資源描述:
《關(guān)于訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用探討》由會員上傳分享����,免費在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1���、關(guān)于訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用探討摘要當下����,我國很多銀行網(wǎng)絡(luò)安全體系中都運用到了訪問控制技術(shù)���,它成為了銀行金融網(wǎng)絡(luò)的一大保護屏障��,也是銀行網(wǎng)絡(luò)安全體系的重要構(gòu)成����。本文主要從訪問控制技術(shù)的角度來談?wù)勩y行要如何保護金融網(wǎng)絡(luò)安全,以期提出有益的建議�����?����!娟P(guān)鍵詞】銀行網(wǎng)絡(luò)安全訪問控制技術(shù)計算機網(wǎng)絡(luò)的普及已經(jīng)深入到我們社會生活的各個角落���,在銀行金融業(yè)務(wù)中���,如何解決銀行網(wǎng)絡(luò)安全是銀行十分重視的問題���。在這種背景下��,訪問控制技術(shù)誕生了���,并成為了銀行金融電子化及網(wǎng)絡(luò)安全保護的重要措施。1訪問控制概念及原理1
2��、.1訪問控制的概念所謂訪問控制,就是一種允許或者限制范圍能力和范的方法���,它是利用某種顯式的途徑來實現(xiàn)��,并且可以防御非法的資源使用行為�。對于非法用戶的入侵行為���,訪問控制可以限制其訪問重要資源����,如果合法用戶因為失誤造成的破壞,訪問限制也可以進行阻止,這樣就能夠讓銀行金融網(wǎng)絡(luò)受到良好的控制���,被合法使用��。用戶要想訪問系統(tǒng)資源���,必須在自己的權(quán)限范圍內(nèi)����,禁止越權(quán)訪問。訪問控制技術(shù)不等于身份認證���,不過卻是以身份認證為前提的。1.2訪問控制的原理我們可以運用路由器上的訪問列表對數(shù)據(jù)包過濾�。網(wǎng)絡(luò)數(shù)據(jù)包傳遞由訪問列
3、表控制����,并對虛擬終端線路通信量進行限制��,也可以對路由進行控制�����。路由器產(chǎn)生的數(shù)據(jù)包并不是因為包過濾功能引起的��,數(shù)據(jù)包到達一個端口之際����,路由器會針對這種數(shù)據(jù)能不能以路由或者橋接的方法送出去進行查驗���。要是無法發(fā)送出去,路由器就會把這個數(shù)據(jù)包丟棄����,反之,那么路由器會對這個數(shù)據(jù)包進行檢查,以符合端口定義的包過濾規(guī)則為檢查依據(jù)���,要是不符合包過濾的要求就會禁止數(shù)據(jù)包通過����,路由器也會將之丟棄����。多條規(guī)則構(gòu)成了單個訪問列表�����,數(shù)據(jù)包的允許或禁止通過需要遵循輸入規(guī)則���。號碼是訪問列表的標志����,相同的訪問列表需要一樣的號碼,
4�����、列表中每個語句都是如此。訪問列表的正在應(yīng)用類型代表了號碼的使用范2訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用銀行金融網(wǎng)絡(luò)信息的整個系統(tǒng)都可以運用訪問控制技術(shù),例如:2.1應(yīng)用系統(tǒng)層數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)等軟件是應(yīng)用系統(tǒng)的基礎(chǔ)構(gòu)架����,它能夠讓具有不同需求的客戶在應(yīng)用需求方面獲得滿意的軟件程序的幫助���。要開發(fā)應(yīng)用系統(tǒng)�����,必須先有效地分析�、規(guī)劃訪問控制措施。訪問控制措施必須運用到銀行信息系統(tǒng)里的關(guān)鍵綜合業(yè)務(wù)系統(tǒng)以及別的應(yīng)用系統(tǒng)中���。各級柜員���、管理者�����、自助設(shè)備等是綜合業(yè)務(wù)系統(tǒng)的主體�,而相關(guān)的交易�����、操作則是客體����。針對綜
