服務器授權訪問控制與審計技術研究

鄭長亮

摘要：服務器是各項網絡服務運行所必須的硬件設備和軟件平臺，對服務器的安全策略配置能夠從全局層面解決整個服務器中的所有web服務的安全問題，既可以節省重復配置的工作量，同時對相似應用的安全策略也避免了重復開發的問題，節省了額外開發的開銷；與此同時，這么做還可以集中注意力于核心業務的設計開發，提升系統架構，提高系統開發效率。訪問控制技術作為服務器對遠程訪問自己的用戶的首道過濾，從服務器安全的角度來看是非常重要的，也是必不可少的，通過對用戶的這次過濾，能夠鑒別并防止未授權用戶的訪問。并通過審計，服務器管理員可以對惡意訪問和攻擊行為進行進一步的原因探查、責任界定和損失評估，本文重點就以上幾個方面進行闡述。

關鍵詞：數據訪問控制；審計技術；授權策略；安全防御；入侵鑒別

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2018）09-0187-02

當前，信息安全技術已經不僅僅是原來狹義上的概念了，它不僅包括數據通信保密、身份驗證、入侵檢測、加密解密等方面；在區域網絡內部的，為了應對不同安全級別和保密級別的數據進行訪問的安全性問題，訪問控制技術和審計技術應運而生，通過這些技術的實施，可以很大程度上的降低對敏感數據的非法入侵與攻擊。在美國的TCSEC（trust computer system evaluation criteria）標準中已經明確要求在C2級及以上的數據庫系統必須包含審計功能。隨著網絡安全技術的發展以及各級各層面對網絡安全的宣傳教育，業內外人士的網絡安全意識有了明顯的增強，國內也對數據訪問控制與審計的認識有所提高，主要是因為審計技術不僅可以有效的控制非法人員操作數據庫和有效的防止合法人員非法的訪問數據，而且可以很大程度減少由于誤操作造成的損失，及時的發現與分析安全事故原因。

從系統的穩定性、安全穩定運行到高效的運行，以及至關重要的安全性的問題都離不開審計，所以審計控制策略的制定對系統的正常運行起著決定性作用。實現與應用層協議分離、細粒度權限控制和策略的設計通常作為授權管理的3個重要設計目標。基于對稱密碼技術與公鑰密碼技術原理將對PMI 的研究分為兩大陣營，然而無論是管理的可操作性還是平臺策略的制定難易程度都將對稱密碼技術拒之于門外，基于公鑰密碼技術的授權管理成為研究主流。授權策略設計的目的是使業務訪問控制與審計達到安全與靈活性的統一。

避免非法訪問可能帶來的數據泄漏、更改或破壞是服務器的安全保障目標之一，鑒于數據資源的高安全級別標準，需要實現基于授權的訪問，同時使用審計機制保障服務器的安全運行，如表1所示的Windows系統審計技術便是服務器系統信息安全加固的重要手段。針對分級部署、多級共享的服務器架構，本課題提出了一種基于策略的訪問控制和安全審計技術，為服務器之間的數據交換與共享提供了安全性保證。該方法通過在層次式組織機構統一認證框架中部署共享服務器節點，在分析服務器不同粒度、類型操作的基礎上建立了跨平臺的訪問控制和審計策略模型，具有較高的安全防御和入侵鑒別能力。

隨著網絡技術的發展，基于新一代internet以及移動網絡的各項業務蓬勃發展，包括飛速增長的在線支付以及重要敏感數據傳輸等業務，這些海量數據和基于網絡的全流程業務架構，需要更加強大的網絡安全技術，否則根本滿足不了日益增長的網絡應用的需求。網絡安全技術正在成為各行各業都無法回避的話題和技術熱點。綜上所述，基于服務器授權訪問控制與審計技術的安全技術對網絡系統的正常、安全、穩定、高效運行，具有非常重要的現實意義。

參考文獻

[1]沈晴霓，杜虹，卿斯漢.虛擬可信平臺層次化安全體系結構設計[J].北京工業大學學報，2010，（5）：605.

[2]底曉強，等.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].實驗技術與管理，2015，（4）：147.

[3]LIN，Song.基于Petri網的雙重數字簽名的描述與驗證[J].系統仿真學報，2008，（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數字簽名方案[J].計算機工程，2007（33）：27-29.

[5]秦家昆.網絡信息安全防護[J].技術與市場，2014，（06）：895-897.