网络访问行为(共7篇)
网络访问行为 篇1
0引言
现有的网络信息安全技术大多将主要精力集中在对外来攻击进行防御性响应上, 而对内网用户可能进行的破坏性行为考虑得较少, 如, 防火墙、入侵检测、安全路由、身份认证等。目前的网络访问行为监控系统主要用于监视、记录并统计网络中的各类操作行为, 对于用户行为特征提取、智能判断用户异常行为的研究还有待加强, 如:网路岗、any@web互联网监控系统、EffeTech HTTP Sniffer等。
本文提出的用户网络访问行为分析系统旨在结合网络监听和数据挖掘技术, 实现对局域网内用户主动访问网络行为进行监控和分析, 研究和实现一种在局域网内用户正常使用网络的同时, 尽量发现和限制他们的异常主动行为的解决方案, 从而建立一个主动的监控防范系统。系统设计的关键在于如何对监听得来的原始行为数据进行用户行为模式信息的提取, 本方案中主要采用了频度分析和关联分析两种数据挖掘方法, 由于涉及的是网络访问行为数据, 需要解决该特定条件下的多维多值关联规则的提取, 因此对传统的关联规则挖掘方法进行了扩充和改进。改进后的方法能够结合系统设计的属性参数及概念划分要求, 提取有价值的关联规则, 有效反映用户的访问行为模式。
1用户网络访问行为分析系统框架
1.1系统实现目标
系统旨在通过网络监听技术采集指定用户的原始主动行为数据, 采用数据挖掘的方法对预处理后的用户行为数据进行用户模式信息的提取, 建立用户正常行为档案。并对模式信息进行管理、更新和维护。对新监听所得的指定用户模式信息与数据库中当前用户的正常模式信息进行比对, 得出各项相似度, 从而进行异常分析。
1.2系统总体框架
1.3主要模块说明
1.3.1 数据采集及解析模块
获取原始数据信息是整个系统的基础。对共享式以太网可利用网卡混杂工作模式接收数据包, 对于交换式以太网可以通过主交换机上的Port Mirror或者分光器等方法, 获得所需要监听的用户网络流量, 目前实现的系统工作于共享式以太网, 并借助了WinPcap开发包来完成对原始数据的采集与解析。对采集到的网络流量进行分层协议投影, 获取如源地址、源端口、目的地址、目的端口、包长、时间戳、传输层标志位等基本信息。
1.3.2 数据预处理模块
数据预处理模块要为下一步的模式生成做好准备, 其完成的主要工作是用户行为关键属性的提取与属性值归类。要想提取有效的用户行为模式首先要设计好用户行为的有效描述, 然后对其进行模式的挖掘处理。本系统对数据采集模块获得的原始行为信息经过属性筛选后采用了四元组{T, S, B, Q}来描述原始用户行为, 即用户使用网络时间 (T) 、访问的站点 (S) 、具体访问行为 (B) 和该访问操作的数据流量 (Q) 。
例如, 用户行为的某条记录为:{2005:12:20:20:50:15, 202.122.8.4, 80, 54}, 如果对这样的记录组成的事务集进行挖掘, 计算量巨大, 挖掘出的结果也没有现实意义。因此, 还有一项很重要的工作就是给属性值划分归类。本方案中将本身连续的属性值 (如访问时间属性) 划分为离散的几个区间, 将离散的属性值 (如访问的站点地址) 规划为不同的类型, 从而减少了属性值的数量, 提高了属性值的内涵, 方便数据挖掘的过程, 尤其是对后文介绍的关联规则的提取意义重大, 可以使规则数量有限, 提升规则的价值度。本系统中我们将时间属性概化为:上午、下午、晚间等几个时段, 将站点按主题分为:门户、搜索、教育、娱乐、聊天、安全等类型, 将数据包长度分为:small (length<=300) 、middle (300<length<=1000) 、big (1000<length<=1500) 等种类。经过这一过程, 上述用户行为记录则可演变成四元组{晚间, 娱乐类, WWW, small}。
1.3.3 模式生成与更新模块
模式生成是对预处理后的训练数据集进行数据挖掘工作, 提取出有价值的用户正常行为模式的过程。本方案中采用了频度分析和关联分析两种数据挖掘方法。频度分析用来提取用户行为的统计概貌特征, 包括某个时间段内的访问站点类型连接统计和协议流量统计, 表现用户主动行为轮廓。关联分析用来提取用户行为各属性间的关联规则特征, 本系统涉及的是多维多值属性关联规则提取的问题, 下文将具体介绍。
对于模式更新的设计采用了动态建模和静态建模相结合的方式。一方面设计合适的训练算法, 在系统运行阶段, 动态地更新模式库, 另一方面也给系统管理员提供控制接口, 允许其在必要的时候手工建立和更新行为模式库。
1.3.4 模式比对与异常识别模块
对需检测的数据按正常行为模式挖掘同样的方法提取出用户行为特征并与模式特征进行比对, 进行相似度计算, 确定异常等级。
2关联规则提取问题分析与算法设计
2.1问题分析
用户网络访问行为分析系统采用数据挖掘的方法进行用户行为模式提取的一项重要内容是对用户行为各属性之间关联规则的提取, 通过上文对模式生成模块的介绍可以看出, 本系统所要解决的是多维多值属性关联规则的提取问题。所谓多维多值属性关联规则是对应传统的单维布尔型关联规则来说的, 关联规则根据属性的个数分为一维和多维, 根据属性的数据类型分为布尔型、数量型等等, 而多值属性可分为数值属性, 如年龄、价格等;类别属性如品牌、制造商等。本课题中讨论的是用户行为各属性之间的关系, 所以它是多维的, 各个属性就代表了不同的领域, 属性值则从单维的布尔量变为了多值量, 比如访问时间 (T) , 它的取值是连续的时间值, 访问站点 (S) , 它的取值是离散的各个站点地址。
