‘壹’ 计算机信息安全中 访问控制矩阵的行、列分别代表什么
按访问控制矩阵行建立的是 访问权限表 ,按列建立的是 访问控制表 。
‘贰’ 访问能力表和访问控制表的比较
访问能力表是以用户为中心建立访问权限表
访问控制表是以文件为中心建立的访问权限表
‘叁’ 访问控制技术的类型机制
访问控制可以分为两个层次:物理访问控制和逻辑访问控制。物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求,而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。对银行、证券等重要金融机构的网站,信息安全重点关注的是二者兼顾,物理访问控制则主要由其他类型的安全部门负责。 主要的访问控制类型有3种模式:自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。
1)自主访问控制
自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件,文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略,通常,可通过访问控制列表来限定针对客体可执行的操作。
①每个客体有一个所有者,可按照各自意愿将客体访问控制权限授予其他主体。
②各客体都拥有一个限定主体对其访问权限的访问控制列表(ACL)。
③每次访问时都以基于访问控制列表检查用户标志,实现对其访问权限控制。
④DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实。
DAC提供了适合多种系统环境的灵活方便的数据访问方式,是应用最广泛的访问控制策略。然而,它所提供的安全性可被非法用户绕过,授权用户在获得访问某资源的权限后,可能传送给其他用户。主要是在自由访问策略中,用户获得文件访问后,若不限制对该文件信息的操作,即没有限制数据信息的分发。所以DAC提供的安全性相对较低,无法对系统资源提供严格保护。
2)强制访问控制
强制访问控制(MAC)是系统强制主体服从访问控制策略。是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。在MAC中,每个用户及文件都被赋予一定的安全级别,只有系统管理员才可确定用户和组的访问权限,用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别,决定用户是否可以访问该文件。此外,MAC不允许通过进程生成共享文件,以通过共享文件将信息在进程中传递。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,一般采用3种方法:限制访问控制、过程控制和系统限制。MAC常用于多级安全军事系统,对专用或简单系统较有效,但对通用或大型系统并不太有效。
MAC的安全级别有多种定义方式,常用的分为4级:绝密级(Top Secret)、秘密级(Secret)、机密级(Confidential)和无级别级(Unclas sified),其中T>S>C>U。所有系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
通常MAC与DAC结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过自主与强制性访问限制检查后,才能访问其客体。用户可利用DAC来防范其他用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层,以防范偶然或故意地滥用DAC。
3)基于角色的访问控制
角色(Role)是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制(Role-Based Access Control,RBAC)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。为了完成某项工作创建角色,用户可依其责任和资格分派相应的角色,角色可依新需求和系统合并赋予新权限,而权限也可根据需要从某角色中收回。减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性。
RBAC模型的授权管理方法,主要有3种:
