控制关键区域访问的技术

‘壹’ 访问控制技术的主要类型有哪三种

访问控制技术主要有3种类型：自主访问控制、强制访问控制和基于角色访问控制。自主访问控制：用户通过授权或者回收给其他用户访问特定资源的权限，主要是针对其访问权进行控制。

强制访问控制：由系统己经部署的访问控制策略，按照系统的规定用户需要服从系统访问控制策略，比如系统管理员制定访问策略，其他用户只能按照规定进行进程、文件和设备等访问控制。

(1)控制关键区域访问的技术扩展阅读

访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。

访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括认证、控制策略实现和安全审计。

‘贰’ 对一个系统进行访问控制的常用方法是

对一个系统进行访问控制的常用方法是：采用合法用户名和设置口令。

系统访问控制技术作为一种安全手段，无论是在计算机安全发展的初期还是在网络发达的现今，作为一种重要的计算机安全防护技术，都得到广泛应用。访问控制是通过某种途径准许或者限制访问能力，从而控制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作所造成的破坏。

(2)控制关键区域访问的技术扩展阅读

云访问控制的优势：

1、灵活性：基于云的访问控制可以满足公司扩展的需求，方便跨区域办公人员在不同的区域同时使用，系统还能对访问权限进行集中管理。

2、软件自动更新：由于访问控制是基于云服务，因此可以在云端对各地区实现软件系统的自动更新，这样可以节省跨地区维护不同系统所花费的时间。

3、随时随地远程访问：系统管理人员能够实时访问系统，并全面掌握访问该系统的团体和个人的访问情况，方便权限的集中管控。

4、安全性：基于云的访问控制系统具有实时更新访问权限并将楼层访问权限与人力资源数据库同步的功能，可以保护敏感数据的丢失，并防止在本地服务器中恢复数据所涉及的高风险。

5、集成度高：当基于云的访问控制系统与多个基于云的应用程序集成时，整个集成为员工提供了无缝、自动化的工作流程。

6、降低成本：基于云的解决方案可以最大程度地减少IT在IT设备、服务器和其他IT硬件成本方面的投资。

‘叁’ lan常用的访问控制技术有哪几种

局域网常用的访问控制方式有3种，分别是载波多路访问/冲突检测（CSMA/CD）、令牌环访问控制法（Token Ring）和令牌总线访问控制法（Toking Bus）。
分别适用于：
CSMA/CD访问控制方式主要用于总线型和树状网络拓扑结构、基带传输系统，适用于总线型局域网；
令牌环介质访问控制方法是通过在环状网上传输令牌的方式来实现对介质的访问控制；
令牌总线访问控制法主要用于总线型或树状网络结构中，目前微机局域中的主流介质访问控制方式。