从以布尔量描述的数据中挖掘关联规则已经有比较成熟的方法, 对于多值量则可首先将其转化为布尔型的数据再进行处理。在本系统中根据用户行为数据本身的情况和系统要求设计了多值量的划分, 将时间属性概化为:上午、下午、晚间等时段, 将站点分为:门户、搜索、教育、娱乐、聊天、安全等类型, 将数据包长度分为:small、middle、big等种类。在预处理阶段对原始行为数据都对照以上分类完成了属性值规划, 进而将划分后的每个区间映射为一个布尔属性, 在此基础上可挖掘出更易理解的、具有概括性的、有效的关联规则。由于系统中要获得的是各个指定用户的行为模式, 即规则的前件就是指定的用户, 因此只需挖掘出该用户训练数据集中的所有频繁项集作为关联规则的后件即可。以往用来解决单维布尔型关联规则的频繁项集发现算法中最经典的是Apriori算法。本课题对此算法进行了扩展, 设计并实现了解决类似的多维多值属性关联规则提取最大频繁项目集的算法MDMQ-Apriori。
2.2MDMQ-Apriori算法
定义1 设关系R有属性集A={a1, a2, …, am}, m表示关系R的属性维数, 属性a的基本项目集为I (a) , 令
定义2 关联规则挖掘的数据集记为D (事务数据库) , D={t1, t2, …, tk, …, tn}, tk={ i1, i2, …, im } (field (ip) =I (ap) , (p=1, 2, …, m) ) 称为事务, 其中ip (p=1, 2, …, m) 称为项目, field (ip) 函数表示项目ip所属的属性维。
定义3 I的任何限定条件子集X称为D中的项目集 (限定条件为X中的每一元素分属于不同的属性维) , |X|=k称为集合X为k项目集。设tk和X分别为D中的事务和项目集, 如果X⊆tk, 称事务tk包含项目集X。每一个事务都有一个唯一的标识符, 称为TID。
定义4 数据集D中包含项目集X的事务数称为项目集X的支持数, 记为Ox。项目集X的支持度记为support (X) :
supprot
其中|D|是数据集D的事务数, 若support (X) 不小于用户指定的最小支持度, 则称X为频繁项目集, 简称频集, 否则称X为非频繁项目集, 简称非频集。
下面给出MDMQ-Apriori算法。由于对应的是多维属性, 算法中所涉及的k阶项目集中的各个项目所包含的k个元素均来自于不同的属性维。算法的第一次遍历分别计算出各个属性维内部的每个项目的具体值的数量, 以确定频繁1项目集。随后的遍历, 第k次遍历, 包括两个阶段。首先, 使用在第 (k-1) 次遍历中找到的频繁项目集Lk-1和Mdmq-apriori-gen函数产生候选项目集Ck。接着扫描数据库, 计算Ck中候选的支持度。
MDMQ-Apriori算法描述:
MDMQ-Apriori候选产生函数mdmq-apriori-gen的参数为Lk-1, 即所有大型 (k-1) 项目集的集合。随后分连接和修剪两步进行。在连接步骤将两个Lk-1项目相连接获得候选的最终集合的一个超集Ck;在修剪步骤将删除所有的项目集c∈Ck, 如果c的一些 (k-1) 子集不在Lk-1中。
2.3关联规则提取效果
下面举例说明用户网络访问行为分析中多维多值关联规则的提取过程与结果见图2。
用户行为数据集 (图2 (a) ) 含有三个属性:访问时间、访问站点、包长。对时间和包长均采用一维序数间隙分划, 对访问站点借助事先建立的数据库中的站点分类表进行类别分划, 可得到分划表 (图2 (b) 、 (c) 、 (d) ) , 并可表示为布尔型关联规则的发现问题 (图2 (f) ) , 由此可通过MDMQ-Apriori算法挖掘出图2 (g) 中的关联规则。
3结论
本文以基于数据挖掘的用户主动行为分析系统为背景, 提出了系统设计和实现过程中的一项关键内容, 即对用户网络流量信息的各属性项之间关联规则的提取, 通过对这一问题的分析和解决, 提出了一种解决多维多值关联规则提取问题的方案, 并在传统单值布尔型关联规则挖掘最大频繁项目集Apriori算法的基础上形成了具有通用性的MDMQ-Apriori核心算法, 可以在各个领域很好地满足多维多值关联规则提取问题的需求。
参考文献
[1]缪红保, 李卫.基于数据挖掘的用户安全行为分析[J].计算机应用研究, 2005, 30 (2) :105-107.
[2]宋世杰, 胡华平, 胡笑蕾, 等.数据挖掘技术在网络型入侵检测系统中的应用[J].计算机应用, 2003, 23 (12) ;20-23.
[3]朱玉全, 孙志挥, 季小俊.基于频繁模式树的关联规则增量式更新算法[J].计算机学报, 2003, 26 (1) :91-96.
[4]Lee W.A Data Mining Framework for Constructing Feature and Modelfor Intrusion Detection System[D].Graduate School of Arts and Sci-ences, Columbia University, 1999.
[5]Hay B, et al.Clustering Navigation Patterns on a Website Using a Se-quence Alignment Method[C].Proc.International Joint Conference onArtificial Intelligence, Seattle, Washington DC, 2001:1-6.
