資源描述:
《關(guān)于訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用探討》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1����、關(guān)于訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用探討摘要當(dāng)下�����,我國很多銀行網(wǎng)絡(luò)安全體系中都運(yùn)用到了訪問控制技術(shù)��,它成為了銀行金融網(wǎng)絡(luò)的一大保護(hù)屏障��,也是銀行網(wǎng)絡(luò)安全體系的重要構(gòu)成。本文主要從訪問控制技術(shù)的角度來談?wù)勩y行要如何保護(hù)金融網(wǎng)絡(luò)安全���,以期提出有益的建議����?!娟P(guān)鍵詞】銀行網(wǎng)絡(luò)安全訪問控制技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)的普及已經(jīng)深入到我們社會(huì)生活的各個(gè)角落,在銀行金融業(yè)務(wù)中���,如何解決銀行網(wǎng)絡(luò)安全是銀行十分重視的問題���。在這種背景下,訪問控制技術(shù)誕生了���,并成為了銀行金融電子化及網(wǎng)絡(luò)安全保護(hù)的重要措施。1訪問控制概念及原理1
2����、.1訪問控制的概念所謂訪問控制,就是一種允許或者限制范圍能力和范的方法�����,它是利用某種顯式的途徑來實(shí)現(xiàn),并且可以防御非法的資源使用行為�����。對于非法用戶的入侵行為�,訪問控制可以限制其訪問重要資源,如果合法用戶因?yàn)槭д`造成的破壞��,訪問限制也可以進(jìn)行阻止��,這樣就能夠讓銀行金融網(wǎng)絡(luò)受到良好的控制��,被合法使用���。用戶要想訪問系統(tǒng)資源�����,必須在自己的權(quán)限范圍內(nèi)�����,禁止越權(quán)訪問����。訪問控制技術(shù)不等于身份認(rèn)證,不過卻是以身份認(rèn)證為前提的�����。1.2訪問控制的原理我們可以運(yùn)用路由器上的訪問列表對數(shù)據(jù)包過濾��。網(wǎng)絡(luò)數(shù)據(jù)包傳遞由訪問列
3����、表控制,并對虛擬終端線路通信量進(jìn)行限制�����,也可以對路由進(jìn)行控制��。路由器產(chǎn)生的數(shù)據(jù)包并不是因?yàn)榘^濾功能引起的��,數(shù)據(jù)包到達(dá)一個(gè)端口之際����,路由器會(huì)針對這種數(shù)據(jù)能不能以路由或者橋接的方法送出去進(jìn)行查驗(yàn)�����。要是無法發(fā)送出去,路由器就會(huì)把這個(gè)數(shù)據(jù)包丟棄����,反之,那么路由器會(huì)對這個(gè)數(shù)據(jù)包進(jìn)行檢查���,以符合端口定義的包過濾規(guī)則為檢查依據(jù)�����,要是不符合包過濾的要求就會(huì)禁止數(shù)據(jù)包通過�,路由器也會(huì)將之丟棄�����。多條規(guī)則構(gòu)成了單個(gè)訪問列表��,數(shù)據(jù)包的允許或禁止通過需要遵循輸入規(guī)則�。號碼是訪問列表的標(biāo)志,相同的訪問列表需要一樣的號碼����,
4、列表中每個(gè)語句都是如此。訪問列表的正在應(yīng)用類型代表了號碼的使用范2訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用銀行金融網(wǎng)絡(luò)信息的整個(gè)系統(tǒng)都可以運(yùn)用訪問控制技術(shù)��,例如:2.1應(yīng)用系統(tǒng)層數(shù)據(jù)庫管理系統(tǒng)����、操作系統(tǒng)等軟件是應(yīng)用系統(tǒng)的基礎(chǔ)構(gòu)架,它能夠讓具有不同需求的客戶在應(yīng)用需求方面獲得滿意的軟件程序的幫助��。要開發(fā)應(yīng)用系統(tǒng)�����,必須先有效地分析���、規(guī)劃訪問控制措施����。訪問控制措施必須運(yùn)用到銀行信息系統(tǒng)里的關(guān)鍵綜合業(yè)務(wù)系統(tǒng)以及別的應(yīng)用系統(tǒng)中�。各級柜員、管理者�、自助設(shè)備等是綜合業(yè)務(wù)系統(tǒng)的主體,而相關(guān)的交易�����、操作則是客體��。針對綜
