为您找到与访问控制的安全策略相关的共5个结果:
随着社会的发展,网络的利用越来越普遍,随之而来的网络安全问题也成为人们日益关注的问题。下面是读文网小编为大家整理的网络安全策略论文,供大家参考。
伴随着我国科技的发展,电信通信业务的范围得到拓展,并且网络之间因为业务关系的接口变得越来越多,这在一定程度上对网络的安全性能产生影响,在这种发展现状下,只有尽可能减少接口的数量,积极规范系统接口,才能进一步提高通信网络的安全性[1]。除此之外,在近几年我国电信通信网络也逐渐朝着更高的方向发展,电信通信网络与互联网之间的差距得到缩小,无线网络的介入在丰富电信通信网络的同时,也面临着诸多安全问题,需针对性地进行解决,促进电信通信网络的稳定发展。
1电信通信网络中所存在的安全威胁
1.1病毒与木马干扰率过高
伴随着我国电信通信网络的发展与进步,相应的通信网网管、增值业务网网管、数据管理网网管等系统逐渐出现在人们视野之中,这在一定程度上导致网络终端的数目变得非常庞大[2]。此外,在各种类型网管终端没有受到安全保护的情况下能够直接进入相应的局域网,但是由于网管终端会携带各种病毒与木马,会利用局域网的属性传播给网元,从而降低网元的安全性能。比如,网络终端的介入设备将具有病毒或木马的地址传输到网元之后,会导致网元的MAC地址发生变化,网元与监控终端也会产生断联,无法全天候的对网络进行监督与管理。
1.2出现假冒攻击的行为
在电信移动通信网络之中,网络终端与网络控制中心能够识别身份,在通过无线信道传输过程中,其信息会被不法分子所截获,甚至部分攻击者会利用所截获的假冒合法身份进入网络之中开展网络行为,或者利用假冒的网络终端基站及时获取用户的身份信息,从而造成经济损失。
1.3传输的信息会被他人窃听
电信通信网络之中的信息均是通过无线信道所传输的,作为一种开放性信道,任何人在利用通信设备的条件下均可以对无线信道的信息进行窃听,获得他人的身份信息以及用户与网络中心的传输指令[3]。除此之外,信息在被他人进行窃听之后还会通过其它的形式实现攻击,比如在并不了解信息内容的同时会获取发送者以及接受者的地址信息,并且对信息传输流的探究,可以推测出信息的具体内容。
1.4有线网络所带来的安全威胁
在网络应用之后,电信通信网络受到一定的安全威胁,其中互联网操作平台等是有限网络、通信协议以及路由器的主要结构,电脑黑客或者木马、病毒会利用路由器的代码以及通信协议之中的不足实施网络攻击,电信运营商作为二级域名的代理,在使用过程之中需要安装防火墙,并且对用户身份进行身份验证。与此同时,通信网络发展的同时,各种各样的病毒与木马变得复杂多样,互联网遭受病毒入侵的事例层出不穷,根据相关统计,我国有70%以上的计算机遭受病毒入侵,电信通信网络具有一定的特殊性,如果受到病毒的入侵则会产生一定的经济损失[4]。
1.5无线网络所带来的安全威胁
近几年无线网络成为了通信网络的新宠儿,组成内容主要包括移动通信网、无线wifi等,在经过近几年的发展中其技术更加成熟,其中利用手机终端便可以实现对网络的访问,这种情况不仅增加了空中数据传输的敏感性,并且也在一定程度上增加了网络的被攻击点,尤其在手机病毒出现之后,人们对电信通信网络的重视程度得到提高,电信手机被攻击的方式包括短信、网址、手机硬件、软件等,会让使用者出现死机或者黑屏、卡机等现象,一般情况下电信手机使用者大多利用开放性网络,这便在一定程度上给黑客的攻击创造了更多的机会与条件。
2电信通信网络安全的防护策略
针对上文所列举的典型通信网络所存在的安全隐患问题,笔者认为电信技术部门需要加强对网管网进行优化以及区域划分,积极构建良好的网络服务器、对终端接入进行规范处理,杜绝病毒与木马的入侵,从根本上提高网管网的安全性。
2.1积极分层规划网管网网络
我国电信技术部门需要加强对网管网网络进行层次划分,并且对IP路由以及IP地址进行规划,可以通过核心交换机实现信息的交互以及数据的交互,这样一来能够改变一个终端连接一个网络系统的局限性。比如在原先网络终端只能对网管系统进行访问,但是在网络分层以及规划之后,便可以实现一台网管终端对多个网管系统进行访问,并且还可以借助防火墙等设备对网管系统等进行访问,从而在一定程度上解决了终端数目过多的现象。除此之外,分层规划网管网网络,还可以改变通信网与数据网、增值网之间的交叉信息,能够保证边界接口命令更加集中,实现各个独立网管的合理化管理。根据笔者调查与分析,在某一地区办公区的网管维护终端有70个,但是在实施分层规划网管网络之中,维护终端减少了20个,不仅优化了网络效果,并且也杜绝电信通信网络所存在的安全问题。
2.2积极构建网管网网络服务区