网络访问行为 篇2
随着信息技术与网络技术的高速发展, 给人们的工作和日常生活带来便利的同时也带来了大量的安全隐患。对数据的及时性与安全性要求很高的医院信息系统, 面对日益猖獗的病毒与木马以及各种网络攻击手段, 内网的安全性和可靠性是急需解决的问题。
传统的基于RBAC模型[4]的网络访问控制技术在可靠性、易用性、高效性等方面表现出色, 但是在动态调整的灵活性方面出现了不足, 主要表现在以下两个方面: (1) RBAC模型建立在主体-客体访问控制思想上, 采用静态授权方式, 缺乏对角色权限的动态调整能力。 (2) 访问控制策略必须人工定义, 不能根据网络状态的变化进行自增学习。
针对以上的问题, 本文参考了基于行为的网络访问控制技术 (Behavior-Based Network Access Control, BB-NAC) [2,3]的思想, 提出了RB-NAC机制, 其核心思想是建立角色模型来划定权限集, 建立行为簇来动态调整用户权限。RB-NAC弥补了RBAC-based NAC的缺陷, 并加强了对用户实时行为的监控。
二、基于角色与行为的访问控制机制 (RB-NAC) 2.1 RB-NAC的访问控制策略
RB-NAC核心思想是以角色模型来划定权限集, 利用行为簇来动态调整用户可使用的权限, 其体系结构如图1所示。
RB-NAC的访问控制策略主要包括两部分内容: (1) 建立角色访问控制模型 (2) 建立行为簇动态调整用户的权限范围。
1. 建立角色模型主要包括:
定义系统角色, 为角色分配权限, 为用户分配适当的角色。这些操作可以由高级管理员或者某些合适的代理角色来完成。可以利用现有的RBAC模型及其改进版本 (例如ARBAC97) 来建立RB-NAC中的角色模型。RB-NAC具有很强的扩展性, 现有的RBAC-based NAC经过修改后可以很容易的扩展成RB-NAC。
2. 建立行为簇, 根据用户的网络行为动态决定用户可使用的权限, 主要包含三个部分:
分簇[1,5]、计算阈值、动态调整。
(1) 分簇:为每个角色建立簇组, 并为每个簇分配适合的权限。例如, 在角色r中, 其权限集合记为Q, 为角色r建立4个行为簇, 分别标记为c1, c2, c3, c4, 并为每个簇分配适当的权限记为q1, q2, q3, q4, 且每个行为簇都对应一组相似的用户行为特征。每个用户根据其网络行为特征被分配到适当的簇中, 并具有该簇的权限。簇的划分策略, 即用户的行为特征与簇的对应关系可以根据不同的需求来设计。
在准备阶段, 系统需要收集用户的网络行为信息作为动态归簇的依据, 这些信息被称之为行为档案 (behavior profiles) , 简称为BP。BP中包含的是一系列的网络行为的特征值, 例如, 针对80端口的行为的特征值可以是连接不同IPs的总数量、数据包的总数、每个数据流的大小等等。将每个接入设备的BP用一个矢量pi来代表:pi={pi[0], pi[1], …pi[n]}, 其中每个pi[l]代表特征l的平均值l=0..n。系统在准备阶段采集足够多的样本数据, 分布在各个簇中并作为系统的初始数据使用。
(2) 计算阈值:完成分簇之后就获得了簇的信息以及每个簇中的样本数据, NAC的执行点开始计算每个设备的阈值。阈值代表每个设备与同簇中的其他设备之间的最大距离, 如图2所示。在RB-NAC中使用BP代表设备计算阈值, 这些阈值在之后的动态访问控制中起到至关重要的作用。对于每个pi来说, 其阈值的计算公式如下所示:
pi与pj代表两个BP, n代表特征值的数量。公式1用来计算pi与pj之间的距离, 也就是pi与pj之间的相似度。公式2用来计算每个pi的阈值, q代表pi所属的簇中的BP的个数, d代表使用公式1所计算出来的pi, pj之间的距离。
(3) 动态访问控制
完成分簇与计算阈值的工作之后, 系统进入动态访问控制阶段。动态访问控制主要处理两类设备, 一类是新设备 (未提交BP) , 另一类是存量设备 (已提交BP) 。新设备刚进入时系统还无法获知其BP的信息, 可以在簇组中设置一个通用簇用来做过度之用。系统在后续的权限使用过程中, 将新设备的行为特征记下, 并在适当的时候提交BP, 然后分析归簇。进行归簇时, NAC的执行点用公式3计算与新设备的BP最接近的簇 (如图3所示) 。
公式3
其中k代表簇中BP的数目, pnew代表新设备的BP, c[i]代表每个簇i的中心, c[i]的计算过程如公式4所示:
其中cn代表第n个特征值的平均数, q代表簇i中BP的数量。
选出最近的簇之后, 由簇中的所有成员进行投票表决是否接受新设备加入到网络中, 如图3所示。投票的结果决定是否同意让新成员加入。投票的方法按照公式5进行:
其中, q代表簇中成员的个数, ti是pi的阈值 (由之前计算得到) 。v代表投票的结果值, 如果系统要求簇中至少60%的成员投赞成票才允许新设备进入, 则v必须大于0.6。对于存量设备, 当设备经过一段时间后其BP可能发生变化, 这时系统将更新之后的BP提交给NAC执行点, 由NAC执行点通过公式3~5对其进行归簇计算。
2.2增量学习
RB-NAC主要针对访问设备行为信息 (即BP) 进行增量学习。对于新设备, 还未提交BP不能参与簇内的投票, 只有当其提交BP并执行归簇之后才能参与投票。新设备的BP自动添加到所属的簇中, 更新簇的BP集合。对于存量设备, 当其BP信息发生改变时需要重新进行归簇计算, 将旧的BP从原来的簇中删除, 并将更新后的BP添加到新簇的BP集合中。RB-NAC采用增量学习的方式自动对动态归簇策略进行调整已符合当前网络的状态, 提高了系统的灵活性与可靠性。
三、应用实例分析
医院内部某用户拥有对服务器资源进行各种业务操作的权限, 然而在某个阶段, 该用户的设备因感染了病毒而对服务器发起大量的恶意行为, 此时RB-NAC系统检测并发现此攻击行为, 根据其行为的特征将其划分到特定的簇中 (例如簇A) , 由于处于簇A中的设备被限定了一部分的核心权限 (比如访问网络的权限) , 因而可以有效的控制住该设备试图造成的危害, 同时簇A中还保留了该设备其他一部分权限, 在控制用户的异常行为的同时还适当保留了用户的一些基本操作权限。依据用户的行为在簇组内做动态调整从而分配或限制用户的权限, 这种设计方案使得权限随着网络行为的安全等级做动态调整, 提高了系统的灵活性。
四、总结
本文提出了一种基于角色与行为的访问控制机制:RB-NAC机制, 其核心思想是以角色模型来划定权限集, 利用行为簇来动态调整用户可使用的权限, 克服了RBAC-based NAC在动态权限调整方面的缺陷。RB-NAC利用行为簇分配或限制了用户的权限, 并利用用户实时的网络行为特征的变化, 对用户进行动态归簇, 提高了系统的灵活性。此外RB-NAC还能自动完成增量学习, 无需人工干预就能适应多变的网络环境。综上所述RB_NAC机制能有效的加强医院内网的安全性与可靠性。
参考文献
[1]许春根, 黄生, 一种新型的基于角色访问控制的角色管理, 计算机工程, 2003, 29 (8) :26-29
[2]V.Frias-Martinez, S.Stolfo, and A.Keromytis, “Behav-ior-based network access control:A proof-of-concept, ”in Infor-mation Security Conference (ISC) , 2008.
[3]Vanessa Frias-Martinez, Joseph Sherrick, Salvatore J.Stolfo, Angelos D.Keromytis, “A network access control mechanism basedon behavior profiles”, in Annual Computer Security ApplicationsConference (ACSAC) , 2009.
[4]Sandhu R, Coyne E, Feinstein H, et a1.Role-based accesscontrol model[s J].IEEE Computer, 1996, 29 (2) :38—47.
