網(wǎng)絡(luò)服務(wù)器的訪問控制方法

　　網(wǎng)絡(luò)服務(wù)器的訪問控制方法，是小編為各位計算機網(wǎng)絡(luò)的畢業(yè)生獻上的關(guān)于服務(wù)器的訪問控制的論文，歡迎各位同學(xué)參考閱讀!

　　摘要：網(wǎng)絡(luò)服務(wù)器是網(wǎng)絡(luò)中用于存儲共享資源的站點，同時也承擔著管理網(wǎng)絡(luò)資源、維護資源子網(wǎng)的責任。保護網(wǎng)絡(luò)服務(wù)器的安全，保證網(wǎng)絡(luò)共享資源不被非法使用和非法訪問是網(wǎng)絡(luò)安全工作的最主要的任務(wù)。本文將結(jié)合Windows操作系統(tǒng)來說明各種服務(wù)器訪問控制策略。

　　關(guān)鍵詞：網(wǎng)絡(luò)服務(wù)器;訪問控制方法;用戶權(quán)限控制;訪問控制表

　　網(wǎng)絡(luò)服務(wù)器訪問控制是直接運用于網(wǎng)絡(luò)服務(wù)器上的網(wǎng)絡(luò)安全防范和保護的主要策略，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要措施。在各種保護安全策略中，服務(wù)器的訪問控制是重要的核心策略之一。

　　1 訪問控制和賬戶管理

　　1.1 基本的訪問控制方法。在各種網(wǎng)絡(luò)訪問控制方法中，入網(wǎng)訪問控制是第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶登錄控制可分為3個方面：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的默認限制檢查。用戶只有通過了這3方面的檢查，才能進入該網(wǎng)絡(luò)。

　　用戶名或用戶賬號是所有計算機系統(tǒng)中最基本的安全形式，只有系統(tǒng)管理員才能建立。用戶登錄時首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒絕登錄。用戶的口令是用戶入網(wǎng)的關(guān)鍵，必須經(jīng)過加密，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器(如智能卡)來驗證用戶的身份。

　　操作系統(tǒng)將用戶的標識記錄在一個用戶賬戶中，將用戶在系統(tǒng)中能做或不能做什么的信息全都收集在一起，僅當用戶能給出正確的口令才能得到賬戶下的系統(tǒng)服務(wù)。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的賬號加以限制，用戶此時應(yīng)無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進行審計，如果多次輸入口令不正確，則認為是非法用戶的入侵，應(yīng)給出報警信息。

　　對于WindowsNT，除了使用上述基本的訪問控制方法外，以域結(jié)構(gòu)的方式組織和管理網(wǎng)絡(luò)中的服務(wù)器資源，一方面使用戶使用網(wǎng)絡(luò)資源更方便，另一方面又能保障網(wǎng)絡(luò)資源的安全性。

　　1.2 Windows操作系統(tǒng)的賬戶安全參數(shù)。Windows操作系統(tǒng)具備一般的賬戶安全特性，用戶的賬戶中記錄著賬戶所屬的組。組是一系列用戶的代號，是一種簡化網(wǎng)絡(luò)管理的方法，同時也是簡化對目標訪問的途徑，所以必須對組進行仔細的計劃和控制。

　　Windows操作系統(tǒng)的“賬戶策略”中有一些與口令控制有關(guān)的策略，這些策略適用于該系統(tǒng)中存儲的所有賬戶。例如，用戶可以設(shè)置口令的最短長度、口令的有效期限、當口令失效后是否允許用戶修改其口令、用戶是否可以使用以前用過的口令等。最重要的口令策略是鎖定策略，當在一個指定時間段內(nèi)提供指定次數(shù)的假口令之后，其賬戶將被鎖定而無法再登錄系統(tǒng)。此后按照設(shè)置可以在一段時間后自動解鎖，或由管理員對賬戶解鎖。賬戶的鎖定保護也適用于遠程登錄。

　　賬戶鎖定策略的唯一例外是管理員賬戶Administrator永遠不會被鎖定，至少在域控制器上如此。因此為了安全考慮，應(yīng)該為其取一個較長的、隨機的好口令，并且僅在特別緊急的時候使用。平時，管理員可以用其他的管理賬戶登錄，進行系統(tǒng)的管理，同時把這些賬戶設(shè)置為具有鎖定能力。

　　2 用戶權(quán)限控制

　　用戶權(quán)限是由系統(tǒng)管理員賦予用戶的特殊屬性。只有當用戶擁有所需要的訪問權(quán)限，系統(tǒng)才能滿足用戶所提出的特殊請求。權(quán)限中大多數(shù)與管理有關(guān)，而許多權(quán)限則僅有操作系統(tǒng)自身可使用。一個用戶的權(quán)限可以延伸到用戶在本地或遠程會話過程中運行的所有程序中。

