現(xiàn)代化網(wǎng)絡(luò)安全等級(jí)保護(hù)的自主訪問(wèn)控制是一種常用的訪問(wèn)控制方式,它基于對(duì)主體或主體屬性的主體組的識(shí)別來(lái)限制對(duì)客體的訪問(wèn),這種控制是自主的,是主體能夠自主地(可間接地)將訪問(wèn)權(quán)限或訪問(wèn)權(quán)的某個(gè)子集授予其它主體。
對(duì)于自主創(chuàng)建的文件,除了對(duì)文件做機(jī)密性、完整性保護(hù)外,還需要進(jìn)行訪問(wèn)控制的操作,文件屬主通過(guò)操作系統(tǒng)自帶的訪問(wèn)控制功能實(shí)現(xiàn)對(duì)受保護(hù)文件的統(tǒng)一“讀”、“寫(xiě)”、“執(zhí)行”等操作管理,普通用戶對(duì)這些文件進(jìn)行訪問(wèn),不能違背這些規(guī)定,否則,操作不能進(jìn)行。
針對(duì)等級(jí)保護(hù)對(duì)象的主機(jī)系統(tǒng)訪問(wèn)控制策略需要對(duì)服務(wù)器及終端進(jìn)行安全加固,內(nèi)容包括:限制默認(rèn)賬戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)賬戶,修改賬戶的默認(rèn)口令,刪除操作系統(tǒng)和數(shù)據(jù)庫(kù)中過(guò)期或多余的賬戶,禁用無(wú)用賬戶或共享賬戶,根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;啟用訪問(wèn)控制功能,依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)。
在交換機(jī)和防火墻上設(shè)置不同網(wǎng)段、不同用戶對(duì)服務(wù)器的訪問(wèn)控制權(quán)限。關(guān)閉操作系統(tǒng)開(kāi)啟的默認(rèn)共享,對(duì)于需開(kāi)啟的共享及共享文件夾設(shè)置不同的訪問(wèn)權(quán)限,對(duì)于操作系統(tǒng)重要文件和目錄需設(shè)置權(quán)限要求。
可設(shè)置不同的管理員對(duì)服務(wù)器進(jìn)行管理,分為系統(tǒng)管理員、安全管理員、安全審計(jì)員以實(shí)現(xiàn)操作系統(tǒng)特權(quán)用戶的權(quán)限分離,并對(duì)各個(gè)賬戶在其工作范圍內(nèi)設(shè)置最小權(quán)限。通過(guò)主機(jī)內(nèi)核加固系統(tǒng),實(shí)現(xiàn)服務(wù)器的內(nèi)核級(jí)安全加固。
189-0300-8674(林經(jīng)理)