訪問(wèn)控制技術(shù)在涉密信息系統(tǒng)中的綜合應(yīng)用

【 摘 要 】 本文以網(wǎng)絡(luò)分層的體系結(jié)構(gòu)為切入點(diǎn)，逐一分析了網(wǎng)絡(luò)體系結(jié)構(gòu)各層中的訪問(wèn)控制技術(shù)在控制非法接入和訪問(wèn)涉密信息系統(tǒng)過(guò)程中的工作方式和作用，從而在整體上提出了保障涉密信息系統(tǒng)信息安全的有效的訪問(wèn)控制手段。

【 關(guān)鍵詞 】 訪問(wèn)控制；涉密信息系統(tǒng)；綜合應(yīng)用

1 引言

信息安全是涉密信息系統(tǒng)生存之本，目前軍工企業(yè)信息安全形勢(shì)日趨嚴(yán)峻，由于涉密信息系統(tǒng)與其它網(wǎng)絡(luò)和系統(tǒng)物理隔離，對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)中各層的訪問(wèn)控制顯得尤為重要，因此訪問(wèn)控制成為保障軍工企業(yè)涉密信息系統(tǒng)信息安全的重點(diǎn)和難點(diǎn)。

2 網(wǎng)絡(luò)分層體系結(jié)構(gòu)

現(xiàn)代化的信息系統(tǒng)都以計(jì)算機(jī)網(wǎng)絡(luò)作為基礎(chǔ)運(yùn)行平臺(tái)，涉密信息系統(tǒng)也不例外，而計(jì)算機(jī)網(wǎng)絡(luò)采用分層的體系結(jié)構(gòu)，國(guó)際標(biāo)準(zhǔn)化組織ISO把計(jì)算機(jī)網(wǎng)絡(luò)分為七層，即應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層，也就是ISO/OSI七層協(xié)議的網(wǎng)絡(luò)體系結(jié)構(gòu)——開(kāi)放系統(tǒng)互連基本參考模型OSI/RM（Open Systems Interconnection Reference Model）。

但是，目前現(xiàn)實(shí)的情況是得到最廣泛應(yīng)用的不是法律上的國(guó)際標(biāo)準(zhǔn)OSI，而是非國(guó)際標(biāo)準(zhǔn)TCP/IP。TCP/IP成為事實(shí)上的國(guó)際標(biāo)準(zhǔn)。TCP/IP是一個(gè)四層的體系結(jié)構(gòu)，即應(yīng)用層、運(yùn)輸層、網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層，從實(shí)質(zhì)上講，TCP/IP只有最上面的三層，因?yàn)樽钕旅娴木W(wǎng)絡(luò)接口層并沒(méi)有什么具體內(nèi)容。因此，結(jié)合以上兩種體系結(jié)構(gòu)的劃分方式，目前大部分實(shí)際應(yīng)用中的網(wǎng)絡(luò)體系結(jié)構(gòu)可劃分為應(yīng)用層、運(yùn)輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層。

由于物理層只是用于實(shí)現(xiàn)網(wǎng)絡(luò)底層的機(jī)械和電氣特性，本文從應(yīng)用層、運(yùn)輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層這四層分析訪問(wèn)控制技術(shù)在這四層中的綜合運(yùn)用，并最終建立起對(duì)涉密信息系統(tǒng)整體的訪問(wèn)控制防護(hù)。

3 訪問(wèn)控制

3.1 交換機(jī)端口與MAC地址綁定

數(shù)據(jù)鏈路層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中的第二層，也是網(wǎng)絡(luò)入侵者必須首先通過(guò)的最底層，所以做好數(shù)據(jù)鏈路層的訪問(wèn)控制是非常重要的。

MAC（Medium Access Control，媒體訪問(wèn)控制）地址是燒錄在網(wǎng)卡中的，也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時(shí)寫在硬件內(nèi)部，它存儲(chǔ)的是傳輸數(shù)據(jù)時(shí)真正賴以標(biāo)識(shí)發(fā)出數(shù)據(jù)的計(jì)算機(jī)和接收數(shù)據(jù)的計(jì)算機(jī)的地址。這個(gè)地址與網(wǎng)絡(luò)無(wú)關(guān)，也即無(wú)論將帶有這個(gè)地址的硬件（如網(wǎng)卡、交換機(jī)、路由器等）接入到網(wǎng)絡(luò)的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設(shè)定。MAC地址的長(zhǎng)度為48位，世界上每個(gè)以太網(wǎng)設(shè)備都具有唯一的MAC地址。

