網絡化制造系統中安全體系結構及訪問控制技術分析

張景

（河北科技學院 河北省保定市 071000）

信息時代背景下，計算機技術、網絡技術、通信技術等高新技術發展迅速，其正在無形中推動著各個行業和領域的升級與變革，傳統制造與生產方式也要面臨著即將被淘汰的結果，現代社會中網絡化制造必將成為主流模式。網絡化制造與傳統制造方式相比，擁有著諸多的優勢，但是其也存在著一個致命性弱點，那就是網絡的安全問題。如果不能確保網絡化制造系統的安全性，那么制造業繁榮景象背后蘊藏的巨大危機將會永久存在。因此，如何保證網絡化制造系統的安全性是當前相關領域亟待解決的重要問題之一。

1 網絡化制造系統所涉及的關鍵技術

在當前的網絡化制造系統當中所應用到的關鍵技術種類越來越多元且高效，其主要包括網絡化制造通訊技術、安全技術、優化管理技術以及有效集成與協同技術等等。根據具體用途和方向的不同，我們可以將網絡化制造系統中所涉及的技術劃分為總體技術、基礎技術、集成技術以及應用實施技術四大類。

1.1 總體技術

從系統整體出發，用于研究網絡化制造系統結構、組織以及運行的技術被統稱為總體技術?？傮w技術中包括模式、結構、實施方法、運行管理以及商務技術等。

1.2 基礎技術

基礎技術不是網絡化制造系統獨有的技術，其代表的是網絡制造領域中共用的基礎性技術。主要包括基礎理論方法、協議規范、標準化技術、建模技術、模擬技術等。

1.3 集成技術

網絡化制造系統中用于設計開發和實施的技術屬于集成技術，諸如設計制造資源庫、知識開發庫、ASP 服務平臺等技術，還有WebService 技術、電子商務與EDI 技術等等。

1.4 應用實施技術

支持網絡化制造系統應用的技術稱為應用實施技術。如資源共享與優化配置技術、資源(設備)封裝與接口技術、區域動態聯盟與企業協同技術、數據中心與數據管理(安全)技術以及網絡安全技術[1]。

2 訪問控制技術

訪問控制技術通過顯性手段和方式來對用戶的訪問能力、可訪問范圍作出限制性的設置。訪問控制技術的原理如圖1 所示。

訪問控制有三種模式，即自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色訪問控制（RBAC）。其中，自主訪問控制（DAC）是一種接入控制服務，基于系統實體身份接入，用戶可以對自身創建的文件、數據表等對象進行訪問，也可授予或者收回其他用戶訪問的權限。自主訪問控制應用非常廣泛，靈活性也比較強，但是其安全性比較低，對于系統資源不能做到良好的保護。強制訪問控制（MAC）是系統強制主體服從訪問控制策略，系統占據主導權，用戶自己創建的對象也需要根據規則來設定權限。強制訪問控制的安全性要更強一些，多被應用在多級安全軍事系統當中，對于大型系統或者通用系統應用效果不是很理想?；诮巧脑L問控制是通過對角色的訪問所進行的控制，訪問權限取決于角色，不同的角色，權限則不同，這對于簡化權限管理非常有幫助[2]。

3 安全體系結構中的訪問控制技術

3.1 入網訪問控制

控制網絡訪問權限的第一步便是入網訪問控制，入網訪問控制控制的是用戶登錄服務器的權限和入網時間的權限。一般用戶需要完成三個步驟便可獲得訪問權限，第一步是識別用戶名，第二步是驗證用戶口令，第三步是查驗用戶賬號的缺省限制。

3.2 網絡權限控制

網絡權限控制可在一定程度上有效降低非法操作行為的出現概率。網絡權限控制會根據不同的用戶和用戶組來給予合適的權限控制，得到權限的用戶和用戶組只能訪問權限之內的網絡資源，如越權訪問則屬于非法操作。

3.3 目錄安全控制

控制用戶訪問目錄的權限，即設定用戶可訪問的目錄級別，如對用戶開放一級目錄訪問權限，那么用戶也可因此獲得一級目錄下的全部子目錄的訪問權限，但如有特殊情況，可對用戶訪問子目錄的權限進行特殊設定。用戶訪問目錄中文件的權限包括但不止于讀寫權限、修改權限、刪除權限、查找權限、管理員權限[3]。通常情況下，我們會通過兩個方面來判斷用戶訪問目錄權限的有效性，即是否有用戶或者用戶所在組的受托者指派以及繼承權限屏蔽取消的用戶權限。

3.4 網絡端口安全控制

網絡端口是信息進入計算機系統的重要關卡，為更好的保護網絡資源的安全，通常會采用兩種方式來進行加密，即自動回呼設備與靜默調制解調器。其中，自動回呼設備的作用是對用戶身份的真假作出識別，而靜默調制解調器的作用是防御黑客的破壞行為。

3.5 服務器安全控制

服務器安全控制方式目前有兩種：其一限制服務器的登錄時間，其二是設置口令鎖定服務器控制臺，做好服務器的安全控制可以在一定程度上避免非法用戶對網絡資源作出惡意刪除、修改等破壞性操作行為。

