訪問控制是網(wǎng)絡(luò)安全保護和防范的核心策略之一。訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用。訪問控制技術(shù)所涉及內(nèi)容較為廣泛，包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級安全控制，以及屬性安全控制等多種手段。

1.網(wǎng)絡(luò)登錄控制

網(wǎng)絡(luò)登錄控制是網(wǎng)絡(luò)訪問控制的第一道防線。通過網(wǎng)絡(luò)登錄控制可以限制用戶對網(wǎng)絡(luò)服務(wù)器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進行登錄，或限制用戶登錄到指定的服務(wù)器上，或限制用戶只能在指定的時間登錄網(wǎng)絡(luò)等。

網(wǎng)絡(luò)登錄控制一般需要經(jīng)過三個環(huán)節(jié)：

一是驗證用戶身份，識別用戶名；

二是驗證用戶口令，確認用戶身份；

三是核查該用戶賬號的默認權(quán)限。

在這三個環(huán)節(jié)中，只要其中一個環(huán)節(jié)出現(xiàn)異常，該用戶就不能登錄網(wǎng)絡(luò)。其中，前兩個環(huán)節(jié)是用戶的身份認證過程，是較為重要的環(huán)節(jié)，用戶應(yīng)加強這個過程的安全保密性，特別是增強用戶口令的保密性。用戶可以使用一次性口令，或使用IC卡等安全方式來證明自己的身份。

網(wǎng)絡(luò)登錄控制是由網(wǎng)絡(luò)管理員依據(jù)網(wǎng)絡(luò)安全策略實施的。網(wǎng)絡(luò)管理員可以隨時建立或刪除普通用戶賬號，可以控制和限制普通用戶賬號的活動范圍、訪問網(wǎng)絡(luò)的時間和訪問方式，并對登錄過程進行必要的審計。對于試圖非法登錄網(wǎng)絡(luò)的用戶，一經(jīng)發(fā)現(xiàn)立即報警。

2.網(wǎng)絡(luò)使用權(quán)限控制

當用戶成功登錄網(wǎng)絡(luò)后，就可以使用其所擁有的權(quán)限對網(wǎng)絡(luò)資源(如目錄、文件和相應(yīng)設(shè)備等)進行訪問。如果網(wǎng)絡(luò)對用戶的使用權(quán)限不能進行有效的控制，則可能導致用戶的非法操作或誤操作。

網(wǎng)絡(luò)使用權(quán)限控制就是針對可能出現(xiàn)的非法操作或誤操作提出來的一種安全保護措施。通過網(wǎng)絡(luò)使用權(quán)限控制可以規(guī)范和限制用戶對網(wǎng)絡(luò)資源的訪問，允許用戶訪問的資源就開放給用戶，不允許用戶訪問的資源一律加以控制和保護。

網(wǎng)絡(luò)使用權(quán)限控制是通過訪問控制表來實現(xiàn)的。在這個訪問控制表中，規(guī)定了用戶可以訪問的網(wǎng)絡(luò)資源，以及能夠?qū)@些資源進行的操作。根據(jù)網(wǎng)絡(luò)使用權(quán)限，可以將網(wǎng)絡(luò)用戶分為三大類：

一是系統(tǒng)管理員用戶，負責網(wǎng)絡(luò)系統(tǒng)的配置和管理；

二是審計用戶，負責網(wǎng)絡(luò)系統(tǒng)的安全控制和資源使用情況的審計；

三是普通用戶，這是由系統(tǒng)管理員創(chuàng)建的用戶，其網(wǎng)絡(luò)使用權(quán)限是由系統(tǒng)管理員根據(jù)他們的實際需要授予的。系統(tǒng)管理員可隨時更改普通用戶的權(quán)限，或?qū)⑵鋭h除。

3.目錄級安全控制

用戶獲得網(wǎng)絡(luò)使用權(quán)限后，即可對相應(yīng)的目錄、文件或設(shè)備進行規(guī)定的訪問。系統(tǒng)管理員為用戶在目錄級指定的權(quán)限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。如果用戶濫用權(quán)限，則會對這些目錄、文件或設(shè)備等網(wǎng)絡(luò)資源構(gòu)成嚴重威脅。這時目錄級安全控制和屬性安全控制就可以防止用戶濫用權(quán)限。

一般情況下，對目錄和文件的訪問權(quán)限包括系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪問控制權(quán)限。目錄級安全控制可以限制用戶對目錄和文件的訪問權(quán)限，進而保護目錄和文件的安全，防止權(quán)限濫用。

4.屬性安全控制

屬性安全控制是通過給網(wǎng)絡(luò)資源設(shè)置安全屬性標記來實現(xiàn)的。當系統(tǒng)管理員給文件、目錄和網(wǎng)絡(luò)設(shè)備等資源設(shè)置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。

通常，屬性安全控制可以限制用戶對指定文件進行讀、寫、刪除和執(zhí)行等操作，可以限制用戶查看目錄或文件，可以將目錄或文件隱藏、共享和設(shè)置成系統(tǒng)特性等。

5.服務(wù)器安全控制

網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。

訪問控制技術(shù)是防止黑客入侵技術(shù)中比較常見和有效地技術(shù)之一，希望通過上面的介紹，大家已經(jīng)清楚地認識了訪問控制技術(shù)。

【編輯推薦】

1. 防止黑客入侵技術(shù)之安全審計
2. 防止黑客入侵技術(shù)之安全管理
3. 詳談：防止黑客入侵技術(shù)（1）
4. 詳談：防止黑客入侵技術(shù)（2）