论文部分内容阅读
摘要:信息系统访问技术控制种类繁多,不同的信息管理系统访问控制构成均存在较大差异,因此在信息系统访问技术应用方面,要按照实际使用要求对访问控制系统进行多级优化,从而保障信息系统访问的实际安全性。本文将根本信息系统访问控制技术应用为核心,对其应用特点及操作方式等进行深入探究,以此为更好的及更合理的在信息系统中使用访问控制技术提供理论知识参考。
关键词:信息系统;访问;控制技术;探究
近年来,我国各地区信息化水平建设逐步提高,信息化设备的更替速度也有所加快,其中信息系统软件管理构成不断受到实际重视,成为信息系统安全应用的重要构成,为更好的发挥出信息系统管理优势,提高信息系统访问控制效果,应按照信息系统使用要求对信息系统访问进行多权限管理控制,使信息系统使用能够在相对规范的环境条件下开展。
一、网络层
访问控制列表在路由器和三层交换机中被广泛采用,主体是源地址,客体是目的地址以及端口号,并通过规定相应的保护规则—— — 访问控制列表,符合保护规则的数据包允许通过,否则不允许通过。通过VALN技术,可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”,组和组之间的网络设备在二层上互相隔离,形成不同的广播域,进而将广播流量限制在不同的广播域中。由于VALN技术是基于二层和三层之间的隔离技术,被广泛应用于网络安全方面,可以通过将不同的网络用户与网络资源进行分组,通过支持VLAN的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。
二、操作系统层
目前常见的操作系统都包含了访问控制策略,通常在操作系统中体现为用户安全管理。访问控制通常和身份认证联系在一起,建立在身份认证的基础上。身份认证有各种方法,如口令,口令加身份卡或USBKey等实物或者口令加指纹等方式。身份认证不通过则不能进入系统,身份认证通过之后,系统将根据其登录的身份信息作为主体。客体则是指系统中的文件、设备、进程和对他们的操作,通常有读、写、运行、修改、删除等操作。用户对信息的存取控制是根据对用户的鉴别和存取访问规则来确定的,每个用户被授予对系统中每个存取对象的存取权限。
三、数据库管理系统层
数据库管理软件作为企业应用软件的支撑平台和运行环境,在整个信息系统中起着举足轻重的作用,因而其安全保障也就变得尤为重要。当前主流的企业级数据库ORACLE或DB2数据库等,符合NC-SC认证的 C2级安全标准,产品本身已经具有很高的安全保护级别。提供严格的数据库恢复和事务完整性保障机制、完整的角色管理和自主控制安全机制,支持软、硬件容错、逻辑备份与恢复、物理备份与恢复、在线联机备份和恢复等功能,保证在发生故障和灾难后能够很好地恢复数据库或重构数据库。
当然,实际系统建设时,还可以从下列方面进一步巩固和增强数据库的安全:
1)通常在系统端数据库软件的发布的初期阶段,受运行环境及系统环境影响易产生一定的系统漏洞问题,针对该问题要及时的做好数据库的补丁程序安装,并做好系统软件更新的准备工作,以便提高数据管理系统的基本安全性。
2)加强用户信息管理,提高口令设置安全性是确保数据库管理安全的最基本措施,加强用户信息管理目的在于降低用户信息的散播范围,通过该方法避免数据信息出现遗漏问题,提高系统用户管理的实际安全水平。而提高口令设置安全性,则是在物理层面采取的最有效的安全管理措施,同时该方法保障数据库信息能够在安全的环境下加以管理。
3)传统数据库管理系统忽视了数据存取方面的安全性问题,使数据库安全性大打折扣,纵观近年来的数据库安全漏洞处理内容,均与数据信息的存取安全有较大管理,在数据信息的存取过程中应采取单一的存取途径,并保障存取后的信息能够在系统端进行封闭或销毁处理,从而保障数据库信息的实际安全性。
4)健全数据库审计制度。打开数据库系统自带的审计功能,监视可能的不合法行为。
四、应用系统层
对于应用软件可以通过以下手段实现访问控制:
1.端到端的安全访问模型设计
