訪問控制

企業用戶網絡的訪問控制,往往是一個容易被忽視的安全死角,如何做好服務器、數據庫、網絡環境的準入控制是藍盟持續研究的一個課題。

 

sol_jc_fwkz1.jpg

 

按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。

 

訪問控制的功能:

防止非法的主體進入受保護的網絡資源。

允許合法用戶訪問受保護的網絡資源。

防止合法的用戶對受保護的網絡資源進行非授權的訪問。

 

訪問控制實現的策略

綜合訪問控制策略(HAC)繼承和吸取了多種主流訪問控制技術的優點,有效地解決了信息安全領域的訪問控制問題,保護了數據的保密性和完整性,保證授權主體能訪問客體和拒絕非授權訪問。HAC具有良好的靈活性、可維護性、可管理性、更細粒度的訪問控制性和更高的安全性,為信息系統設計人員和開發人員提供了訪問控制安全功能的解決方案。綜合訪問控制策略主要包括:

 
sol_jc_fwkz2.jpg

入網訪問控制

入網訪問控制是網絡訪問的第一層訪問控制。對用戶可規定所能登入到的服務器及獲取的網絡資源,控制準許用戶入網的時間和登入入網的工作站點。用戶的入網訪問控制分為用戶名和口令的識別與驗證、用戶賬號的默認限制檢查。該用戶若有任何一個環節檢查未通過,就無法登入網絡進行訪問。

網絡的權限控制

網絡的權限控制是防止網絡非法操作而采取的一種安全保護措施。用戶對網絡資源的訪問權限通常用一個訪問控制列表來描述。

從用戶的角度,網絡的權限控制可分為以下3類用戶:

特殊用戶。具有系統管理權限的系統管理員等。

一般用戶。系統管理員根據實際需要而分配到一定操作權限的用戶。

審計用戶。專門負責審計網絡的安全控制與資源使用情況的人員。

 

 

目錄級安全控制

目錄級安全控制主要是為了控制用戶對目錄、文件和設備的訪問,或指定對目錄下的子目錄和文件的使用權限。用戶在目錄一級制定的權限對所有目錄下的文件仍然有效,還可進一步指定子目錄的權限。在網絡和操作系統中,常見的目錄和文件訪問權限有:系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)、控制權限(Access Control)等。一個網絡系統管理員應為用戶分配適當的訪問權限,以控制用戶對服務器資源的訪問,進一步強化網絡和服務器的安全。

 

屬性安全控制

屬性安全控制可將特定的屬性與網絡服務器的文件及目錄網絡設備相關聯。在權限安全的基礎上,對屬性安全提供更進一步的安全控制。網絡上的資源都應先標示其安全屬性,將用戶對應網絡資源的訪問權限存入訪問控制列表中,記錄用戶對網絡資源的訪問能力,以便進行訪問控制。

屬性配置的權限包括:向某個文件寫數據、復制一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。安全屬性可以保護重要的目錄和文件,防止用戶越權對目錄和文件的查看、刪除和修改等。

 

網絡服務器安全控制

網絡服務器安全控制允許通過服務器控制臺執行的安全控制操作包括:用戶利用控制臺裝載和卸載操作模塊、安裝和刪除軟件等。操作網絡服務器的安全控制還包括設置口令鎖定服務器控制臺,主要防止非法用戶修改、刪除重要信息。另外,系統管理員還可通過設定服務器的登入時間限制、非法訪問者檢測,以及關閉的時間間隔等措施,對網絡服務器進行多方位地安全控制。

 

網絡監控和鎖定控制

在網絡系統中,通常服務器自動記錄用戶對網絡資源的訪問,如有非法的網絡訪問,服務器將以圖形、文字或聲音等形式向網絡管理員報警,以便引起警覺進行審查。對試圖登入網絡者,網絡服務器將自動記錄企圖登入網絡的次數,當非法訪問的次數達到設定值時,就會將該用戶的賬戶自動鎖定并進行記載。

 