IP网络让存储自由访问 篇3
直连式存储DAS(Direct Attached Storage)就是服务器与存储使用SCSI直接连接,服务器独自占有与之直连得存储。SCSI是连接存储设备与服务器的最通用的方法,产生于1979年,是支持一到两个磁盘的8-bit的并行总线接口。这一协议不断发展,直至成为其他存储相关技术的基础。DAS结构由于信息孤岛、访问受限、存储资源利用率低等缺点不适应网络应用对存储和信息获取的需求
2 NAS与SAN
网络存储技术的发展产生了两种主要的、同时又相互竞争的技术,以网络为中心、采用局域网或广域网的网络连接存储NAS(Network Attached Storage)和以数据为中心的、采用专用的存储网络的存储区域网SAN(Storage Area Networks)。
网络连接存储NAS是一种基于文件级别的存储,存储设备直接连接到局域网上。它可以为完全不同类型的计算机提供文件存取能力。NAS包括一个特殊的文件服务器和存储,因此,NAS是一个设备,而不是一个网络设施,NAS利用TCP/IP协议,在网络上收发数据。存储区域网SAN是一种通过光纤集线器、光纤路由器、光纤交换机等不同的连接设备构成光纤通道网络,将存储与服务器连接起来的高速专用子网。一个存储区域网是一个用在服务器和存储资源之间的,专用的,高性能的网络体系。它为了实现大量原始数据的传输而进行了专门的优化。因此,可以把SAN看成是对SCSI协议在长距离应用上的扩展。SAN与NAS都是网络存储,它们所采用的协议不同,彼此的技术也完全不同。SAN通常采用FC技术进行互联,而NAS使用IP技术。SAN与NAS相比,最明显的优点是SAN与LAN分离,SAN的传输速度比LAN快得多,另外,SAN将LAN从繁重的数据备份工作中解脱出来,从而优化了LAN的性能。
3 IP SAN
SAN以光纤通道为基础实现存储设备的共享,其高昂的建设成本为企业架设了很高的门槛;与之相比,NAS技术虽然成本低廉,但是受到带宽消耗的限制,无法完成大容量存储的应用,且难以满足开放性的要求。面对SAN的巨大投资和NAS对网络的要求,稳定的IP网络技术和飞速发展的IP网络,催生了IP SAN,IPSAN逐渐发展成熟,为企业信息访问和数据存储增添了新的方案。
IP SAN可以利用无所不在的IP网络,在一定程度上保护了现有投资;使用相同的网络维护人员能力,降低了维护成本;IP SAN超越了地理距离的限制,这一特点十分适合对现存关键数据的远程备份。同时,由于IP网络技术十分成熟,因此相应地减少了IP SAN在配置、维护和管理等方面的复杂度。
IP SAN是指基于以太网的块存储,目前主要包括三个基本协议:i SCSI、i FCP和FCIP,目前i SCSI技术应用较多。
3.1 i SCSI。
2003年2月11日,IETF(Internet Engineering Task Force,互联网工程任务组)通过了i SCSI(Internet SCSI)标准,这项由IBM、Cisco共同发起的技术标准,经过三年20个版本的不断完善,终于得到IETF认可。i SCSI协议定义了在TCP/IP网络发送、接收block(数据块)级的存储数据的规则和方法。SCSI指令被压缩到i SCSI协议数据单元(PDU)中,IETF定义了i SCSI协议的传输需要TCP作为其底层协议,一旦加上了TCP/IP包头后,压缩的SCSI指令就被封装成象其他IP包一样的数据包。这样SCSI指令就可以在IP架构中根据IP地址路由到其目的地址。目的地址的设备接收到数据包后,在依次去掉各层的包头,最后还原为原来的SCSI指令,发送到SCSI设备层,这样源和目的地址的设备就像是在本地一样,可以相互通讯。而整个过程在用户看来,使用远端的存储设备就象访问本地的SCSI设备一样简单。
图1显示出SCSI如何通过i SCSI层映射到TCP/IP,使SCSI脱离其并行总线结构。
图2显示了一个包含i SCSI的简单协议堆栈,由图示,i SCSI协议定义在ISO七层协议的应用层。标准SCSI命令集的使用促进了现有操作系统与它上面的应用之间的互操作性。而标准TCP/IP网络的使用则提供了通向全球IP设施的途径。
i SCSI技术最重要的贡献在于其对传统技术的继承和发展上:其一,SCSI技术是被磁盘、磁带等设备广泛采用的存储标准,从1986年诞生起到现在仍然保持着良好的发展势头;其二,沿用TCP/IP协议,TCP/IP在网络方面是最通用、最成熟的协议,且IP网络的基础建设非常完善。这两点为i SCSI的无限扩展提供了夯实的基础。
3.2 FCIP。
FCIP是Fiber Channel over IP的标准协议,是一个将FC的数据帧完整地包装以便其通过TCP/IP网络的简单的隧道协议。Fiber Channel命令和数据封装在TCP/IP数据包内,从而在IP网络上传输Fiber Channel命令和数据。
FCIP协议利用FCP FC-4实现了FC帧的TCP封装。在FCIP网关中,当接收到本地FC终端设备的FC数据帧时,FCIP保留从FC-0到FC-2的信息,然后将FC-4中与上层协议的映射信息,改为FCP与IP协议的映射信息,再封装上目标的TCP/IP信息,并通过IP网络向目标发送。同样,在目标网络中的FCIP网关接收到来自IP网络的源数据帧时,去掉TCP/IP的封装信息,然后将FCP与IP协议的映射信息,改为上层协议的映射信息,并封装到FC-4层中向FC交换网络发送。FCIP中也包含部分最小限度的IP内容,用以描述FC的扩展及固有的策略信息。
3.3 i FCP。
Internet光纤信道协议(Internet Fibre Channel Protocol,i FCP)是基于TCP/IP网络运行光纤信道(Fibre Channel)通信的标准,2002年3月正式推出,它使用UDP替代TCP用于底层传输。i FCP的工作原理为:将Fibre Channel数据以IP包形式封装,并将IP地址映射到分离Fibre Channel设备。由于在IP网中每类Fibre Channel设备都有其独特标识,因而能够与位于IP网其它节点的设备单独进行存储数据收发。Fibre Channel信号在i FCP网关处终止,信号转换后存储通信在IP网中进行,这样i FCP就打破了传统Fibre Channel网的距离(约为10公里)限制。
