公眾號(hào):mywangxiao
及時(shí)發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗(yàn)
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
ACCess Control TeChnologies
訪(fǎng)問(wèn)控制技術(shù)
訪(fǎng)問(wèn)控制技術(shù)確保只有被授權(quán)用戶(hù)才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪(fǎng)問(wèn)控制、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制、網(wǎng)頁(yè)訪(fǎng)問(wèn)控制等。但訪(fǎng)問(wèn)控制技術(shù)的應(yīng)用必須適當(dāng)合理,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪(fǎng)問(wèn)控制技術(shù)包括用戶(hù)身份標(biāo)識(shí)(iDentifiCAtion)和鑒別(AuthentiCAtion)、訪(fǎng)問(wèn)控制列表(ACL:ACCess Control list)和審計(jì)追蹤(AuDit trAils)等。
用戶(hù)標(biāo)識(shí)(UID:user iDentifier):用于唯一地確定一個(gè)用戶(hù)的身份,是實(shí)施訪(fǎng)問(wèn)控制的前提。
口令(pAssworDs):鑒別用戶(hù)身份的常用手段之一,通過(guò)使用口令可以明確用戶(hù)的責(zé)任。例如,對(duì)應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪(fǎng)問(wèn)控制就可以要求激活終端數(shù)據(jù)必須使用口令并對(duì)數(shù)據(jù)終端的活動(dòng)進(jìn)行記錄,以明確該終端用戶(hù)對(duì)其所進(jìn)行活動(dòng)應(yīng)負(fù)的責(zé)任。
口令應(yīng)由用戶(hù)掌握和修改,還可以按用戶(hù)的權(quán)限設(shè)置不同的口令等級(jí),以防止掌握口令的人非法訪(fǎng)問(wèn)服務(wù)器上的所有用戶(hù)文件。
口令應(yīng)該嚴(yán)格保密,并且在終端輸入時(shí)不應(yīng)該顯示。為了防止口令被猜出,可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪(fǎng)問(wèn)控制軟件;為了防止存儲(chǔ)在系統(tǒng)中的口令被竊取,可使用能夠?qū)嵤┛诹罴用艿脑L(fǎng)問(wèn)控制軟件。
有的用戶(hù)因?yàn)檫M(jìn)入系統(tǒng)過(guò)程較瑣碎枯燥,就把登錄串包括口令存在個(gè)人電腦里,以待進(jìn)入主機(jī)設(shè)施時(shí)再調(diào)用,這樣任何能訪(fǎng)問(wèn)用戶(hù)個(gè)人計(jì)算機(jī)的人就能訪(fǎng)問(wèn)主機(jī)。因此,對(duì)于高安全級(jí)別的系統(tǒng),應(yīng)采用更安全的身份識(shí)別技術(shù),如智能IC卡、生物技術(shù)(BiometriC teChnologies)等。
屏幕保護(hù)程序口令安全性較低,因?yàn)樗苋菀妆焕@過(guò)。
授權(quán)(AuthorizAtion)使用戶(hù)能訪(fǎng)問(wèn)特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級(jí)方案和用戶(hù)標(biāo)識(shí)方案,并根據(jù)“知必所需"(neeD to know)的原則建立訪(fǎng)問(wèn)控制列表,確保雇員只能訪(fǎng)問(wèn)對(duì)完成其工作確有必要的信息。
訪(fǎng)問(wèn)日志(ACCess Log)對(duì)用戶(hù)訪(fǎng)問(wèn)信息系統(tǒng)的時(shí)間、內(nèi)容等進(jìn)行記錄,便于分析控制。安裝訪(fǎng)問(wèn)日志系統(tǒng)屬于檢測(cè)性控制措施,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪(fǎng)問(wèn),但不能防止其發(fā)生。
自動(dòng)注銷(xiāo)登錄(AutomAtiC Log-off)自動(dòng)撤消非活動(dòng)終端的登錄可以防止通過(guò)無(wú)人照管的終端來(lái)訪(fǎng)問(wèn)主機(jī)上的敏感數(shù)據(jù)。
回?fù)埽–AllBACk)指遠(yuǎn)程用戶(hù)撥叫主機(jī)后應(yīng)立即掛斷,由主機(jī)回?fù)茉撚脩?hù)以保證信息按指定線(xiàn)路傳輸。例如:在電子資金匯劃系統(tǒng)中,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶(hù),最有效的控制措施就是要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。
工具軟件(Utility SoftwAre RestriCtions)可以繞過(guò)訪(fǎng)問(wèn)控制和審計(jì),管理層應(yīng)制定限制使用具有訪(fǎng)問(wèn)特權(quán)的工具軟件的政策,以降低利用特權(quán)軟件進(jìn)行非法訪(fǎng)問(wèn)的風(fēng)險(xiǎn)。
安全軟件(seCurity softwAre)的功能是限制對(duì)系統(tǒng)資源的訪(fǎng)問(wèn),但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。
(責(zé)任編輯:中大編輯)