网络化制造系统中安全体系结构及访问控制技术分析

2021-06-16张景

电子技术与软件工程 2021年5期

张景

（河北科技学院河北省保定市 071000）

信息时代背景下，计算机技术、网络技术、通信技术等高新技术发展迅速，其正在无形中推动着各个行业和领域的升级与变革，传统制造与生产方式也要面临着即将被淘汰的结果，现代社会中网络化制造必将成为主流模式。网络化制造与传统制造方式相比，拥有着诸多的优势，但是其也存在着一个致命性弱点，那就是网络的安全问题。如果不能确保网络化制造系统的安全性，那么制造业繁荣景象背后蕴藏的巨大危机将会永久存在。因此，如何保证网络化制造系统的安全性是当前相关领域亟待解决的重要问题之一。

1 网络化制造系统所涉及的关键技术

在当前的网络化制造系统当中所应用到的关键技术种类越来越多元且高效，其主要包括网络化制造通讯技术、安全技术、优化管理技术以及有效集成与协同技术等等。根据具体用途和方向的不同，我们可以将网络化制造系统中所涉及的技术划分为总体技术、基础技术、集成技术以及应用实施技术四大类。

1.1 总体技术

从系统整体出发，用于研究网络化制造系统结构、组织以及运行的技术被统称为总体技术。总体技术中包括模式、结构、实施方法、运行管理以及商务技术等。

1.2 基础技术

基础技术不是网络化制造系统独有的技术，其代表的是网络制造领域中共用的基础性技术。主要包括基础理论方法、协议规范、标准化技术、建模技术、模拟技术等。

1.3 集成技术

网络化制造系统中用于设计开发和实施的技术属于集成技术，诸如设计制造资源库、知识开发库、ASP 服务平台等技术，还有WebService 技术、电子商务与EDI 技术等等。

1.4 应用实施技术

支持网络化制造系统应用的技术称为应用实施技术。如资源共享与优化配置技术、资源(设备)封装与接口技术、区域动态联盟与企业协同技术、数据中心与数据管理(安全)技术以及网络安全技术[1]。

2 访问控制技术

访问控制技术通过显性手段和方式来对用户的访问能力、可访问范围作出限制性的设置。访问控制技术的原理如图1 所示。

访问控制有三种模式，即自主访问控制（DAC）、强制访问控制（MAC）和基于角色访问控制（RBAC）。其中，自主访问控制（DAC）是一种接入控制服务，基于系统实体身份接入，用户可以对自身创建的文件、数据表等对象进行访问，也可授予或者收回其他用户访问的权限。自主访问控制应用非常广泛，灵活性也比较强，但是其安全性比较低，对于系统资源不能做到良好的保护。强制访问控制（MAC）是系统强制主体服从访问控制策略，系统占据主导权，用户自己创建的对象也需要根据规则来设定权限。强制访问控制的安全性要更强一些，多被应用在多级安全军事系统当中，对于大型系统或者通用系统应用效果不是很理想。基于角色的访问控制是通过对角色的访问所进行的控制，访问权限取决于角色，不同的角色，权限则不同，这对于简化权限管理非常有帮助[2]。

3 安全体系结构中的访问控制技术

3.1 入网访问控制

控制网络访问权限的第一步便是入网访问控制，入网访问控制控制的是用户登录服务器的权限和入网时间的权限。一般用户需要完成三个步骤便可获得访问权限，第一步是识别用户名，第二步是验证用户口令，第三步是查验用户账号的缺省限制。

3.2 网络权限控制

网络权限控制可在一定程度上有效降低非法操作行为的出现概率。网络权限控制会根据不同的用户和用户组来给予合适的权限控制，得到权限的用户和用户组只能访问权限之内的网络资源，如越权访问则属于非法操作。

3.3 目录安全控制

控制用户访问目录的权限，即设定用户可访问的目录级别，如对用户开放一级目录访问权限，那么用户也可因此获得一级目录下的全部子目录的访问权限，但如有特殊情况，可对用户访问子目录的权限进行特殊设定。用户访问目录中文件的权限包括但不止于读写权限、修改权限、删除权限、查找权限、管理员权限[3]。通常情况下，我们会通过两个方面来判断用户访问目录权限的有效性，即是否有用户或者用户所在组的受托者指派以及继承权限屏蔽取消的用户权限。

3.4 网络端口安全控制

网络端口是信息进入计算机系统的重要关卡，为更好的保护网络资源的安全，通常会采用两种方式来进行加密，即自动回呼设备与静默调制解调器。其中，自动回呼设备的作用是对用户身份的真假作出识别，而静默调制解调器的作用是防御黑客的破坏行为。

3.5 服务器安全控制

服务器安全控制方式目前有两种：其一限制服务器的登录时间，其二是设置口令锁定服务器控制台，做好服务器的安全控制可以在一定程度上避免非法用户对网络资源作出恶意删除、修改等破坏性操作行为。