中国电信通信构建网管网网络服务区,对服务器以及软件进行管理与部署,可以为加强安全保障提供依据。其一,为实现账号口令的安全性,可以借助AAA服务器的功能,实现动态口令与账号口令的结合,避免黑客对网络造成攻击,提高密码的安全级别;其二,要积极安装网络审计系统,对各个服务器的运行时间、网络设备进行监督,为恶意操作行为提供原始材料;其三,安装补丁服务器,实现病毒库的及时更新,并且提高对病毒以及木马的防御能力,从根本上减少病毒传输到网络的几率。网管网网络服务区的建立能够为安全产品提供条件,并且将管理服务区自身所具备的定位功能以及交换机进行结合与检测,启动防火墙,对数据入侵状况进行应对与解决[6]。
2.3加强对多种通信完全技术的利用
电信手机卡能够对入网安全起到保障,无论从物理角度还是逻辑角度分析都具备独立性,在未来的发展过程之中需要保障设备的安全性,真正实现无缝接入。现如今,我国电信通信网络逐渐朝着网络进行过渡,在过渡期间会出现非常多的问题,因此相关人员需要积极借鉴网络中比较完整的技术,从根本上提高电信通信网络的安全性。除此之外,在伴随着电信通信网络接入技术的不断发展中,越来越多的人加强对信息传输安全的重视,其中最具代表性的安全技术便是密匙算法,除此之外,电信运营商还要积极考虑到信息终端以及传输等因素,从根本上保证用户入网的安全性。2.4实现规范终端接入,更新病毒防御系统对于不同的证件账号需要通过申请流程对其账号进行审批,这样才能保证终端接入管理变得更加规范,其中账号审批制度以及账号审查措施,需要进行规范化处理,并制定认领账号制度,保证维护终端在接入之后更加具备安全性与有序性。另外在网管网网络以及管理区服务器的作用下,可以实现对日常办公区的维护终端进行补丁更新,这样才能提高维护终端对防病毒软件速度的更新速度,在与传统模式相对比下,其速度得到有效提升。除此之外,对维护终端进行规范接入,能够在后台对病毒库进行更新,在减少工作量的基础上,能够提高工作效率与工作质量。
3结语
总而言之,电信通信发展迅速,为人们的生活、工作、学习带来了非常大的方便与快捷,但是在伴随着电信通信的发展过程之中,也暴露出诸多安全问题,相关部门需要对网络安全隐患进行深入分析与探究,并积极采取相应的解决措施,将通信网络中的弊端进行解决,从根本上保证电信通信网络的有序发展以及安全稳定。
摘要:随着互联网技术的快速发展,人们的日常生活也越来越有质量、有效率,但同时也出现了很多不足。系统漏洞、病毒、黑客严重威胁着网络安全,计算机信息管理技术在维护网络安全中发挥着重要的作用,而其在运行中存在着一些问题,影响了计算机用户的安全使用。本文将深入分析计算机信息管理技术在维护网络安全中所存在的问题,并针对问题提出其在维护网络安全中的应用策略,以促进计算机信息管理系统的发展,保障人们日常生活的安全。
关键词:计算机;信息管理技术;网络安全;应用策略
当前,我们处在信息化时代,互联网的蓬勃发展使人与人之间的距离缩短,方便了人们间的交流,同时加快了经济全球化发展的进程。但是,互联网的发展也带来了很多的问题,特别是网络的安全问题越来越严重,其直接威胁到信息安全与个人隐私,所以我们一定要重视网络的安全问题,它关系到计算机用户自身的权益及我国互联网的发展。计算机信息管理技术可以有效防止网络中不安全事件的发生,对维护网络安全有极其重要的作用,故要研究计算机信息管理技术在网络安全维护中的应用策略。
1计算机信息管理技术在维护网络安全中所存在的问题
1)信息管理技术中监测技术有待提高
在网络安全中常见的问题主要包括计算机遭到恶意破坏、非法入侵及病毒攻击等,计算机信息管理技术中的检测技术在提高的同时,网络安全问题也变得越来越复杂,其监测技术有时满足不了实际需求[1]。比如,在2010年10月23日,“维基解密”把美军有关伊拉克战争的机密文件泄露出来,致使美国的军事机密出现混乱的现象,很大一部分原因是信息管理技术中的监测技术不够成熟,如果当时信息管理技术中的监测技术水平比较高,则可以防止此类事件的发生。
2)信息管理技术对信息访问的控制效果不佳
在使用网络时,有时候可能会出现外来入侵现象,所以这就需计算机信息管理技术对信息访问起到一定的控制作用,但是该项技术因在对计算机进行设置时未设置特定的对象,使得其对信息访问的效果不佳,如互联网史上的“Facebook色情”事件,正是因为社交网络Facebook没有对信息访问控制好,致使黑客入侵,大量暴力、色情图片迅速占据了网站,而用户也无法正常地使用网络。
3)信息管理技术的应变能力不足
众所周知,互联网的发展变化是很快的,不论是硬件,还是软件的更新均需对网络安全与信息管理技术进行加强,然而,当前的信息管理技术并没有很强的应变能力,在面对突然袭来的问题前显得力道不足,无法迅速解决问题[2]。比如,在2011年,黑客入侵掌握着世界各国财政状况的国际货币基金组织,对整个世界的经济复苏带来了很大的影响,其主要原因便是网络信息技术未进行及时的更新和跟进。