‘肆’ 访问控制技术的安全策略

访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资源范畴），用于所有与安全相关活动的一套访问控制规则。由此安全区域中的安全权力机构建立，并由此安全控制机构来描述和实现。访问控制的安全策略有三种类型：基于身份的安全策略、基于规则的安全策略和综合访问控制方式。 访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。
（1）最小特权原则。在主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。优点是最大限度地限制了主体实施授权行为，可避免来自突发事件、操作错误和未授权主体等意外情况的危险。为了达到一定目的，主体必须执行一定操作，但只能做被允许的操作，其他操作除外。这是抑制特洛伊木马和实现可靠程序的基本措施。
（2）最小泄露原则。主体执行任务时，按其所需最小信息分配权限，以防泄密。
（3）多级安全策略。主体和客体之间的数据流向和权限控制，按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。其优点是避免敏感信息扩散。具有安全级别的信息资源，只有高于安全级别的主体才可访问。
在访问控制实现方面，实现的安全策略包括8个方面：入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。 授权行为是建立身份安全策略和规则安全策略的基础，两种安全策略为：
1）基于身份的安全策略
主要是过滤主体对数据或资源的访问。只有通过认证的主体才可以正常使用客体的资源。这种安全策略包括基于个人的安全策略和基于组的安全策略。
（1）基于个人的安全策略。是以用户个人为中心建立的策略，主要由一些控制列表组成。这些列表针对特定的客体，限定了不同用户所能实现的不同安全策略的操作行为。
（2）基于组的安全策略。基于个人策略的发展与扩充，主要指系统对一些用户使用同样的访问控制规则，访问同样的客体。
2）基于规则的安全策略
在基于规则的安全策略系统中，所有数据和资源都标注了安全标记，用户的活动进程与其原发者具有相同的安全标记。系统通过比较用户的安全级别和客体资源的安全级别，判断是否允许用户进行访问。这种安全策略一般具有依赖性与敏感性。 综合访问控制策略（HAC）继承和吸取了多种主流访问控制技术的优点，有效地解决了信息安全领域的访问控制问题，保护了数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问。HAC具有良好的灵活性、可维护性、可管理性、更细粒度的访问控制性和更高的安全性，为信息系统设计人员和开发人员提供了访问控制安全功能的解决方案。综合访问控制策略主要包括：
1）入网访问控制
入网访问控制是网络访问的第一层访问控制。对用户可规定所能登入到的服务器及获取的网络资源，控制准许用户入网的时间和登入入网的工作站点。用户的入网访问控制分为用户名和口令的识别与验证、用户账号的默认限制检查。该用户若有任何一个环节检查未通过，就无法登入网络进行访问。
2）网络的权限控制
网络的权限控制是防止网络非法操作而采取的一种安全保护措施。用户对网络资源的访问权限通常用一个访问控制列表来描述。
从用户的角度，网络的权限控制可分为以下3类用户：
（1）特殊用户。具有系统管理权限的系统管理员等。
（2）一般用户。系统管理员根据实际需要而分配到一定操作权限的用户。
（3）审计用户。专门负责审计网络的安全控制与资源使用情况的人员。
3）目录级安全控制
目录级安全控制主要是为了控制用户对目录、文件和设备的访问，或指定对目录下的子目录和文件的使用权限。用户在目录一级制定的权限对所有目录下的文件仍然有效，还可进一步指定子目录的权限。在网络和操作系统中，常见的目录和文件访问权限有：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、控制权限（Access Control）等。一个网络系统管理员应为用户分配适当的访问权限，以控制用户对服务器资源的访问，进一步强化网络和服务器的安全。
4）属性安全控制
属性安全控制可将特定的属性与网络服务器的文件及目录网络设备相关联。在权限安全的基础上，对属性安全提供更进一步的安全控制。网络上的资源都应先标示其安全属性，将用户对应网络资源的访问权限存入访问控制列表中，记录用户对网络资源的访问能力，以便进行访问控制。
属性配置的权限包括：向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。安全属性可以保护重要的目录和文件，防止用户越权对目录和文件的查看、删除和修改等。
5）网络服务器安全控制
网络服务器安全控制允许通过服务器控制台执行的安全控制操作包括：用户利用控制台装载和卸载操作模块、安装和删除软件等。操作网络服务器的安全控制还包括设置口令锁定服务器控制台，主要防止非法用户修改、删除重要信息。另外，系统管理员还可通过设定服务器的登入时间限制、非法访问者检测，以及关闭的时间间隔等措施，对网络服务器进行多方位地安全控制。
6）网络监控和锁定控制
在网络系统中，通常服务器自动记录用户对网络资源的访问，如有非法的网络访问，服务器将以图形、文字或声音等形式向网络管理员报警，以便引起警觉进行审查。对试图登入网络者，网络服务器将自动记录企图登入网络的次数，当非法访问的次数达到设定值时，就会将该用户的账户自动锁定并进行记载。
7）网络端口和结点的安全控制
网络中服务器的端口常用自动回复器、静默调制解调器等安全设施进行保护，并以加密的形式来识别结点的身份。自动回复器主要用于防范假冒合法用户，静默调制解调器用于防范黑客利用自动拨号程序进行网络攻击。还应经常对服务器端和用户端进行安全控制，如通过验证器检测用户真实身份，然后，用户端和服务器再进行相互验证。

‘伍’ 计算机系统和网络中常用的两种访问控制方式是什么

访问控制分为物理访问控制和逻辑访问控制；物理访问控制，如符合标准规定的用户、设备、门、锁和安全环境等方面的要求，而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。

本文操作环境：windows7系统，DELL G3电脑

访问控制分为什么？

访问控制可以分为两个层次：物理访问控制和逻辑访问控制。 物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求，而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。

访问控制技术，指防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术，如UniNAC网络准入控制系统的原理就是基于此技术之上。