i FCP有别于FCIP(Fibre Channel over IP,即基于IP的光纤信道标准)。FCIP为一类简单的隧道协议,它能将两个Fibre Channel网连接起来,形成更大的光纤交换网。FCIP类似于用于扩展第2层网络的桥接解决方案,它本身不具备i FCP特有的故障隔离功能。
通过运用内建的TCP拥塞控制、错误检测以及故障修复机制,i FCP同样能在Fibre Channel网中进行完整的错误控制。所有情况下的错误控制都在会话层进行,因而不会对其它设备间潜在的存储通信产生任何影响。
4 结论
飞速发展的网络技术和存储技术为企业的IT系统提供了自有、广阔的选择,由DAS到NAS和SAN,网络存储发展到IP SAN,还会有新的方向、新的技术不断推出。每个企业都有自己的实际情况和需求,NAS、SAN、IP SAN等技术以及相应的解决方案就如大海中的珍珠等待我们去采摘。
摘要:市场全球化,向每一个企业提出了如何让它们的业务数据在任何时候都能够在遍布全球的IP网络上可用的挑战,基于因特网的商业模式的爆炸性增长给信息的获取和存储技术带来了新的挑战;同时,完善的系统容灾需要高速、长距离的存储访问。因此,传统的直连式存储(DAS)已经逐渐被网络访问技术所替代,并向着IP SAN演进。阐述了目前已经日趋成熟的网络存储技术NAS和SAN,并针对SAN的高建设成本,引入了开放网络存储IP SAN,重点介绍了实现IP SAN的存储网络的新技术-ISCSI、FCIP、IFCP。正逐步扩大着在网络存储市场的应用和不断发展的存储网络技术,为企业IT系统描绘了信息整合和系统容灾的美好前景。
基于路由和远程访问的网络安全 篇4
1 网络环境介绍
医院门户网站的数据有两种。一种是静态数据, 这种数据不需要与医院内网数据库进行交互;另一种是动态数据, 这种数据需要与医院内网数据库进行交互。我们把门户网站中有与医院内网数据库进行数据交互的服务 (可能存在漏洞又不能及时解决的服务) , 独立部署在医院业务网站服务器上。在医院业务网站服务器安装2张网卡, 其中1张网卡与互联网门户网站服务器直连, 另外1张网卡与内网的安全隔离设备连接, 通过安全隔离设备与医院内网数据库交互数据。在医院业务网站服务器前端增设1台互联网门户网站服务器充当前置机, 互联网门户网站服务器安装2张网卡, 1张网卡与医院业务网站服务器直连, 另1张网卡与互联网的路由解析器相连, 再接入互联网。网络环境与部署, 见图1。
2 医院业务网站服务器的安全
使用2台不同网段服务器保障医院业务安全。访问互联网门户网站服务器, 通过公布在互联网的域名则能访问到医院的门户网站, 即访问静态数据。如果访问域名加端口号网站, 则会根据路由解析设备做的端口配置, 及路由和远程访问做的配置进行地址转换来访问医院业务网站服务器所部属的网站。这样通过互联网门户网站服务器就能够访问到医院业务网站服务器的数据, 同时医院业务网站服务器也没有直接暴露在互联网下, 即不能直接从互联网访问到医院业务网站服务器的网站, 这在一定程度上保证了医院业务网站服务器的安全。
3 地址转换配置
3.1 路由解析设备的端口配置
路由解析设备的端口配置是对要访问的医院业务网站服务器的端口号进行地址映射[3]。即在端口配置中添加1条配置, 如端口号为8080, 映射到所需访问的网段192.168.19.0 (与医院业务网站服务器网卡1同一网段) 中指定IP地址192.168.19.112, 再添加1条静态路由记录, IP为192.168.19.0, 网关为192.168.1.5 (与互联网门户网站服务器网卡1同地址) 。当访问域名加上端口号时, 路由解析设备就会根据设置好的记录跳转到互联网门户网站服务器的网卡2段中[4]。然后再根据路由和远程访问的配置进行下一步跳转。
3.2 路由和远程访问的配置
在互联网门户网站服务器打开管理工具菜单, 双击“路由和远程访问”, 选择本地服务器的名称, 右键点击“配置并启用路由和远程访问”, 然后根据提示点击下一步, 选择“自定义配置”选项, 点击下一步, 选择“NAT和基本防火墙”, 点击下一步, 再根据提示点击完成, 即已启用路由和远程访问的服务。
我们将互联网网站服务器网卡1命名为Internet, 网卡2命名为Internet-zhilian。在IP路由选择中选择“静态路由”, 右键点击“新建静态路由”。如选择接口Internet, 目标为192.168.1.0网段, 网络掩码为255.255.255.0, 网关为192.168.1.1, 建立Internet静态路由;同样, 选择接口internet-zhilian, 目标为192.168.19.0网段, 网络掩码为255.255.255.0, 网关为192.168.19.122, 建立Internet-zhilian静态路。其界面图, 见图3~4。
在IP路由选择中选择“IGMP”, 右键点击“新增接口”, 选择接口Internet, 点击确定, 启用IGMP属性;同样, 选择接口Internet-zhilian, 启用Internet-zhilian IGMP属性。IGMP属性界面图, 见图5~6。
在IP路由选择中选择“NAT/基本防火墙”, 右键点击“新增接口”, 选择接口Internet, 点击确定, 选择“专用接口连接到专用网络”, 点击确定;同样右键点击“新增接口”, 选择接口Internet-zhilian, 点击确定, 选择“公用接口连接到Internet”, 再选择“在此接口启用NAT”, 点击确定[5]。NAT/基本防火墙示介面图, 见图7~8。
通过上述4个步骤的配置, 即可完成访问域名加端口号从互联网门户网站服务器跳转到访问医院业务服务器。
4 结语
利用路由解析设备及配置Windows server 2003自带的路由和远程访问服务进行配置, 能及时有效地解决防火墙等物理防护设备紧缺时存在的网络安全隐患[6,7,8]。通过系统自带的路由和远程访问服务进行配置能有效地隐藏互联网网站服务器与医院业务网站服务器直连网段, 使医院业务网站服务器没有直接暴露在互联网下, 在一定程度上保障了医院业务网站服务器的安全。
参考文献
[1]陈国耿.利用NAT实现医院局域网连接INTERNET[J].实用医技杂志, 2006, 13 (5) :831-832.
[2]贺抒, 梁昔明.NAT技术分析及其在防火墙中的应用[J].微计算机信息, 2005, (1) :167-168.
