公眾號:mywangxiao
及時發(fā)布考試資訊
分享考試技巧、復(fù)習經(jīng)驗
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
ACCess Control TeChnologies
訪問控制技術(shù)
訪問控制技術(shù)確保只有被授權(quán)用戶才能實現(xiàn)對特定數(shù)據(jù)和資源的訪問。訪問控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問控制、數(shù)據(jù)庫訪問控制、網(wǎng)頁訪問控制等。但訪問控制技術(shù)的應(yīng)用必須適當合理,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問控制技術(shù)包括用戶身份標識(iDentifiCAtion)和鑒別(AuthentiCAtion)、訪問控制列表(ACL:ACCess Control list)和審計追蹤(AuDit trAils)等。
用戶標識(UID:user iDentifier):用于唯一地確定一個用戶的身份,是實施訪問控制的前提。
口令(pAssworDs):鑒別用戶身份的常用手段之一,通過使用口令可以明確用戶的責任。例如,對應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問控制就可以要求激活終端數(shù)據(jù)必須使用口令并對數(shù)據(jù)終端的活動進行記錄,以明確該終端用戶對其所進行活動應(yīng)負的責任。
口令應(yīng)由用戶掌握和修改,還可以按用戶的權(quán)限設(shè)置不同的口令等級,以防止掌握口令的人非法訪問服務(wù)器上的所有用戶文件。
口令應(yīng)該嚴格保密,并且在終端輸入時不應(yīng)該顯示。為了防止口令被猜出,可使用能夠?qū)嵤┛诹罱M合標準的訪問控制軟件;為了防止存儲在系統(tǒng)中的口令被竊取,可使用能夠?qū)嵤┛诹罴用艿脑L問控制軟件。
有的用戶因為進入系統(tǒng)過程較瑣碎枯燥,就把登錄串包括口令存在個人電腦里,以待進入主機設(shè)施時再調(diào)用,這樣任何能訪問用戶個人計算機的人就能訪問主機。因此,對于高安全級別的系統(tǒng),應(yīng)采用更安全的身份識別技術(shù),如智能IC卡、生物技術(shù)(BiometriC teChnologies)等。
屏幕保護程序口令安全性較低,因為它很容易被繞過。
授權(quán)(AuthorizAtion)使用戶能訪問特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級方案和用戶標識方案,并根據(jù)“知必所需"(neeD to know)的原則建立訪問控制列表,確保雇員只能訪問對完成其工作確有必要的信息。
訪問日志(ACCess Log)對用戶訪問信息系統(tǒng)的時間、內(nèi)容等進行記錄,便于分析控制。安裝訪問日志系統(tǒng)屬于檢測性控制措施,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問,但不能防止其發(fā)生。
自動注銷登錄(AutomAtiC Log-off)自動撤消非活動終端的登錄可以防止通過無人照管的終端來訪問主機上的敏感數(shù)據(jù)。
回撥(CAllBACk)指遠程用戶撥叫主機后應(yīng)立即掛斷,由主機回撥該用戶以保證信息按指定線路傳輸。例如:在電子資金匯劃系統(tǒng)中,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶,最有效的控制措施就是要求接受數(shù)據(jù)的金融機構(gòu)使用回撥系統(tǒng)。
工具軟件(Utility SoftwAre RestriCtions)可以繞過訪問控制和審計,管理層應(yīng)制定限制使用具有訪問特權(quán)的工具軟件的政策,以降低利用特權(quán)軟件進行非法訪問的風險。
安全軟件(seCurity softwAre)的功能是限制對系統(tǒng)資源的訪問,但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。
(責任編輯:中大編輯)