則的安全策略系統中，所有數據和資源都標注了安全標記，用戶的活動進程與其原發者具有相同的安全標記。系統通過比較用戶的安全級別和客體資源的安全級別，判斷是否允許用戶進行訪問。這種安全策略一般具有依賴性與敏感性。 綜合訪問控制策略（HAC）繼承和吸取了多種主流訪問控制技術的優點，有效地解決了信息安全領域的訪問控制問題，保護了數據的保密性和完整性，保證授權主體能訪問客體和拒絕非授權訪問。HAC具有良好的靈活性、可維護性、可管理性、更細粒度的訪問控制性和更高的安全性，為信息系統設計人員和開發人員提供了訪問控制安全功能的解決方案。綜合訪問控制策略主要包括：
1）入網訪問控制
入網訪問控制是網路訪問的第一層訪問控制。對用戶可規定所能登入到的伺服器及獲取的網路資源，控制准許用戶入網的時間和登入入網的工作站點。用戶的入網訪問控制分為用戶名和口令的識別與驗證、用戶賬號的默認限制檢查。該用戶若有任何一個環節檢查未通過，就無法登入網路進行訪問。
2）網路的許可權控制
網路的許可權控制是防止網路非法操作而採取的一種安全保護措施。用戶對網路資源的訪問許可權通常用一個訪問控制列表來描述。
從用戶的角度，網路的許可權控制可分為以下3類用戶：
（1）特殊用戶。具有系統管理許可權的系統管理員等。
（2）一般用戶。系統管理員根據實際需要而分配到一定操作許可權的用戶。
（3）審計用戶。專門負責審計網路的安全控制與資源使用情況的人員。
3）目錄級安全控制
目錄級安全控制主要是為了控制用戶對目錄、文件和設備的訪問，或指定對目錄下的子目錄和文件的使用許可權。用戶在目錄一級制定的許可權對所有目錄下的文件仍然有效，還可進一步指定子目錄的許可權。在網路和操作系統中，常見的目錄和文件訪問許可權有：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（Modify）、文件查找許可權（File Scan）、控制許可權（Access Control）等。一個網路系統管理員應為用戶分配適當的訪問許可權，以控制用戶對伺服器資源的訪問，進一步強化網路和伺服器的安全。
4）屬性安全控制
屬性安全控制可將特定的屬性與網路伺服器的文件及目錄網路設備相關聯。在許可權安全的基礎上，對屬性安全提供更進一步的安全控制。網路上的資源都應先標示其安全屬性，將用戶對應網路資源的訪問許可權存入訪問控制列表中，記錄用戶對網路資源的訪問能力，以便進行訪問控制。
屬性配置的許可權包括：向某個文件寫數據、復制一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。安全屬性可以保護重要的目錄和文件，防止用戶越權對目錄和文件的查看、刪除和修改等。
5）網路伺服器安全控制
網路伺服器安全控制允許通過伺服器控制台執行的安全控制操作包括：用戶利用控制台裝載和卸載操作模塊、安裝和刪除軟體等。操作網路伺服器的安全控制還包括設置口令鎖定伺服器控制台，主要防止非法用戶修改、刪除重要信息。另外，系統管理員還可通過設定伺服器的登入時間限制、非法訪問者檢測，以及關閉的時間間隔等措施，對網路伺服器進行多方位地安全控制。
6）網路監控和鎖定控制
在網路系統中，通常伺服器自動記錄用戶對網路資源的訪問，如有非法的網路訪問，伺服器將以圖形、文字或聲音等形式向網路管理員報警，以便引起警覺進行審查。對試圖登入網路者，網路伺服器將自動記錄企圖登入網路的次數，當非法訪問的次數達到設定值時，就會將該用戶的賬戶自動鎖定並進行記載。
7）網路埠和結點的安全控制
網路中伺服器的埠常用自動回復器、靜默數據機等安全設施進行保護，並以加密的形式來識別結點的身份。自動回復器主要用於防範假冒合法用戶，靜默數據機用於防範黑客利用自動撥號程序進行網路攻擊。還應經常對伺服器端和用戶端進行安全控制，如通過驗證器檢測用戶真實身份，然後，用戶端和伺服器再進行相互驗證。

『伍』 計算機系統和網路中常用的兩種訪問控制方式是什麼

訪問控制分為物理訪問控制和邏輯訪問控制；物理訪問控制，如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。