4)信息管理技术中的加密技术有待提高
在当今网络环境中,为保证信息的安全,我们往往使用多种信息技术,加密技术便是其中之一,它也是维护网络安全中最有效的技术之一,一个信息经过加密钥匙或者加密函数转为无意义密文,接受者对密文解密后,才能把密文还原成明文。该数据加密技术在一定程度上保障了信息的安全,有效地防止了黑客、病毒入侵。然而随着现代技术的快速发展,传统的加密方式有时无法确保数据的安全,使其存在安全隐患,因此,加密方式有待进一步提高,以加强网络系统的安全防范。
2计算机信息管理技术在维护网络安全中的应用策略
1)对计算机信息管理技术加强管理
如果对计算机信息管理技术的管理不够科学有效,则就算对信息管理技术使用和设计得再好,也不能有效维护网络的安全,保证用户的权益,无法发挥其在维护网络安全中的作用[3]。所以,我们不仅要建立起科学有效的管理机制,还要加强管理力度,把管理机制实行好。当前的计算机信息管理技术管理技术只是在计算机的系统表层,没对计算机系统内部进行深层管理,这样就出现了一些人们有可能察觉不到的安全隐患,可能就如“熊猫烧香”这类的病毒一样迅速传播,对计算机的用户造成巨大损失。因此,我们在对计算机管理技术管理的过程中,要先把管理与计算机功能、系统相结合,对计算机用户信息进行全面准确地了解和掌握,避免出现黑客袭击这类的事件;此外,不仅要对除计算机用户之外的来访用户的安全性进行判断,还要对信息数据进行严格的加密,以保障用户的权益,维护网络的安全。
2)加强风险控制
风险的存在可能让计算机信息管理技术在应用时受到一定阻碍,使得计算机信息管理技术作用的发挥受到限制。因此,为促进计算机信息管理技术在维护网络安全中的有效应用,首先要革新和加强风险控制工作,引起工作人员的注意,制定切实可行的措施来进行预防。此外,总结以往的经验教训,对发生过的计算机信息管理技术的应用问题进行总结,以作为前车之鉴。再者,做好风险预测,树立未雨绸缪意识,假设出各种可能会出现的问题,并做好预防措施,完善计算机信息管理技术,以不断假设且修正的方式来提升信息管理技术在维护网络安全中的应用。最后,应建立起预警系统,对风险进行及时通报,然后对其进行控制,防止风险造成进一步的影响。
3)对安全管理制度进行完善
如果安全管理制度比较完善健全,那么将在一定程度上保障网络运行的安全,促进计算机信息管理技术的持续发展。比如,我们在进行日常管理时,可利用相应人才管理制度,加强对人才的引进力度,从中选出高素质的专业人才,同时要对人才进行教育与培训,提高人员的专业能力与职业素养,提升整个人才队伍的素质,给网络安全的管理工作提供高素质的人才做支撑。再如,根据实际情况,建立适合的网络安全管理,并成立专门安全管理小组,对网络中软件、硬件进行定期检查,及时更新网络安全运行中的软硬件,保证软硬件的安全性能,进而为计算机信息管理技术的有效运行创造一个安全的环境[4]。
4)把操作系统安全防护工作做好
在计算机信息管理技术的运行过程中,操作系统扮演着及其重要的角色。受各方面因素影响,使得操作系统中很容易出现一些漏洞,存在着很多的安全隐患。所以为保证网络的安全,就应该重视对计算机操作系统开展安全防护工作,提升网络的安全性,比如,可建立一个安全防护系统,这样能够及时发现操作系统中所存在的漏洞,当然还应采取科学有效的措施来修复操作系统,最大限度地预防黑客、病毒的入侵。此外,还应该将网络中所存在的防火墙、与入侵检测等安全性产品进行统一管理,最终建立一个完善的操作系统,以有效分析与预防网络中存在的安全隐患,维护网络的安全。
5)对相关人员的安全防护意识进行加强
在网络中,安全隐患问题是很普遍的,出现这种情况的主要原因是管理人员缺乏安全防护意识,在思想上不重视网络的安全问题。并且使计算机信息技术在维护网络安全中有效应用与增强人员的安全防护意识是不可分割的,所以,首先相关人员需要认识到计算机信息管理技术对维护网络安全的重要意义,并不断提升自身安全防护的意识,从自身做起,理解好计算机信息管理技术在维护网络安全中应用的作用;其次,要从深层次展开信息管理技术在维护网络安全应用的研究,不断进行研究探索,发现网络的安全问题,并采取科学有效的措施对问题进行有针对性的解决,促进信息管理技术在维护网络安全中的有效应用,提高网络安全的水平,促进我国信息化的纵向发展。
6)对信息加密算法进行有效应用