访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制的概念及要素

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。

访问控制包括三个要素：主体、客体和控制策略。

（1）主体S（Subject）。是指提出访问资源具体请求。是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。

（2）客体O（Object）。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。

（3）控制策略A（Attribution）。是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。

访问控制的功能及原理

访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括认证、控制策略实现和安全审计。

（1）认证。包括主体对客体的识别及客体对主体的检验确认。

（2）控制策略。通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要信息资源泄露。同时对合法用户，也不能越权行使权限以外的功能及访问范围。

（3）安全审计。系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。

‘陆’ 访问控制技术的类型机制

访问控制可以分为两个层次：物理访问控制和逻辑访问控制。物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求，而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。对银行、证券等重要金融机构的网站，信息安全重点关注的是二者兼顾，物理访问控制则主要由其他类型的安全部门负责。 主要的访问控制类型有3种模式：自主访问控制（DAC）、强制访问控制（MAC）和基于角色访问控制（RBAC）。
1）自主访问控制
自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件，文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问，并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略，通常，可通过访问控制列表来限定针对客体可执行的操作。
①每个客体有一个所有者，可按照各自意愿将客体访问控制权限授予其他主体。
②各客体都拥有一个限定主体对其访问权限的访问控制列表（ACL）。
③每次访问时都以基于访问控制列表检查用户标志，实现对其访问权限控制。
④DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实。
DAC提供了适合多种系统环境的灵活方便的数据访问方式，是应用最广泛的访问控制策略。然而，它所提供的安全性可被非法用户绕过，授权用户在获得访问某资源的权限后，可能传送给其他用户。主要是在自由访问策略中，用户获得文件访问后，若不限制对该文件信息的操作，即没有限制数据信息的分发。所以DAC提供的安全性相对较低，无法对系统资源提供严格保护。
2）强制访问控制
强制访问控制（MAC）是系统强制主体服从访问控制策略。是由系统对用户所创建的对象，按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。在MAC中，每个用户及文件都被赋予一定的安全级别，只有系统管理员才可确定用户和组的访问权限，用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别，决定用户是否可以访问该文件。此外，MAC不允许通过进程生成共享文件，以通过共享文件将信息在进程中传递。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略，一般采用3种方法：限制访问控制、过程控制和系统限制。MAC常用于多级安全军事系统，对专用或简单系统较有效，但对通用或大型系统并不太有效。
MAC的安全级别有多种定义方式，常用的分为4级：绝密级（Top Secret）、秘密级（Secret）、机密级（Confidential）和无级别级（Unclas sified），其中T>S>C>U。所有系统中的主体（用户，进程）和客体（文件，数据）都分配安全标签，以标识安全等级。
通常MAC与DAC结合使用，并实施一些附加的、更强的访问限制。一个主体只有通过自主与强制性访问限制检查后，才能访问其客体。用户可利用DAC来防范其他用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层，以防范偶然或故意地滥用DAC。
3）基于角色的访问控制