本文操作環境：windows7系統，DELL G3電腦

訪問控制分為什麼？

訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。 物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。

訪問控制技術，指防止對任何資源進行未授權的訪問，從而使計算機系統在合法的范圍內使用。意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術，如UniNAC網路准入控制系統的原理就是基於此技術之上。

訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。

訪問控制的概念及要素

訪問控制（Access Control）指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎，是網路安全防範和資源保護的關鍵策略之一，也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。

訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的，訪問控制需要完成兩個任務：識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。

訪問控制包括三個要素：主體、客體和控制策略。

（1）主體S（Subject）。是指提出訪問資源具體請求。是某一操作動作的發起者，但不一定是動作的執行者，可能是某一用戶，也可以是用戶啟動的進程、服務和設備等。

（2）客體O（Object）。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體，也可以是網路上硬體設施、無限通信中的終端，甚至可以包含另外一個客體。

（3）控制策略A（Attribution）。是主體對客體的相關訪問規則集合，即屬性集合。訪問策略體現了一種授權行為，也是客體對主體某些操作行為的默認。

訪問控制的功能及原理

訪問控制的主要功能包括：保證合法用戶訪問受權保護的網路資源，防止非法的主體進入受保護的網路資源，或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後，還需要對越權操作進行監控。因此，訪問控制的內容包括認證、控制策略實現和安全審計。

（1）認證。包括主體對客體的識別及客體對主體的檢驗確認。

（2）控制策略。通過合理地設定控制規則集合，確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用，又要防止非法用戶侵權進入系統，使重要信息資源泄露。同時對合法用戶，也不能越權行使許可權以外的功能及訪問范圍。

（3）安全審計。系統可以自動根據用戶的訪問許可權，對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證，並做出相應評價與審計。

『陸』 訪問控制技術的類型機制

訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站，信息安全重點關注的是二者兼顧，物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式：自主訪問控制（DAC）、強制訪問控制（MAC）和基於角色訪問控制（RBAC）。
1）自主訪問控制
自主訪問控制（Discretionary Access Control，DAC）是一種接入控制服務，通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件，文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問，並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略，通常，可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者，可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表（ACL）。
③每次訪問時都以基於訪問控制列表檢查用戶標志，實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式，是應用最廣泛的訪問控制策略。然而，它所提供的安全性可被非法用戶繞過，授權用戶在獲得訪問某資源的許可權後，可能傳送給其他用戶。主要是在自由訪問策略中，用戶獲得文件訪問後，若不限制對該文件信息的操作，即沒有限制數據信息的分發。所以DAC提供的安全性相對較低，無法對系統資源提供嚴格保護。
2）強制訪問控制
強制訪問控制（MAC）是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象，按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中，每個用戶及文件都被賦予一定的安全級別，只有系統管理員才可確定用戶和組的訪問許可權，用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別，決定用戶是否可以訪問該文件。此外，MAC不允許通過進程生成共享文件，以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略，一般採用3種方法：限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統，對專用或簡單系統較有效，但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式，常用的分為4級：絕密級（Top Secret）、秘密級（Secret）、機密級（Confidential）和無級別級（Unclas sified），其中T>S>C>U。所有系統中的主體（用戶，進程）和客體（文件，數據）都分配安全標簽，以標識安全等級。
通常MAC與DAC結合使用，並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後，才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊，由於用戶不能直接改變強制訪問控制屬性，所以強制訪問控制提供了一個不可逾越的、更強的安全保護層，以防範偶然或故意地濫用DAC。
3）基於角色的訪問控制
角色（Role）是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層，表示為許可權和用戶的關系，所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制（Role-Based Access Control，RBAC）是通過對角色的訪問所進行的控制。使許可權與角色相關聯，用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色，用戶可依其責任和資格分派相應的角色，角色可依新需求和系統合並賦予新許可權，而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性，降低管理開銷，提高企業安全策略的靈活性。
RBAC模型的授權管理方法，主要有3種：
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組（Group，許可權分配的單位與載體）指定一個角色。
RBAC支持三個著名的安全原則：最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務，如核對賬目等。後者可通過許可權的抽象控制一些操作，如財務操作可用借款、存款等抽象許可權，而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問，並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法，一般在操作系統的控制下，按照事先確定的規則決定是否允許主體訪問客體，貫穿於系統全過程。
訪問控制矩陣（Access Contro1 Matrix）是最初實現訪問控制機制的概念模型，以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性，列表示客體的訪問許可權屬性，矩陣格表示所在行的主體對所在列的客體的訪問授權，空格為未授權，Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問，實現認證與訪問控制的分離。在實際應用中，對於較大系統，由於訪問控制矩陣將變得非常大，其中許多空格，造成較大的存儲空間浪費，因此，較少利用矩陣方式，主要採用以下2種方法。
1）訪問控制列表
訪問控制列表（Access Control List，ACL）是應用在路由器介面的指令列表，用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表，表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL，容易判斷出對特定客體的授權訪問，可訪問的主體和訪問許可權等。當將該客體的ACL置為空，可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時，雖然需要遍歷查詢所有客體的ACL，耗費較多資源，但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式，以少量工作組的形式，而不許單個個體出現，可極大地縮減列表大小，增加系統效率。
2）能力關系表
能力關系表（Capabilities List）是以用戶為中心建立訪問許可權表。與ACL相反，表中規定了該用戶可訪問的文件名及許可權，利用此表可方便地查詢一個主體的所有授權。相反，檢索具有授權訪問特定客體的所有主體，則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢，主要優點是，可集中存儲用戶身份信息，用戶只需一次向伺服器驗證身份，即可使用多個系統的資源，無需再向各客戶機驗證身份，可提高網路用戶的效率，減少網路操作的成本，增強網路安全性。根據登入的應用類型不同，可將SSO分為3種類型。
1）對桌面資源的統一訪問管理
對桌面資源的訪問管理，包括兩個方面：
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展，「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具，可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略，Windows並不主動提供與其他系統的直接連接。現在，已經有第三方產品提供上述功能，利用Active Directory存儲其他應用的用戶信息，間接實現對這些應用的SSO服務。
2）Web單點登入
由於Web技術體系架構便捷，對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中，Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用，提供完整的Web SSO解決方案。
3）傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上，實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面，可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API，通過調用信息安全基礎設施提供的訪問管理服務，實現統一訪問管理。
在不同的應用系統之間，同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排（EAI）平台建設一同進行。

