网站安全策略--访问控制策略

在网站安全策略中有一个很重要的策略是访问控制策略，它是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。

访问控制策略主要包括以下几个方面。

(1).入网访问控制

为网络访问提供第一层访问控制，控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为3个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户登录时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则用户将被拒之于网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，字符最好是数字、字母和其他字符的混合。用户口令必须经过加密，加密的方法很多，其中最常见的方法有基于单向函数、测试模式、公钥加密方案、平方剩余、多项式共享和数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。

用户还可采用一次性用户口令，也可用便携式验证器(如智能卡、磁卡和安全密码发生器等)来验证用户的身份。网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立。用户口令应是每位用户访问网络所必须提交的“证件”。用户可以修改自己的口令，但系统管理员应该可以控制口令的最小长度，强制修改口令的时间间隔、口令的唯一性和口令过期失效后允许入网的宽限次数等。用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。

(2).网络的权限控制

是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件或其他资源，指定用户对这些文件、目录和设备能够执行哪些操作。受托者指派和继承权限屏蔽可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。可以根据访问权限，将用户分为特殊用户(即系统管理员)、一般用户和审计用户(负责网络的安全控制与资源使用情况的审计)几类。

(3).目录级安全控制

网络应允许控制用户对目录、文件和设备的访问。用户在目录一级指定的权限不仅对所有的文件和了目录有效，还可进韩指定对目录下的了目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限、读权限、写权限、创建权限、删除杈限、修改权限、文件查找权限、存取控制权跟等。用户对文件或目标的有效权限取决于用户的受托者指派、用户所在组的受托指派以及继承权限屏蔽取消的用户权限等3个方面。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的历问。这8种访问权限的有效组合可以让用户有效地完成上作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安个性。

(4).属性安全控制

当使用文件、目录和网络设时，网络系统管理员应给文件和目录等指定访问属性：属性安个控制可以将给定的属性与网络服务器的文件、目录和网络没备联系起来。属性安全在权限安全的基础上提供更进一步的安个性。网络上的资源都应预先标出一组安全属性：用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力：属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件和安全规则设定共享等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、修改和显示等。

(5).网络服务器安全控制

网络服务器的安全控制包括可以设置凵令锁定服务器控制台，以防止非法用户修改、除重要信息或破坏数据，以及可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等。网络服务器安全控制就是在服务器控制台上执行一系列操作。

(6).网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问情况：对非法的访问请求，服务器应以图形、文字或声音等形式报警，以引起网络管理员注意。如果不法之徒试图进入网络，网络服务器应能自动记录企图尝试进入网络的次数，如果非法访问的次数达到了设定的数值，那么该账号应被自动锁定。

(7).防火墙控制

防火墙是发展较快、使用较广的一种提供网站安全的技术性措施。它以路由器或堡垒主机的形式建立阻隔内外网的屏障，通过软件设置IP通信的安全策略，使网站能在提供服务的前提下还能抵挡外部的侵入。事实上，在lnternet上的web网站中网站安全维护，超过三分之一的网站是由某种形式的防火墙加以保护的，这是对黑客防范最严、安全性最强的一种方式，任何关键性的服务器都放在防火墙之后。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!