3.6 属性安全控制

属性安全控制权限主要有文件数据的写入和拷贝、文件的执行、目录查看和删除、隐藏和共享操作等等。一般管理员会在权限安全的基础上设置文件、目录等内容对应的访问安全属性，并生成一张访问属性控制表，控制表的内容便是用户对网络资源访问能力的设定。

3.7 防火墙控制

在强化网络安全的诸多手段当中，防火墙技术算是最为常见的一种方式。防火墙技术可以预防窃取、复制以及破坏网络资源等恶意操作的发生，按照既定按照规则和标准对网络数据随时进行监测和检查，在确保网络通信的安全性和合法性方面发挥着至关重要的作用。

4 网络安全体系结构以及访问控制技术的应用

4.1 网络安全体系结构

伴随着安全技术的创新与发展，现如今的网络安全体系结构越发成熟和完善，访问控制技术在网络安全体系结构中更是有着越来越广泛且深入的应用。在网络安全体系结构的网络层、应用系统层、操作系统层以及数据库管理系统层等诸多层面都可以看到访问控制技术的身影。图2 是网络安全体系框架图。

4.2 访问控制技术在网络安全体系架构中的具体应用

4.2.1 网络层应用访问控制技术

在路由器与三层交换机当中，访问控制列表应用非常广泛。所有主客体在对控制列表的网络资源进行访问时都必须要严格遵守保护规则，只有在符合保护规则的前提之下才会被允许进行数据包的输出行为。诸如：在过滤MAC 地址时，主体是MAC 地址，客体是带访问目标，按照优先保护主体的原则，只有满足保护规则的MAC 地址数据包才能够顺利输出。还有，在内部网络和外部网络中，通常会将目的端口号和IP 地址视为客体，源端口号和源IP 地址视为主体，保护规则也会根据源端口号和源IP 地址来进行设定，只有满足该保护规则的数据包才能被允许输出。

4.2.2 应用系统层运用访问控制技术

应用系统层的基础架构主要包括操作系统、数据库管理系统等软件，应用系统可以根据客户需求来为其提供针对性的软件程序。考虑到访问控制措施的合理性需求，其研发工作必须要建立在网络信息系统综合业务基础之上，要结合具体业务来进行配套开发，根据实际需求来合理设置各方操作主体的权限，一定要对安全管理层面作出高度重视，针对每一处的访问控制都要制定出明确的保护原则，只有符合原则的操作才能够被允许。

4.2.3 操作系统层应用访问控制技术

在操作系统层中，进行访问控制所依据的核心内容便是用户的身份认证，因此，在强化操作系统层的安全管理时应该将重点放在用户的身份认证上面。近些年，在科学技术快速发展的过程中，用于认证用户身份的方法呈现出越来越多元化的趋势，而且认证的精准性和越来越高，比较常见的有口令认证、指纹认证以及身份卡认证等等。如果用户没有通过身份认证，那么系统将会直接禁止其进入，如果用户身份认证成功，那么用户登录系统所使用的身份信息将会成为主体，而系统中的数据文件以及系统操作、进程等都被会视为客体，用户作为主体身份可以根据自己的需要来自主读写、删减或者修改数据。

根据用户身份识别方式以及存取访问规则的相关规定，系统会给予不同用户不同的系统存取权限。以写入和读取数据资源为例来进行说明：一般情况下系统会将存取矩阵模型来作为访问控制规则的标识，从监测大型矩阵阵列来随时了解系统的运行状态。其中，主体是由行来进行标识，客体则由列来进行标识，主体与客体或者不同主体之间的存取是通过阵列单元填入的数据来进行表示的。

4.2.4 数据库管理系统层应用访问控制技术

数据库管理系统与操作系统同等重要，其作为构成网络安全系统的核心组成部分，其在提升网络安全系统整体性能方面发挥着至关重要的作用。访问控制技术在数据库管理系统中是最为关键的安全保护措施之一。与操作系统一样，数据库管理系统也是将将身份认证通过的登录信息视为主体，将系统中的文件、字段、表以及操作视为客体，控制用户访问的规则也会对用户在数据库中执行存取操作产生很大影响。其中，存取矩阵在数据库中也发挥着重要的作用，在存取矩阵当中，行代表着主体，列代表着客体，矩阵里的每一个单元都代表着主体与客体或者不同主体之间的存取方式，即进行数据库中的增删、查询、修改等操作。访问控制技术在数据库管理层中的应用要充分考虑到数据的重要性，一切要以保护好数据为先。如果有用户非法获取到数据库管理系统的访问权限，那么其很有可能不经过应用系统便可获取到核心数据信息，所以，相关部门一定要认识到数据库系统的访问控制技术需求的特殊性，要以做小权限原则来设定数据库管理系统中各方主体的权限，同时要借助存取矩阵来最终确定。