　　用戶的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。權(quán)限控制機制控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源�？梢灾付ㄓ脩魧�這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。權(quán)限控制有兩種實現(xiàn)方式：受托者指派和繼承權(quán)限屏蔽。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限要求。操作系統(tǒng)可以根據(jù)訪問權(quán)限將用戶分為以下幾類：

　　2.1 特殊用戶(即系統(tǒng)管理員)。

　　2.2 一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限。

　　2.3 審計用戶，負責網(wǎng)絡(luò)的安全控制與資源使用情況的審計。

　　操作系統(tǒng)有自己的權(quán)限數(shù)據(jù)庫，其中記錄了在該機上可以使用的各個賬戶的權(quán)限。一個域賬戶在一些機器上有某些權(quán)限，而在另一些機器上則可能具有其他的權(quán)限。

　　其中，遠程登錄和控制本地登錄這兩個權(quán)限具有特殊的重要性。前者允許一個用戶在該系統(tǒng)的鍵盤上登錄系統(tǒng)，而后者可以在該機器上建立遠程會話。它們可以與域結(jié)構(gòu)和本地匹配賬戶策略有效地結(jié)合在一起，用于確定在網(wǎng)絡(luò)范圍內(nèi)可以使用哪些賬戶，使域結(jié)構(gòu)簡單化。

　　在用戶權(quán)限控制的基礎(chǔ)上還可以進一步建立屬性安全控制。在提供文件、目錄、設(shè)備等資源時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性，形成一組網(wǎng)絡(luò)資源安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派的有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、復(fù)制一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、修改、顯示等。

　　3 訪問控制表

　　用戶權(quán)限控制是針對訪問者建立的安全控制措施，而訪問控制表則用于被訪問對象。WindowsNT系統(tǒng)中的每個數(shù)據(jù)對象，如一個用戶的數(shù)據(jù)文件、一臺打印機、一個系統(tǒng)注冊表，或者是用戶不可見的設(shè)備對象，都可以擁有一個訪問控制表。一個訪問控制表指出誰可以用什么方式訪問該對象。通常每個對象的訪問方式是不同的，但一般有這樣一些類型，如讀、寫、刪除、更改對象的訪問控制表，或使自己成為對象的所有者等。如果用戶創(chuàng)建了一個對象，那么用戶就成為該對象的所有者，而且可以改變其訪問控制表。

　　每個目錄的訪問控制表含有WindowsNT在創(chuàng)建文件時所用的默認訪問控制表。注意修改文件的默認訪問控制表，否則可能會出現(xiàn)信息的泄露。例如，某些應(yīng)用程序在與原始文檔相同的目錄下創(chuàng)建了一個臨時文件，臨時文件可能含有原始文檔中的數(shù)據(jù)。多數(shù)應(yīng)用程序都簡單地采用臨時文件上的系統(tǒng)默認訪問控制表。但是如果用戶對原始文檔指定了比其默認訪問控制表更加嚴格的訪問方式，那么臨時文件的訪問方式就顯得寬松了，有可能會泄露數(shù)據(jù)信息。更加嚴重的是，有些程序在編輯和保存文檔時，會建立一個全新的文件，并且使用系統(tǒng)默認的訪問控制表，這時如果用戶改變過原文件的默認訪問控制表，那么新文件的建立會放松對原文件數(shù)據(jù)的訪問控制。

　　4 結(jié)束語

　　WindowsNT在網(wǎng)絡(luò)服務(wù)器訪問控制安全方面有許多特色，并做了許多重要的貢獻，但這不是說WindowsNT的網(wǎng)絡(luò)服務(wù)器訪問控制就是一個非常安全的系統(tǒng)，如果存在錯誤的概念或表面的理解，仍然會在系統(tǒng)安全上出現(xiàn)問題，這也是我們不斷研究網(wǎng)絡(luò)服務(wù)器訪問控制防范和保護網(wǎng)絡(luò)服務(wù)器的目的，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的目的。

　　參考文獻：

　　[1]邢金萍.校園網(wǎng)絡(luò)FTP服務(wù)器用戶權(quán)限管理及訪問控制[J].硅谷，2009，2

　　[2]侯素娟.基于屬性的訪問控制模型及應(yīng)用研究[J].重慶大學(xué)，網(wǎng)絡(luò)出版，2012，3

【網(wǎng)絡(luò)服務(wù)器的訪問控制方法】相關(guān)文章：

基于本體的通用數(shù)據(jù)訪問方法10-05

基于角色訪問控制的OA系統(tǒng)的設(shè)計與實現(xiàn)10-26

計算機網(wǎng)絡(luò)訪問控制技術(shù)10-05

電機噪聲的產(chǎn)生與控制方法10-05

訪問的作文06-03

物業(yè)公司成本控制方法10-05

訪問自然作文11-20

訪問員簡歷模板10-08

計算機維護方式及控制方法論文10-08

淺談物業(yè)管理成本控制現(xiàn)狀與方法10-05