㈠ 訪問控制技術手段有哪些並比較優缺點
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
㈡ 資料庫訪問控制功能是通過什麼命令實現的
<util:property-path id="property-path" path="helloWorld.hello"/>
/bin/arch = unknown
/usr/bin/arch -k = unknown
/usr/convex/getsysinfo = unknown
/usr/bin/hostinfo = Mach kernel version:
Darwin Kernel Version 11.4.0d1: Fri May 18 16:05:31 EDT 2012; root:xnu-1699.26.8/BUILD/obj//RELEASE_I386
Kernel configured for up to 4 processors.
4 processors are physically available.
4 processors are logically available.
Processor type: i486 (Intel 80486)
Processors active: 0 1 2 3
㈢ 網路訪問控制一般由什麼實現
要求比較高的話有專門的上網行為監控設備,比如深信服的,如果只是過濾下MAC的話一般路由器都行。
㈣ windows如何實現強制訪問控制
windows沒有辦法實行強制訪問控制,它就是一個二級的系統,只能實現自主訪問控制,如果非要實行強制訪問控制,必須愛用一些第三方的工具
據我所知,目前國內的系統都是二級系統,包括windows、linux和unix,都達不到三級標准,僅依靠系統本身是實現不了強制訪問控制的
㈤ 什麼事訪問控制訪問控制包括哪幾個要素
訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。
訪問控制包括伺服器、目錄、文件等。訪問控制是給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的介面,這個介面的一端是應用系統一端是許可權引擎。
(5)訪問控制的五大實現擴展閱讀
實現機制:訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。
為了便於討論這一問題,我們以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(文件或是資料庫),可能的行為有讀、寫和管理。為方便起見,我們用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。
㈥ 訪問控制技術的概念原理
訪問控制(Access Control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
訪問控制包括三個要素:主體、客體和控制策略。
(1)主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
(2)客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
(3)控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。 訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計,其功能及原理如圖1所示。
(1)認證。包括主體對客體的識別及客體對主體的檢驗確認。
(2)控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍。
(3)安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。 圖1 訪問控制功能及原理
㈦ windows如何實現其訪問控制
XP:在最初的Windows XP以及SP1中,Windows XP內置的防火牆提供了良好的反黑客保護。Windows XP的SP2大大改進了防火牆得保護功能,並且可以阻止惡意程序訪問網路,但是它對於商業應用來講依舊顯得相對簡單,所以許多重視安全性能的用戶依然會使用第三方提供的功能更強的防火牆或是互聯網安全組件來替換它。所有的Windows XP版本都可以通過設置自動下載Windows更新。
Vista:Vista擁有一個與Windows XP SP2的相似卻又有較大改進的防火牆。Internet Explorer 7具有「反釣魚」功能,但是目前已知的是它會稍稍減慢瀏覽網頁的速度,這主要是由於要通過微軟的伺服器進行檢查,然而IE7和其競爭對手Firefox2.0都只能對部分釣魚站點進行清理,因此,在這方面還有待改進。
新的「用戶帳戶控制」系統用於保護用戶的系統,因此在更改重要的系統設置之前將會出現警告信息。但是,盡管按下「確定」按鈕,用戶依然無法立刻完成所需的操作,這令一些高級用戶很反感,所以他們會完全的關閉這項功能。