『柒』 訪問控制技術手段有哪些並比較優缺點

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後，再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時，網路還應能對用戶的賬號加以限制，用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽（irm）可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器，可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類：特殊用戶（即系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問 ，從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時，網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表，用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊，可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

『捌』 區域網基本技術中有哪幾種媒體訪問控制方法

計算機區域網一般採用共享介質，這樣可以節約區域網的造價。對於共享介質，關鍵問題是當多個站點要同時訪問介質時，如何進行控制，這就涉及到區域網的介質訪問控制（Medium Access Control，MAC）協議。在網路中伺服器和計算機眾多，每台設備隨時都有發送數據的需求，這就需要有某些方法來控制對傳輸媒體的訪問，以便兩個特定的設備在需要時可以交換數據。傳輸媒體的訪問控制方式與區域網的拓撲結構、工作過程有密切關系。目前，計算機區域網常用的訪問控制方式有3種，分別是載波多路訪問/沖突檢測（CSMA/CD）、令牌環訪問控製法（Token Ring）和令牌匯流排訪問控製法（Toking Bus）。其中，載波多路訪問/沖突檢測（CSMA/CD）是由ALOHA隨機訪問控制技術發展而來的，在此，對ALOHA隨機訪問控制技術簡要介紹一下。
1．ALOHA協議
ALOHA協議是20世紀70年代在夏威夷大學由Norman Abramson及其同事發明的，目的是為了解決地面無線電廣播信道的爭用問題。ALOHA協議分為純ALOHA和分槽ALOHA兩種。
（1）純ALOHA
ALOHA協議的思想很簡單，只要用戶有數據要發送，就盡管讓他們發送。當然，這樣會產生沖突從而造成幀的破壞。但是，由於廣播信道具有反饋性，因此發送方可以在發送數據的過程中進行沖突檢測，將接收到的數據與緩沖區的數據進行比較就可以知道數據幀是否遭到破壞。同樣的道理，其他用戶也是按照此過程工作。如果發送方知道數據幀遭到破壞（檢測到沖突），那麼它可以等待一段隨機長的時間後重發該幀。對於區域網LAN，反饋信息很快就可以得到；而對於衛星網，發送方要在270ms後才能確認數據發送是否成功。通過研究證明，純ALOHA協議的信道利用率最大不超過18%（1/2e）。
（2）分槽ALOHA
