張景

（河北科技學(xué)院 河北省保定市 071000）

信息時代背景下，計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)等高新技術(shù)發(fā)展迅速，其正在無形中推動著各個行業(yè)和領(lǐng)域的升級與變革，傳統(tǒng)制造與生產(chǎn)方式也要面臨著即將被淘汰的結(jié)果，現(xiàn)代社會中網(wǎng)絡(luò)化制造必將成為主流模式。網(wǎng)絡(luò)化制造與傳統(tǒng)制造方式相比，擁有著諸多的優(yōu)勢，但是其也存在著一個致命性弱點，那就是網(wǎng)絡(luò)的安全問題。如果不能確保網(wǎng)絡(luò)化制造系統(tǒng)的安全性，那么制造業(yè)繁榮景象背后蘊(yùn)藏的巨大危機(jī)將會永久存在。因此，如何保證網(wǎng)絡(luò)化制造系統(tǒng)的安全性是當(dāng)前相關(guān)領(lǐng)域亟待解決的重要問題之一。

1 網(wǎng)絡(luò)化制造系統(tǒng)所涉及的關(guān)鍵技術(shù)

在當(dāng)前的網(wǎng)絡(luò)化制造系統(tǒng)當(dāng)中所應(yīng)用到的關(guān)鍵技術(shù)種類越來越多元且高效，其主要包括網(wǎng)絡(luò)化制造通訊技術(shù)、安全技術(shù)、優(yōu)化管理技術(shù)以及有效集成與協(xié)同技術(shù)等等。根據(jù)具體用途和方向的不同，我們可以將網(wǎng)絡(luò)化制造系統(tǒng)中所涉及的技術(shù)劃分為總體技術(shù)、基礎(chǔ)技術(shù)、集成技術(shù)以及應(yīng)用實施技術(shù)四大類。

1.1 總體技術(shù)

從系統(tǒng)整體出發(fā)，用于研究網(wǎng)絡(luò)化制造系統(tǒng)結(jié)構(gòu)、組織以及運行的技術(shù)被統(tǒng)稱為總體技術(shù)。總體技術(shù)中包括模式、結(jié)構(gòu)、實施方法、運行管理以及商務(wù)技術(shù)等。

1.2 基礎(chǔ)技術(shù)

基礎(chǔ)技術(shù)不是網(wǎng)絡(luò)化制造系統(tǒng)獨有的技術(shù)，其代表的是網(wǎng)絡(luò)制造領(lǐng)域中共用的基礎(chǔ)性技術(shù)。主要包括基礎(chǔ)理論方法、協(xié)議規(guī)范、標(biāo)準(zhǔn)化技術(shù)、建模技術(shù)、模擬技術(shù)等。

1.3 集成技術(shù)

網(wǎng)絡(luò)化制造系統(tǒng)中用于設(shè)計開發(fā)和實施的技術(shù)屬于集成技術(shù)，諸如設(shè)計制造資源庫、知識開發(fā)庫、ASP 服務(wù)平臺等技術(shù)，還有WebService 技術(shù)、電子商務(wù)與EDI 技術(shù)等等。

1.4 應(yīng)用實施技術(shù)

支持網(wǎng)絡(luò)化制造系統(tǒng)應(yīng)用的技術(shù)稱為應(yīng)用實施技術(shù)。如資源共享與優(yōu)化配置技術(shù)、資源(設(shè)備)封裝與接口技術(shù)、區(qū)域動態(tài)聯(lián)盟與企業(yè)協(xié)同技術(shù)、數(shù)據(jù)中心與數(shù)據(jù)管理(安全)技術(shù)以及網(wǎng)絡(luò)安全技術(shù)[1]。

2 訪問控制技術(shù)