我们为保证计算机网络的安全,需要加强对信息加密算法的有效应用,进行积极的信息加密,以防止出现信息不安全的情况。密码算法本身是保障信息安全的重要环节。当今社会,科学技术不断更新,以往使用的加密系统已不能满足时代需求,无法充分发挥其在维护网络安全中的作用,因此,我们要学习国内外相关优秀经验,对机密方法进行创新。加密系统在其发展过程中,又出现了一种非对称的加密方法,别称公开密钥,其中主要包括RSA公开密钥密码技术、DSA数字签名技术与单向杂凑函数密码等,加密者与解密者所拥有的密钥不同。在当今的信息通信中,RSA公开密钥密码技术算法、PGP混合加密算法与DES算法的应用最广泛,在实际工作中,管理人员要灵活选用加密算法,加强网络的安全。
3结束语
现阶段,计算机信息管理技术与网络快速发展,网络的应用领域也随之不断扩大,渗透到了各行各业中。所以,加强网络的安全,除了能保护网络数据传输、存储的安全,还可降低计算机信息出现问题的风险率,维护计算机用户的权益,我们要采取积极的防护措施,比如防火墙技术、查杀木马技术等,根据实际需要有效选用这些技术或将它们进行整合,同时,还要提升计算机信息管理技术水平,加大风险控制,增强相关人员的安全防护意识,使计算机信息管理技术在维护网络安全中能够有效应用,因而保护人们自身的权益。
参考文献:
[1]杨曙光.计算机信息管理技术在网络安全中的应用[J].网络安全技术与应用,2015(4):40-41.
[2]陈永.计算机信息管理技术在网络安全中的应用[J].信息技术与信息化,2014(9):176-177.
[3]裴学武.解析计算机信息管理技术在网络安全中的应用[J].科学与财富,2014(7):164.
[4]葛晓凡.计算机信息管理技术在网络安全中的应用[J].数字技术与应用,2015(5):188.
浏览量:2
下载量:0
时间:
访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。它是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。以下是读文网小编今天为大家精心准备的:浅谈基于的Windows Azure平台下的访问控制模型的设计相关论文。内容仅供参考,欢迎阅读!
随着互联网中的云计算应用越来越广泛,微软,谷歌等IT业巨头都在不断的扩建自己的云计算平台,但是伴随着云计算应用范围的不断增大,信息安全已经成为了制约与计算平台发展的重要原因之一,一些涉及到网络安全的技术逐步被人重视,Window Azure平台是微软2008年开发的一款云计算平台,其主要作用是通过Internet平台为其他运行的应用程序服务,最大可能的保证性能不降低。如何能够最大限度的利用Win⁃dows Azure平台的数据存储安全技术,从而能够保证云计算平台具有开发的安全性和灵活性是目前研究的重点。目前访问控制技术是元计算平台领域中一种非常重要的技术,它的思想是采用一定的策略,首先对主体进行验证,然后对客体的访问权限进行设置,可以很好地保证云计算环境中的访问权限的的安全性,从而保证云计算机节点的资源能够合理的被使用,从而避免来自系统内部的破坏。
访问控制是一种重要的技术,是保证云计算平台的信息机密性和完整性的重要组成部分。本文针对在Windows Azure 云计算模型的基础上,针对现有的任务-角色访问控制模型,提出一种新的访问控制模型。该模型可以在一定程度上有效地减少资源调度的耗时以及数据访问控制的安全性。
在云计算平台的环境中,由于云端客户的数量逐渐增多,这就要求Windows Azure云计算服务商提供的安全性的资源也在逐渐提高。由于云计算环境中对资源的保护和限制访问的要求比较高,云计算资源的云端用户的种类层次不一,自身的安全性等级不一,自身存在一定的风险。因此在这样的背景下,需要制定更加详细的策略来进行控制,从而来保证系统安全的正常运转。
在Windows Azure 模型中,访问控制最关键的就是如何进行授权即授权策略的制度,在进行授权策略下,能够得到授权的用户就是合法用户,无法得到授权的就是非法客户。在WindowsAzure中,需要了解访问主体能够对哪些客体在什么样的条件下进行授权访问,通常访问控制模型由主体、访问、客体三个主要部分组成。
2.1 基于角色的访问控制
基于角色的访问控制(RBAC)的研究是上个世纪提出的一种访问控制技术,它通过在用户和访问权限中加入了角色这个概念,从而将用户与访问权限进行了有效的分离,同时最大限度的保证了用户和权限之间的分离,这种分离的优点就是可以让用户与角色之间达成1∶N的角色分配,同时保证角色与访问权限之间也是1∶N的联系方式。RBAC模型的优点是在一定程度上实现了用户与访问权限的分离,在一定程度上保证了动态的访问约束,系统实用性比较强,缺点如下:(1)权限粒度约束不够细化,导致用户权限过宽;(2)权限授予过程复杂;(3)功能和数据权限始终都在一起,无法分离;(4)缺少对客体特征的描述,特别是在云计算环境中的分布式的应用非常频繁,但是每一次过程都需要通过角色来转变,无法面对Windows Azure云计算下的任务流的控制执行。