①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC支持三个着名的安全原则:最小权限原则、责任分离原则和数据抽象原则。前者可将其角色配置成完成任务所需要的最小权限集。第二个原则可通过调用相互独立互斥的角色共同完成特殊任务,如核对账目等。后者可通过权限的抽象控制一些操作,如财务操作可用借款、存款等抽象权限,而不用操作系统提供的典型的读、写和执行权限。这些原则需要通过RBAC各部件的具体配置才可实现。 访问控制机制是检测和防止系统未授权访问,并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法,一般在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程。
访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。其行表示主体的访问权限属性,列表示客体的访问权限属性,矩阵格表示所在行的主体对所在列的客体的访问授权,空格为未授权,Y为有操作授权。以确保系统操作按此矩阵授权进行访问。通过引用监控器协调客体对主体访问,实现认证与访问控制的分离。在实际应用中,对于较大系统,由于访问控制矩阵将变得非常大,其中许多空格,造成较大的存储空间浪费,因此,较少利用矩阵方式,主要采用以下2种方法。
1)访问控制列表
访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表,表中记载了该文件的访问用户名和权隶属关系。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。当将该客体的ACL置为空,可撤消特定客体的授权访问。
基于ACL的访问控制策略简单实用。在查询特定主体访问客体时,虽然需要遍历查询所有客体的ACL,耗费较多资源,但仍是一种成熟且有效的访问控制方法。许多通用的操作系统都使用ACL来提供该项服务。如Unix和VMS系统利用ACL的简略方式,以少量工作组的形式,而不许单个个体出现,可极大地缩减列表大小,增加系统效率。
2)能力关系表
能力关系表(Capabilities List)是以用户为中心建立访问权限表。与ACL相反,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。相反,检索具有授权访问特定客体的所有主体,则需查遍所有主体的能力关系表。 通过介绍单点登入SSO的基本概念和优势,主要优点是,可集中存储用户身份信息,用户只需一次向服务器验证身份,即可使用多个系统的资源,无需再向各客户机验证身份,可提高网络用户的效率,减少网络操作的成本,增强网络安全性。根据登入的应用类型不同,可将SSO分为3种类型。
1)对桌面资源的统一访问管理
对桌面资源的访问管理,包括两个方面:
①登入Windows后统一访问Microsoft应用资源。Windows本身就是一个“SSO”系统。随着.NET技术的发展,“Microsoft SSO”将成为现实。通过Active Directory的用户组策略并结合SMS工具,可实现桌面策略的统一制定和统一管理。
②登入Windows后访问其他应用资源。根据Microsoft的软件策略,Windows并不主动提供与其他系统的直接连接。现在,已经有第三方产品提供上述功能,利用Active Directory存储其他应用的用户信息,间接实现对这些应用的SSO服务。
2)Web单点登入
由于Web技术体系架构便捷,对Web资源的统一访问管理易于实现。在目前的访问管理产品中,Web访问管理产品最为成熟。Web访问管理系统一般与企业信息门户结合使用,提供完整的Web SSO解决方案。
3)传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键。采用Web客户端作为前台是企业最为常见的一种解决方案。
在后台集成方面,可以利用基于集成平台的安全服务组件或不基于集成平台的安全服务API,通过调用信息安全基础设施提供的访问管理服务,实现统一访问管理。
在不同的应用系统之间,同时传递身份认证和授权信息是传统C/S结构的统一访问管理系统面临的另一项任务。采用集成平台进行认证和授权信息的传递是当前发展的一种趋势。可对C/S结构应用的统一访问管理结合信息总线(EAI)平台建设一同进行。
‘肆’ 以主体(如:用户)为中心建立的访问权限表,被称为:( )
A访问控制能力表