訪問控制技術(shù)通過顯性手段和方式來對用戶的訪問能力、可訪問范圍作出限制性的設(shè)置。訪問控制技術(shù)的原理如圖1 所示。

訪問控制有三種模式，即自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色訪問控制（RBAC）。其中，自主訪問控制（DAC）是一種接入控制服務(wù)，基于系統(tǒng)實體身份接入，用戶可以對自身創(chuàng)建的文件、數(shù)據(jù)表等對象進(jìn)行訪問，也可授予或者收回其他用戶訪問的權(quán)限。自主訪問控制應(yīng)用非常廣泛，靈活性也比較強(qiáng)，但是其安全性比較低，對于系統(tǒng)資源不能做到良好的保護(hù)。強(qiáng)制訪問控制（MAC）是系統(tǒng)強(qiáng)制主體服從訪問控制策略，系統(tǒng)占據(jù)主導(dǎo)權(quán)，用戶自己創(chuàng)建的對象也需要根據(jù)規(guī)則來設(shè)定權(quán)限。強(qiáng)制訪問控制的安全性要更強(qiáng)一些，多被應(yīng)用在多級安全軍事系統(tǒng)當(dāng)中，對于大型系統(tǒng)或者通用系統(tǒng)應(yīng)用效果不是很理想?；诮巧脑L問控制是通過對角色的訪問所進(jìn)行的控制，訪問權(quán)限取決于角色，不同的角色，權(quán)限則不同，這對于簡化權(quán)限管理非常有幫助[2]。

3 安全體系結(jié)構(gòu)中的訪問控制技術(shù)

3.1 入網(wǎng)訪問控制

控制網(wǎng)絡(luò)訪問權(quán)限的第一步便是入網(wǎng)訪問控制，入網(wǎng)訪問控制控制的是用戶登錄服務(wù)器的權(quán)限和入網(wǎng)時間的權(quán)限。一般用戶需要完成三個步驟便可獲得訪問權(quán)限，第一步是識別用戶名，第二步是驗證用戶口令，第三步是查驗用戶賬號的缺省限制。

3.2 網(wǎng)絡(luò)權(quán)限控制

網(wǎng)絡(luò)權(quán)限控制可在一定程度上有效降低非法操作行為的出現(xiàn)概率。網(wǎng)絡(luò)權(quán)限控制會根據(jù)不同的用戶和用戶組來給予合適的權(quán)限控制，得到權(quán)限的用戶和用戶組只能訪問權(quán)限之內(nèi)的網(wǎng)絡(luò)資源，如越權(quán)訪問則屬于非法操作。

3.3 目錄安全控制

控制用戶訪問目錄的權(quán)限，即設(shè)定用戶可訪問的目錄級別，如對用戶開放一級目錄訪問權(quán)限，那么用戶也可因此獲得一級目錄下的全部子目錄的訪問權(quán)限，但如有特殊情況，可對用戶訪問子目錄的權(quán)限進(jìn)行特殊設(shè)定。用戶訪問目錄中文件的權(quán)限包括但不止于讀寫權(quán)限、修改權(quán)限、刪除權(quán)限、查找權(quán)限、管理員權(quán)限[3]。通常情況下，我們會通過兩個方面來判斷用戶訪問目錄權(quán)限的有效性，即是否有用戶或者用戶所在組的受托者指派以及繼承權(quán)限屏蔽取消的用戶權(quán)限。

3.4 網(wǎng)絡(luò)端口安全控制

網(wǎng)絡(luò)端口是信息進(jìn)入計算機(jī)系統(tǒng)的重要關(guān)卡，為更好的保護(hù)網(wǎng)絡(luò)資源的安全，通常會采用兩種方式來進(jìn)行加密，即自動回呼設(shè)備與靜默調(diào)制解調(diào)器。其中，自動回呼設(shè)備的作用是對用戶身份的真假作出識別，而靜默調(diào)制解調(diào)器的作用是防御黑客的破壞行為。

3.5 服務(wù)器安全控制

服務(wù)器安全控制方式目前有兩種：其一限制服務(wù)器的登錄時間，其二是設(shè)置口令鎖定服務(wù)器控制臺，做好服務(wù)器的安全控制可以在一定程度上避免非法用戶對網(wǎng)絡(luò)資源作出惡意刪除、修改等破壞性操作行為。

3.6 屬性安全控制

屬性安全控制權(quán)限主要有文件數(shù)據(jù)的寫入和拷貝、文件的執(zhí)行、目錄查看和刪除、隱藏和共享操作等等。一般管理員會在權(quán)限安全的基礎(chǔ)上設(shè)置文件、目錄等內(nèi)容對應(yīng)的訪問安全屬性，并生成一張訪問屬性控制表，控制表的內(nèi)容便是用戶對網(wǎng)絡(luò)資源訪問能力的設(shè)定。