如在交換機(jī)的某個(gè)端口上綁定合法的MAC地址，則其它未在該端口上綁定的MAC地址全部為非法地址，會(huì)在接入該端口時(shí)予以屏蔽，這樣就保證了只有已經(jīng)綁定了的合法的MAC地址才能接入該端口，杜絕了非法MAC地址的入侵，這樣能夠防止非授權(quán)計(jì)算機(jī)從數(shù)據(jù)鏈路層接入涉密網(wǎng)。

以Cisco 3560交換機(jī)[操作系統(tǒng)版本：Version 12.2（25）SEB2]為例，把MAC地址00：14：c2：59：1c：98綁定在交換機(jī)的gigabitEthernet 0/8端口上，并且該端口上只允許來(lái)自這一個(gè)MAC地址的數(shù)據(jù)幀通過(guò)，操作命令如下：

NC-3560G#configure terminal

NC-3560G（config）#interface gigabitEthernet 0/8

NC-3560G（config-if）#switchport mode access

NC-3560G（config-if）#switchport port-security mac-address 0014.c259.1c98

NC-3560G（config-if）#switchport port-security violation protect

NC-3560G（config-if）#switchport port-security maximum 1

NC-3560G（config-if）#switchport port-security

綁定效果如圖1所示。

3.2 主機(jī)審計(jì)系統(tǒng)阻斷非法接入

雖然交換機(jī)端口綁定合法MAC地址能夠防止非法計(jì)算機(jī)接入涉密網(wǎng)絡(luò)，MAC地址一般也是不能修改的，但是目前出現(xiàn)了一些修改MAC地址的軟件，入侵者如果將本機(jī)MAC地址修改成交換機(jī)端口所綁定的合法MAC地址，并把IP地址的VLAN設(shè)置成與接入的交換機(jī)端口同一VLAN，還是能夠侵入涉密網(wǎng)絡(luò)系統(tǒng)。

為解決這一問(wèn)題，可以考慮在數(shù)據(jù)鏈路層的上一層——網(wǎng)絡(luò)層采取相關(guān)的訪問(wèn)控制措施防止非法接入，在涉密信息系統(tǒng)的每個(gè)終端上安裝主機(jī)審計(jì)系統(tǒng)客戶端，這樣通過(guò)服務(wù)端可以對(duì)每個(gè)終端的信息配置、操作行為、I/O接口進(jìn)行實(shí)時(shí)監(jiān)控和管理，定時(shí)掃描接入網(wǎng)絡(luò)的每一個(gè)終端，阻斷通過(guò)修改MAC地址和IP地址接入涉密網(wǎng)而未安裝主機(jī)審計(jì)系統(tǒng)的非法計(jì)算機(jī)。

對(duì)于需要接入涉密網(wǎng)而未安裝主機(jī)審計(jì)的合法計(jì)算機(jī)，可在服務(wù)端先保護(hù)需接入的IP地址，確保新接入而未安裝主機(jī)審計(jì)的合法計(jì)算機(jī)的網(wǎng)絡(luò)連接不會(huì)被阻斷，待安裝了主機(jī)審計(jì)系統(tǒng)客戶端程序后，服務(wù)器端可撤消對(duì)該IP地址的保護(hù)。

這樣可以在網(wǎng)絡(luò)層有效防止入侵者通過(guò)修改計(jì)算機(jī)MAC地址和IP地址接入涉密網(wǎng)絡(luò)。

3.3 防火墻訪問(wèn)控制

防火墻是在涉密信息系統(tǒng)內(nèi)應(yīng)用最廣泛、最為有效的訪問(wèn)控制手段，防火墻工作于網(wǎng)絡(luò)層和運(yùn)輸層，防火墻是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的硬件或軟件。網(wǎng)內(nèi)計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)防火墻。