‘伍’ 安卓系统的自主访问控制和强制访问控制是怎么操作的
自主访问控制
自主访问的含义是有访问许可的主体能够直接或间接地向其他主体转让访问权。自主访问控制是在确认主体身份以及(或)它们所属的组的基础上,控制主体的活动,实施用户权限管理、访问属性(读、写、执行)管理等,是一种最为普遍的访问控制手段。自主访问控制的主体可以按自己的意愿决定哪些用户可以访问他们的资源,亦即主体有自主的决定权,一个主体可以有选择地与其它主体共享他的资源。
基于访问控制矩阵的访问控制表(ACL)是DAC中通常采用一种的安全机制。ACL是带有访问权限的矩阵,这些访问权是授予主体访问某一客体的。安全管理员通过维护ACL控制用户访问企业数据。对每一个受保护的资源,ACL对应一个个人用户列表或由个人用户构成的组列表,表中规定了相应的访问模式。当用户数量多、管理数据量大时,由于访问控制的粒度是单个用
户,ACL会很庞大。当组织内的人员发生能变化(升迁、换岗、招聘、离职)、工作职能发生变化(新增业务)时,ACL的修改变得异常困难。采用ACL机制管理授权处于一个较低级的层次,管理复杂、代价高以至易于出错。
DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限,访问通常基于访问控制表(ACL)。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。DAC的缺点是信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。
强制访问控制
为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。目前,在系统中访问控制矩阵本身,都不是完整地存储起来,因为矩阵中的许多元素常常为空。空元素将会造成存储空间的浪费,而且查找某个元素会耗费很多时间。实际上常常是基于矩阵的行或列来表达访问控制信息。
强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。
为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。
Top Secret),秘密级(Secret),机密级(Confidential)及无级别级(Unclassified)。其级别为T>S>C>U,系统根据主体和客体的敏感标记来决定访问模式。访问模式包括:
read down):用户级别大于文件级别的读操作;
Write up):用户级别小于文件级别的写操作;
Write down):用户级别等于文件级别的写操作;
read up):用户级别小于文件级别的读操作;
自主访问控制不能抵御“特洛伊木马”攻击,而强制访问控制能够有效的防御“特洛伊木马”攻击。MAC最主要的优势是它阻止特洛伊木马的能力 一个特洛伊木马是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体的权限违反安全策略 通过伪装成有用的程序在进程中泄露信息 一个特洛伊木马能够以两种方式泄露信息: 直接与非直接泄露 前者, 特洛伊木马以这样一种方式工作, 使信息的安全标示不正确并泄露给非授权用户; 后者特洛伊木马通过以下方式非直接地泄露信息: 在返回给一个主体的合法信息中编制 例如: 可能表面上某些提问需要回答, 而实际上用户回答的内容被传送给特洛伊木马。
‘陆’ 简述访问控制列表的作用和组成
虽然SS7技术可以应用在广泛的潜在领域,但是目前只在几个专属领域得到了应用:电话网、基于运营商的应用及其基础设施,还有基于大企业的应用及其基础设施。下表列出了一些SS7的应用。
应用领域 SS7适用性 应用实例
增强业务 最适用于网络(基于中心交换系统)的应用;企业应用适用性较差。 ·声讯台
·唯一号码/电话跟随业务
·无线预付费平台
VoIP网关 很适用于网络(运营级)应用 ·VoIP到PSTN的网间连接(呼叫控制)
无线网络 很适用 ·移动性应用(如支持GSM MAP)
·用于MSC的呼叫控制:建立、拆线等。
业务控制点 很适用 ·无线网中的VLR/HLR服务器
高级智能网/智能网 绝对必要 ·LNP(本地号码可携带)
·800号路由寻找
·增强智能网业务
呼叫中心 中等适用 ·大容量呼叫中心
SS7交换和网关 适用 ·SS7微型STP
·SS7/MF网关
·通过数据网传输SS7
TOP↑
1.增强业务