3.7 防火墻控制

在強(qiáng)化網(wǎng)絡(luò)安全的諸多手段當(dāng)中，防火墻技術(shù)算是最為常見的一種方式。防火墻技術(shù)可以預(yù)防竊取、復(fù)制以及破壞網(wǎng)絡(luò)資源等惡意操作的發(fā)生，按照既定按照規(guī)則和標(biāo)準(zhǔn)對網(wǎng)絡(luò)數(shù)據(jù)隨時進(jìn)行監(jiān)測和檢查，在確保網(wǎng)絡(luò)通信的安全性和合法性方面發(fā)揮著至關(guān)重要的作用。

4 網(wǎng)絡(luò)安全體系結(jié)構(gòu)以及訪問控制技術(shù)的應(yīng)用

4.1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)

伴隨著安全技術(shù)的創(chuàng)新與發(fā)展，現(xiàn)如今的網(wǎng)絡(luò)安全體系結(jié)構(gòu)越發(fā)成熟和完善，訪問控制技術(shù)在網(wǎng)絡(luò)安全體系結(jié)構(gòu)中更是有著越來越廣泛且深入的應(yīng)用。在網(wǎng)絡(luò)安全體系結(jié)構(gòu)的網(wǎng)絡(luò)層、應(yīng)用系統(tǒng)層、操作系統(tǒng)層以及數(shù)據(jù)庫管理系統(tǒng)層等諸多層面都可以看到訪問控制技術(shù)的身影。圖2 是網(wǎng)絡(luò)安全體系框架圖。

4.2 訪問控制技術(shù)在網(wǎng)絡(luò)安全體系架構(gòu)中的具體應(yīng)用

4.2.1 網(wǎng)絡(luò)層應(yīng)用訪問控制技術(shù)

在路由器與三層交換機(jī)當(dāng)中，訪問控制列表應(yīng)用非常廣泛。所有主客體在對控制列表的網(wǎng)絡(luò)資源進(jìn)行訪問時都必須要嚴(yán)格遵守保護(hù)規(guī)則，只有在符合保護(hù)規(guī)則的前提之下才會被允許進(jìn)行數(shù)據(jù)包的輸出行為。諸如：在過濾MAC 地址時，主體是MAC 地址，客體是帶訪問目標(biāo)，按照優(yōu)先保護(hù)主體的原則，只有滿足保護(hù)規(guī)則的MAC 地址數(shù)據(jù)包才能夠順利輸出。還有，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中，通常會將目的端口號和IP 地址視為客體，源端口號和源IP 地址視為主體，保護(hù)規(guī)則也會根據(jù)源端口號和源IP 地址來進(jìn)行設(shè)定，只有滿足該保護(hù)規(guī)則的數(shù)據(jù)包才能被允許輸出。

4.2.2 應(yīng)用系統(tǒng)層運用訪問控制技術(shù)

應(yīng)用系統(tǒng)層的基礎(chǔ)架構(gòu)主要包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等軟件，應(yīng)用系統(tǒng)可以根據(jù)客戶需求來為其提供針對性的軟件程序。考慮到訪問控制措施的合理性需求，其研發(fā)工作必須要建立在網(wǎng)絡(luò)信息系統(tǒng)綜合業(yè)務(wù)基礎(chǔ)之上，要結(jié)合具體業(yè)務(wù)來進(jìn)行配套開發(fā)，根據(jù)實際需求來合理設(shè)置各方操作主體的權(quán)限，一定要對安全管理層面作出高度重視，針對每一處的訪問控制都要制定出明確的保護(hù)原則，只有符合原則的操作才能夠被允許。

4.2.3 操作系統(tǒng)層應(yīng)用訪問控制技術(shù)

