您的位置: 网界网 > 周报全文 > 正文

[周报全文]访问控制产品篇

2002年04月29日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:访问控制产品篇

标签

    访问控制产品篇

    由于访问控制涉及的产品众多,在这里我们就不一一赘述,下面介绍两类特殊的用于访问控制的产品,一类是针对操作系统的访问控制软件,另一类是将身份认证和访问控制结合在一起的平台产品。

    针对操作系统的访问控制软件

    美国国防部提出的“可信计算机系统安全评价准则(TCSEC)”将计算机系统的安全可信性分为七个级别::D最低安全性、C1主存取控制、C2较完善的自主存取控制和审计、B1强制存取控制、B2良好的结构化设计和形式化安全模型、B3全面的访问控制和可信恢复、A1形式化认证。

各商用操作系统的安全级别如下表示:

操作系统类型安全级
SCO Open ServerC2
OSF/1B1
Windows NTC2
DOSD
SolarisC2
HP-UXC2
AIXC2

    从表中可以看出,商用操作系统的安全级别最高能达到C2级,其安全性远远不能满足用户需求。IBM Tivoli操作系统访问管理和冠群金辰eTrust Access Control都是专门加强操作系统访问控制的软件产品。

    IBM Tivoli操作系统访问管理器用于加强和管理Unix和Linux系统的安全访问

    IBM Tivoli操作系统访问管理器提供了一种集中管理的解决方案,帮助用户阻止非法访问Unix和Linux系统。IBM Tivoli访问管理器能够防止操作系统常见的安全问题,特别是能够防止由于“根”用户的特权而产生的安全问题。通过按照每名用户或每个分组执行对资源ACL控制,用户可以划分出对应用和操作系统资源的不同访问权限,而不需考虑用户本身的特权。IBM Tivoli访问管理器具有灵活的审计功能,包括对具体资源的审计。用户可以跟踪大量的访问尝试行为,并针对该行为提供与安全相关的信息,甚至将事件发送到集中事件管理控制台或IBM Tivoli风险管理器。这种解决方案能跨地域和平台执行一致的安全策略,依靠一致的用户界面和管理系统对配置数据进行管理,大大提高了工作效率。用于操作系统的IBM Tivoli访问管理器包括一个复杂的非侵入式安全引擎,可以与OS/390和z/OS上的IBM RACF安全服务器并行使用。与IBM Tivoli身份管理器的集成(可选)扩展了IBM Tivoli访问管理器对Unix的管理能力。目前,它可以与多种平台进行集成,包括Windows、AS/400、OS/390安全服务器、 NetWare NDS和其他目录系统与应用等。

    冠群金辰eTrust服务器核心防护为操作系统增添一个保护层

    冠群金辰的eTrust Access Control给操作系统的安全功能增加了一层安全保护。通过从核心层截取文件访问控制,加强了操作系统的安全性。以上功能的实现是eTrust Access Control通过专利型技术DSX(动态安全扩展)来实现的。eTrust Access Control ACL来对资源进行保护,并对特权程序提供额外保护。eTrust Access Control还提供了对进程的保护,被保护的进程可以正常或异常退出,不被非授权的用户(包括root)杀死,这就保障了系统的可靠性。eTrust Access Control可以控制服务器提供的网络服务对象,并根据客户机的情况允许或禁止某些计算机访问本服务器的某些应用。eTrust Access Control可以阻止堆栈溢出,防止用户或程序获得root权限。eTrust Access Control是通过识别不同登录过程中使用的系统调用序列来拦截用户登录过程,完成用户认证控制,而且eTrust Access Control对用户认证的处理方式无法被绕过。eTrust Access Control可以帮助安全管理人员实施口令质量控制,强制用户按照规章制度的规定选择口令。eTrust Access Control将超级用户作一般用户看待,即超级用户无法透过eTrust Access Control的安全屏障去访问未经授权的文件。eTrust Access Control让普通用户具有root某些能力,同时避免root口令的扩散。eTrust Access Control提供了实施跟踪、安全审计和审计日志功能。eTrust Access Control是一个跨平台的访问控制软件,支持AIX、Unix、Linux、Windows NT等多种操作系统平台。

    将身份认证和访问授权集成在一起的访问控制软件

    通过分析,一些厂商发现:影响安全访问的首先是信息传输问题,然后是身份认证。针对这一发现,这些厂商在产品开发上避开传统思维,推出了将身份认证和访问控制集成在一起的产品。清华得实的WebST和安软公司的EverLink SRAC就是其中两种典型的代表产品。

    清华得实WebST

    清华得实的WebST将多种身份认证技术与访问授权技术集成在一起。作为一种授权控制的基础设施(+微信关注网络世界),WebST具有以下功能:控制不同用户对信息资源的访问权限;根据安全政策,对信息资源进行集中管理;对资源的控制粒度提供粗粒度和细粒度两种,可控制到文件、Web的HTML页面、图形、CGI、Java应用等;作为授权控制的基础,WebST提供了对客户和服务方的双向身份认证;防止通过网上传输的数据被修改、删除、插入、替换或重发,以保证合法用户接收和使用该数据的真实性;WebST为每个Web服务器提供详细的日志和审计信息;基于Java技术开发的WebST控制台还可以对众多Web进行集中管理。

    访问授权是WebST的核心机制,也是WebST的技术特色。WebST的访问授权严格遵循国际标准AuthAPI;授权服务开放,可集成第三方授权服务;支持分布式授权控制和统一授权管理;通过复制技术提供高性能和高可靠性。WebST将访问控制表(ACL)与应用服务器上的每一个对象联系起来。WebST安全服务还可以将用户组成“用户组”,同组成员具有相同的权限,大大简化了管理。

    安软公司的EverLink SRAC

    EverLink SRAC(Secure Access & Control)是一种通过基于PKI体系的验证功能实现服务器与用户间的双向身份验证和访问权限控制的软件平台。它具有远程访问、权限控制和传输加密功能,将企业的网络应用服务安全地扩展到Internet上,并大大降低了通信成本。它利用168位多重DES算法实现高强度的加密数据通道,保证数据传输的安全性。基于Web方式的使用界面,使系统可以工作在任何支持Java的浏览器上,如Microsoft的Internet Explorer和Netscape的Navigator,而且用户不需要安装任何客户端。它支持很多应用层协议,还支持胖客户端和瘦客户端的数据库应用,如用Visual Basic 开发的Oracle和Sybase应用,适应多种网络应用环境。加密通道使用标准的HTTPS端口(443),不需要改动防火墙的任何规则设置。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]