[3]李翔, 唐慧.NAT在配置医院连接医保数据中心的应用[J].医疗卫生装备, 2009, 30 (11) :46-47.
[4]刘风华, 丁贺龙, 张永平.关于NAT技术的研究与应用[J].计算机工程与设计, 2006, 27 (10) :1814-1817.
[5]龚晓华.基于NAT的网络防护技术及安全网关的研究[J].电脑知识与技术, 2009, 5 (21) :5676-5677.
[6]欧志文, 伍平阳, 罗志恒, 等.多线路接入医院网络实现多种应用的实践研究[J].中国医疗设备, 2013, 28 (7) :40-42.
[7]谢希仁.计算机网络[M].北京:电子工业出版社, 2010:171-175.
网络访问行为 篇5
采用多层次的防护体系,在各个层次上部署相关的网络安全产品,集成先进的安全技术,建立一个全方位的安全系统,是当今企业普遍采用的网络安全防护策略。一个完整的防护体系,除了有防火墙、入侵检测、漏洞评估、VPN、防病毒等系统外,还必须有访问控制策略,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,它是保证网络访问安全最重要的核心策略之一。
为了实现网络访问安全,相信不少人平时都勤于研究、善于总结,摸索出了许许多多有效的网络访问安全控制经验,在这些经验体会的指导下,在控制网络访问安全方面的确取得了一定的成效。可是,对这些经验、体会进行仔细推敲后,不难发现其中有很多都必须通过外力工具才能完成,要是手头没有现成专业工具可以使用的情况下,又该如何有效控制网络访问安全呢?事实上,只需加强对主机系统账号的管理与安全设置,同样也能够有效控制网络访问安全。
2 系统账号的管理与安全设置
2.1 取消组用户网络访问权
很多时候,网络管理员为了图管理方便,往往会对某一组用户集中授权,这样虽然提高了网络管理效率,但是这也给网络安全带来了潜在的威胁,因为一些木马程序会偷偷将自己创建的用户账号,加入到访问权限比较高的组用户中,这样一来木马程序就能轻易获得非法攻击权限。有鉴于此,需要在重要的主机系统或服务器系统中,取消组用户网络访问权,下面就是具体的操作步骤:
首先打开重要主机系统或服务器系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行框中,执行“gpedit.msc”字符串命令,弹出组策略控制台界面。
其次展开该控制台界面中的“计算机配置”节点,再打开该节点下面的“Windows设置”目录,从中依次点选“安全设置”、“本地策略”、“用户权限分配”子目录,在目标子目录下面找到组策略选项“从网络访问此计算机”,同时用鼠标双击该选项,弹出如图1所示的选项设置对话框。
在这里,会发现各个普通用户以及组用户的身影,这些用户在默认状态下都具有一定的网络访问权限;为了控制网络访问安全性,必须将自己认为可疑的组用户选中,同时单击“删除”按钮,最后点击“确定”按钮保存好上述设置操作,这样隐藏在特定组中的木马程序创建的用户就不能通过网络来随意访问本地系统了。
2.2 为新用户设置合适权限
如果有一些可信任的新用户需要通过网络访问本地服务器系统,那么需要在服务器系统中单独创建一个新用户,并为新用户设置适当的访问权限。要做到这一点,可以先打开服务器系统的控制面板窗口,双击其中的“管理工具”图标,再在管理工具列表中双击“计算机管理”图标,弹出计算机管理窗口;展开左侧区域的“本地用户和组”节点,从中选择“用户”选项,同时用鼠标右键单击“用户”选项,并点选右键菜单中的“新用户”命令,弹出如图2所示的创建对话框。在这里,必须设置好新用户的名称以及密码,特别是要将密码设置得稍微复杂一些,以防止这个用户账号被他人轻易暴力破解;当然,在这里不要轻易将新用户账号添加到
其他组用户中。
接下来,再打开服务器系统的资源管理器窗口,从中找到新用户需要访问的目标资源文件夹,同时用鼠标右键单击该文件夹图标,并点选快捷菜单中的“属性”命令,弹出目标文件夹的属性设置对话框;单击其中的“安全”标签,在对应标签设置页面中,单击“添加”按钮,打开用户账号选择对话框,从中将之前创建好的新用户账号选中并添加进来,最后再将合适的访问权限一并授予给新用户。
2.3 让特定用户拥有控制权限
为了方便管理网络,很多时候都需要通过网络,对局域网中的重要主机系统进行远程控制;可是,随意开启远程控制功能,容易给服务器或重要主机系统带来安全威胁。有鉴于此,应该按照如下操作步骤,将远程控制权限授予值得信任的特别用户:
首先在需要被远程控制的主机系统中,用鼠标右键单击桌面上的“我的电脑”图标,并点选快捷菜单中的“管理”命令,弹出对应系统的计算机管理窗口,将鼠标定位于该窗口左侧的“系统工具”节点上,再依次展开该节点下面的“本地用户和组”、“用户”选项,从用户列表中找到有权进行远程控制本机的特定用户,用鼠标右键单击该特定用户选项,并执行快捷菜单中的“属性”命令,弹出特定用户的属性设置对话框;
其次单击该对话框中的“隶属于”标签,弹出如图3所示的标签设置页面,检查该页面中是否包含“Remote Desktop Users”组用户选项,如果没有的话,直接单击“添加”按钮,再逐一单击“高级”、“立即查找”按钮,将“Remote Desktop Users”组用户选中并添加进来,最后单击“确定”按钮执行设置保存操作,这样特定用户就拥有远程控制本地服务器系统的权限了。
当然,还能通过另外一种方法,让特定用户拥有控制权限,具体操作方法是:先右击“我的电脑”,点选右键菜单中的“属性”命令,弹出系统属性对话框,单击“远程”选项卡,在远程选项设置页面中,单击“择远程用户”按钮,再单击“添加”按钮,将特定用户的账号选中并添加进来。
2.4 强制对用户进行网络验证
很多时候,网络管理员在进行远程管理操作时,为了图方便,不设置远程登录密码,日后他们在进行远程控制操作时,就不需要进行网络验证,就能直接登录进入局域网服务器系统了,很显然这对服务器系统来说是非常危险的。为了保证远程控制的安全,需要想办法强制对用户进行网络验证,下面就是具体的设置步骤:首先在服务器系统中依次点选“开始”、“运行”选项,打开对应系统的运行文本框,在其中执行“regedit”字符串命令,弹出注册表控制台界面;依次展开该界面左侧的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon,将“Winlogon”子项下面的“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”键值全部选中并删除掉。
其次再打开服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行框中执行“control userpasswords2”命令,进入用户账户设置对话框;点选“用户”选项卡,选中需要对服务器系统进行远程控制的特定账号,再将“要使用本机,用户必须输入用户和密码”选项选中(如图4所示),最后单击“确定”按钮执行设置保存操作,这样服务器系统日后就会强制对用户进行网络验证操作了。