2.2 基于任务的访问控制
基于任务的访问控制模型(TBAC)是一种新的安全模型,主要是采用了任务工作流的特性,将任务概念引入到访问控制模型中,从而将访问控制中的任务进行动态的管理。通过平台中的任务来对权限进行划分,在TBAC中,主要能对不同的工作流中的不同任务进行访问控制,优点是适合云计算环境下的分布式计算。缺点是没有对客体进行管理,不支持被动访问控制,存在任务分配复杂等问题,从而降低了效率。
3.1 云计算现状
云计算技术的快速发展已经涉及到计算机的众多领域,传统的安全保护手段已经无法适应这些变化。在Windows Azaue云计算模型中,服务商提供数据的计算和存储,面对云端的众多用户,这些多用户通过Windows Azaue平台可以将自身的相关私有数据放置到服务器上进行存储和管理,在一定程度上降低了用户的成本,但同时对Windows Azaue服务商提出了一定的要求。如何保障多用户下的数据进行管理,防止涉及安全问题的发生,这是目前Windows Azaue云计算服务商面临的主要的问题。
3.2 多用户访问控制模型
本文在的基础上,将面向多用户的访问控制模型分为用户层和平台层,用户层主要是用来管理用户-角色-任务-权限之间的使用关系,平台层主要是分配权限,角色和任务之间的关系。为了更好地描述多用户的访问控制模型,本文在任务-角色模型的基础上,对模型中涉及到的一些概念进行描述:
(1)角色:云计算中担任访问能力的主体。
(2)任务:云计算中用来完成用户提出的具有一定功能的最小单位内容。
(3)权限:云计算中具有访问资格的描述
(4)权限分类:云计算中用户访问要求不同,导致受到访问的资格不同
(5)会话:云计算中的用户与角色之间建立映射的过程,实际上过程是用户与系统之间交互的过程。
(6)会话交互:云计算中用户访问云计算服务商提供服务的过程。
(7)会话的角色集合:云计算中参与会话过程中的角色映射。
(8)角色继承:云计算中为了满足不同的角色需要访问多种不同的资源的要求,在角色的属性和方法的设置中,通过角色继承来进行完成,从而可以避免重复设置。
(9)任务关系:云计算中根据任务之间的分配关系可以分为一对一,一对多,多对多的分配关系。
3.2.1用户层模型
在Windows Azaue 多用户的用户层中,为了能够更好地方便用户-角色-任务和权限之间的关系,本文采用层次化的结构模型,通过按照角色和权限从高到低来进行设置用户的级别,在设置过程中,根据Windows Azaue云计算资源平台中对于多用户分配的资源要求,在层次化结构模型中,通过对用户分配权限,粒度从小到大。
定义1:用户定义User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。
定义2:角色定义Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)
定义3:权限定义:Premission:=( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)
定义4:任务定义Task:=< Task_ID∈User_ID∩role_ID∩Permis⁃sion_ID,Task_name∈Task_N,Task_role∈Task_R >
3.3.2平台层模型
在Windows Azaue多用户平台中,将权限和角色的进行合理的映射,在每一个角色节点中,需要进行管理和控制角色与权限的创建与分配,其中,每一个管理节点需要创建或者修改操作权限,在该平台模型中对于角色和权限的管理进行合理的配置。
定义5:管理角色定义Administrator_Role ex⁃tends 角色定义Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ⁃istrator_Role_N, Administrator _roleList∈Role_L)
定义6:管理用户权限定义Administrator_Per⁃mission extends Permission: =(Administrator_Permis ⁃sion_ID∈Permission_ID, Administrator_name∈Per⁃mission_N, permission_role∈Permission_R).