增强业务的范围很广,包括:声讯、传真消息,单一号码/电话跟随业务,以及运营商为用户提供的预付费业务等。增强业务在各运营商中得到广泛应用的主要原因是能为他们带来重要的收入来源,并使得运营商更有自己的特色。增强业务一般由和中心交换局相连的平台提供。这些平台可以是配置成业务点的系统提供,也可以作为智能外设提供,两种情况下都是使用SS7作为在中心交换局和业务点或外设之间的呼叫控制协议。
图6所示为一个运营级的声讯平台,这是个面向公众的开放结构增强业务平台。系统由多台计算机(或叫节点)组成,节点间通过以太网相连接以提供冗余功能,这是一个很规范、具有很高可靠性的系统。在这一例子中,两个SS7节点用于为应用提供信令,而其它几个媒体节点用于提供和PSTN间的通道连接和呼叫处理功能,包括所有和用户的音频或声音对话,以及信息播放。每个媒体节点一般使用有一定数量的线路和DSP资源的板卡,比如NMS AG系列4E1板,用于几百甚至几千个同时发生的混合媒体(声音、传真等)呼叫。利用容错磁盘服务器作存贮介质,向媒体节点提供语音邮件消息检索功能。
那两个SS7节点是以冗余方式配置的,共享相同的信令点编码,为所有的媒体节点提供呼叫控制。图中所示的所有SS7链路采用单信令点编码冗余方式备份,即使其中一个 SS7节点出现故障,信令系统仍能继续为呼入提供不中断的语音信箱访问。
这个信息系统的升级扩容非常方便,只要增加媒体节点就可以轻易扩大系统容量。由于很少会出现两个信令点同时崩溃的可能,使得这种结构具有很高的可靠性。
图6 增强业务系统运营级结构例子
TOP↑
2.VoIP网关
由于通过IP网传送话音市场的迅速增长,我们有必要对许多设备供应商都在推出的VoIP网关作一个介绍。VoIP网关用于连接电话网(就是基于电路的PSTN)和基于数据包的IP网,使得呼叫能通过IP网络无缝地连接到PSTN电话。最初,网关只支持比较少的呼叫,一般只支持单个的T1或E1,最多只能支持几百个话音电路。这种早期的网关一般使用ISDN协议或随路信令协议连接到PSTN。然而随着基于IP话音应用的迅速成长,并被各运营商所采用,网关容量逐渐得到了扩大,能够支持多达数千个呼叫。网关规模的扩大和运营级网关的要求,使得SS7成为连接IP网关和PSTN必须采用的信令协议。
图7 SS7支持的VoIP网关
IP网关一般连接到PSTN的中心局交换机,并用ISUP信令来提供呼叫控制。在很多情况下,任何PSTN的呼叫功能很明显都要跨越网络来实现,比如主叫号码信息显示,主叫号码要从PSTN经网关进入IP网,再经网关送达另一端的PSTN用户。
1) VoIP标准的进展
VoIP团体对SS7的兴趣持续升温,主要原因是:要让基于包的VoIP网络接入到到处存在的电话业务,就必须连接到基于电路交换的PSTN,而PSTN网是用SS7作为信令机制的,所以VoIP网关只能支持SS7,别无选择。
VoIP的标准在持续发展,有一个明显的趋势是网关中的媒体(话音、传真等)和信令分离处理(请看图8)。另外,虽然提议了各种各样的信令方式,但到目前为止,似乎SS7或它的变种在形成VoIP标准时起到了比较重要的作用。现在正急待解决的两个关键问题是:通过IP网传送SS7,以及连接PSTN电路和包网络。
图8 VoIP网络中的媒体、信令网关分解图
2) 通过IP网传递SS7
就是两个PSTN网络之间通过IP网络连接起来,PSTN网络间的SS7信令信息通过IP网透明地传送到对方。这样做的目的是:不管呼叫是通过基于电路的PSTN还是通过VoIP网络,都能向用户提供相同的随时随地的接入和业务功能集。另外,通过IP网传递SS7所需要的基础传输设备成本明显要比传送传统SS7所需要的基础传输设备低得多。(参考图9)
3) 连接PSTN电路和包交换网
当VoIP网络需要处理或者产生象在PSTN和VoIP间建立呼叫连接那样的SS7信息时,决定如何去处理这些SS7信令信息就是这个问题包含的内容。这个问题的一个例子是:源自于PSTN的一个呼叫要到达VoIP网内的一个设备,这时,两个网络固然使用不同的信令,但不管使用哪个网络用户仍能访问到同样的功能和业务,就和以前访问纯PSTN业务一样。
在以上这两个问题领域,NMS公司都积极参与到各标准化和工业化组织中,并在其中处于领导者的地位,包括IETF和IN Forum的相关工作组。
图9 IP网上的SS7
TOP↑
3.无线网络应用