角色（Role）是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层，表示为权限和用户的关系，所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制（Role-Based Access Control，RBAC）是通过对角色的访问所进行的控制。使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。为了完成某项工作创建角色，用户可依其责任和资格分派相应的角色，角色可依新需求和系统合并赋予新权限，而权限也可根据需要从某角色中收回。减小了授权管理的复杂性，降低管理开销，提高企业安全策略的灵活性。
RBAC模型的授权管理方法，主要有3种：
①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组（Group，权限分配的单位与载体）指定一个角色。
RBAC支持三个着名的安全原则：最小权限原则、责任分离原则和数据抽象原则。前者可将其角色配置成完成任务所需要的最小权限集。第二个原则可通过调用相互独立互斥的角色共同完成特殊任务，如核对账目等。后者可通过权限的抽象控制一些操作，如财务操作可用借款、存款等抽象权限，而不用操作系统提供的典型的读、写和执行权限。这些原则需要通过RBAC各部件的具体配置才可实现。 访问控制机制是检测和防止系统未授权访问，并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法，一般在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体，贯穿于系统全过程。
访问控制矩阵（Access Contro1 Matrix）是最初实现访问控制机制的概念模型，以二维矩阵规定主体和客体间的访问权限。其行表示主体的访问权限属性，列表示客体的访问权限属性，矩阵格表示所在行的主体对所在列的客体的访问授权，空格为未授权，Y为有操作授权。以确保系统操作按此矩阵授权进行访问。通过引用监控器协调客体对主体访问，实现认证与访问控制的分离。在实际应用中，对于较大系统，由于访问控制矩阵将变得非常大，其中许多空格，造成较大的存储空间浪费，因此，较少利用矩阵方式，主要采用以下2种方法。
1）访问控制列表
访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表，表中记载了该文件的访问用户名和权隶属关系。利用ACL，容易判断出对特定客体的授权访问，可访问的主体和访问权限等。当将该客体的ACL置为空，可撤消特定客体的授权访问。
基于ACL的访问控制策略简单实用。在查询特定主体访问客体时，虽然需要遍历查询所有客体的ACL，耗费较多资源，但仍是一种成熟且有效的访问控制方法。许多通用的操作系统都使用ACL来提供该项服务。如Unix和VMS系统利用ACL的简略方式，以少量工作组的形式，而不许单个个体出现，可极大地缩减列表大小，增加系统效率。
2）能力关系表
能力关系表（Capabilities List）是以用户为中心建立访问权限表。与ACL相反，表中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表。 通过介绍单点登入SSO的基本概念和优势，主要优点是，可集中存储用户身份信息，用户只需一次向服务器验证身份，即可使用多个系统的资源，无需再向各客户机验证身份，可提高网络用户的效率，减少网络操作的成本，增强网络安全性。根据登入的应用类型不同，可将SSO分为3种类型。
1）对桌面资源的统一访问管理
对桌面资源的访问管理，包括两个方面：
①登入Windows后统一访问Microsoft应用资源。Windows本身就是一个“SSO”系统。随着.NET技术的发展，“Microsoft SSO”将成为现实。通过Active Directory的用户组策略并结合SMS工具，可实现桌面策略的统一制定和统一管理。
②登入Windows后访问其他应用资源。根据Microsoft的软件策略，Windows并不主动提供与其他系统的直接连接。现在，已经有第三方产品提供上述功能，利用Active Directory存储其他应用的用户信息，间接实现对这些应用的SSO服务。
2）Web单点登入
由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现。在目前的访问管理产品中，Web访问管理产品最为成熟。Web访问管理系统一般与企业信息门户结合使用，提供完整的Web SSO解决方案。
3）传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上，实现管理前台的统一或统一入口是关键。采用Web客户端作为前台是企业最为常见的一种解决方案。
在后台集成方面，可以利用基于集成平台的安全服务组件或不基于集成平台的安全服务API，通过调用信息安全基础设施提供的访问管理服务，实现统一访问管理。
在不同的应用系统之间，同时传递身份认证和授权信息是传统C/S结构的统一访问管理系统面临的另一项任务。采用集成平台进行认证和授权信息的传递是当前发展的一种趋势。可对C/S结构应用的统一访问管理结合信息总线（EAI）平台建设一同进行。

