nformation Security・信息安全 关于访问控制技术在银行网络安全中的应用探讨 当下,我国很多银行网络安 全体系中都运用到了访问控制技 术,它成为了银行金融网络的一 大保护屏障,也是银行网络安全 体系的重要构成。本文主要从访 问控制技术的角度来谈谈银行要 如何保护金融网络安全,以期提 出有益的建议。 【关键词】银行网络安全访问控制技术 计算机网络的普及已经深入到我们社会 生活的各个角落,在银行金融业务中,如何解 决银行网络安全是银行十分重视的问题。在这 种背景下,访问控制技术诞生了,并成为了银 行金融电子化及网络安全保护的重要措施。 1访问控制概念及原理 1.1访问控制的概念 所谓访问控制,就是一种允许或者范 围能力和范围的方法,它是利用某种显式的途 径来实现,并且可以防御非法的资源使用行为。 对于非法用户的入侵行为,访问控制可以 其访问重要资源,如果合法用户因为失误造成 的破坏,访问也可以进行阻止,这样就能 够让银行金融网络受到良好的控制,被合法使 用。用户要想访问系统资源,必须在自己的权 限范围内,禁止越权访问。访问控制技术不等 于身份认证,不过却是以身份认证为前提的。 1.2访问控制的原理 我们可以运用路由器上的访问列表对数 据包过滤。网络数据包传递由访问列表控制, 并对虚拟终端线路通信量进行,也可以对 路由进行控制。路由器产生的数据包并不是因 为包过滤功能引起的,数据包到达一个端口之 际,路由器会针对这种数据能不能以路由或者 桥接的方法送出去进行查验。要是无法发送出 去,路由器就会把这个数据包丢弃,反之,那 么路由器会对这个数据包进行检查,以符合端 口定义的包过滤规则为检查依据,要是不符合 包过滤的要求就会禁止数据包通过,路由器也 会将之丢弃。多条规则构成了单个访问列表, 数据包的允许或禁止通过需要遵循输入规则。 文/杨建立 号码是访问列表的标志,相同的访问列表需要 字段、数据库、表以及系统操作则是客体,而 一样的号码,列表中每个语句都是如此。访问 字段与表会存在一些增删、查询、和修改方面 列表的正在应用类型代表了号码的使用范围。 的操作,而数据库则存在恢复、备份等方面的 2访问控制技术在银行网络安全中的应用 操作。用户的存取、访问规则是用户对数据库 存取控制的执行依据。存取矩阵也能够表示访 银行金融网络信息的整个系统都可以运 问控制规则。列在该矩阵中代表着系统客体是 用访问控制技术,例如: 数据库、字段以及表等等,而阵列各单元代表 2.1应用系统层 主体对客体或者不同主体的存取方法是增删、 查询、修改等操作。 数据库管理系统、操作系统等软件是应 从操作系统的访问控制安全角度讲,访 用系统的基础构架,它能够让具有不同需求的 问控制措施在数据库管理系统中作用重大。数 客户在应用需求方面获得满意的软件程序的帮 据库管理系统成为了不少应用系统的的设计依 助。要开发应用系统,必须先有效地分析、规 据,系统的关键部分是数据,其权限被用户掌 划访问控制措施。访问控制措施必须运用到银 握以后,就能够不经过应用系统,直接通过操 行信息系统里的关键综合业务系统以及别的应 作数据库的记录,实现犯罪目的。所以,科技 用系统中。各级柜员、管理者、自助设备等是 部门必须细致地分析设计数据库系统的访问控 综合业务系统的主体,而相关的交易、操作则 制措施,严格分析数据库管理系统中主体的最 是客体。针对综合业务系统里的安全管理环节, 小权限,然后据此对存取矩阵进行设定。 应该定义访问控制措施的规则。不管是交易还 通常数据库管理系统权限是应用系统最 是操作,只有根据规则来进行,主体才有权进 终用户无法获得的,这样一来也不能直接操作 行合理的访问与执行。 数据库管理系统,要最大限度地不让内部和外 2.2网络层 包开发用户对数据库管理系统进行直接登录操 作。以严格的管控措施减少直接操作授权。假 路由器和三层交换机中会大量运用到访 如必须直接登录操作,那么要针对部分表的部 问控制列表,主客体分别为源地址、端口号与 分字段来操作,不能授予内部或者外包开发用 目的地址,对控制列表的访问则是按照相关的 户全部权限。同时,针对查询权限的授予,可 保护规则来进行,如果数据包满足保护规则要 以一定程度上降低要求,但要控制好增删与修 求,则允许通过,反之则被阻止。在MAC地 改操作。例如,一个用户需要进行客户存款信 址过滤中,待访问目标是客体,而MAC地址 息查询,那么他被授权查询姓名Name、住址 则是主体。保护规则都是根据定义MAC地址 Address、存款余额Deposit3个字段的信息表 过滤列表来进行的,只有符合该规则的MAC User,不过只允许修改Address字段,但是严禁 地址数据包才能得以通过。另外,还有一种常 执行插入或者删除操作。 见的访问控制技术,那就是防火墙技术。网络 在不少情形下,个人征信系统、反洗钱 有内网和之分,源端口号、源IP地址是 系统等应用系统都是主体。要创建对应的用户, 主体,而目的端口号与Ip地址是客体,以保 则需参照应用系统对数据库管理系统的最小授 护规则定义的方式让遵循规则的数据包得以通 权来进行。