中小型网络的网络访问控制与安全管理的应用设计
2016-03-14李会会
◆李会会
(江苏建筑职业技术学院 徐州博泉科技有限公司 江苏 221116)
中小型网络的网络访问控制与安全管理的应用设计
◆李会会
(江苏建筑职业技术学院 徐州博泉科技有限公司 江苏 221116)
伴随着网络技术的快速发展,其应用也在逐渐扩大,但由于不同领域之间的协作逐渐增加,使得域间的资源共享越来越多,且安全性也在受到人们的广泛关注。通过访问控制技术能够对非法用户进行限制,从而降低用户资源的泄漏,保证系统的安全性。对于访问控制,其主要分为角色访问控制、自主访问控制和强制访问控制等,对于中小型网络访问控制,当前比较合适的是RBAC多域网络访问控制技术,通过这种安全管理设计的应用能够满足不同层次间的网络访问需求,保证域间合作的安全性。
安全域;角色系统;安全策略
0 引言
伴随着网络技术的快速发展,不同领域和部门之间的合作也在逐渐增加,特别是电子商务和供应链技术的发展,使得域间资源共享成为合作的主要模式,同时促进了网络系统的发展。对于多自治域,其是一种开放独立的分布式系统,其制定的管理策略是根据自身的特点而选择的,因此,能够实现不同域之间的最大程度资源共享。但该技术的发展使得资源共享的危险性增加,为了保证系统的安全运行,需要加强网络安全管理。
1 网络访问控制技术
1.1 网络访问控制技术内容
对于访问控制技术,其是网络安全防范的重要内容,同时也是保证信息安全的重要技术。采用访问控制技术能够从主体角度出发,对需要访问的资源进行约束和限制,从而决定是否对获得的资源进行操作,一般情况下,访问控制主要有四部分内容组成,首先是主体,其指的是访问行动的发起者,同时也是引起信息流动和系统状态发生变化的起点,一般情况下指的是用户或者设备等。然后是客体,其指的是信息或者接受信息的被动型实体,主要内容为文件或者网络节点等。然后是访问模式,其指的是主体对客体的一种操作模式,比较常见的有读、写和执行等。最后是安全访问策略,通过制定对应的范文控制安全规则,对主体的访问行为进行控制,保证主体能够对客体进行访问,但不会受到客体的安全性威胁。
1.2 访问控制的策略
对于系统的安全策略,其视为对系统的安全进行描述,从而制定能够保证主体安全性的约束规则,对于这些规则,其能够最大程度上对系统的安全性和机密性等进行保护,比较常见的访问控制策略为自主访问控制和强制访问控制等,对于不同的访问控制策略,其应用范围具有较大的限制。
首先是自主访问控制,其指的是系统中的主体能够通过自身的身份等对用户满足的客体进行访问,像读写等操作形式的访问,在这种控制策略中,主体具有去哪儿的自主权,能够对客体的访问权限进行决定。
然后是强制访问控制,对于这一种访问控制,其对主体和客体分别进行了安全属性的分配,当主体要对客体进行访问时,系统会对两者之间的安全属性进行对比,若两者之间不合适,则主体无法对客体进行访问。
最后则是基于角色的访问控制,伴随着网络技术的快速发展,系统的规模也在逐渐增大,前两种模式已经无法满足实际需求,为此衍生了一种基于角色的访问控制技术,这种技术将权限分配各不同的使用角色,通过这些角色,用户能够得到对应角色的权限,这种模式使得用户的安全性得到了提高。
2 安全策略管理
对于系统安全策略,其对系统运行期间的各种行为进行授权和非授权管理,也就是对允许和不允许发生的行为进行判断和处理。对于网络访问控制新系统,其能够通过该机制对安全域中的PDP和PEP进行分开,因此,这一种模式能够有效提高系统的管理效率。对于安全策略管理来说,其主要对以下几点内容进行研究,分别是策略的描述和存储。
2.1 安全策略的描述语言
对于中小型网络访问控制,其主要是为了实现机密性和完整性等效果,为了实现这三种效果,需要通过认证和访问控制等三种技术相互支撑。下面对比较常见的策略描述语言进行了简单的介绍:
首先是SPL,这是一种事件驱动,能够支持访问控制和基于历史等的策略。通过SPL将策略定义成类,对于一条策略实例,其生成就代表着策略已经被激活,因此,在SPL中对策略的生存周期没有进行控制,在SPL中,通过继承机制对策略的重要性进行了强化,通过这种策略的构造方法能够对基于角色的访问控制进行构建和使用。
然后则是Ponder语言,其是一种说明性的语言,主要是面向对象,在这种语言中,其能够对分布式环境下的安全策略等进行描述。对于Ponder原因,其在使用时具有较强的扩展性,能够根据用户的需求进行相关策略类型的扩展,此外还能够对应用该策略的对象进行分组处理,满足人们的大规模策略规范需求。
2.2 安全策略的存储
对于安全策略的存储,其是中小型网络访问控制中的重要内容,对于中小型网络,所有的安全域管理系统都具有一个单独的数据存储单元,另外,对于成管理之间的数据交换,使得数据存储方式具有较高的要求,包括检索能力和能够提供对应的数据安全访问机制等。
对于小型的访问控制域,其一般采用的是XML文件对其进行存储,同时通过提前存储的策略文件对其进行逻辑排序,而对于中性的访问控制系统,其复杂性有了明显的提高,因此,其安全策略存储方式往往采用的是目录服务模式,这种模式的灵活性较强,且安全性较高。