3.6 屬性安全控制

屬性安全控制權限主要有文件數據的寫入和拷貝、文件的執行、目錄查看和刪除、隱藏和共享操作等等。一般管理員會在權限安全的基礎上設置文件、目錄等內容對應的訪問安全屬性，并生成一張訪問屬性控制表，控制表的內容便是用戶對網絡資源訪問能力的設定。

3.7 防火墻控制

在強化網絡安全的諸多手段當中，防火墻技術算是最為常見的一種方式。防火墻技術可以預防竊取、復制以及破壞網絡資源等惡意操作的發生，按照既定按照規則和標準對網絡數據隨時進行監測和檢查，在確保網絡通信的安全性和合法性方面發揮著至關重要的作用。

4 網絡安全體系結構以及訪問控制技術的應用

4.1 網絡安全體系結構

伴隨著安全技術的創新與發展，現如今的網絡安全體系結構越發成熟和完善，訪問控制技術在網絡安全體系結構中更是有著越來越廣泛且深入的應用。在網絡安全體系結構的網絡層、應用系統層、操作系統層以及數據庫管理系統層等諸多層面都可以看到訪問控制技術的身影。圖2 是網絡安全體系框架圖。

4.2 訪問控制技術在網絡安全體系架構中的具體應用

4.2.1 網絡層應用訪問控制技術

在路由器與三層交換機當中，訪問控制列表應用非常廣泛。所有主客體在對控制列表的網絡資源進行訪問時都必須要嚴格遵守保護規則，只有在符合保護規則的前提之下才會被允許進行數據包的輸出行為。諸如：在過濾MAC 地址時，主體是MAC 地址，客體是帶訪問目標，按照優先保護主體的原則，只有滿足保護規則的MAC 地址數據包才能夠順利輸出。還有，在內部網絡和外部網絡中，通常會將目的端口號和IP 地址視為客體，源端口號和源IP 地址視為主體，保護規則也會根據源端口號和源IP 地址來進行設定，只有滿足該保護規則的數據包才能被允許輸出。

4.2.2 應用系統層運用訪問控制技術

應用系統層的基礎架構主要包括操作系統、數據庫管理系統等軟件，應用系統可以根據客戶需求來為其提供針對性的軟件程序?？紤]到訪問控制措施的合理性需求，其研發工作必須要建立在網絡信息系統綜合業務基礎之上，要結合具體業務來進行配套開發，根據實際需求來合理設置各方操作主體的權限，一定要對安全管理層面作出高度重視，針對每一處的訪問控制都要制定出明確的保護原則，只有符合原則的操作才能夠被允許。

4.2.3 操作系統層應用訪問控制技術

在操作系統層中，進行訪問控制所依據的核心內容便是用戶的身份認證，因此，在強化操作系統層的安全管理時應該將重點放在用戶的身份認證上面。近些年，在科學技術快速發展的過程中，用于認證用戶身份的方法呈現出越來越多元化的趨勢，而且認證的精準性和越來越高，比較常見的有口令認證、指紋認證以及身份卡認證等等。如果用戶沒有通過身份認證，那么系統將會直接禁止其進入，如果用戶身份認證成功，那么用戶登錄系統所使用的身份信息將會成為主體，而系統中的數據文件以及系統操作、進程等都被會視為客體，用戶作為主體身份可以根據自己的需要來自主讀寫、刪減或者修改數據。

根據用戶身份識別方式以及存取訪問規則的相關規定，系統會給予不同用戶不同的系統存取權限。以寫入和讀取數據資源為例來進行說明：一般情況下系統會將存取矩陣模型來作為訪問控制規則的標識，從監測大型矩陣陣列來隨時了解系統的運行狀態。其中，主體是由行來進行標識，客體則由列來進行標識，主體與客體或者不同主體之間的存取是通過陣列單元填入的數據來進行表示的。

4.2.4 數據庫管理系統層應用訪問控制技術

數據庫管理系統與操作系統同等重要，其作為構成網絡安全系統的核心組成部分，其在提升網絡安全系統整體性能方面發揮著至關重要的作用。訪問控制技術在數據庫管理系統中是最為關鍵的安全保護措施之一。與操作系統一樣，數據庫管理系統也是將將身份認證通過的登錄信息視為主體，將系統中的文件、字段、表以及操作視為客體，控制用戶訪問的規則也會對用戶在數據庫中執行存取操作產生很大影響。其中，存取矩陣在數據庫中也發揮著重要的作用，在存取矩陣當中，行代表著主體，列代表著客體，矩陣里的每一個單元都代表著主體與客體或者不同主體之間的存取方式，即進行數據庫中的增刪、查詢、修改等操作。訪問控制技術在數據庫管理層中的應用要充分考慮到數據的重要性，一切要以保護好數據為先。如果有用戶非法獲取到數據庫管理系統的訪問權限，那么其很有可能不經過應用系統便可獲取到核心數據信息，所以，相關部門一定要認識到數據庫系統的訪問控制技術需求的特殊性，要以做小權限原則來設定數據庫管理系統中各方主體的權限，同時要借助存取矩陣來最終確定。

5 結束語

綜上所述，訪問控制技術作為網絡安全體系結構中的核心技術手段，在維護網絡系統安全中發揮著至關重要的作用。因此，相關部門在設計訪問控制措施時一定要嚴格按照既定標準和要求，遵循最小權限授予原則，分散職責，竭盡全力去保障網絡安全體系結構的科學性與合理性。