在防火墻中可以配置端到端的訪問(wèn)控制策略，可以控制網(wǎng)內(nèi)每一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，可以關(guān)閉計(jì)算機(jī)不使用的端口，從而禁止特定端口的流出通信和其它計(jì)算機(jī)對(duì)該端口的訪問(wèn)，封鎖特洛伊木馬。可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉網(wǎng)絡(luò)入侵者的攻擊。endprint

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻，才能連接目標(biāo)計(jì)算機(jī)，可以在防火墻內(nèi)配置各種不同層次的訪問(wèn)控制策略，從而對(duì)網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行不同的訪問(wèn)控制防護(hù)，如限定可以訪問(wèn)目標(biāo)計(jì)算機(jī)的合法IP地址或地址組，限制能夠訪問(wèn)的端口和服務(wù)等。

設(shè)置防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)是控制入侵的有效手段，如果入侵檢測(cè)系統(tǒng)檢測(cè)到某一計(jì)算機(jī)的網(wǎng)絡(luò)流量異常可立刻通知防火墻阻斷該計(jì)算機(jī)的網(wǎng)絡(luò)連接，從而有效防止入侵者對(duì)其它計(jì)算機(jī)的攻擊和入侵。

3.4 身份認(rèn)證系統(tǒng)身份鑒別

在應(yīng)用層非法入侵者往往通過(guò)竊取合法用戶的用戶名和口令入侵涉密網(wǎng)絡(luò)和計(jì)算機(jī)。為解決這一問(wèn)題，可在涉密網(wǎng)內(nèi)建立統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)用戶身份進(jìn)行鑒別和確認(rèn)。

身份認(rèn)證系統(tǒng)是基于目錄服務(wù)，利用PKI/CA（公鑰密碼體制/認(rèn)證中心）、數(shù)字證書、動(dòng)態(tài)口令、智能卡和生理特征等認(rèn)證方式，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的用戶提供統(tǒng)一身份鑒別和統(tǒng)一用戶授權(quán)的安全服務(wù)機(jī)制。

身份認(rèn)證系統(tǒng)一般由密鑰管理中心（KMC）、管理中心（CA）、證書注冊(cè)審核中心（RA）、證書目錄服務(wù)系統(tǒng)（LDAP）、加密機(jī)等構(gòu)成。

PKI是基于公鑰密碼算法技術(shù)來(lái)確立可信的數(shù)字身份的。相對(duì)于對(duì)稱密碼算法而言，公鑰密碼算法也稱為非對(duì)稱密碼算法，其加密密鑰與解密密鑰不同，其中一個(gè)是公開(kāi)的，稱為公開(kāi)密鑰，另一個(gè)是秘密的，稱為私有密鑰。

在公鑰密碼算法體制中，用戶被分配給公開(kāi)/私有密鑰對(duì)，私鑰與公鑰之間不能互相推出，私鑰由用戶自己持有，公鑰可以發(fā)給任何人。公鑰和私鑰互為加解密密鑰，用戶選擇公開(kāi)密鑰還是私有密鑰用于加密，取決于用戶加密的目的。私鑰由于其私密性，還可以用于數(shù)字簽名來(lái)實(shí)現(xiàn)身份認(rèn)證。PKI采用證書來(lái)管理公鑰，將用戶的現(xiàn)實(shí)身份和公/私密鑰對(duì)建立聯(lián)系，并由可信賴的權(quán)威認(rèn)證機(jī)構(gòu)（CA）來(lái)管理用戶的證書。

統(tǒng)一身份認(rèn)證系統(tǒng)可用于操作系統(tǒng)和各應(yīng)用系統(tǒng)登錄時(shí)對(duì)用戶進(jìn)行身份鑒別，從而能夠有效防止非法用戶從應(yīng)用層入侵涉密網(wǎng)絡(luò)和信息系統(tǒng)。

4 綜合防護(hù)

涉密信息系統(tǒng)是一個(gè)整體，采用單一的訪問(wèn)控制技術(shù)只能從某一層次防止非法用戶的入侵，只有從網(wǎng)絡(luò)體系的各個(gè)層次采取綜合的訪問(wèn)控制措施，并使各層的訪問(wèn)控制措施相互配合、相互補(bǔ)充，才能有效地解決整個(gè)系統(tǒng)的非法入侵問(wèn)題。訪問(wèn)控制綜合防護(hù)體系如圖2所示。