1972年，Roberts發明了一種能把信道利用率提高一倍的信道分配策略，即分槽ALOHA協議。其思想是用時鍾來統一用戶的數據發送。辦法是將時間分為離散的時間片，用戶每次必須等到下一個時間片才能開始發送數據，從而避免了用戶發送數據的隨意性，減少了數據產生沖突的可能性，提高了信道的利用率。在分槽ALOHA系統中，計算機並不是在用戶按下回車鍵後就立即發送數據，而是要等到下一個時間片開始時才發送。這樣，連續的純ALOHA就變成離散的分槽ALOHA。由於沖突的危險區平均減少為純ALOHA的一半，因此分槽ALOHA的信道利用率可以達到36%（1/e），是純ALOHA協議的兩倍。對於分槽ALOHA，用戶數據的平均傳輸時間要高於純ALOHA系統。
2．載波偵聽多路訪問/沖突檢測（CSMA/CD）
CSMA/CD是Carrier Sense Multiple Access With Collision Detection的縮寫，含有兩方面的內容，即載波偵聽（CSMA）和沖突檢測（CD）。CSMA/CD訪問控制方式主要用於匯流排型和樹狀網路拓撲結構、基帶傳輸系統。信息傳輸是以「包」為單位，簡稱信包，發展為IEEE 802.3基帶CSMA/CD區域網標准。
（1）CSMA/CD介質訪問控制方案
先聽後發，工作站在每次發送前，先偵聽匯流排是否空閑，如發現已被佔用，便推遲本次的發送，僅在匯流排空閑時才發送信息。介質的最大利用率取決於幀的長度和傳播時間，與幀長成正比，與傳播時間成反比。
載波監聽多路訪問CSMA的技術也稱做先聽後說LBT（Listen Before Talk）。要傳輸數據的站點首先對媒體上有無載波進行監聽，以確定是否有別的站點在傳輸數據。如果媒體空閑，該站點便可傳輸數據；否則，該站點將避讓一段時間後再做嘗試。這就需要有一種退避演算法來決定避讓的時間，常用的退避演算法有非堅持、1-堅持、P-堅持3種。
① 非堅持演算法。演算法規則如下：
如果媒本是空閑的，則可以立即發送。
如果媒體是忙的，則等待一個由概率分布決定的隨機重發延遲後，再重復前一個步驟。
採用隨機的重發延遲時間可以減少沖突發生的可能性。
非堅持演算法的缺點是：即使有幾個著眼點位都有數據要發送，但由於大家都在延遲等待過程中，致使媒體仍可能處於空閑狀態，使利用率降低。
② 1-堅持演算法。演算法規則如下：
如果媒體是空閑的，則可以立即發送。
如果媒體是忙的，則繼續監聽，直至檢測到媒體是空閑，立即發送。
如果有沖突（在一段時間內未收到肯定的回復），則等待一個隨機量的時間，重復前兩步。
這種演算法的優點是：只要媒體空閑，站點就可立即發送，避免了媒體利用率的損失。
其缺點是：假若有兩個或兩個以上的站點有數據要發送，沖突就不可避免。
③ P-堅持演算法。演算法規則如下：
監聽匯流排，如果媒體是空閑的，則以P的概率發送，而以（1–P）的概率延遲一個時間單位。一個時間單位通常等於最大傳播時延的2倍。
延遲一個時間單位後，再重復第一步。
如果媒體是忙的，繼續監聽直至媒體空閑並重復第一步。
P-堅持演算法是一種既能像非堅持演算法那樣減少沖突，又能像1-堅持演算法那樣減少媒體空閑時間的折中方案。問題在於如何選擇P的值，這要考慮到避免重負載下系統處於的不穩定狀態。假如媒體忙時，有N個站有數據等待發送，一旦當前的發送完成，將要試圖傳輸的站的總期望數為NP。如果選擇P過大，使NP>1，表明有多個站點試圖發送，沖突就不可避免。最壞的情況是，隨著沖突概率的不斷增大，而使吞吐量降低到零。所以必須選擇適當P值使NP<1。當然P值選得過小，則媒體利用率又會大大降低。
（2）二進制指數退避演算法
重發時間均勻分布在0～TBEB之間，TBEB=2i–1（2a），a為端-端的傳輸延遲，i為重發次數。該式表明，重發延遲將隨著重發次數的增加而按指數規律迅速地延長。
（3）CSMA/CD
載波監聽多路訪問/沖突檢測方法是提高匯流排利用率的一種CSMA改進方案。該方法為：使各站點在發送信息時繼續監聽介質，一旦檢測到沖突，就立即停止發送，並向匯流排發送一串阻塞信號，通知匯流排上的各站點沖突已發生。
