【IT168 专稿】企业使用因特网与其他客户建立连接、发布公司信息、开展商务活动以及提供公司系统和数据远程访问，目前企业应用系统的保护主要针对边界网络安全，如防火墙、入侵检测等。然而对应用系统的非授权访问和可见性安全管理，显得手段非常有限，根据近几年发生的网络安全事件来看，主要存在的问题有：身份认证、访问控制、系统登陆、系统审计和安全管理等等。这些安全问题往往在最初的网络设计时被就忽略，使系统存在着不同程度的风险。在这些网络中通过统一访问控制和监控可见性可以用来帮助把分辨出来的风险减弱到可以接受的水平。

　　匿名用户访问和评估机制分析

　　访问控制涉及领域非常广，控制的方法也很多，一般情况下的访问控制策略有自主访问控制和基于角色的访问控制，自主访问控制允许访问发起者对访问控制施加特定限制的访问控制类型。它是针对用户设置访问控制权限，当用户对资源的每次访问时，只有通过验证才能访问资源。机遇角色的访问控制是在应用环境中，通过合法的访问者进行角色的认证来确定访问者在系统中对哪类信息有什么样的访问权限。在很多系统中，都存在着允许匿名用户访问，增加匿名访问有它的好处，但是也给信息资源带来安全隐患。

　　在企业网络内部，可匿名访问共享，给公司内部成员带来了资源共享的方便性;还有其它的比如WEB匿名访问，FTP匿名访问等。实现了信息的发布，但是同时也带了一定的安全风险。一个匿名访问用户，通过其他途径绕过被限制的权限，进行读取数据，然后再写入一些程序并运行，给系统开一道后门之类的……

　　实施安全访问控制方案的要点在于减轻访问带来的风险。对于任何控制访问安全来说，首先必须考虑到所面临的威胁。通过对威胁进行识辨，就可以给出安全战略的重点，并减少忽视重要风险区域的机会，使这些风险区域得到监控和保护。对企业网络安全分析和评估，可以根据对要进行保护的部分和要避免的威胁进行分析和归类，这样有利于对保护的元素进行识辨和优先级的分析，并且还需要提供一种方法进行衡量整个网络安全的有效性。

　　衡量一个网络访问安全，首先要对许可的用户类型进行分类，对用户的安全级别进行分析。这些用户对数据资源的访问、增添、修改的权限，和这些权限对企业资源存在的威胁性做一个评估。匿名访问在整个系统中应该作为一个最低权限的设置，同时也要分析它存在的威胁并且进行评估，以保证网络遭受各种威胁的可能性降到最低。

　　统一安全管理与实际应用中实现安全保证

　　目前大多数的应用系统的身份认证方式都是通过用户名和静态口令登陆系统，但静态口令本身存在极大的安全隐患，很容易被截获或破解。在访问控制机制中，很多应用系统都缺乏一个统一的访问控制入口，都是每个系统都独立对外开放地址和端口提供访问，并且随着系统的增多，将会增加非法人员进入系统的风险频率。并且每个系统都是独立授权，用户权限过于分散，访问控制规则不能统一，给企业实施统一的安全策略造成了极大的障碍。

　　统一安全管理解决了企业中的各个应用系统独立维护各自一套用户、认证、权限和审计系统，并且由统一安全中心管理成员进行管理和维护，当其它系统增多时，也不会增加管理工作的难度，也不需要花费大量的时间去增加和删除用户，修改密码等。在访问控制中实施统一的用户名和密码，由安全控制中心进行管理，解决了不会由于一个员工离职而分散从各个系统中删除用户的权限的麻烦和忽略，而造成极大的安全风险。

　　统一访问控制在企业的系统架构中，用户通过访问应用系统的唯一入口先要经过企业网络架构认证平台进行身份验证，通过验证后，才有权限访问内部的应用系统。这样极大程度上减少企业内部各系统之间相互独立而引发的各种安全隐患。在企业网络系统架构中采用安全隧道拘束，用户对应用系统的请求和反馈信息都要在整个隧道上进行加密传输。保证用户信息和访问信息在传输过程中不被窃取和篡改。在访问控制中基于角色的不同而分配不同应用系统的访问权限，为用户或用户租设置其可以访问的应用系统的哪些资源可以访问，比如WEB系统中的哪些页面可以匿名访问，哪些页面不能访问，哪些页面需要认证后才能访问。同时对应用系统进行统一授权，为用户角色提供不同的访问策略。这样实施统一访问控制，对用户访问情况监视的可见性，是实现安全保证之一。

　　网络访问机制与控制

　　网络访问控制策略是在网络系统安全策略级上表示授权，是对网络访问如何控制，如何做出访问决定的高层指南。访问控制机制是访问控制策略的软硬件底层实现。访问控制机制与策略独立，可允许安全机制的重用。应根据应用环境灵活使用，在统一访问控制中，实施网络管理的集中化，统一化，在访问控制机制更易于管理。

　　企业网路的统一访问机制主要是依靠统一安全管理中心对最终用户访问类型的过程，建立一套全面的、有效的回溯和追查机制。可以让安全管理中心管理员实时检测用户对企业各应用系统的访问状况，及时发现非法访问时间，对出现的问题进行事后追溯和责任追究提供实证。并且对系统运行状态进行实时监控，增强了系统的维护的可靠性。统一网络访问机制与控制完成了访问行为的审计、访问信息的查询、访问信息防篡改和黑名单控制等功能。

　　总结

　　企业网络统一访问控制解决了多个系统独立授权访问控制的模块，解决了非统一授权访问控制方法引发的多重安全问题。统一安全管理中心对访问帐号的控制，并且进行相应的处理，能节省管理的人员，减少人员进行身份管理和资源访问权限变更进行相应的调整，降低运用的风险。