中小型網(wǎng)絡的網(wǎng)絡訪問控制與安全管理的應用設計

◆李會會

（江蘇建筑職業(yè)技術學院 徐州博泉科技有限公司 江蘇 221116）

中小型網(wǎng)絡的網(wǎng)絡訪問控制與安全管理的應用設計

◆李會會

（江蘇建筑職業(yè)技術學院 徐州博泉科技有限公司 江蘇 221116）

伴隨著網(wǎng)絡技術的快速發(fā)展，其應用也在逐漸擴大，但由于不同領域之間的協(xié)作逐漸增加，使得域間的資源共享越來越多，且安全性也在受到人們的廣泛關注。通過訪問控制技術能夠?qū)Ψ欠ㄓ脩暨M行限制，從而降低用戶資源的泄漏，保證系統(tǒng)的安全性。對于訪問控制，其主要分為角色訪問控制、自主訪問控制和強制訪問控制等，對于中小型網(wǎng)絡訪問控制，當前比較合適的是RBAC多域網(wǎng)絡訪問控制技術，通過這種安全管理設計的應用能夠滿足不同層次間的網(wǎng)絡訪問需求，保證域間合作的安全性。

安全域；角色系統(tǒng)；安全策略

0 引言

伴隨著網(wǎng)絡技術的快速發(fā)展，不同領域和部門之間的合作也在逐漸增加，特別是電子商務和供應鏈技術的發(fā)展，使得域間資源共享成為合作的主要模式，同時促進了網(wǎng)絡系統(tǒng)的發(fā)展。對于多自治域，其是一種開放獨立的分布式系統(tǒng)，其制定的管理策略是根據(jù)自身的特點而選擇的，因此，能夠?qū)崿F(xiàn)不同域之間的最大程度資源共享。但該技術的發(fā)展使得資源共享的危險性增加，為了保證系統(tǒng)的安全運行，需要加強網(wǎng)絡安全管理。

1 網(wǎng)絡訪問控制技術

1.1 網(wǎng)絡訪問控制技術內(nèi)容

對于訪問控制技術，其是網(wǎng)絡安全防范的重要內(nèi)容，同時也是保證信息安全的重要技術。采用訪問控制技術能夠從主體角度出發(fā)，對需要訪問的資源進行約束和限制，從而決定是否對獲得的資源進行操作，一般情況下，訪問控制主要有四部分內(nèi)容組成，首先是主體，其指的是訪問行動的發(fā)起者，同時也是引起信息流動和系統(tǒng)狀態(tài)發(fā)生變化的起點，一般情況下指的是用戶或者設備等。然后是客體，其指的是信息或者接受信息的被動型實體，主要內(nèi)容為文件或者網(wǎng)絡節(jié)點等。然后是訪問模式，其指的是主體對客體的一種操作模式，比較常見的有讀、寫和執(zhí)行等。最后是安全訪問策略，通過制定對應的范文控制安全規(guī)則，對主體的訪問行為進行控制，保證主體能夠?qū)腕w進行訪問，但不會受到客體的安全性威脅。

1.2 訪問控制的策略

對于系統(tǒng)的安全策略，其視為對系統(tǒng)的安全進行描述，從而制定能夠保證主體安全性的約束規(guī)則，對于這些規(guī)則，其能夠最大程度上對系統(tǒng)的安全性和機密性等進行保護，比較常見的訪問控制策略為自主訪問控制和強制訪問控制等，對于不同的訪問控制策略，其應用范圍具有較大的限制。

首先是自主訪問控制，其指的是系統(tǒng)中的主體能夠通過自身的身份等對用戶滿足的客體進行訪問，像讀寫等操作形式的訪問，在這種控制策略中，主體具有去哪兒的自主權(quán)，能夠?qū)腕w的訪問權(quán)限進行決定。

然后是強制訪問控制，對于這一種訪問控制，其對主體和客體分別進行了安全屬性的分配，當主體要對客體進行訪問時，系統(tǒng)會對兩者之間的安全屬性進行對比，若兩者之間不合適，則主體無法對客體進行訪問。

最后則是基于角色的訪問控制，伴隨著網(wǎng)絡技術的快速發(fā)展，系統(tǒng)的規(guī)模也在逐漸增大，前兩種模式已經(jīng)無法滿足實際需求，為此衍生了一種基于角色的訪問控制技術，這種技術將權(quán)限分配各不同的使用角色，通過這些角色，用戶能夠得到對應角色的權(quán)限，這種模式使得用戶的安全性得到了提高。

2 安全策略管理

對于系統(tǒng)安全策略，其對系統(tǒng)運行期間的各種行為進行授權(quán)和非授權(quán)管理，也就是對允許和不允許發(fā)生的行為進行判斷和處理。對于網(wǎng)絡訪問控制新系統(tǒng)，其能夠通過該機制對安全域中的PDP和PEP進行分開，因此，這一種模式能夠有效提高系統(tǒng)的管理效率。對于安全策略管理來說，其主要對以下幾點內(nèi)容進行研究，分別是策略的描述和存儲。

2.1 安全策略的描述語言

對于中小型網(wǎng)絡訪問控制，其主要是為了實現(xiàn)機密性和完整性等效果，為了實現(xiàn)這三種效果，需要通過認證和訪問控制等三種技術相互支撐。下面對比較常見的策略描述語言進行了簡單的介紹：

首先是SPL，這是一種事件驅(qū)動，能夠支持訪問控制和基于歷史等的策略。通過SPL將策略定義成類，對于一條策略實例，其生成就代表著策略已經(jīng)被激活，因此，在SPL中對策略的生存周期沒有進行控制，在SPL中，通過繼承機制對策略的重要性進行了強化，通過這種策略的構(gòu)造方法能夠?qū)诮巧脑L問控制進行構(gòu)建和使用。

然后則是Ponder語言，其是一種說明性的語言，主要是面向?qū)ο?，在這種語言中，其能夠?qū)Ψ植际江h(huán)境下的安全策略等進行描述。對于Ponder原因，其在使用時具有較強的擴展性，能夠根據(jù)用戶的需求進行相關策略類型的擴展，此外還能夠?qū)迷摬呗缘膶ο筮M行分組處理，滿足人們的大規(guī)模策略規(guī)范需求。

2.2 安全策略的存儲

對于安全策略的存儲，其是中小型網(wǎng)絡訪問控制中的重要內(nèi)容，對于中小型網(wǎng)絡，所有的安全域管理系統(tǒng)都具有一個單獨的數(shù)據(jù)存儲單元，另外，對于成管理之間的數(shù)據(jù)交換，使得數(shù)據(jù)存儲方式具有較高的要求，包括檢索能力和能夠提供對應的數(shù)據(jù)安全訪問機制等。

對于小型的訪問控制域，其一般采用的是XML文件對其進行存儲，同時通過提前存儲的策略文件對其進行邏輯排序，而對于中性的訪問控制系統(tǒng)，其復雜性有了明顯的提高，因此，其安全策略存儲方式往往采用的是目錄服務模式，這種模式的靈活性較強，且安全性較高。

3 中小型網(wǎng)絡的網(wǎng)絡訪問控制系統(tǒng)設計