5 結(jié)束語(yǔ)

涉密信息系統(tǒng)不能僅僅依賴于單一的訪問(wèn)控制措施保障信息安全，而必須結(jié)合其它各層的安全保護(hù)措施為涉密信息系統(tǒng)提供綜合而全面的安全保障。如在數(shù)據(jù)鏈路層綁定交換機(jī)端口與合法的MAC地址，通過(guò)主機(jī)審計(jì)系統(tǒng)在網(wǎng)絡(luò)層進(jìn)行的IP地址與MAC地址的綁定，通過(guò)數(shù)字身份認(rèn)證系統(tǒng)在應(yīng)用層對(duì)用戶身份進(jìn)行唯一確定等。只有從網(wǎng)絡(luò)系統(tǒng)的各層采取相應(yīng)的訪問(wèn)控制措施，才能夠最大限度的控制和防止非法入侵。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第2版）. 北京：電子工業(yè)出版社，1999.4.

[2] 羅曉沛，侯炳輝.系統(tǒng)分析師教程.北京：清華大學(xué)出版社，2008.4.

[3] Catalyst 6500 Series Switch Command Reference. [M]. Cisco Systems，Inc ，2003.

[4] （美）拉默爾（Lammle.T.L.）. CCNA學(xué)習(xí)指南.北京：電子工業(yè)出版社，2008.2.

作者簡(jiǎn)介：

楊冬武（1975-），男，湖南株洲人，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)安全。endprint

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻，才能連接目標(biāo)計(jì)算機(jī)，可以在防火墻內(nèi)配置各種不同層次的訪問(wèn)控制策略，從而對(duì)網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行不同的訪問(wèn)控制防護(hù)，如限定可以訪問(wèn)目標(biāo)計(jì)算機(jī)的合法IP地址或地址組，限制能夠訪問(wèn)的端口和服務(wù)等。

設(shè)置防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)是控制入侵的有效手段，如果入侵檢測(cè)系統(tǒng)檢測(cè)到某一計(jì)算機(jī)的網(wǎng)絡(luò)流量異常可立刻通知防火墻阻斷該計(jì)算機(jī)的網(wǎng)絡(luò)連接，從而有效防止入侵者對(duì)其它計(jì)算機(jī)的攻擊和入侵。

3.4 身份認(rèn)證系統(tǒng)身份鑒別

在應(yīng)用層非法入侵者往往通過(guò)竊取合法用戶的用戶名和口令入侵涉密網(wǎng)絡(luò)和計(jì)算機(jī)。為解決這一問(wèn)題，可在涉密網(wǎng)內(nèi)建立統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)用戶身份進(jìn)行鑒別和確認(rèn)。

身份認(rèn)證系統(tǒng)是基于目錄服務(wù)，利用PKI/CA（公鑰密碼體制/認(rèn)證中心）、數(shù)字證書、動(dòng)態(tài)口令、智能卡和生理特征等認(rèn)證方式，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的用戶提供統(tǒng)一身份鑒別和統(tǒng)一用戶授權(quán)的安全服務(wù)機(jī)制。

身份認(rèn)證系統(tǒng)一般由密鑰管理中心（KMC）、管理中心（CA）、證書注冊(cè)審核中心（RA）、證書目錄服務(wù)系統(tǒng)（LDAP）、加密機(jī)等構(gòu)成。

PKI是基于公鑰密碼算法技術(shù)來(lái)確立可信的數(shù)字身份的。相對(duì)于對(duì)稱密碼算法而言，公鑰密碼算法也稱為非對(duì)稱密碼算法，其加密密鑰與解密密鑰不同，其中一個(gè)是公開(kāi)的，稱為公開(kāi)密鑰，另一個(gè)是秘密的，稱為私有密鑰。