Windows中具有新的「隨機」層,可以增加Vista系統中對內存配置的更改難度,此以來增加惡意代碼的攻擊難度。Vista具有的一項新技術,也就是內核補丁保護(KPP)技術,盡管KPP並不能夠預防所有病毒、rootkits或者其它惡意軟體對系統的攻擊,但是從安全形度來講,KPP在眾多的防護屏障上又加了一層保護,這對於Intel和AMD的新x64處理器來說,它確實是有益無害的。
2.家庭娛樂方面
XP:Windows XP可以播放MP3和視頻文件、CD、DVD、流媒體文件和其他格式的文件。Media Center Edition是Windows XP的一個更新加強的版本,其更加註重對視頻、音樂及圖像的觀賞、製作。
Vista:Media Center的能力被完全的植入到了Windows Vista中,同時也作了很大程度的增強。Vista通過自帶的Windows Media Player可以播放大多數音頻、視頻文件,並且還可以從網上下載到許多免費的資源
3.圖形用戶界面
XP:Windows XP的用戶界面相對於Windows 2000來說有了很大的改進,但是其開始按鈕在今天看來顯得過大。7TU6_/s1f"E
Vista:非常漂亮的3D圖標,透明的「玻璃」窗口和「Flip 3D」的窗口打開效果。新的圖形系統叫做「Aero」,然而它卻需要耗費大量的系統資源。
一些較老的筆記本也許無法完全支持Aero圖形效果,但可以通過啟用關閉這些特效的模式來保持系統的流暢運行。
桌面搜索引擎已經內置與Vista之中並且完全與系統融合,這與Google的桌面搜索比較相似。Windows XP雖然也有類似的功能,但是大多數人都認為XP的搜索能力較為低下。
同時,Vista具有一個全新的「側邊欄」,可以通過下載小程序或部件,來顯示圖像、時間、新聞及其他信息。目前已有不少側邊欄部件可用,估計在2007年1月30日之後將會有更多的側邊欄部件出現。
4.父母控制
XP:如果沒有安裝第三方軟體,那麼在Windows XP中的幾乎不能防止孩子訪問互聯網中不適當的網站。
Vista:優秀的父母控制已內置於Vista中,與目前第三方提供的軟體功能相差無幾,父母可以完全控制他們孩子的訪問,並且可以查看他們訪問過和試圖訪問的站點。通過對軟體的設置,父母還可以查看他們孩子玩過的游戲、運行過的軟體、發送郵件的痕跡以及即時消息等。
5.網路方面
XP:除非你知道你想做什麼,而且能自己解決,否則,微軟提供的有線連接/無線連接「設置向導」很少能夠快速准確的完成工作,這也大大增加的了用戶網路連接的難度。
Vista:大量的設置改進使得Vista成為了連接網路最容易的操作系統,使用Vista可以輕松的設置有線/無線網路連接。
㈧ 訪問控制技術的主要類型有哪三種
訪問控制技術主要有3種類型:自主訪問控制、強制訪問控制和基於角色訪問控制。自主訪問控制:用戶通過授權或者回收給其他用戶訪問特定資源的許可權,主要是針對其訪問權進行控制。
強制訪問控制:由系統己經部署的訪問控制策略,按照系統的規定用戶需要服從系統訪問控制策略,比如系統管理員制定訪問策略,其他用戶只能按照規定進行進程、文件和設備等訪問控制。
(8)訪問控制的五大實現擴展閱讀
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。
訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
㈨ 什麼是訪問控制機制
一、訪問控制機制 (access control mechanisms)
定義:訪問控制機制是指對主體訪問客體的許可權或能力的限制,以及限制進入物理區域(出入控制)和限制使用計算機系統和計算機存儲數據的過程(存取控制)。
訪問控制的目標就是防止對信息系統資源的非授權訪問防止非授權使用信息系統資源。
二、訪問控制機制的分類
基於訪問控製表的訪問控制機制
發起者的訪問控制信息是一個唯一的身份標識。目標的訪問控制信息是一個訪問控製表,該表示一組登記項,每個登記項都有兩個欄位,一個是身份標識,另一個是該標識對應的發起者的動作描述(允許或拒絕的動作)。
基於能力的訪問控制機制
發起者的訪問控制信息是它可以訪問的目標和對目標進行的操作。目標的訪問控制信息是唯一的身份標識。
基於標簽的訪問控制機制
發起者的訪問控制信息是一種安全許可證書,該證書 表示的內容很容易和其他安全標簽比較。目標的訪問 控制信息是其擁有的全部安全標簽。
基於上下文的訪問控制機制
訪問控制信息包括:
上下文控製表:由登記項組成的登記項序列。每個登 記項都有兩個欄位,即上下文描述和操作描述。
上下關聯信息,該信息從執行動作處的上下文獲得
三、訪問控制機制的實現方法
利用存放對等實體訪問權的方法控制信息庫
利用鑒別信息(如口令、證書等)
利用授權
利用安全標簽
利用試圖訪問的時間、路由或持續時間
參考網路:http://ke..com/link?url=50DSX--6aWt8NzHbatDz0Ww_DwFKgfxMl7hMzYJxqs5Hfk_