为了更好地体现出平台层模型的优点,本文在平台层设计上通过组织模型角色的构建方法,将管理角色结构分为了底层平台管理角色权限,中间层平台管理角色权限和用户层平台管理角色权限管理三个部分。底层平台管理角色权限主要是针对平台中所有的基础权限管理,中间层平台管理角色权限主要是针对平台中专有资源权限管理,用户层平台管理角色权限管理主要是针对所有用户的角色管理。
3.3 访问控制模型的实现
为了进一步描述有关访问控制模型的实现,本文以本地学校图书馆服务器作为云计算资源服务器,将处于同一个城市的其他几所学校的客户器作为云端客户,建立树型的组织模型,从而将这种组织模型想访问控制模型转换,在访问控制模型中,主要针对用户登录,权限访问控制以及权限管理三个部分进行描述,用户首先进行身份验证,然后系统为用户加载权限,用户根据权限来获得对应的功能,最后获得相应的功能权限对应的数据对象。
(1)登录验证
登录验证是为了更好的保护用户的合法信息,采用控件chenkUserForm 进行iaoshu,能确保用户输入验证的合法性。
(2)权限访问控制
Windows Azaue模型中的权限访问控制能够在一定程度上保证用户访问权限资源,本文在树型模型的基础上,设计首先向用户加载包含一级节点的初始华,然后通过层层级联加载访问叶子节点,提高了用户访问效率,用户在之前的访问登录获得了用户Userid作为参数,从而获得用户对应的角色所需要的权限。用户通过树型组织结构,点击初始权限树中叶子节点对应的功能权限。在层次加载中,判断用户点击所获得节点加载路径来确定是否能够访问到该节点。
采用了这种加载方式之后,用户可以根据自己的需要来显示相应的功能权限,不需要每次都登录展示整个权限,提高了高效访问控制。
(3)权限管理控制
在用户权限树中设定的Checkbox构造出用户权限管理树,通过点击选中活取消用户权限管理树中的节点,能够非常方便的实现角色权限的授予。
(4)系统验证和分析
为了更好的验证本文模型的具有的时效性,本文采用在酷睿i3,内存为4G的系统中运行,将本人所在学校的图书馆作为云服务端,其他同一个地区的学校的图书馆作为云端访问点,通过CloudSim进行仿真实验,本文假设在云端客户模拟500个访问图书查询要求向云服务端发送查询请求,在云服务端中采用Windows Azaue模型进行服务器的设置,将本文的模型与其他几种模型在访问数量,任务平均完成时间,网络消耗时间上进行了对比。
本文的访问控制模型在一定程度上有效的缩短了访问时间,虽然相差不大,但是由于其他三种算法没有将控制模型安全因素考虑进去,所以,本文的模型具有一定的实际意义。从图2中可以发现伴随着云端客户的访问量增多,本文的模型有效的降低任务完成时间,相比于角色-任务模型已经有了很大的改变。伴随着访问数量的不断增大,网络访问失败率已经有了明显的降低,这在一定程度上说明了本文的算法在云平台模型下的控制在优于传统的访问控制模型。
在微软推出的Windows Azaue 云计算模型中,访问控制安全已经成为了研究的重点,本文在传统的角色-任务模型上,提出了面向多用户的访问控制模型,在模型中采用了用户层和平台层两种表示,在用户层中对角色、任务、权限进行了定义,在平台层中针对用户登录,权限访问控制以及权限管理三个部分进行细分,通过仿真实验,本文的模型相比于传统的角色-任务模型具有一定优越性,但在角色继承,模型冲突等方面需要进一步的研究。
相关
浏览量:2
下载量:0
时间:
远程访问(Remote access)是集成的“路由和远程访问”服务的一部分,用来为远程办公人员、外出人员,以及监视和管理多个部门办公室服务器的系统管理员提供远程网络。以下是读文网小编今天为大家精心准备的:IPSec远程访问的安全策略研究修改论文。内容仅供参考,欢迎阅读!
IPSec远程访问的安全策略研究全文如下:
[摘 要]技术应用日益广泛,IPSec已成为实现的主要方式。文章对IPSec相关协议进行分析的基础上,针对IPSec协议族在安全策略方面的不足,提出在远程访问模型中使用集中试策略管理并对该管理系统进行了研究。
[关键词]PSec ;安全策略数据库;安全关联数据库;安全策略
随着Internet等公共网络的迅速发展和国际经济一体化的发展趋势,企业内部及企业间通过网络传递信息的需求越来越多。如何以最低的费用保障通信的安全与高效,是企业极其关注的问题。流行的解决方案是利用隧道技术,在Internet等不安全的公共网络上建立安全的虚拟专用网络,即虚拟专用网()。
IPSec是实现的一种协议,正在得到越来越广泛的应用,将成为虚拟专用网的主要标准。尽管IPSec已经是一种包容极广、功能极强的IP安全协议,但却仍然不能算是适用于所有配置的一套极为完整的方案,其中仍然存在一些需要解决的问题。本文对IPSec相关协议进行分析的基础上,针对IPSec协议族在安全策略方面的不足,提出在远程访问模型中使用集中试策略管理,并对该管理系统进行了研究。
IPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在IP层,并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406],以及通过使用加密密钥管理过程和协议来实现。这些加密密钥管理过程和协议包括Internet安全联盟(SA)和密钥管理协议(ISAKMP)[RFC2408]以及Internet密钥交换协议(IKE)[RFC2409]。
2.1 认证头(AH)协议。协议的目的是用来增加IP数据包的安全性。AH协议提供无连接的完整性、数据源认证和抗重播保护服务。
2.2 封装安全载荷(ESP)协议。协议的目的和认证头(AH)一样,是用于提高IP的安全性。ESP提供数据保密、数据源认证、无连接完整性、抗重播服务和有限的数据流保护。
AH和ESP协议都支持两种工作模式:传输模式和隧道模式。传输模式为上层协议提供安全保护,保护的是IP包的有效载荷或者说保护的是上层协议(如TCP、UDP和ICMP)。隧道模式是为整个IP包提供保护。