为了更进一步地控制网络访问安全,Windows Server 2008服务器系统特意提出了网络身份验证功能,这种功能强制用户必须在安全性能更高的Windows Vista以上版本的计算机系统中,才能有权利对服务器系统进行远程控制操作,要启用该功能时可以按照如下方法进行操作:
首先依次点选Windows Server 2008服务器系统的“开始”/“设置”/“控制面板”选项,弹出系统控制面板窗口,逐一点选其中的“系统和维护”、“系统”图标,再单击其后界面左侧列表中的“远程设置”按钮,弹出远程设置对话框;将该对话框中的“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项选中,这样我们就能将服务器系统的网络身份验证功能成功启用起来了,日后远程控制用户只有从安全性能更高的计算机系统中,才能有资格对服务器系统进行远程控制操作。
2.5 监控用户账号登录状态
为了防止非法用户偷偷登录服务器系统,Windows Server2008新增加了监控用户账号登录功能,巧妙地利用该功能,可以及时找到潜在的安全隐患,保证服务器系统始终能够稳定地运行。要启用监控用户账号登录功能,可以按照如下步骤进行操作:
首先打开Windows Server 2008系统的“开始”菜单,执行“运行”命令,在系统运行框中输入字符串命令“gpedit.msc”,单击回车键后,弹出组策略控制台界面。
其次依次展开该控制台界面左侧列表中的“计算机配置”/“管理模板”/“Windows组件”/“Windows登录选项”节点,用鼠标双击该节点下面的目标组策略选项“在用户登录期间显示有关以前登录的信息”,弹出如图5所示的选项设置对话框;选中该对话框中的“已启用”选项,同时单击“确定”按钮执行设置保存操作,这样Windows Server 2008服务器系统的监控用户账号登录功能就被成功启用了。
以后,每次重新启动Windows Server 2008服务器系统时,系统会自动把监控到的用户登录状态信息显示出来,用户就能从提示信息中及时了解到服务器中是否存在安全隐患了。
3 结语
访问控制策略是实现网络访问安全的重要手段,在整个安防体系中具有重要的作用。虽然通过一些专业产品也能在一定程度上实现网络访问安全,但是利用系统本身提供的系统账号管理功能,进行一些必要的访问控制配置,可以进一步、全方位地实现网络访问安全控制。
参考文献
[1]王建平.网络安全与管理[M].西北工业大学出版社,2009.
[2]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008.
[3]王华丽,王泉.访问控制列表在网络安全中的应用[J].电子科技,2007.
[4]马宜兴.网络安全与病毒防范[M].第3版.上海交通大学出版社,2008.
网络访问行为 篇6
关键词:网络,访问控制,技术,角色,任务
随着信息时代的推进,信息系统安全问题逐渐凸显。计算机网络运行中,不仅要考虑抵御外界攻击,还要注重系统内部防范,防止涉密信息的泄漏。作为防止信息系统内部遭到威胁的技术手段之一,利用访问控制技术可以避免非法用户侵入,防止外界对系统内部资源的恶意访问和使用,保障共享信息的安全。目前普遍使用的访问控制策略主要有强制访问控制策略,自主访问控制策略,基于角色的访问控制策略以及基于任务的访问控制策略等。
一、访问控制技术的相关概念
在访问控制系统中一般包括3个要素:
1.主体:发出访问操作的主动方,一般指用户或发出访问请求的智能体如程序、进程、服务等。
2.客体:接受访问的对象,包括所有受访问控制机制保护的系统资源,如操作系统中的内存、文件,数据库中的记录,网络中的页面或服务等。
3.访问控制策略:主体对客体访问能力和操作行为的约束条件,定义了主体对客体实施的具体行为以及客体对主体的条件约束。
二、访问控制技术的分类
(一)自主访问控制
自主访问控制DAC的主要特征体现在允许主体对访问控制施加特定限制,也就是可将权限授予或收回于其他主体,其基础模型是访问控制矩阵模型,访问控制的粒度是单个用户。目前应用较多的是基于列客体的访问控制列表,简称ACL,其优点在于简易直观。但在遇到规模相对较大、需求较为复杂的网络任务时,管理员工作量增长较为明显,风险也会随之增大。
(二)强制访问控制
强制访问控制MAC中的主体被系统强制服从于事先制订的访问控制策略,并将所有信息定位保密级别,每个用户获得相应签证,通过梯度安全标签实现单向信息流通模式。MAC安全体系中,可以将通过授权进行访问控制的技术应用于数据库信息管理,或者网络操作系统的信息管理。
(三)基于角色的访问控制
基于角色的访问控制RBAC是指在应用环境中,通过对合法的访问者进行角色认证,来确定其访问权限,简化了授权管理过程。RBAC的基本思想是在用户和访问权限之间引入了角色的概念,使其与权限关联,利用角色的稳定性而对用户与权限关系的易变性作出补偿,并可以涵盖在一个组织内执行某个事务所需权限的集合,可根据事务变化实现角色权限的增删。
(四)基于任务的访问控制
基于任务的访问控制TBAC是一种新型的访问控制和授权管理模式,较为适合多点访问控制的分布式计算和信息处理活动以及决策制定系统。TBAC从基于任务的角度来实现访问控制,能有效解决提前授权问题,并将动态授权联系给用户、角色和任务,保证最小特权权责。
三、高校网络防护策略
校园网络安全是一项较为复杂的系统工程,不仅局域网之间的互动非常频繁,并且内网与外网的信息交换量巨大,在访问控制上要严格把关,保护内网信息和资源。可包括以下防护策略:
(一)使用ACL访问控制列表技术,通过限制网络流量、限制上网时间、防止网络病毒以及限制访问的网站等措施限制学生滥用网络,从而加强校园网的安全。
(二)在计算机及其联网之间设置防火墙,用来加强访问控制,防止非法用户通过外网进入内网并访问资源,保护内部网络的操作环境。防火墙技术主要作用于网络入口处,用来监测网络通信功能。
(三)身份验证和存取控制共同使用,主要包括对人员限制、数据标识、权限控制、类型控制等。两者结合起来,分别将不同的的操作权限赋予不同身份的合法用户,来实现不同安全级别的信息分级管理。
(四)内容审计技术是对访问控制技术的补充和辅助,包括对邮件往来的审计、WEB网页的审计、TELNET的审计、FTP审计和即时聊天工具审计等。
四、结语
访问控制技术就是通过不同的手段和策略实现网络上的访问控制,保证网络资源不被非法使用和访问。随着网络信息保密与加密技术水平的提高,在计算机系统入口采取访问控制的办法,鉴别访问的用户及系统并授权用户处理范围,以及在系统信息的完整性方面采取加密办法的访问控制技术越来越引起人们的重视,访问控制服务在网络安全体系结构中也逐渐占据不可替代的地位。H
参考文献
[1]刘兆平.访问控制技术实现与展望[J].才智, 2010(4).