‘柒’ 访问控制技术手段有哪些并比较优缺点

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。
权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（irm）可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。
目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。
属性安全控制
当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

‘捌’ 局域网基本技术中有哪几种媒体访问控制方法

计算机局域网一般采用共享介质，这样可以节约局域网的造价。对于共享介质，关键问题是当多个站点要同时访问介质时，如何进行控制，这就涉及到局域网的介质访问控制（Medium Access Control，MAC）协议。在网络中服务器和计算机众多，每台设备随时都有发送数据的需求，这就需要有某些方法来控制对传输媒体的访问，以便两个特定的设备在需要时可以交换数据。传输媒体的访问控制方式与局域网的拓扑结构、工作过程有密切关系。目前，计算机局域网常用的访问控制方式有3种，分别是载波多路访问/冲突检测（CSMA/CD）、令牌环访问控制法（Token Ring）和令牌总线访问控制法（Toking Bus）。其中，载波多路访问/冲突检测（CSMA/CD）是由ALOHA随机访问控制技术发展而来的，在此，对ALOHA随机访问控制技术简要介绍一下。
1．ALOHA协议
ALOHA协议是20世纪70年代在夏威夷大学由Norman Abramson及其同事发明的，目的是为了解决地面无线电广播信道的争用问题。ALOHA协议分为纯ALOHA和分槽ALOHA两种。
（1）纯ALOHA
ALOHA协议的思想很简单，只要用户有数据要发送，就尽管让他们发送。当然，这样会产生冲突从而造成帧的破坏。但是，由于广播信道具有反馈性，因此发送方可以在发送数据的过程中进行冲突检测，将接收到的数据与缓冲区的数据进行比较就可以知道数据帧是否遭到破坏。同样的道理，其他用户也是按照此过程工作。如果发送方知道数据帧遭到破坏（检测到冲突），那么它可以等待一段随机长的时间后重发该帧。对于局域网LAN，反馈信息很快就可以得到；而对于卫星网，发送方要在270ms后才能确认数据发送是否成功。通过研究证明，纯ALOHA协议的信道利用率最大不超过18%（1/2e）。
（2）分槽ALOHA
1972年，Roberts发明了一种能把信道利用率提高一倍的信道分配策略，即分槽ALOHA协议。其思想是用时钟来统一用户的数据发送。办法是将时间分为离散的时间片，用户每次必须等到下一个时间片才能开始发送数据，从而避免了用户发送数据的随意性，减少了数据产生冲突的可能性，提高了信道的利用率。在分槽ALOHA系统中，计算机并不是在用户按下回车键后就立即发送数据，而是要等到下一个时间片开始时才发送。这样，连续的纯ALOHA就变成离散的分槽ALOHA。由于冲突的危险区平均减少为纯ALOHA的一半，因此分槽ALOHA的信道利用率可以达到36%（1/e），是纯ALOHA协议的两倍。对于分槽ALOHA，用户数据的平均传输时间要高于纯ALOHA系统。
2．载波侦听多路访问/冲突检测（CSMA/CD）
CSMA/CD是Carrier Sense Multiple Access With Collision Detection的缩写，含有两方面的内容，即载波侦听（CSMA）和冲突检测（CD）。CSMA/CD访问控制方式主要用于总线型和树状网络拓扑结构、基带传输系统。信息传输是以“包”为单位，简称信包，发展为IEEE 802.3基带CSMA/CD局域网标准。
（1）CSMA/CD介质访问控制方案
先听后发，工作站在每次发送前，先侦听总线是否空闲，如发现已被占用，便推迟本次的发送，仅在总线空闲时才发送信息。介质的最大利用率取决于帧的长度和传播时间，与帧长成正比，与传播时间成反比。
载波监听多路访问CSMA的技术也称做先听后说LBT（Listen Before Talk）。要传输数据的站点首先对媒体上有无载波进行监听，以确定是否有别的站点在传输数据。如果媒体空闲，该站点便可传输数据；否则，该站点将避让一段时间后再做尝试。这就需要有一种退避算法来决定避让的时间，常用的退避算法有非坚持、1-坚持、P-坚持3种。
① 非坚持算法。算法规则如下：
如果媒本是空闲的，则可以立即发送。