2.3 Internet安全联盟密钥管理协议(ISAKMP)。协议定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP提供了一个通用的SA属性格式框架和一些可由不同密钥交换协议使用的协商、修改、删除SA的方法。ISAKMP被设计为密钥交换无关的协议;并没有让它受限于任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制。
2.4 IKE。IKE是一个以受保护的方式为SA协商并提供经认证的密钥信息的协议。IKE是一个混合协议,它使用到了三个不同协议的相关部分:Internet安全联盟和密钥管理协议(ISAKMP)[MSST98]、Oakley密钥确定协议[Orm98]和SKEME[Kra96]。IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。
2.5 安全联盟(SA)。SA的概念是IPSec密钥管理的基础。AH和ESP都使用SA,而且IKE协议的主要功能就是建立和维护SA。SA是两个通信实体经过协商建立起来的一种简单的“连接”,规定用来保护数据的IPSec协议类型、加密算法、认证方式、加密和认证密钥、密钥的生存时间以及抗重播攻击的序列号等,为所承载的流量提供安全服务。
IPSec的实现必须维护以下两个与SA相关的数据库:安全策略数据库(SPD),指定给IP数据流提供的安全服务,主要根据源地址、目的地址、入数据还是出数据等确定。SPD有一个排序的策略列表,针对入数据和出数据有不同的数据项。这些数据项可以指定某些数据流必须绕过IPSec处理,一些必须被丢弃或经过IPSec处理等策略;安全联盟数据库(SAD),包含每一个SA的参数信息,如AH或ESP算法和密钥、序列号、协议模式以及SA的生命周期。对于出数据的处理,有一个SPD数据项包含指向某个SAD数据项的指针。也就是说,SPD决定了一个特定的数据包使用什么样的SA。对于入数据的处理,由SAD来决定如何对特定的数据包作处理。
3.1 IPSec 中的策略管理
在一个IPSec中,IPSec功能的正确性完全依据安全策略的正确制定与配置。传统的方法是通过手工配置IPSec策略,这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通讯的阻塞和严重的安全隐患。而且,既使每个安全域策略的制订是正确的,也可能会在不同的安全域中,由于策略之间的交互,出现在局部范围内安全策略的多样性,从而造成端到端间通讯的严重问题。
根据以上协议建立起来的基于IPSec的,当主机使用动态地址接入,发起连接时。主机将使用协商好的SA处理的数据包发送到网关。网关接收到数据包后,使用相应的SA处理数据包,而后进行载荷校验。这时,在载荷校验过程中,会因为没有将新协商而建立起来的SA的数据项与SPD连接在一起,而造成不能通过载荷校验。而且,当网关需要给主机发送数据时,并不能在SPD中通过使用目的地址检索到相应的安全策略。因为,主机是动态地址,每次发送时使用的地址都有可能变化。如果发生这样的状况,那么由传输层交给IPSec模块的数据包将会被丢弃。也就是说,网关将不能通过隧道向主机发送数据。这个问题显然是由于SPD数据的更新问题所引起的。因此,必须构建一个安全策略系统来系统地管理和验证各种IPSec策略。
3.2 远程访问模型中策略系统的构想
构建一个策略系统,需要解决策略的定义、存取、管理、交换、验证、发现机制等问题以及系统自身的安全性问题。其中策略的表示和策略在动态交换中的安全性问题是系统的核心问题。目前RFC尚未制定关于策略系统的标准,因此还没有成熟的实现方案。
现在较为流行的方案是:策略系统由四个部分组成——安全策略仓库、策略服务器、安全网关、策略客户端。其中安全策略仓库(Repository)用于存储策略信息,能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器,除了储存管理员已经编辑好的策略信息,还可以存储其它的网络信息和系统参数。策略决策点(Policy Decision Point,PDP)通常也被称为策略服务器,是整个系统的决策中心。它负责存取策略仓库中的策略,并根据策略信息做出决策,然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突,从而采取应对措施。策略执行点(Policy Enforcement Point,PEP)是接受策略管理的网络实体,通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备,负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息,使策略决策点知道网络的变化以及策略的执行情况。服务器利用LDAP(轻量级目录访问协议)与数据库交互,安全网关通过COPS(普通开放式策略服务协议)与服务器交互,策略服务器之间以及服务器与客户端之间通过SPP(安全策略协议)进行通讯。
而在远程访问的模式下,只有公司总部一端设置了安全网关和策略服务器。所以可以把前面提到的方案进行改进,应用到远程访问模型中。
因此,可以将安全策略仓库放置在策略服务器上,而策略服务器与安全网关相连。安全策略仓库中存储了一些永久信息,策略服务器可以依据这些信息做出相关的策略决定。安全策略仓库最好采用LDAP这一类的标准目录机制来进行策略存。策略服务器负责使用策略决议方法来完成策略制订。
把安全网关和远程访问主机作为策略客户端。当策略客户端启动的时候,需要自动访问策略服务器,读取关于自己的安全策略。此外,当策略服务器改变了某些安全策略时,就需要通知相关的策略客户端访问策略服务器来更新策略。策略客户端必须实行本地保存策略,这是因为它必须知道哪些数据包实施了安全保护,哪些没有。如果策略没有进行本地保存,内核的各个数据包就会找不到这个策略,内核就必须调用策略客户端(这个客户机必须依次与存储中心联系)和密钥管理协议。另外,还要更新内核策略。这样,就会导致最初几个数据包出现令人难以接受的延迟。