除了空中接口,在无线系统的设计中支持无线用户的移动性是主要的挑战。无线系统对信令的要求明显要比实现类似功能的地上有线系统要苛刻得多。结果使得无线网络必须组合更先进更全面的信令控制系统。即使移动单元在它的归属网络中,系统也要随时跟踪它的位置,因为呼入、认证和传递功能需要知道它当前所处的位置。系统运营商提供给用户的移动等级有越来越复杂的趋势,这就要求在系统间必须应用复杂的信令才足以支持漫游、登记和路由寻找等功能。这就是无线系统普遍选择SS7作为信令协议的原因。
图10 SS7支持的无线漫游
SS7也广泛用作无线网和PSTN的接口信令,以及在不断增加的无线网络子系统之间。在GSM系统中,SS7还被用作基站控制中心(BSC)和移动交换中心(MSC)之间的信令。
如图10所示,每个系统管理它自己的HLR(归属位置登记器)和VLR(拜访位置登记器)数据库。一个用户的全部资料由其归属系统的单个HLR管理,外来拜访的用户资料由系统的VLR管理。当一个用户旅行到达另外一个服务区并想发出一个呼叫时,被访系统先会作一个确认登记(当移动单元第一次开机),确认该用户为异地拜访用户,并用SS7和该用户的归属系统进行对话,在它的VLR为这个拜访移动单元作临时登记。同时,归属系统修改它的HLR对应这个用户的资料,使得呼叫这个用户时把呼叫转移到该被访系统。
还有别的SS7在无线基础设施应用的重要例子,如图11所示,说明了在BSC和MSC间用T1/E1传递的SS7 是如何支持IS-634的,IS-634是MSC到共用800M无线通信基站的接口协议。
图11 800M系统中SS7桥接BS和MSC
TOP↑
4.业务控制点/VLR/HLR应用
业务控制点是决定呼叫如何处理的智能网要素,它利用TCAP协议提供传输和必要的(低级)应用程序指示。对SCP的性能要求会随着应用的不同有相当大的变化,有些SCP系统会有很大的规模,比如主运营商的800号转换数据库。有些会很小,并且使用在非常专业的应用,比如,在一个分布式无线网络中象无线办公环境(在一个建筑物内)那样的VLR/HLR。但是,在每一种情况下,SCP都必须连接到SS7网络,并且通过网络提供数据库和业务控制程序。对SCP的另一点重要要求是把业务编程或业务设计环境集中。
图12画出了一个SCP利用TCAP连接到智能网的概念模型。
图12 业务控制点(SCP)
TOP↑
5.本地号码可携带(LNP)
这里说的LNP是指无线网的移动号码可携带(MNP),LNP是利用ISUP和TCAP实现的用户在变更业务(业务携带)、变更业务提供商(业务提供商携带)、甚至变更地理位置(位置携带)时仍然保留原有的电话号码。号码可携带正被各种通信规范体系所接纳,象美国的FCC(联邦通信委员会)。
LNP功能通常由TCAP请求实现,源发点交换系统检测一个用户所拨的号码,若号码登记了携带转移,交换系统就初始化一个和LNP数据库(SCP)的TCAP事务,来对号码进行翻译。一旦翻译完成,呼叫就和普通正常呼叫一样由ISUP控制完成。有一点区别就是:现在的ISUP消息中包含有表明被叫号码已经被翻译的标志信息,以免在后来的呼叫处理中出现再次翻译的请求。
TOP↑
6.呼叫中心应用
SS7可以用来为大型呼叫中心提高效率、提供新功能、减少通信费用。呼叫中心的呼出通常都使用前置拨号器,只有把呼叫接通后才接回到座席,每个座席要管理几条呼出线路以提高座席的利用率。在设计和实现这样的系统时,关键问题是要判断呼叫什么时候应答,因为传统的电话系统中,没有提供任何信令来指示应答和挂机。SS7信令能为呼叫中心提供应答和挂机指示,因此,使用SS7能为呼叫中心提高使用效率和降低运营费用。
在呼叫中心呼出应用中使用SS7的主要潜在好处包括:
·更快速的呼叫建立,能检测应答和呼叫拆除。
·提供更多与呼叫有关的信息。
·由于提高了中继的利用率,等于减少了中继的使用数目,从而节省了通信费用。
·便于开发新业务。
SS7能通过提供智能路由寻找和快速ANI(自动号码认证)功能为大型呼入呼叫中心提高效率。SS7也能为大型呼入呼叫中心/IVR应用减少通信费用,这种应用的呼入是通过分布式的IVR系统分发到呼叫中心的。在这种应用中,位于远端的IVR只有当呼叫中心有空闲的座席接电话时才会把电话接进来,而不是所有呼叫一进来就马上接入呼叫中心,这样会由于呼叫在排队而产生额外的长途电话费用。
和其它应用一样,系统设计人员在决定是否增加一个呼叫中心的SS7容量时,既要考虑到增加SS7容量可以提高效率和降低每个呼叫中心所需的费用,从而节省了总的运营成本,以要考虑到增加SS7链路也是要付出不少的费用的。
TOP↑
7.SS7交换机和网关
开放的、基于板卡的SS7解决方案,比如NMS公司的SS7系列产品,能够提供高性能、低价格的方案,是方案提供商开发集中器和网关等复杂系统的理想平台。典型的应用有:SS7微型STP,SS7/MF转换器和SS7/IP网关。
■ SS7微型STP
图13所示,是一个微型STP,它把一组SS7 A型链路上的信令流集合到了一对SS7 A型链路上。这一应用的目的是要减少连接到运营商SS7网络的链路数量。增加连接到公共运营商SS7网络的链路相对比较昂贵,有时甚至是不允许的。这种方案对只有较小SS7流量的小型交换点特别实用。
微型STP连接多条从SSP来的链路,并把它们集中到一个连接STP的链路集之中,这一链路集有两条链路。微型STP到每个SSP也有两条链路组成的一个链路集。微型STP由完全相同配置的一对构成,以实现高可用性和高可靠性,两个STP之间用交叉链路(C链路)相连接。另外,微型STP上的每个端口可以设置一个唯一的信令点编码,以便移除SS7链路时不影响端点SSP。
微型STP 可以明显节省运行小型中心局交换机的电话公司系统的费用。例如,利用NMS SS7产品实现的微型STP每端口的价格仅是普通STP每端口价格的一小部分。
图13 微型STP和它的详细配置
■ SS7/MF网关
如图14所示,SS7/MF网关可以实现SS7信令到MF(多频)信令的转换,使现有MF信令交换机无须升级就能拥有SS7信令能力。混合了SS7和基于音频信令的呼叫建立环境能为各种运营商经济实用的SS7网络接入方案,采用这一方案的有蜂窝电话运营商、本地电话运营商、长途电话运营商和其它一些仍使用旧式交换机的电话运营商。
SS7/MF网关的应用包括:
·提供增强业务;
·延长现有交换设备的使用寿命,保护现有投资。(通常是沿用前端旧交换机以避免
庞大的升级费用);
·通过使用SS7信令增强系统性能,提高设备利用率;
·提供网络管理功能。
‘柒’ 关于ACCL和ACL的优缺点问题
访问能力表ACCL:从主体出发,用链表形式表达矩阵一行的信息。
访问控制表ACL:从客体出发,用链表形式表达某一列的信息。
ACCL:用户间权限传递简单 权限回收困难,用户生成一个新的客体并对其授权、或删除一个客体时都比较复杂 一般用于用户数量大,动态性高的分布式系统
ACL:权限回收容易 权限传递困难,如访问控制列表太大或者经常改变,维护访问控制列表会成为一个问题 例如linux 操作系统
‘捌’ 防火墙 软件 网络访问控制
访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证网络资源受控地、合法地使用,它是针对越权使用资源的防御措施。 •访问控制技术是建立在身份认证的基础上的,简单的描述,身份认证解决的是“你是谁,你是否真的是你所声称的身份”,而访问控制技术解决的是“你能做什么,你有什么样的权限”这个问题。
常见的访问控制的实现方法主要有以下四种:访问控制矩阵、访问能力表、访问控制表和授权关系表。
防火墙是一种访问控制技术,是位于两个 (或多个 )网络间,实施网间访问控制的一组组件的集合,它满足以下条件: –• 内部和 外部之间 的所有 网络数据流必须经过防 火墙 –• 只有符 合安全政 策的数据流才能通过防 火墙 –• 防火墙 自身应对 渗透 (peneration)防御 。
天融信公司的网络卫士(NetGuard)
是我国第一套自主版权的防火墙系统,可以为不同类型的Internet接入网络提供全方位的网络安全服务。目前在我国电信、电子、教育、科研等单位广泛使用 •NetGuard功能: –包过滤防火墙 –应用代理 –网络地址转换(NAT) –用户身份鉴别 –虚拟专用网 –Web页面保护 –用户权限控制 –安全审计 –攻击检测 –流量控制与计费 •该系统在增强传统防火墙安全性的同时,还通过VPN架构,为企业网提供一整套从网络层到应用层的安全解决方案,包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务 。
‘玖’ 常用的网络访问控制方法都有什么
常用的访问控制方式有3种,分别是载波多路访问/冲突检测(CSMA/CD)、令牌环访问控制法(Token Ring)和令牌总线访问控制法(Toking Bus)。
分别适用于:
CSMA/CD访问控制方式主要用于总线型和树状网络拓扑结构、基带传输系统,适用于总线型局域网;
令牌环介质访问控制方法是通过在环状网上传输令牌的方式来实现对介质的访问控制;
令牌总线访问控制法主要用于总线型或树状网络结构中,目前微机局域中的主流介质访问控制方式。