5、合業(yè)務(wù)系統(tǒng)里的安全管理環(huán)節(jié)���,應(yīng)該定義訪問控制措施的規(guī)則�����。不管是交易還是操作�����,只有根據(jù)規(guī)則來進行,主體才有權(quán)進行合理的訪問與執(zhí)行。2.2網(wǎng)絡(luò)層路由器和三層交換機中會大量運用到訪問控制列表��,主客體分別為源地址��、端口號與目的地址��,對控制列表的訪問則是按照相關(guān)的保護規(guī)則來進行�����,如果數(shù)據(jù)包滿足保護規(guī)則要求��,則允許通過���,反之則被阻止���。在MAC地址過濾中,待訪問目標是客體����,而MAC地址則是主體。保護規(guī)則都是根據(jù)定義MAC地址過濾列表來進行的���,只有符合該規(guī)則的MAC地址數(shù)據(jù)包才能得以通過�。另外,還有一種常見的訪
6�����、問控制技術(shù)�,那就是防火墻技術(shù)。網(wǎng)絡(luò)有內(nèi)網(wǎng)和外網(wǎng)之分�,源端口號、源IP地址是主體����,而目的端口號與IP地址是客體,以保護規(guī)則定義的方式讓遵循規(guī)則的數(shù)據(jù)包得以通過�。2.3數(shù)據(jù)庫管理系統(tǒng)層銀行金融網(wǎng)絡(luò)系統(tǒng)中,操作系統(tǒng)固然頭等重要����,然而數(shù)據(jù)庫管理系統(tǒng)的重要性也是不言而喻的,它是應(yīng)用系統(tǒng)不可或缺的組成部分��。在數(shù)據(jù)庫管理系統(tǒng)中���,十分重要的一個安全措施就是訪問控制����。用戶安全管理是數(shù)據(jù)庫管理的集中體現(xiàn)。系統(tǒng)對通過身份認證的登錄信息會將之當做主體���,而數(shù)據(jù)庫管理系統(tǒng)中的文件、字段�����、數(shù)據(jù)庫��、表以及系統(tǒng)操作則是客體��,而字
7���、段與表會存在一些增刪�、查詢����、和修改方面的操作,而數(shù)據(jù)庫則存在恢復(fù)���、備份等方面的操作�����。用戶的存取�����、訪問規(guī)則是用戶對數(shù)據(jù)庫存取控制的執(zhí)行依據(jù)��。存取矩陣也能夠表示訪問控制規(guī)則��。列在該矩陣中代表著系統(tǒng)客體是數(shù)據(jù)庫�、字段以及表等等,而陣列各單元代表主體對客體或者不同主體的存取方法是增刪���、查詢����、修改等操作��。從操作系統(tǒng)的訪問控制安全角度講���,訪問控制措施在數(shù)據(jù)庫管理系統(tǒng)中作用重大�����。數(shù)據(jù)庫管理系統(tǒng)成為了不少應(yīng)用系統(tǒng)的的設(shè)計依據(jù)����,系統(tǒng)的關(guān)鍵部分是數(shù)據(jù),其權(quán)限被用戶掌握以后����,就能夠不經(jīng)過應(yīng)用系統(tǒng),直接通過操作數(shù)據(jù)庫的
8��、記錄����,實現(xiàn)犯罪目的�����。所以�,科技部門必須細致地分析設(shè)計數(shù)據(jù)庫系統(tǒng)的訪問控制措施,嚴格分析數(shù)據(jù)庫管理系統(tǒng)中主體的最小權(quán)限���,然后據(jù)此對存取矩陣進行設(shè)定�。通常數(shù)據(jù)庫管理系統(tǒng)權(quán)限是應(yīng)用系統(tǒng)最終用戶無法獲得的����,這樣一來也不能直接操作數(shù)據(jù)庫管理系統(tǒng)�����,要最大限度地不讓內(nèi)部和外包開發(fā)用戶對數(shù)據(jù)庫管理系統(tǒng)進行直接登錄操作��。以嚴格的管控措施減少直接操作授權(quán)����。假如必須直接登錄操作�����,那么要針對部分表的部分字段來操作��,不能授予內(nèi)部或者外包開發(fā)用戶全部權(quán)限���。同時�����,針對查詢權(quán)限的授予�����,可以一定程度上降低要求����,但要控制好增刪與修