策略分配机制必须是安全的。策略下载的服务器应该是通过验证的。除此以外,对该服务器的访问也应该是有限制的。如果这一条遭到破坏,网络的安全就会大受威胁。我们仍然使用COPS在客户端与策略服务器之间交换策略信息。
由于IPSec 出色的安全特性,使它越来越受到有着相对较高安全要求的企业或部门的青睐。本文提出的策略管理系统能够很好的完成IPSec远程访问系统的策略管理。随着IPSec 的广泛使用,更加复杂的系统会相继出现。因此,其安全策略管理的问题将逐步凸现,这方面的研究也将受到重视。
浏览量:3
下载量:0
时间:
计算机论文是计算机专业毕业生培养方案中的必修环节。学生通过计算机论文的写作,培养综合运用计算机专业知识去分析并解决实际问题的能力,学有所用,不仅实践操作、动笔能力得到很好的锻炼,还极大地增强了今后走向社会拼搏、奋斗的勇气和自信。以下是读文网小编今天为大家精心准备的:计算机安全访问控制方法探讨相关论文。内容仅供参考,欢迎阅读!
计算机安全访问控制方法探讨全文如下:
1.访问控制的概念
2.访问控制的主要功能
访问控制的功能主要有以下:
(1) 防止非法的主体进入受保护的网络资源。
(2) 允许合法用户访问受保护的网络资源。
(3) 防止合法的用户对受保护的网络资源进行非授权的访问。
3.访问控制的分类
访问控制可分为自主访问控制和强制访问控制两大类。
1.自主访问控制
2.强制访问控制
1. 角色的概述
那到底什么是角色呢?其实在现实生活中也经常提到默认扮演了什么角色,是局长还是副局长。不过在RBAC中的角色与实际的角色概念有所不同。在一个RBAC的模型中,一个用户可以被赋予多个角色,一个角色也可以对应多个用户,这些角色是根据系统的具体实现来定义的,同样的一个角色可以拥有多个权限,一个权限也可以被多个教的多拥有。
在RBAC中为了让系统能更加有效地实施安全控制。角色的设定应该具有一下两个特征:
(1)决定角色的用户级与决定角色的权限集所使用的时间差不多。
(2)角色对应的用户集的改变和角色操作集的改变只能由极少数特权用户来控制。
这两者是RBAC的基本内核。
2.RBAC的基本思想
3.RBAC的模型结构分析
从图1-1我们可以看出RBAC模型是由三个实体组成,分别是:用户、角色、权限。其中用户指自然人,角色就是组织内部一件工作的功能或工作的头衔,(注:功能和头衔表示该角色成员所授予的职责的许可,系统中拥有权限的用户可以执行相应的操作)。用户与角色之间以及角色与权限之间用双双箭头相连表示用户角色分配和角色权限分配都是多对多的关系,即一个用户可以拥有多个角色,一个角色也可被多个用户所拥有。同样的,一个角色可以拥有多个权限,一个权限也能被多个角色所拥有。用户建立会话从而对资源进行存取,每个会话将一个用户与他所对应的角色集中的一部分建立映射关系,这个角色会话子集称为会话激活的角色集。于是,在这次会话中,用户可以执行的操作就是该会话激活的角色集对应的权限所允许的操作。
[1] 汪厚祥、李卉. 基于角色的访问控制研究计算机应用研究. 电子工业出版社. 2005年:25页
[2] 李孟轲. 基于角色的访问控制技术及应用.邮电出版社. 第二版:2000年:10页
[3] 刘江、宋晖. 计算机系统与网络技术. 机械工业出版社. 2008年:89页
[4] 张奎亭、单蓉胜、罗诗尧. 信息安全之个人防护. 电子工业出版社. 2008年:256页
[5] 葛秀慧. 计算机网络安全管理. 第二版. 清华大学出版社. 2007年:
浏览量:3
下载量:0
时间:
【摘要】网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网络系统安全问题。计算机网络的安全问题越来越受到人们的重视,本文简要的分析了计算机网络存在的安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
现今高速发展的社会已经进入了21世纪,而21世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。In-ternet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。而作为计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。因此,计算机的安全性成了人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。下面就计算机网络存在的安全隐患及相关策略进行探讨分析。
一计算机网络存在的安全隐患分析
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如TelnetDaemon、FTPDaemon和RPCDaemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。人们面临的计算机网络系统的安全威胁日益严重。
二计算机网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1、防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2、数据加密与用户授权访问控制技术。
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
3、安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献
[1]严明:多媒体技术应用基础[M].华中科技大学出版社,2004.
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.
浏览量:3
下载量:0
时间: