访问控制是实现既定安全策略的系统安全技术,是通过对访问者的信息进行检查来限制或禁止访问者使用资源的技术,广泛应用于操作系统、数据库及Web等各个层面。它通过某种途径显式地管理对所有资源的访问请求。根据安全策略的要求,访问控制对每个资源请求作出许可或限制访问的判断,可以有效地防止非授权的访问。访问控制是最基本的安全防范措施。访问控制是通过用户注册和对用户授权进行审查的方式实施的,这是一种对进入系统所采取的控制,其作用是对需要访问系统及数据的用户进行识别,并对系统中发生的操作根据一定的安全策略来进行限制。用户访问信息资源,需要首先通过用户名和密码的核对;然后,访问控制系统要监视该用户所有的访问操作,要判断用户是否有权限使用、修改某些资源,并要防止非授权用户非法使用未授权的资源。访问控制必须建立在认证的基础上,是信息系统安全的重要组成部分,是实现数据机密性和完整性机制的主要手段。访问控制系统一般包括主体、客体及安全访问策略。主体通常指用户或用户的某一请求。客体是被主体请求的资源,如数据、程序等。安全访问策略是一套有效确定主体对客体访问权限的规则。
1.密码认证(Password Based)方式
密码认证方式普遍存在于各种操作系统中,例如登录系统或使用系统资源前,用户需先出示其用户名和密码,以通过系统的认证。
密码认证的工作机制是,用户将自己的用户名和密码提交给系统,系统核对无误后,承认用户身份,允许用户访问所需资源。
密码认证的使用方法不是一个可靠的访问控制机制。因为其密码在网络中是以明文传送的,没有受到任何保护,所以攻击者可以很轻松地截获口令,并伪装成授权用户进入安全系统。
2.加密认证(Cryptographic)方式
加密认证方式可以弥补密码认证的不足,在这种认证方式中,双方使用请求与响应(Challenge&Response)的认证方式。
加密认证的工作机制是,用户和系统都持有同一密钥K,系统生成随机数R,发送给用户,用户接收到R,用K加密,得到X,然后传回给系统,系统接收X,用K解密得到K′,然后与R对比,如果相同,则允许用户访问所需资源。(www.xing528.com)
3.入侵检测
任何企图危害系统及资源的活动称为入侵。由于认证、访问控制不能完全地杜绝入侵行为,在黑客成功地突破了前面几道安全屏障后,必须有一种技术能尽可能及时地发现入侵行为,这就是入侵检测。入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测作为保护系统安全的屏障,应该能尽早发现入侵行为并及时报告以减少或避免对系统的危害。
4.安全审计
信息系统安全审计主要是指对与安全有关的活动及相关信息进行识别、记录、存储和分析,审计的记录用于检查网络上发生了哪些与安全有关的活动以及哪个用户对这个活动负责。
作为对防火墙系统和入侵检测系统的有效补充,安全审计是一种重要的事后监督机制。安全审计系统处在入侵检测系统之后,可以检测出某些入侵检测系统无法检测到的入侵行为并进行记录,以便于帮助发现非法行为并保留证据。审计策略的制定对系统的安全性具有重要影响。安全审计系统是一个完整的安全体系结构中必不可少的环节,是保证系统安全的最后一道屏障。
此外,还可以使用安全审计系统来提取一些未知的或者未被发现的入侵行为模式。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
