| 出版日期:2002-03-11 总期号:1099 本年期号:16 |
|
 |
访问控制守隘
常州日报社保护核心数据 丁仁义 近年来,访问控制技术(Access Control)得到了飞速发展。已经成为网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。常州日报社于2001年11月份,引进了CA公司的核心防护安全解决方案eTrust Access Control,成为国内Windows NT平台上的首批用户。 访问控制技术主要通过两种途径防止对计算机资源的未授权使用:其一,阻塞未授权用户访问系统;其二,阻塞授权访问系统的用户访问他们不应该访问的信息。由此,访问控制技术主要包括入网访问控制、网络权限控制、目录级控制以及属性控制等方面,并提供各种审计工具,跟踪用户的活动情况,从而跟踪对计算机系统的尝试性滥用。 工作原理 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目录的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。 典型方案 常州日报社于2001年11月份引进了CA公司的核心防护安全解决方案——eTrust Access Control,据了解,是国内Windows NT平台上的首批用户。在此之前,报社新闻采编系统的关键业务信息(主要包括各级领导已签发上版的新闻稿件、新闻图片资料、预制的版式等)经常被某些操作权限较大的用户(如各部主任、总编、组版编辑等)误删或误操作移动到其它地方,其中最严重的一次是晚报的16个版面中的12个版面资料全部移到其它文件目录中,导致新闻采编系统瘫痪1个多小时,因为当时没有有效的防护措施,事故发生后竟然连责任人都无法找到,数据的安全性问题时刻困扰着我们。后来经多方考察、论证,选用了CA公司的核心数据访问控制产品。 利用核心防护(eTrust Access Control)可以集中管理用户访问权限,快速部署预先规划好的安全策略,通过其独有的动态安全扩展(DSX)技术,在不需要对操作系统内核进行任何永久性改变的情况下,DSX可以实时地动态截取任何安全性敏感的请求,在不干扰服务器完整性的情况下,提供了很高水平的安全性。 eTrust Access Control For Windows NT/2000保护功能在管理本地Windows NT/2000安全的基础上大大扩展了原操作系统的安全性,主要包括管理员账户限制,向常规用户授予管理员权限,增强的文件系统保护,同类文件的保护,增强的密码保护,数据访问方式控制,安全级别认证,完善的审计功能。 使用效果 利用了以上CA公司的核心数据访问控制技术产品,大大增强了新闻采编网络系统核心数据的安全性。对系统超级用户(用户组)、具有新闻图稿签发权限的用户及组版编辑等对核心数据访问较频繁的用户的权限进行细分和严格控制,并对这些用户和关键数据资源设置双重的审计属性,一旦发生删除、移动等误操作(因为由于新闻采编系统本身的要求,对于有些特殊的用户必须对某些关键文件、目录有完全控制权),将会有详细的审计记录,这样大大提高了各类操作人员的安全责任性。利用该技术后,至今再没有发生过核心数据遭破坏事件。 所有安全系统的主要目标是保护好公司、企事业单位的信息资产,所以访问控制技术是保证网络安全最重要的核心策略之一。 |
||||||||||||||||||||||||||