在公鑰密碼算法體制中，用戶被分配給公開(kāi)/私有密鑰對(duì)，私鑰與公鑰之間不能互相推出，私鑰由用戶自己持有，公鑰可以發(fā)給任何人。公鑰和私鑰互為加解密密鑰，用戶選擇公開(kāi)密鑰還是私有密鑰用于加密，取決于用戶加密的目的。私鑰由于其私密性，還可以用于數(shù)字簽名來(lái)實(shí)現(xiàn)身份認(rèn)證。PKI采用證書來(lái)管理公鑰，將用戶的現(xiàn)實(shí)身份和公/私密鑰對(duì)建立聯(lián)系，并由可信賴的權(quán)威認(rèn)證機(jī)構(gòu)（CA）來(lái)管理用戶的證書。

統(tǒng)一身份認(rèn)證系統(tǒng)可用于操作系統(tǒng)和各應(yīng)用系統(tǒng)登錄時(shí)對(duì)用戶進(jìn)行身份鑒別，從而能夠有效防止非法用戶從應(yīng)用層入侵涉密網(wǎng)絡(luò)和信息系統(tǒng)。

4 綜合防護(hù)

涉密信息系統(tǒng)是一個(gè)整體，采用單一的訪問(wèn)控制技術(shù)只能從某一層次防止非法用戶的入侵，只有從網(wǎng)絡(luò)體系的各個(gè)層次采取綜合的訪問(wèn)控制措施，并使各層的訪問(wèn)控制措施相互配合、相互補(bǔ)充，才能有效地解決整個(gè)系統(tǒng)的非法入侵問(wèn)題。訪問(wèn)控制綜合防護(hù)體系如圖2所示。

5 結(jié)束語(yǔ)

涉密信息系統(tǒng)不能僅僅依賴于單一的訪問(wèn)控制措施保障信息安全，而必須結(jié)合其它各層的安全保護(hù)措施為涉密信息系統(tǒng)提供綜合而全面的安全保障。如在數(shù)據(jù)鏈路層綁定交換機(jī)端口與合法的MAC地址，通過(guò)主機(jī)審計(jì)系統(tǒng)在網(wǎng)絡(luò)層進(jìn)行的IP地址與MAC地址的綁定，通過(guò)數(shù)字身份認(rèn)證系統(tǒng)在應(yīng)用層對(duì)用戶身份進(jìn)行唯一確定等。只有從網(wǎng)絡(luò)系統(tǒng)的各層采取相應(yīng)的訪問(wèn)控制措施，才能夠最大限度的控制和防止非法入侵。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第2版）. 北京：電子工業(yè)出版社，1999.4.

[2] 羅曉沛，侯炳輝.系統(tǒng)分析師教程.北京：清華大學(xué)出版社，2008.4.

[3] Catalyst 6500 Series Switch Command Reference. [M]. Cisco Systems，Inc ，2003.

[4] （美）拉默爾（Lammle.T.L.）. CCNA學(xué)習(xí)指南.北京：電子工業(yè)出版社，2008.2.

作者簡(jiǎn)介：

楊冬武（1975-），男，湖南株洲人，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)安全。endprint

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻，才能連接目標(biāo)計(jì)算機(jī)，可以在防火墻內(nèi)配置各種不同層次的訪問(wèn)控制策略，從而對(duì)網(wǎng)內(nèi)的計(jì)算機(jī)進(jìn)行不同的訪問(wèn)控制防護(hù)，如限定可以訪問(wèn)目標(biāo)計(jì)算機(jī)的合法IP地址或地址組，限制能夠訪問(wèn)的端口和服務(wù)等。

設(shè)置防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)是控制入侵的有效手段，如果入侵檢測(cè)系統(tǒng)檢測(cè)到某一計(jì)算機(jī)的網(wǎng)絡(luò)流量異常可立刻通知防火墻阻斷該計(jì)算機(jī)的網(wǎng)絡(luò)連接，從而有效防止入侵者對(duì)其它計(jì)算機(jī)的攻擊和入侵。

3.4 身份認(rèn)證系統(tǒng)身份鑒別

在應(yīng)用層非法入侵者往往通過(guò)竊取合法用戶的用戶名和口令入侵涉密網(wǎng)絡(luò)和計(jì)算機(jī)。為解決這一問(wèn)題，可在涉密網(wǎng)內(nèi)建立統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)用戶身份進(jìn)行鑒別和確認(rèn)。

