计算机网络信息安全用户管理解决方案
1、可靠的渠道保证设计
使用本地网络或互联网技术:(第三方访问控制测试方案),计算机用户必须属于个人计算机设备的用户。
1) 受信任的计算机保护系统:UNIX系统是内部以太网的第三方网络通信管理器,个人操作系统是需要第三方检查的受管理用户软件。第三方通过部分或完全限制用户访问可以使用的个人操作系统来启用可信计算机技术,之后个人计算机操作系统或应用程序可以取代UNIX操作系统进行强制访问控制。
2) 可靠的网络通道保证:将UNIX用户组技术迁移到以太网,即VLAN(或VXLAN)(或其他物理通道、标记通道和加密通道)。采用可靠的渠道保障设计,基于用户访问管理的第三方强制访问控制(个人用户操作系统作为用户软件继续受到强制访问控制)。
示例:(在UNIX上构建OA业务系统):区分三个子系统或三个分类数据访问区域,用户只需要七个访问权限组合。
2、映射用户ID并选择网络频道
这主要与用户身份内容和数据链路保护内容的含义有关!
1)必须强制执行用户管理。
2)数据连接保护内容(用户数据、用户通信参数、用户ID)。
A、物理通道
优点:
物理网络只需要内部和外部网络隔离或系统隔离。
缺点:
1、网络难以在不同的业务系统之间共享。
2、需要一个可控的网络。用户不能任意选择终端。
3、在一个It系统中很难实现不同的用户权限,通常只能在物理网络通道上进行授权。
4、替代产品和技术难以完全满足用户组强制访问控制的技术要求。有很多设备,但成本很高。需要复杂的信道设计来实现高级安全,或者仍然需要SDN技术来改进或扩展ACL路由器技术。
B、标记通道VLAN
优点:
经过系统或手动验证,每个数据帧的通信参数(IP)可以表示通道成员的用户设备ID,IT业务应用的独立访问控制ID参考非常简单。促进分布式数据交互和网络共享。
缺点:
1、需要可控网络,不能使用无线和公共网络等不可控网络。用户不能任意选择终端计算机(或者用户可以通过单个用户通道设计任意选择终端)。
2、网络通道逻辑拓扑所需的功能。
C、加密通道
优点:
一种动态加载程序,可以加密互联网应用程序的用户会话(网络共享终端ID(WEB/APP)
缺点:
1、如果不重新打包数据帧,通信参数(套接字)将无法加密,从而很难显示用户的身份。所有用户都需要一个加密的通道,用通道标签替换用户的标识。
2、IP主机ID可能被劫持,替换公钥。
3、难以屏蔽隐藏通道(尤其是动态应用程序端口)。
将用户设备的IP ID与用户登录ID关联,在用户的实际登录ID和通道设备成员的IP ID(数据帧)之间分配的验证措施:
1) 双元素密码;
2) 系统指定用户的物理通信设备连接(信道批准);
3) 系统检测最终用户软件(或动态加载的软件)的版本;
4) 系统直接对用户或授权的团队管理员进行身份验证;
5) 访问、记录和退货管理;
6) 临时管理作业指挥。
在管理计算机系统和IT业务系统的权限时,网络安全是一个重要的逻辑主题。漏洞是访问权限体系结构的问题。网络安全防御技术几乎完全是用户身份和用户授权管理技术。
请注意,员工与保密性、系统控制和关键位置相关的计算机终端密码必须包括接入点的物理位置,以防止密码被盗或好奇的风险。