採用CSMA/CD介質訪問控制方法的匯流排型區域網中，每一個結點在利用匯流排發送數據時，首先要偵聽匯流排的忙、閑狀態。如果匯流排上已經有數據信號傳輸，則為匯流排忙；如果匯流排上沒有數據信號傳輸，則為匯流排空閑。由於Ethernet的數據信號是按差分曼徹斯特方法編碼，因此如果匯流排上存在電平跳變，則判斷為匯流排忙；否則判斷為匯流排空。如果一個結點准備好發送的數據幀，並且此時匯流排空閑，它就可以啟動發送。同時也存在著這種可能，那就是在幾乎相同的時刻，有兩個或兩個以上結點發送了數據幀，那麼就會產生沖突，所以結點在發送數據的同時應該進行沖突檢測。
（4）CSMA/CD方式的主要特點
原理比較簡單，技術上較易實現，網路中各工作站處於同等地位，不要集中控制，但這種方式不能提供優先順序控制，各結點爭用匯流排，不能滿足遠程式控制制所需要的確定延時和絕對可靠性的要求。此方式效率高，但當負載增大時，發送信息的等待時間較長。
3．令牌環（Token Ring）訪問控制
Token Ring是令牌傳輸環（Token Passing Ring）的簡寫。令牌環介質訪問控制方法是通過在環狀網上傳輸令牌的方式來實現對介質的訪問控制。只有當令牌傳輸至環中某站點時，它才能利用環路發送或接收信息。當環線上各站點都沒有幀發送時，令牌標記為01111111，稱為空標記。當一個站點要發送幀時，需等待令牌通過，並將空標記置換為忙標記01111110，緊跟著令牌，用戶站點把數據幀發送至環上。由於是忙標記，所以其他站點不能發送幀，必須等待。
發送出去的幀將隨令牌沿環路傳輸下去。在循環一周又回到原發送站點時，由發送站點將該幀從環上移去，同時將忙標記換為空標記，令牌傳至後面站點，使之獲得發送的許可權。發送站點在從環中移去數據幀的同時還要檢查接收站載入該幀的應答信息，若為肯定應答，說明發送的幀已被正確接收，完成發送任務。若為否定應答，說明對方未能正確收到所發送的幀，原發送站點需要在帶空標記的令牌第二次到來時，重發此幀。採用發送站從環上收回幀的策略，不僅具有對發送站點自動應答的功能，而且還具有廣播特性，即可有多個站點接收同一個數據幀。
接收幀的過程與發送幀不同，當令牌及數據幀通過環上站點時，該站將幀攜帶的目標地址與本站地址相比較。若地址符合，則將該幀復制下來放入接收緩沖器中，待接收站正確接收後，即在該幀上載入肯定應答信號；若不能正確接收則載入否定應答信號，之後再將該幀送入環上，讓其繼續向下傳輸。若地址不符合，則簡單地將數據幀重新送入環中。所以當令牌經過某站點而它既不發送信息，又無處接收時，會稍經延遲，繼續向前傳輸。
在系統負載較輕時，由於站點需等待令牌到達才能發送或接收數據，因此效率不高。但若系統負載較重，則各站點可公平共享介質，效率較高。為避免所傳輸數據與標記形式相同而造成混淆，可採用位填入技術，以區別數據和標記。
使用令牌環介質訪問控制方法的網路，需要有維護數據幀和令牌的功能。例如，可能會出現因數據幀未被正確移去而始終在環上傳輸的情況；也可能出現令牌丟失或只允許一個令牌的網路中出現了多個令牌等異常情況。解決這類問題的辦法是在環中設置監控器，對異常情況進行檢測並消除。令牌環網上的各個站點可以設置成不同的優先順序，允許具有較高優先權的站申請獲得下一個令牌權。
歸納起來，在令牌環中主要有下面3種操作。
截獲令牌並且發送數據幀。如果沒有結點需要發送數據，令牌就由各個結點沿固定的順序逐個傳遞；如果某個結點需要發送數據，它要等待令牌的到來，當空閑令牌傳到這個結點時，該結點修改令牌幀中的標志，使其變為「忙」的狀態，然後去掉令牌的尾部，加上數據，成為數據幀，發送到下一個結點。
