Unix下基于用户的网络访问控制和审计

对于多用户的Unix需要有基于用户的网络访问控制和审计。通过在Solaris中编写网络模块iplog的方法 ,在内核之外实现了访问审计 ,增强了操作系统的安全性。实际使用结果表明这种方式在网络负载不大的情况下是一种有效的解决方式。

基于时间的多层防火墙访问控制列表策略审计方案

针对多层防火墙中的访问控制列表(ACL)策略审计问题,基于时间分析了单个防火墙间及多层防火墙间的策略异常,并根据防火墙之间的拓扑结构提出了一种基于树结构的回溯异常检测算法(ADBA)。首先,解析各个防火墙ACL策略,统一数据格式到数据库;然后,根据防火墙间的拓扑建立树状结构并检测单个防火墙内的策略异常;最后,ADBA利用数据库中的数据与树结构进行异常检测并记录异常策略。实验结果表明,ADBA与基于半同构标记防火墙决策图(SMFDD)算法相比,ADBA的检测时间比SMFDD算法减少了28.01%,同时参考时间因素相比SMFDD算法,ADBA能够减少异常检测的误判。故ADBA能有效实施于多层防火墙的ACL策略审计,提高异常检测的精确性并减少异常检测时间。

基于分级保护的OA系统应用层访问控制

本文着眼于一个涉密信息系统的建设角度,在应用层访问控制上深化分级保护的思想,并提出了合理的解决方案。系统采用C/S与B/S相结合的结构,引入主客体分级保护和部门属性,来改进基于角色的访问控制以实现用户和权限的分离、并采用管理员角色分权制衡、系统数据库的综合审计和对审计日志的分布式存储等技术手段,实现了应用层上的分级保护访问控制。这些方法充分体现了将系统访问控制环节的对象差异化,对重点对象进行重点防护和特殊对待的分级保护思想。该方法能够使目前涉密信息系统的安全性得到有效提升,充分保护其系统的安全。