網絡端口和結點的安全控制

網絡中服務器的端口常用自動回復器、靜默調制解調器等安全設施進行保護,并以加密的形式來識別結點的身份。自動回復器主要用于防范假冒合法用戶,靜默調制解調器用于防范黑客利用自動撥號程序進行網絡攻擊。還應經常對服務器端和用戶端進行安全控制,如通過驗證器檢測用戶真實身份,然后,用戶端和服務器再進行相互驗證。

 

sol_jc_fwkz3.jpg
認證服務

AAA技術概述

在信息化社會新的網絡應用環境下,虛擬專用網(VPN)、遠程撥號、移動辦公室等網絡移動接入應用非常廣泛,傳統用戶身份認證和訪問控制機制已經無法滿足廣大用戶需求,由此產生了AAA認證授權機制。

AAA認證系統的功能,主要包括以下3個部分:

在信息化社會新的網絡應用環境下,虛擬專用網(VPN)、遠程撥號、移動辦公室等網絡移動接入應用非常廣泛,傳統用戶身份認證和訪問控制機制已經無法滿足廣大用戶需求,由此產生了AAA認證授權機制。

(1)認證:經過對網絡用戶身份進行識別后,才允許遠程登入訪問網絡資源。

(2)鑒權:為遠程訪問控制提供方法,如一次性授權或給予特定命令或服務的鑒權。

(3)審計:主要用于網絡計費、審計和制作報表。

AAA一般運行于網絡接入服務器,提供一個有力的認證、鑒權、審計信息采集和配置系統。網絡管理者可根據需要選用適合需要的具體網絡協議及認證系統。

遠程鑒權撥入用戶服務

遠程鑒權撥入用戶服務(Remote Authentication Dial In User Service,RADIUS)主要用于管理遠程用戶的網絡登入。主要基于C/S架構,客戶端最初是NAS(Net Access Server)服務器,現在任何運行RADIUS客戶端軟件的計算機都可成為其客戶端。RADIUS協議認證機制靈活,可采用PAP、CHAP或Unix登入認證等多種方式。此協議規定了網絡接入服務器與RADIUS服務器之間的消息格式。此服務器接受用戶的連接請求,根據其賬戶和密碼完成驗證后,將用戶所需的配置信息返回網絡接入服務器。該服務器同時根據用戶的動作進行審計并記錄其計費信息。

 
sol_jc_fwkz4.jpg

1)RADIUS協議主要工作過程

(1)遠程用戶通過PSTN網絡連接到接入服務器,并將登入信息發送到其服務器;

(1)遠程用戶通過PSTN網絡連接到接入服務器,并將登入信息發送到其服務器;

(2)RADIUS服務器根據用戶輸入的賬戶和密碼對用戶進行身份認證,并判斷是否允許用戶接入。請求批準后,其服務器還要對用戶進行相應的鑒權;

(3)鑒權完成后,服務器將響應信息傳遞給網絡接入服務器和計費服務器,網絡接入服務器根據當前配置來決定針對用戶的相應策略。

RADIUS協議的認證端口號為1812或1645,計費端口號為1813或1646。RADIUS通過統一的用戶數據庫存儲用戶信息進行驗證與授權工作。

2)RADIUS的加密方法

對于重要的數據包和用戶口令,RADIUS協議可使用MD5算法對其進行加密,在其客戶端(NAS)和服務器端(RADIUS Server)分別存儲一個密鑰,利用此密鑰對數據進行算法加密處理,密鑰不宜在網絡上傳送。

3)RADIUS的重傳機制

RADIUS協議規定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息,則可要求備份服務器重傳。由于有多個備份服務器,因此NAS進行重傳時,可采用輪詢方法。如果備份服務器的密鑰與以前密鑰不同,則需重新進行認證。

 

終端訪問控制系統

終端訪問控制(Terminal Access Controller Access Control System,TACACS)的功能是通過一個或幾個中心服務器為網絡設備提供訪問控制服務。與上述RADIUS區別是,TACACS是Cisco專用的協議,具有獨立的身份認證、鑒權和審計等功能。

 

綜上,藍盟可以根據用戶的實際需求定制高、中、低不同級別的訪問控制解決方案,供用戶選擇,如果您有任何需求和想法請致電藍盟。

 
您有任何想法和需求,請致電:

400-635-8089

相關解決方案

Related Solution

IT外包
>
400-635-8089
黑龙江十一选五官网