为透明地解决 Web的安全问题,最合适的入手点是浏览器。现在,无论是 Internet Explorer 还是 Netscape Navigator,都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL協议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全,服务器端和浏览器端分别由可信的第三方颁发数字证书,这样在交易时,双方可以通过数字证书确认对方的身份。
2.应用服务访问控制模型设计
对应用服务的访问控制包括两个方面:
1)应用服务访问规则设置,可以设置应用服务的合法访问时间表、合法访问的源IP地址表、接入方式限制表等。
2)用户对应用服务的访问权限管理,包括权限授予与权限回收。具体流程为:浏览器请求应用服务,服务器检查应用服务访问规则,如果可以提供应用服务,服务器检查用户是否有访问应用服务的权限,如果有权限,服务器执行应用服务并将执行结果返回给浏览器,否则拒绝提供应用服务。
3.应用服务逐级授权模型设计
应用服务采用多级功能权限管理,上级机构为下级机构授权,每级机构可以将自身拥有的权限授予本级用户或下级机构。功能权限分为功能授予的权限与功能使用的权限,功能授予权限表示拥有者可以将该功能授予他人,功能使用权限表示拥有者只可以使用该功能,但不能把功能授给其它人。例如:为了限制系统管理员的权限,可以同时存在两个管理员,一个管理员拥有创建用户的权限,另一个管理员拥有所有功能授予的权限。这样,两个管理员互相制约,都没有业务操作的权限。
五、结语
信息系统应用对访问技术的有效控制将进一步提高信息技术运用的实际安全性,对解决诸多信息管理问题及信息传输等问题具有重要意义,是保障现代信息系统运行安全的重要基础。信息系统访问技术控制容易受到系统使用模组设计及系统管理权限等多方面限制,因此在运用方面要采用分级处理方式进行控制系统设计,继而在保障信息系统安全的同时,提高信息系统使用功能性。
参考文献:
[1]陈建伟. 基于语义的访问控制技术在信息整合中的研究[D]. 华北电力大学(保定)华北电力大学,2011.
[2]李良,王毅. web信息系统中访问控制策略的研究与实现[J]. 山东科学,2010,23(2).
关键词:信息系统;访问;控制技术;探究
近年来,我国各地区信息化水平建设逐步提高,信息化设备的更替速度也有所加快,其中信息系统软件管理构成不断受到实际重视,成为信息系统安全应用的重要构成,为更好的发挥出信息系统管理优势,提高信息系统访问控制效果,应按照信息系统使用要求对信息系统访问进行多权限管理控制,使信息系统使用能够在相对规范的环境条件下开展。
一、网络层
访问控制列表在路由器和三层交换机中被广泛采用,主体是源地址,客体是目的地址以及端口号,并通过规定相应的保护规则—— — 访问控制列表,符合保护规则的数据包允许通过,否则不允许通过。通过VALN技术,可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”,组和组之间的网络设备在二层上互相隔离,形成不同的广播域,进而将广播流量限制在不同的广播域中。由于VALN技术是基于二层和三层之间的隔离技术,被广泛应用于网络安全方面,可以通过将不同的网络用户与网络资源进行分组,通过支持VLAN的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。
二、操作系统层
目前常见的操作系统都包含了访问控制策略,通常在操作系统中体现为用户安全管理。访问控制通常和身份认证联系在一起,建立在身份认证的基础上。身份认证有各种方法,如口令,口令加身份卡或USBKey等实物或者口令加指纹等方式。身份认证不通过则不能进入系统,身份认证通过之后,系统将根据其登录的身份信息作为主体。客体则是指系统中的文件、设备、进程和对他们的操作,通常有读、写、运行、修改、删除等操作。用户对信息的存取控制是根据对用户的鉴别和存取访问规则来确定的,每个用户被授予对系统中每个存取对象的存取权限。
三、数据库管理系统层
