鄭長亮

摘要：服務(wù)器是各項(xiàng)網(wǎng)絡(luò)服務(wù)運(yùn)行所必須的硬件設(shè)備和軟件平臺，對服務(wù)器的安全策略配置能夠從全局層面解決整個服務(wù)器中的所有web服務(wù)的安全問題，既可以節(jié)省重復(fù)配置的工作量，同時對相似應(yīng)用的安全策略也避免了重復(fù)開發(fā)的問題，節(jié)省了額外開發(fā)的開銷；與此同時，這么做還可以集中注意力于核心業(yè)務(wù)的設(shè)計(jì)開發(fā)，提升系統(tǒng)架構(gòu)，提高系統(tǒng)開發(fā)效率。訪問控制技術(shù)作為服務(wù)器對遠(yuǎn)程訪問自己的用戶的首道過濾，從服務(wù)器安全的角度來看是非常重要的，也是必不可少的，通過對用戶的這次過濾，能夠鑒別并防止未授權(quán)用戶的訪問。并通過審計(jì)，服務(wù)器管理員可以對惡意訪問和攻擊行為進(jìn)行進(jìn)一步的原因探查、責(zé)任界定和損失評估，本文重點(diǎn)就以上幾個方面進(jìn)行闡述。

關(guān)鍵詞：數(shù)據(jù)訪問控制；審計(jì)技術(shù)；授權(quán)策略；安全防御；入侵鑒別

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2018）09-0187-02

當(dāng)前，信息安全技術(shù)已經(jīng)不僅僅是原來狹義上的概念了，它不僅包括數(shù)據(jù)通信保密、身份驗(yàn)證、入侵檢測、加密解密等方面；在區(qū)域網(wǎng)絡(luò)內(nèi)部的，為了應(yīng)對不同安全級別和保密級別的數(shù)據(jù)進(jìn)行訪問的安全性問題，訪問控制技術(shù)和審計(jì)技術(shù)應(yīng)運(yùn)而生，通過這些技術(shù)的實(shí)施，可以很大程度上的降低對敏感數(shù)據(jù)的非法入侵與攻擊。在美國的TCSEC（trust computer system evaluation criteria）標(biāo)準(zhǔn)中已經(jīng)明確要求在C2級及以上的數(shù)據(jù)庫系統(tǒng)必須包含審計(jì)功能。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展以及各級各層面對網(wǎng)絡(luò)安全的宣傳教育，業(yè)內(nèi)外人士的網(wǎng)絡(luò)安全意識有了明顯的增強(qiáng)，國內(nèi)也對數(shù)據(jù)訪問控制與審計(jì)的認(rèn)識有所提高，主要是因?yàn)閷徲?jì)技術(shù)不僅可以有效的控制非法人員操作數(shù)據(jù)庫和有效的防止合法人員非法的訪問數(shù)據(jù)，而且可以很大程度減少由于誤操作造成的損失，及時的發(fā)現(xiàn)與分析安全事故原因。

從系統(tǒng)的穩(wěn)定性、安全穩(wěn)定運(yùn)行到高效的運(yùn)行，以及至關(guān)重要的安全性的問題都離不開審計(jì)，所以審計(jì)控制策略的制定對系統(tǒng)的正常運(yùn)行起著決定性作用。實(shí)現(xiàn)與應(yīng)用層協(xié)議分離、細(xì)粒度權(quán)限控制和策略的設(shè)計(jì)通常作為授權(quán)管理的3個重要設(shè)計(jì)目標(biāo)。基于對稱密碼技術(shù)與公鑰密碼技術(shù)原理將對PMI 的研究分為兩大陣營，然而無論是管理的可操作性還是平臺策略的制定難易程度都將對稱密碼技術(shù)拒之于門外，基于公鑰密碼技術(shù)的授權(quán)管理成為研究主流。授權(quán)策略設(shè)計(jì)的目的是使業(yè)務(wù)訪問控制與審計(jì)達(dá)到安全與靈活性的統(tǒng)一。

避免非法訪問可能帶來的數(shù)據(jù)泄漏、更改或破壞是服務(wù)器的安全保障目標(biāo)之一，鑒于數(shù)據(jù)資源的高安全級別標(biāo)準(zhǔn)，需要實(shí)現(xiàn)基于授權(quán)的訪問，同時使用審計(jì)機(jī)制保障服務(wù)器的安全運(yùn)行，如表1所示的Windows系統(tǒng)審計(jì)技術(shù)便是服務(wù)器系統(tǒng)信息安全加固的重要手段。針對分級部署、多級共享的服務(wù)器架構(gòu)，本課題提出了一種基于策略的訪問控制和安全審計(jì)技術(shù)，為服務(wù)器之間的數(shù)據(jù)交換與共享提供了安全性保證。該方法通過在層次式組織機(jī)構(gòu)統(tǒng)一認(rèn)證框架中部署共享服務(wù)器節(jié)點(diǎn)，在分析服務(wù)器不同粒度、類型操作的基礎(chǔ)上建立了跨平臺的訪問控制和審計(jì)策略模型，具有較高的安全防御和入侵鑒別能力。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，基于新一代internet以及移動網(wǎng)絡(luò)的各項(xiàng)業(yè)務(wù)蓬勃發(fā)展，包括飛速增長的在線支付以及重要敏感數(shù)據(jù)傳輸?shù)葮I(yè)務(wù)，這些海量數(shù)據(jù)和基于網(wǎng)絡(luò)的全流程業(yè)務(wù)架構(gòu)，需要更加強(qiáng)大的網(wǎng)絡(luò)安全技術(shù)，否則根本滿足不了日益增長的網(wǎng)絡(luò)應(yīng)用的需求。網(wǎng)絡(luò)安全技術(shù)正在成為各行各業(yè)都無法回避的話題和技術(shù)熱點(diǎn)。綜上所述，基于服務(wù)器授權(quán)訪問控制與審計(jì)技術(shù)的安全技術(shù)對網(wǎng)絡(luò)系統(tǒng)的正常、安全、穩(wěn)定、高效運(yùn)行，具有非常重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]沈晴霓，杜虹，卿斯?jié)h.虛擬可信平臺層次化安全體系結(jié)構(gòu)設(shè)計(jì)[J].北京工業(yè)大學(xué)學(xué)報，2010，（5）：605.

[2]底曉強(qiáng)，等.基于云計(jì)算和虛擬化的計(jì)算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺建設(shè)探索[J].實(shí)驗(yàn)技術(shù)與管理，2015，（4）：147.

[3]LIN，Song.基于Petri網(wǎng)的雙重?cái)?shù)字簽名的描述與驗(yàn)證[J].系統(tǒng)仿真學(xué)報，2008，（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認(rèn)數(shù)字簽名方案[J].計(jì)算機(jī)工程，2007（33）：27-29.

[5]秦家昆.網(wǎng)絡(luò)信息安全防護(hù)[J].技術(shù)與市場，2014，（06）：895-897.