如果媒体是忙的，则等待一个由概率分布决定的随机重发延迟后，再重复前一个步骤。
采用随机的重发延迟时间可以减少冲突发生的可能性。
非坚持算法的缺点是：即使有几个着眼点位都有数据要发送，但由于大家都在延迟等待过程中，致使媒体仍可能处于空闲状态，使利用率降低。
② 1-坚持算法。算法规则如下：
如果媒体是空闲的，则可以立即发送。
如果媒体是忙的，则继续监听，直至检测到媒体是空闲，立即发送。
如果有冲突（在一段时间内未收到肯定的回复），则等待一个随机量的时间，重复前两步。
这种算法的优点是：只要媒体空闲，站点就可立即发送，避免了媒体利用率的损失。
其缺点是：假若有两个或两个以上的站点有数据要发送，冲突就不可避免。
③ P-坚持算法。算法规则如下：
监听总线，如果媒体是空闲的，则以P的概率发送，而以（1–P）的概率延迟一个时间单位。一个时间单位通常等于最大传播时延的2倍。
延迟一个时间单位后，再重复第一步。
如果媒体是忙的，继续监听直至媒体空闲并重复第一步。
P-坚持算法是一种既能像非坚持算法那样减少冲突，又能像1-坚持算法那样减少媒体空闲时间的折中方案。问题在于如何选择P的值，这要考虑到避免重负载下系统处于的不稳定状态。假如媒体忙时，有N个站有数据等待发送，一旦当前的发送完成，将要试图传输的站的总期望数为NP。如果选择P过大，使NP>1，表明有多个站点试图发送，冲突就不可避免。最坏的情况是，随着冲突概率的不断增大，而使吞吐量降低到零。所以必须选择适当P值使NP<1。当然P值选得过小，则媒体利用率又会大大降低。
（2）二进制指数退避算法
重发时间均匀分布在0～TBEB之间，TBEB=2i–1（2a），a为端-端的传输延迟，i为重发次数。该式表明，重发延迟将随着重发次数的增加而按指数规律迅速地延长。
（3）CSMA/CD
载波监听多路访问/冲突检测方法是提高总线利用率的一种CSMA改进方案。该方法为：使各站点在发送信息时继续监听介质，一旦检测到冲突，就立即停止发送，并向总线发送一串阻塞信号，通知总线上的各站点冲突已发生。
采用CSMA/CD介质访问控制方法的总线型局域网中，每一个结点在利用总线发送数据时，首先要侦听总线的忙、闲状态。如果总线上已经有数据信号传输，则为总线忙；如果总线上没有数据信号传输，则为总线空闲。由于Ethernet的数据信号是按差分曼彻斯特方法编码，因此如果总线上存在电平跳变，则判断为总线忙；否则判断为总线空。如果一个结点准备好发送的数据帧，并且此时总线空闲，它就可以启动发送。同时也存在着这种可能，那就是在几乎相同的时刻，有两个或两个以上结点发送了数据帧，那么就会产生冲突，所以结点在发送数据的同时应该进行冲突检测。
（4）CSMA/CD方式的主要特点
原理比较简单，技术上较易实现，网络中各工作站处于同等地位，不要集中控制，但这种方式不能提供优先级控制，各结点争用总线，不能满足远程控制所需要的确定延时和绝对可靠性的要求。此方式效率高，但当负载增大时，发送信息的等待时间较长。
3．令牌环（Token Ring）访问控制
Token Ring是令牌传输环（Token Passing Ring）的简写。令牌环介质访问控制方法是通过在环状网上传输令牌的方式来实现对介质的访问控制。只有当令牌传输至环中某站点时，它才能利用环路发送或接收信息。当环线上各站点都没有帧发送时，令牌标记为01111111，称为空标记。当一个站点要发送帧时，需等待令牌通过，并将空标记置换为忙标记01111110，紧跟着令牌，用户站点把数据帧发送至环上。由于是忙标记，所以其他站点不能发送帧，必须等待。
发送出去的帧将随令牌沿环路传输下去。在循环一周又回到原发送站点时，由发送站点将该帧从环上移去，同时将忙标记换为空标记，令牌传至后面站点，使之获得发送的许可权。发送站点在从环中移去数据帧的同时还要检查接收站载入该帧的应答信息，若为肯定应答，说明发送的帧已被正确接收，完成发送任务。若为否定应答，说明对方未能正确收到所发送的帧，原发送站点需要在带空标记的令牌第二次到来时，重发此帧。采用发送站从环上收回帧的策略，不仅具有对发送站点自动应答的功能，而且还具有广播特性，即可有多个站点接收同一个数据帧。
接收帧的过程与发送帧不同，当令牌及数据帧通过环上站点时，该站将帧携带的目标地址与本站地址相比较。若地址符合，则将该帧复制下来放入接收缓冲器中，待接收站正确接收后，即在该帧上载入肯定应答信号；若不能正确接收则载入否定应答信号，之后再将该帧送入环上，让其继续向下传输。若地址不符合，则简单地将数据帧重新送入环中。所以当令牌经过某站点而它既不发送信息，又无处接收时，会稍经延迟，继续向前传输。