在操作系統(tǒng)層中，進(jìn)行訪問控制所依據(jù)的核心內(nèi)容便是用戶的身份認(rèn)證，因此，在強(qiáng)化操作系統(tǒng)層的安全管理時應(yīng)該將重點放在用戶的身份認(rèn)證上面。近些年，在科學(xué)技術(shù)快速發(fā)展的過程中，用于認(rèn)證用戶身份的方法呈現(xiàn)出越來越多元化的趨勢，而且認(rèn)證的精準(zhǔn)性和越來越高，比較常見的有口令認(rèn)證、指紋認(rèn)證以及身份卡認(rèn)證等等。如果用戶沒有通過身份認(rèn)證，那么系統(tǒng)將會直接禁止其進(jìn)入，如果用戶身份認(rèn)證成功，那么用戶登錄系統(tǒng)所使用的身份信息將會成為主體，而系統(tǒng)中的數(shù)據(jù)文件以及系統(tǒng)操作、進(jìn)程等都被會視為客體，用戶作為主體身份可以根據(jù)自己的需要來自主讀寫、刪減或者修改數(shù)據(jù)。

根據(jù)用戶身份識別方式以及存取訪問規(guī)則的相關(guān)規(guī)定，系統(tǒng)會給予不同用戶不同的系統(tǒng)存取權(quán)限。以寫入和讀取數(shù)據(jù)資源為例來進(jìn)行說明：一般情況下系統(tǒng)會將存取矩陣模型來作為訪問控制規(guī)則的標(biāo)識，從監(jiān)測大型矩陣陣列來隨時了解系統(tǒng)的運行狀態(tài)。其中，主體是由行來進(jìn)行標(biāo)識，客體則由列來進(jìn)行標(biāo)識，主體與客體或者不同主體之間的存取是通過陣列單元填入的數(shù)據(jù)來進(jìn)行表示的。

4.2.4 數(shù)據(jù)庫管理系統(tǒng)層應(yīng)用訪問控制技術(shù)

數(shù)據(jù)庫管理系統(tǒng)與操作系統(tǒng)同等重要，其作為構(gòu)成網(wǎng)絡(luò)安全系統(tǒng)的核心組成部分，其在提升網(wǎng)絡(luò)安全系統(tǒng)整體性能方面發(fā)揮著至關(guān)重要的作用。訪問控制技術(shù)在數(shù)據(jù)庫管理系統(tǒng)中是最為關(guān)鍵的安全保護(hù)措施之一。與操作系統(tǒng)一樣，數(shù)據(jù)庫管理系統(tǒng)也是將將身份認(rèn)證通過的登錄信息視為主體，將系統(tǒng)中的文件、字段、表以及操作視為客體，控制用戶訪問的規(guī)則也會對用戶在數(shù)據(jù)庫中執(zhí)行存取操作產(chǎn)生很大影響。其中，存取矩陣在數(shù)據(jù)庫中也發(fā)揮著重要的作用，在存取矩陣當(dāng)中，行代表著主體，列代表著客體，矩陣?yán)锏拿恳粋€單元都代表著主體與客體或者不同主體之間的存取方式，即進(jìn)行數(shù)據(jù)庫中的增刪、查詢、修改等操作。訪問控制技術(shù)在數(shù)據(jù)庫管理層中的應(yīng)用要充分考慮到數(shù)據(jù)的重要性，一切要以保護(hù)好數(shù)據(jù)為先。如果有用戶非法獲取到數(shù)據(jù)庫管理系統(tǒng)的訪問權(quán)限，那么其很有可能不經(jīng)過應(yīng)用系統(tǒng)便可獲取到核心數(shù)據(jù)信息，所以，相關(guān)部門一定要認(rèn)識到數(shù)據(jù)庫系統(tǒng)的訪問控制技術(shù)需求的特殊性，要以做小權(quán)限原則來設(shè)定數(shù)據(jù)庫管理系統(tǒng)中各方主體的權(quán)限，同時要借助存取矩陣來最終確定。

5 結(jié)束語

綜上所述，訪問控制技術(shù)作為網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的核心技術(shù)手段，在維護(hù)網(wǎng)絡(luò)系統(tǒng)安全中發(fā)揮著至關(guān)重要的作用。因此，相關(guān)部門在設(shè)計訪問控制措施時一定要嚴(yán)格按照既定標(biāo)準(zhǔn)和要求，遵循最小權(quán)限授予原則，分散職責(zé)，竭盡全力去保障網(wǎng)絡(luò)安全體系結(jié)構(gòu)的科學(xué)性與合理性。