2章同感安企底影與意41

U可以對V進行什么樣的訪問。權限可以是下面目錄級安全控制中所述8種訪問權限的組

合。8種訪問權限組合起來共有256種權限，我們可以用0=255之間的一個數(shù)來表示其中

種訪問權限。

企業(yè)內(nèi)部網(wǎng)應允許控制用戶對目錄、子目錄、文件、設備的訪問。用戶在目錄一級指定的

權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的文件和子目錄的權限。對目

錄和文件的訪問控制權限一般有8種:系統(tǒng)管理員權限(Supervisor)、讀權限(Read)、寫權限

(wite)、創(chuàng)建權限(Create)、除權限(Erase)、修改權限(Modify)、文件查找權限(FileScan)、

存取控制權限(AccessControl)。用戶對文件或目錄的有效權限取決于以下3個因素:用戶的

受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個企業(yè)內(nèi)部網(wǎng)系統(tǒng)

管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。8種訪

問權限的有效組合可以讓用戶有效完成工作，同時又能有效控制用戶對服務器資源的訪問，從

而加強了企業(yè)內(nèi)部網(wǎng)和服務器的安全性。に。題

用于文件、目錄、子目錄和往企業(yè)內(nèi)部網(wǎng)設備。企業(yè)內(nèi)部網(wǎng)系統(tǒng)管理員可給文件、目錄等

指定訪問屬性。屬性安全控制可以將給定的屬性與企業(yè)內(nèi)部網(wǎng)服務器的文件、目錄和企業(yè)內(nèi)

部網(wǎng)設備聯(lián)系起來。屬性安全性在權限安全性的基礎上提供更進一步的安全性，企業(yè)內(nèi)部網(wǎng)

上的資源都應預先標出一組安全屬性。用戶對企業(yè)內(nèi)部網(wǎng)資源的訪問權限對應二張訪問控制

表，用以表明用戶對企業(yè)內(nèi)部網(wǎng)資源的訪問能力，屬性設置可以種蓋已經(jīng)指定的住何受托指派

者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數(shù)據(jù)、持貝一個文

件、刪除目錄或文件，查看目錄和文件、執(zhí)行文件、隱含文件，共享系統(tǒng)屬性等。企業(yè)內(nèi)部網(wǎng)的

屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刷除、修改、執(zhí)行、顯示等。

企業(yè)內(nèi)部網(wǎng)允許在服務器控制臺上執(zhí)行“系列的操作。用戶使用控制臺可以裝載和卸載

模塊，可以安裝和刷除軟件等操作。企業(yè)內(nèi)部網(wǎng)服務器的安全控制包括可以設置口令鎖定服

務器控制臺，從而防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限

制、非法訪問者檢測和關閉時間間隔。

企業(yè)內(nèi)部網(wǎng)管理者應對企業(yè)內(nèi)部網(wǎng)實施監(jiān)控，服務器應記錄用戶對企業(yè)內(nèi)部網(wǎng)資源的訪

問。對非法的企業(yè)內(nèi)部網(wǎng)訪問，服務器應以圖形或文字或聲音等形式報警，以引起企業(yè)內(nèi)部網(wǎng)

進入企業(yè)內(nèi)部網(wǎng)的次數(shù)，如果非法訪問的次數(shù)達到設定的次數(shù)時，該賬戶將被自動鎖定。管理員的注意。如果不法之徒試圖進入企業(yè)內(nèi)部網(wǎng)，企業(yè)內(nèi)部網(wǎng)服務器會自動記錄企圖嘗試

企業(yè)內(nèi)部網(wǎng)中服務器的端口往往用自動回呼設備、靜默調(diào)制解調(diào)器保護，以加密的形式來

自動按號程序?qū)τ嬎銠C進行攻擊。企業(yè)內(nèi)部網(wǎng)中還常對服務器端和用戶端均采取控制，用戶識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防止“黑客”的

必須帶驗證身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器等)對用戶的身份進行驗證后

オ能進入用戶端，用戶端和服務器端再進行相互驗證。

2.3.2企業(yè)內(nèi)部網(wǎng)對外部的訪回控制T/ewobnipis

向控制可以在OsS模型的物理層、數(shù)據(jù)鏈路層、企業(yè)內(nèi)部網(wǎng)層、傳輸層和應用層上設置。企業(yè)內(nèi)部網(wǎng)間的訪問控制比較復雜，根據(jù)OSI企業(yè)內(nèi)部網(wǎng)安全體系結構，企業(yè)內(nèi)部網(wǎng)