身份認(rèn)證系統(tǒng)是基于目錄服務(wù)，利用PKI/CA（公鑰密碼體制/認(rèn)證中心）、數(shù)字證書、動(dòng)態(tài)口令、智能卡和生理特征等認(rèn)證方式，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的用戶提供統(tǒng)一身份鑒別和統(tǒng)一用戶授權(quán)的安全服務(wù)機(jī)制。

身份認(rèn)證系統(tǒng)一般由密鑰管理中心（KMC）、管理中心（CA）、證書注冊(cè)審核中心（RA）、證書目錄服務(wù)系統(tǒng)（LDAP）、加密機(jī)等構(gòu)成。

PKI是基于公鑰密碼算法技術(shù)來(lái)確立可信的數(shù)字身份的。相對(duì)于對(duì)稱密碼算法而言，公鑰密碼算法也稱為非對(duì)稱密碼算法，其加密密鑰與解密密鑰不同，其中一個(gè)是公開(kāi)的，稱為公開(kāi)密鑰，另一個(gè)是秘密的，稱為私有密鑰。

在公鑰密碼算法體制中，用戶被分配給公開(kāi)/私有密鑰對(duì)，私鑰與公鑰之間不能互相推出，私鑰由用戶自己持有，公鑰可以發(fā)給任何人。公鑰和私鑰互為加解密密鑰，用戶選擇公開(kāi)密鑰還是私有密鑰用于加密，取決于用戶加密的目的。私鑰由于其私密性，還可以用于數(shù)字簽名來(lái)實(shí)現(xiàn)身份認(rèn)證。PKI采用證書來(lái)管理公鑰，將用戶的現(xiàn)實(shí)身份和公/私密鑰對(duì)建立聯(lián)系，并由可信賴的權(quán)威認(rèn)證機(jī)構(gòu)（CA）來(lái)管理用戶的證書。

統(tǒng)一身份認(rèn)證系統(tǒng)可用于操作系統(tǒng)和各應(yīng)用系統(tǒng)登錄時(shí)對(duì)用戶進(jìn)行身份鑒別，從而能夠有效防止非法用戶從應(yīng)用層入侵涉密網(wǎng)絡(luò)和信息系統(tǒng)。

4 綜合防護(hù)

涉密信息系統(tǒng)是一個(gè)整體，采用單一的訪問(wèn)控制技術(shù)只能從某一層次防止非法用戶的入侵，只有從網(wǎng)絡(luò)體系的各個(gè)層次采取綜合的訪問(wèn)控制措施，并使各層的訪問(wèn)控制措施相互配合、相互補(bǔ)充，才能有效地解決整個(gè)系統(tǒng)的非法入侵問(wèn)題。訪問(wèn)控制綜合防護(hù)體系如圖2所示。

5 結(jié)束語(yǔ)

涉密信息系統(tǒng)不能僅僅依賴于單一的訪問(wèn)控制措施保障信息安全，而必須結(jié)合其它各層的安全保護(hù)措施為涉密信息系統(tǒng)提供綜合而全面的安全保障。如在數(shù)據(jù)鏈路層綁定交換機(jī)端口與合法的MAC地址，通過(guò)主機(jī)審計(jì)系統(tǒng)在網(wǎng)絡(luò)層進(jìn)行的IP地址與MAC地址的綁定，通過(guò)數(shù)字身份認(rèn)證系統(tǒng)在應(yīng)用層對(duì)用戶身份進(jìn)行唯一確定等。只有從網(wǎng)絡(luò)系統(tǒng)的各層采取相應(yīng)的訪問(wèn)控制措施，才能夠最大限度的控制和防止非法入侵。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第2版）. 北京：電子工業(yè)出版社，1999.4.

[2] 羅曉沛，侯炳輝.系統(tǒng)分析師教程.北京：清華大學(xué)出版社，2008.4.

[3] Catalyst 6500 Series Switch Command Reference. [M]. Cisco Systems，Inc ，2003.

[4] （美）拉默爾（Lammle.T.L.）. CCNA學(xué)習(xí)指南.北京：電子工業(yè)出版社，2008.2.

作者簡(jiǎn)介：

楊冬武（1975-），男，湖南株洲人，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)安全。endprint