[2]张昀.基于角色的访问控制模型N-RBAC[J].软件导刊,2010(1).
[3]吴开超,沈志宏,周园春,阎保平.信息系统访问控制的层次模型[J].计算机工程与设计,2009(1).
[4]胡燕妮,黄铂.浅析数据库访问控制技术[J].武汉生物工程学院学报,2009(1).
网络访问行为 篇7
一、访问权限控制概念
访问权限控制是指通过安全访问规则限制访问主体对客体的访问权限, 从而使计算机系统在合法范围内使用。主体指访问资源的用户或应用 (如用户、进程以及服务等) , 客体指系统的资源 (如程序、文件等) 。只有经过授权的用户向系统正确提交并验证了自己的身份后, 才被允许访问特定的系统资源。其主要任务是保证网络信息资源不被非法使用和访问, 它是对网络信息资源进行安全防范和保护的主要策略。一般的防火墙、入侵检测系统 (IDS) 、防病毒软件等只能检测到异常的进攻行为, 而对系统中伪装成正常用户的行为、用户权限过大所造成的误操作或有目的的破坏行为、对数据库内部的非法操作等都无能为力。而这些正可以通过访问权限控制技术得以解决。
二、访问权限控制技术
1、采用用户名、口令的方式进行入网访问控制
用户名、口令方式受控是最简单的实现网络数据资源共享的控制技术。这种方式使得服务器接受授权用户的操作, 对于非法用户采取受限控制, 并且能控制用户的入网时间和入网地点。这种方式的基本操作时为入网访问用户设置了三道关卡:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过, 该用户便不能进入该网络。
2、数据加密技术
对在网上传输的数据进行加密, 以保证数据传输过程数据的机密性和完整性, 确保在传输过程中不会发生信息被窃取现象。加密技术分为对称式加密和非对称式加密, 前者是指加密和解密利用同一个密钥;后者是指加密和解密所使用的不是同一个密钥, 通常有两个密钥, 称为公钥和私钥, 公钥和私钥必须配对使用, 否则将不能打开加密文件。
3、数字签名技术
加密技术只能防止信息传输中不被非法截获和读取, 保护文件在传输过程中免遭他人恶意破坏, 但是它确无法对发信任的身份进行确认, 用户身份确认可以采取数字签名技术, 它的工作原理是采用一组字符串代替书写签名或印章, 起到与书写签名或印章同样法律效用的安全技术。采用数字签名技术, 它能保证两点, 一是信息是由签名者发送的, 二是信息自签发后到收到为止未曾作过任何修改。它可以用来防止电子信息因被修改而人为作伪、冒用别人名义发送信息或发出 (收到) 信息后又加以否认等行为的发生。
4、数字认证技术
数字认证是通过认证中心和利用数字证书, 核实活动双方身份的真实性和有效性。其实质是通过电子手段来证实一个用户的身份和对网络资源的访问权限, 它克服了密码在安全性和方便性方面的局限, 只要一份已签名的文件有丝毫的改名, 都会导致数字证书验证过程的失败。并且由于在证书内包含了访问特许权等信息, 因而能够有效控制用户哪些数据库可以访问, 哪些不能访问。
5、防火墙技术
它具有限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问, 哪些外部服务可由内部人访问。它具有五大基本功能:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动以及对网络攻击进行检测和告警。
三、基于访问权限控制的信息资源共享的实现
要想实现网络数据库资源安全共享, 就要通过对信息资源中的相关数据进行控制, 通过附加标准标签的方式来表达数据的逻辑结构和含义, 使之成为一种程序能自动理解的规范。通过这种方式, 一是可以解决各数据库的数据接口不统一的问题, 避免产生人为壁垒, 妨碍信息资源的共享;二是在检索过程中可以提供更多检索入口, 便于共享访问权限的控制。
利用电子商务的网上办公系统, 通过群体的协同工作技术来实现系统内机构之间或地区间的信息资源共享。共享的内容包括表格数据资源共享, 网上协同办公等。
内部信息资源的共享专指在局域网或者本系统内的用户之间的数据操作控制, 不对外公布。对于这方面的信息资源的安全控制, 我们可以通过建立防火墙方式, 首先将内部与外部分隔开来, 限制外部非法用户的访问, 并且对内部不同身份的工作人员, 通过用户、口令限制方式, 对其权限进行限制, 做到不同身份的工作人员可以获取与其相适应的、相匹配的数据信息, 做到点对点的个性化服务。在用户管理、权限认证的基础上, 根据系统内用户不同的角色, 可以方便地了解消息以及工作所需要的资源等。同时每个工作人员根据自己的职务和权限, 访问不同的业务信息系统和电子信息资源, 从而为办公提供一个完全个性化的应用服务, 提高了的办事效率。并且由于操作权限等的控制, 操作员只能取得与之相对应的操作权限和阅览权限, 避免了信息的泄密等情况的发生。
四、小结
信息资源共享平台的建立, 是一把双刃剑, 一方面可以方便用户获取信息, 对信息经常加工处理, 提高办事效率;另一方面也留下安全防患, 为恶意破坏者打开了一扇方便之门。但是从未来的发展趋势来看, 信息资源的共享是不可逆转的潮流, 因此, 只有好好研究和利用信息资源共享的访问控制技术, 做到防患于未然。
参考文献
[1]陆俊:《公共图书馆开展政府信息公开服务研究》, 中国优秀硕士学位论文全文数据库, 2010年。