接收與轉發數據。數據幀每經過一個結點，該結點就比較數據幀中的目的地址，如果不屬於本結點，則轉發出去；如果屬於本結點，則復制到本結點的計算機中，同時在幀中設置已經復制的標志，然後向下一個結點轉發。
取消數據幀並且重發令牌。由於環網在物理上是個閉環，一個幀可能在環中不停地流動，所以必須清除。當數據幀通過閉環重新傳到發送結點時，發送結點不再轉發，而是檢查發送是否成功。如果發現數據幀沒有被復制（傳輸失敗），則重發該數據幀；如果發現傳輸成功，則清除該數據幀，並且產生一個新的空閑令牌發送到環上。
4．令牌匯流排訪問控製法（Token Bus）
Token Bus是令牌通行匯流排（Token Passing bus）的簡寫。這種方式主要用於匯流排型或樹狀網路結構中。1976年美國Data Point公司研製成功的ARCnet（Attached Resource Computer）網路，它綜合了令牌傳遞方式和匯流排網路的優點，在物理匯流排結構中實現令牌傳遞控制方法，從而構成一個邏輯環路。此方式也是目前微機局域中的主流介質訪問控制方式。
ARCnet網路把匯流排或樹狀傳輸介質上的各工作站形成一個邏輯上的環，即將各工作站置於一個順序的序列內（例如可按照介面地址的大小排列）。方法可以是在每個站點中設一個網路結點標識寄存器NID，初始地址為本站點地址。網路工作前，要對系統初始化，以形成邏輯環路，其過程主要是：網中最大站號n開始向其後繼站發送「令牌」信包，目的站號為n+1，若在規定時間內收到肯定的信號ACK，則n+1站連入環路，否則在n+1繼續向下詢問（該網中最大站號為n=255，n+1後變為0，然後1、2、3、…遞增），凡是給予肯定回答的站都可連入環路並將給予肯定回答的後繼站號放入本站的NID中，從而形成一個封閉邏輯環路，經過一遍輪詢過程，網路各站標識寄存器NID中存放的都是其相鄰的下游站地址。
邏輯環形成後，令牌的邏輯中的控制方法類似於Token Ring。在Token Bus中，信息是按雙向傳送的，每個站點都可以「聽到」其他站點發出的信息，所以令牌傳遞時都要加上目的地址，明確指出下一個將到控制的站點。這種方式與CSMA/CD方式的不同在於除了當時得到令牌的工作站之外，所有的工作站只收不發，只有收到令牌後才能開始發送，所以拓撲結構雖是匯流排型但可以避免沖突。
Token Bus方式的最大優點是具有極好的吞吐能力，且吞吐量隨數據傳輸速率的增高而增加，並隨介質的飽和而穩定下來但並不下降；各工作站不需要檢測沖突，故信號電壓容許較大的動態范圍，聯網距離較遠；有一定實時性，在工業控制中得到了廣泛應用，如MAP網就是用的寬頻令牌匯流排。其主要缺點在於其復雜性和時間開銷較大，工作站可能必須等待多次無效的令牌傳送後才能獲得令牌。
應該指出，ARCnet網實際上採用稱為集中器的硬體聯網，物理拓撲上有星狀和匯流排型兩種連接方式。

『玖』 區域網的訪問控制有哪幾種，分別適用於哪些網路

1、沖突檢測的載波偵聽多路訪問法：適用於所有區域網。

2、令牌環訪問控製法：只適用於環形拓撲結構的區域網。

3、令牌匯流排訪問控製法：主要用於匯流排形或樹形網路結構中。

(9)控制關鍵區域訪問的技術擴展閱讀

令牌匯流排訪問控制方式類似於令牌環，但把匯流排形或樹形網路中的各個工作站按一定順序如按介面地址大小排列形成一個邏輯環。只有令牌持有者才能控制匯流排，才有發送信息的權力。信息是雙向傳送，每個站都可檢測到站點發出的信息。

CSMA/CD要解決的另一主要問題是如何檢測沖突。當網路處於空閑的某一瞬間，有兩個或兩 個以上工作站要同時發送信息，同步發送的信號就會引起沖突。