5�、合業(yè)務(wù)系統(tǒng)里的安全管理環(huán)節(jié),應(yīng)該定義訪問控制措施的規(guī)則����。不管是交易還是操作,只有根據(jù)規(guī)則來進(jìn)行�����,主體才有權(quán)進(jìn)行合理的訪問與執(zhí)行�����。2.2網(wǎng)絡(luò)層路由器和三層交換機(jī)中會(huì)大量運(yùn)用到訪問控制列表�,主客體分別為源地址、端口號與目的地址�����,對控制列表的訪問則是按照相關(guān)的保護(hù)規(guī)則來進(jìn)行�,如果數(shù)據(jù)包滿足保護(hù)規(guī)則要求,則允許通過��,反之則被阻止。在MAC地址過濾中���,待訪問目標(biāo)是客體��,而MAC地址則是主體���。保護(hù)規(guī)則都是根據(jù)定義MAC地址過濾列表來進(jìn)行的,只有符合該規(guī)則的MAC地址數(shù)據(jù)包才能得以通過�����。另外��,還有一種常見的訪
6�����、問控制技術(shù)����,那就是防火墻技術(shù)。網(wǎng)絡(luò)有內(nèi)網(wǎng)和外網(wǎng)之分���,源端口號����、源IP地址是主體,而目的端口號與IP地址是客體��,以保護(hù)規(guī)則定義的方式讓遵循規(guī)則的數(shù)據(jù)包得以通過����。2.3數(shù)據(jù)庫管理系統(tǒng)層銀行金融網(wǎng)絡(luò)系統(tǒng)中�����,操作系統(tǒng)固然頭等重要�,然而數(shù)據(jù)庫管理系統(tǒng)的重要性也是不言而喻的,它是應(yīng)用系統(tǒng)不可或缺的組成部分�。在數(shù)據(jù)庫管理系統(tǒng)中,十分重要的一個(gè)安全措施就是訪問控制�。用戶安全管理是數(shù)據(jù)庫管理的集中體現(xiàn)。系統(tǒng)對通過身份認(rèn)證的登錄信息會(huì)將之當(dāng)做主體����,而數(shù)據(jù)庫管理系統(tǒng)中的文件、字段���、數(shù)據(jù)庫�����、表以及系統(tǒng)操作則是客體���,而字
7����、段與表會(huì)存在一些增刪�、查詢、和修改方面的操作�,而數(shù)據(jù)庫則存在恢復(fù)、備份等方面的操作����。用戶的存取、訪問規(guī)則是用戶對數(shù)據(jù)庫存取控制的執(zhí)行依據(jù)�。存取矩陣也能夠表示訪問控制規(guī)則。列在該矩陣中代表著系統(tǒng)客體是數(shù)據(jù)庫�����、字段以及表等等����,而陣列各單元代表主體對客體或者不同主體的存取方法是增刪�、查詢��、修改等操作��。從操作系統(tǒng)的訪問控制安全角度講���,訪問控制措施在數(shù)據(jù)庫管理系統(tǒng)中作用重大。數(shù)據(jù)庫管理系統(tǒng)成為了不少應(yīng)用系統(tǒng)的的設(shè)計(jì)依據(jù)����,系統(tǒng)的關(guān)鍵部分是數(shù)據(jù),其權(quán)限被用戶掌握以后�,就能夠不經(jīng)過應(yīng)用系統(tǒng),直接通過操作數(shù)據(jù)庫的
8�、記錄,實(shí)現(xiàn)犯罪目的����。所以,科技部門必須細(xì)致地分析設(shè)計(jì)數(shù)據(jù)庫系統(tǒng)的訪問控制措施�,嚴(yán)格分析數(shù)據(jù)庫管理系統(tǒng)中主體的最小權(quán)限,然后據(jù)此對存取矩陣進(jìn)行設(shè)定���。通常數(shù)據(jù)庫管理系統(tǒng)權(quán)限是應(yīng)用系統(tǒng)最終用戶無法獲得的���,這樣一來也不能直接操作數(shù)據(jù)庫管理系統(tǒng)��,要最大限度地不讓內(nèi)部和外包開發(fā)用戶對數(shù)據(jù)庫管理系統(tǒng)進(jìn)行直接登錄操作�。以嚴(yán)格的管控措施減少直接操作授權(quán)����。假如必須直接登錄操作,那么要針對部分表的部分字段來操作��,不能授予內(nèi)部或者外包開發(fā)用戶全部權(quán)限�。同時(shí),針對查詢權(quán)限的授予�����,可以一定程度上降低要求�����,但要控制好增刪與修