在系统负载较轻时，由于站点需等待令牌到达才能发送或接收数据，因此效率不高。但若系统负载较重，则各站点可公平共享介质，效率较高。为避免所传输数据与标记形式相同而造成混淆，可采用位填入技术，以区别数据和标记。
使用令牌环介质访问控制方法的网络，需要有维护数据帧和令牌的功能。例如，可能会出现因数据帧未被正确移去而始终在环上传输的情况；也可能出现令牌丢失或只允许一个令牌的网络中出现了多个令牌等异常情况。解决这类问题的办法是在环中设置监控器，对异常情况进行检测并消除。令牌环网上的各个站点可以设置成不同的优先级，允许具有较高优先权的站申请获得下一个令牌权。
归纳起来，在令牌环中主要有下面3种操作。
截获令牌并且发送数据帧。如果没有结点需要发送数据，令牌就由各个结点沿固定的顺序逐个传递；如果某个结点需要发送数据，它要等待令牌的到来，当空闲令牌传到这个结点时，该结点修改令牌帧中的标志，使其变为“忙”的状态，然后去掉令牌的尾部，加上数据，成为数据帧，发送到下一个结点。
接收与转发数据。数据帧每经过一个结点，该结点就比较数据帧中的目的地址，如果不属于本结点，则转发出去；如果属于本结点，则复制到本结点的计算机中，同时在帧中设置已经复制的标志，然后向下一个结点转发。
取消数据帧并且重发令牌。由于环网在物理上是个闭环，一个帧可能在环中不停地流动，所以必须清除。当数据帧通过闭环重新传到发送结点时，发送结点不再转发，而是检查发送是否成功。如果发现数据帧没有被复制（传输失败），则重发该数据帧；如果发现传输成功，则清除该数据帧，并且产生一个新的空闲令牌发送到环上。
4．令牌总线访问控制法（Token Bus）
Token Bus是令牌通行总线（Token Passing bus）的简写。这种方式主要用于总线型或树状网络结构中。1976年美国Data Point公司研制成功的ARCnet（Attached Resource Computer）网络，它综合了令牌传递方式和总线网络的优点，在物理总线结构中实现令牌传递控制方法，从而构成一个逻辑环路。此方式也是目前微机局域中的主流介质访问控制方式。
ARCnet网络把总线或树状传输介质上的各工作站形成一个逻辑上的环，即将各工作站置于一个顺序的序列内（例如可按照接口地址的大小排列）。方法可以是在每个站点中设一个网络结点标识寄存器NID，初始地址为本站点地址。网络工作前，要对系统初始化，以形成逻辑环路，其过程主要是：网中最大站号n开始向其后继站发送“令牌”信包，目的站号为n+1，若在规定时间内收到肯定的信号ACK，则n+1站连入环路，否则在n+1继续向下询问（该网中最大站号为n=255，n+1后变为0，然后1、2、3、…递增），凡是给予肯定回答的站都可连入环路并将给予肯定回答的后继站号放入本站的NID中，从而形成一个封闭逻辑环路，经过一遍轮询过程，网络各站标识寄存器NID中存放的都是其相邻的下游站地址。
逻辑环形成后，令牌的逻辑中的控制方法类似于Token Ring。在Token Bus中，信息是按双向传送的，每个站点都可以“听到”其他站点发出的信息，所以令牌传递时都要加上目的地址，明确指出下一个将到控制的站点。这种方式与CSMA/CD方式的不同在于除了当时得到令牌的工作站之外，所有的工作站只收不发，只有收到令牌后才能开始发送，所以拓扑结构虽是总线型但可以避免冲突。
Token Bus方式的最大优点是具有极好的吞吐能力，且吞吐量随数据传输速率的增高而增加，并随介质的饱和而稳定下来但并不下降；各工作站不需要检测冲突，故信号电压容许较大的动态范围，联网距离较远；有一定实时性，在工业控制中得到了广泛应用，如MAP网就是用的宽带令牌总线。其主要缺点在于其复杂性和时间开销较大，工作站可能必须等待多次无效的令牌传送后才能获得令牌。
应该指出，ARCnet网实际上采用称为集中器的硬件联网，物理拓扑上有星状和总线型两种连接方式。

‘玖’ 局域网的访问控制有哪几种，分别适用于哪些网络

1、冲突检测的载波侦听多路访问法：适用于所有局域网。

2、令牌环访问控制法：只适用于环形拓扑结构的局域网。

3、令牌总线访问控制法：主要用于总线形或树形网络结构中。

(9)控制关键区域访问的技术扩展阅读

令牌总线访问控制方式类似于令牌环，但把总线形或树形网络中的各个工作站按一定顺序如按接口地址大小排列形成一个逻辑环。只有令牌持有者才能控制总线，才有发送信息的权力。信息是双向传送，每个站都可检测到站点发出的信息。

CSMA/CD要解决的另一主要问题是如何检测冲突。当网络处于空闲的某一瞬间，有两个或两 个以上工作站要同时发送信息，同步发送的信号就会引起冲突。