在个人征信系统中,外包开发用户 过。 要规划系统,那么需要同科技部门沟通,对应 2.3数据库管理系统层 用系统的最小授权集合进行制订。客户贷款信 息数据表中的一些字段或许或会出现在个人征 银行金融网络系统中,操作系统固然头 信系统中,那么存款信息之类的数据库表就不 等重要,然而数据库管理系统的重要性也是不 应该被访问,可以允许查询。分析访问控制措 言而喻的,它是应用系统不可或缺的组成部分。 施,可以极大地减少因为内部和外包开发员的 在数据库管理系统中,十分重要的一个安全措 施就是访问控制。用户安全管理是数据库管理 的集中体现。系统对通过身份认证的登录信息 会将之当做主体,而数据库管理系统中的文件、 <<下转257页 Electronic Technology&Software Engineering电子技术与软件工程・231 Progra m Design・程序设计 子程序嵌套在型腔与槽类零件中的应用分析 文/董守勋 主程序 在数控加工与编程中使用子 程序多重嵌套,减少了程序调试 的工作量,便于编程员检查程序 减少出错率,提高了编程质量、 加工精度和生产效率,拓展了加 予程序l %1000 子程序2 %2000 %o001 ● 工范围。对手工编程有着事半功 倍的作用。 姻tl 8 PIO00 姻/ ●I● 8 P2000 姻./ _●I 8 P2000 .● ● l ● l ● jlf 30 \ -jl9 9 1级嵌套 图1 . M● 9 2级嵌套 8级嵌套 键词】子程序嵌套数控铣削平面优先 -l优先 :程序及子程序嵌套的作用 (1)零件上若干处具有相同的轮廓形状, 种情况下,只要编写一个加工该轮廓形状 刀路线.如果相同轨迹的走刀路线出现在某个 编成一个子程序,这样形成了模块式的程序结 :OoT-区域或在这个区域的各个层面上,采用子 构,便于对加工顺序的调整,主程序中只有换 程序编写加工程序比较方便,在程序中常用增 量值确定切入深度。 (3)在加工较复杂的零件时,往往包含 许多的工序,有时工序之间需要适当的调 在程序中含有某些固定顺序或重复出现 刀和调用子程序等指令 程序,然后用主程序多次调用该子程序的 完成对工件的加工。 (2)加工中反复出现具有相同轨迹的走 2子程序调用的指令及格式 整,为了优化加工程序,把每一个的工序 的程序区域段时,这些固定顺序或重复区段的 上接231页 E授权而产生的金融安全风险。 操作系统层 制,就需要合理配置访问控制措施,这样才能 让他们不会故意越权操作系统。如果配置不佳, 就会让内部和外包开发员有过多的权限,不利 的要求,IP, ̄J定严格、遵循最小、职责分 离与多人负责,这样才能让金融网络变得更加 安全,对非法用户的阻止是很有效的。特别是 有着访问控制措施的常用操作系统主要 于银行金融网络的安全。科技部门必须细致地 当前银行经常出现的内部与外包开发人员越权 }对用户进行安全管理。用户的身份认证关 分析设计操作系统的访问控制措施,严格分析 操作系统的案件,所以银行必须科学而合理地 0访问控制权限,也是访问控制执行的依据。 文件系统中用户的最小权限,然后据此对存取 使用访问控制技术,以保证银行金融网络的安 全。 }认证的方法有很多种,比如口令与指纹、 }卡与口令以及USB钥匙等等。系统会禁 矩阵进行设定。 2.5防火墙 乏正确身份认证的用户,如果认证成功, 登录身份信息将被系统当做主体。而系统 、参考文献 访问控制技术在银行金融网络防火墙中 也有广泛的运用。从网络防火墙技术上来讲, 网络具有内之分,该项技术可用于对所有 的内外和通信应用协议的分析,由此查找 [1】戚文静,刘学.网络安全原理与应用【嘲. 北京:中国水利水电出版社,2005. 文件、操作、进程则是客体,一般会出 写、运行和删除及修改等行为。对于用户 别和存取访问规则是由用户对信息存取控 【2】蒋茜,张帆.访问控制技术在银行网络安 全中的应用【J】.重庆工学院学报(自然 科学).2008,22(12):15 3-154. )来确定。系统对不同的用户会授予不一样 F取权限,比如写入或者读取被允许。存取 出主机的IP地址和IP上联端口号,并对业务 流进行有效的规划,进而合理控制对应的业务 [3】王铁刚.浅谈“访问控制”技术在银行网 P地址、目的IP地址、源上联端口号、 F模型一般被用来表示访问控制规则,大型 流。源IF阵列则可以用来表示系统的安全情况。行 目的上联端口号中的访问权限都可以利用防火 络安全中的运用….计算机光盘软件与 应用,2012(20):127-128. £种矩阵中代表系统主体,系统的客体则用 墙技术来进行最大化的,能够对业务流的 示。主体对客体或者不同主体的存取是以 通断进行,以保证银行的金融业务安全。 作者单位 中国人民银行荆门市中心支行448200 4单元的填入数值来描述。数据库管理系统 }操作系统都能够使用这种模型。 要想对内部与外包开发人员进行有效限 3结语 总的来说,访问控制措施必须符合相关 湖北省荆门市 Electronic Technology&Software Engineering电子技术与软件工程・257