数据库管理软件作为企业应用软件的支撑平台和运行环境,在整个信息系统中起着举足轻重的作用,因而其安全保障也就变得尤为重要。当前主流的企业级数据库ORACLE或DB2数据库等,符合NC-SC认证的 C2级安全标准,产品本身已经具有很高的安全保护级别。提供严格的数据库恢复和事务完整性保障机制、完整的角色管理和自主控制安全机制,支持软、硬件容错、逻辑备份与恢复、物理备份与恢复、在线联机备份和恢复等功能,保证在发生故障和灾难后能够很好地恢复数据库或重构数据库。
当然,实际系统建设时,还可以从下列方面进一步巩固和增强数据库的安全:
1)通常在系统端数据库软件的发布的初期阶段,受运行环境及系统环境影响易产生一定的系统漏洞问题,针对该问题要及时的做好数据库的补丁程序安装,并做好系统软件更新的准备工作,以便提高数据管理系统的基本安全性。
2)加强用户信息管理,提高口令设置安全性是确保数据库管理安全的最基本措施,加强用户信息管理目的在于降低用户信息的散播范围,通过该方法避免数据信息出现遗漏问题,提高系统用户管理的实际安全水平。而提高口令设置安全性,则是在物理层面采取的最有效的安全管理措施,同时该方法保障数据库信息能够在安全的环境下加以管理。
3)传统数据库管理系统忽视了数据存取方面的安全性问题,使数据库安全性大打折扣,纵观近年来的数据库安全漏洞处理内容,均与数据信息的存取安全有较大管理,在数据信息的存取过程中应采取单一的存取途径,并保障存取后的信息能够在系统端进行封闭或销毁处理,从而保障数据库信息的实际安全性。
4)健全数据库审计制度。打开数据库系统自带的审计功能,监视可能的不合法行为。
四、应用系统层
对于应用软件可以通过以下手段实现访问控制:
1.端到端的安全访问模型设计
为透明地解决 Web的安全问题,最合适的入手点是浏览器。现在,无论是 Internet Explorer 还是 Netscape Navigator,都支持SSL协议(The Secure Sockets Layer)。这是一个在传输层和应用层之间的安全通信层,在两个实体进行通信之前,先要建立SSL连接,以此实现对应用层透明的安全通信。利用PKI技术,SSL協议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全,服务器端和浏览器端分别由可信的第三方颁发数字证书,这样在交易时,双方可以通过数字证书确认对方的身份。
2.应用服务访问控制模型设计
对应用服务的访问控制包括两个方面:
1)应用服务访问规则设置,可以设置应用服务的合法访问时间表、合法访问的源IP地址表、接入方式限制表等。
2)用户对应用服务的访问权限管理,包括权限授予与权限回收。具体流程为:浏览器请求应用服务,服务器检查应用服务访问规则,如果可以提供应用服务,服务器检查用户是否有访问应用服务的权限,如果有权限,服务器执行应用服务并将执行结果返回给浏览器,否则拒绝提供应用服务。
3.应用服务逐级授权模型设计
应用服务采用多级功能权限管理,上级机构为下级机构授权,每级机构可以将自身拥有的权限授予本级用户或下级机构。功能权限分为功能授予的权限与功能使用的权限,功能授予权限表示拥有者可以将该功能授予他人,功能使用权限表示拥有者只可以使用该功能,但不能把功能授给其它人。例如:为了限制系统管理员的权限,可以同时存在两个管理员,一个管理员拥有创建用户的权限,另一个管理员拥有所有功能授予的权限。这样,两个管理员互相制约,都没有业务操作的权限。
五、结语
信息系统应用对访问技术的有效控制将进一步提高信息技术运用的实际安全性,对解决诸多信息管理问题及信息传输等问题具有重要意义,是保障现代信息系统运行安全的重要基础。信息系统访问技术控制容易受到系统使用模组设计及系统管理权限等多方面限制,因此在运用方面要采用分级处理方式进行控制系统设计,继而在保障信息系统安全的同时,提高信息系统使用功能性。
参考文献:
[1]陈建伟. 基于语义的访问控制技术在信息整合中的研究[D]. 华北电力大学(保定)华北电力大学,2011.
[2]李良,王毅. web信息系统中访问控制策略的研究与实现[J]. 山东科学,2010,23(2).