訪(fǎng)問(wèn)控制策略是網(wǎng)絡(luò )安全防范和保護的主要策略，其任務(wù)是保證網(wǎng)絡(luò )資源不被非法使用和非法訪(fǎng)問(wèn)。各種網(wǎng)絡(luò )安全策略必須相互配合才能真正起到保護作用，而訪(fǎng)問(wèn)控制是保證網(wǎng)絡(luò )安全最重要的核心策略之一。訪(fǎng)問(wèn)控制策略包括入網(wǎng)訪(fǎng)問(wèn)控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò )服務(wù)器安全控制策略、網(wǎng)絡(luò )監測、鎖定控制策略和防火墻控制策略等7個(gè)方面的內容。

1.入網(wǎng)訪(fǎng)問(wèn)控制策略

　　入網(wǎng)訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )訪(fǎng)問(wèn)的第1層安全機制。它控制哪些用戶(hù)能夠登錄到服務(wù)器并獲準使用網(wǎng)絡(luò )資源，控制準許用戶(hù)入網(wǎng)的時(shí)間和位置。用戶(hù)的入網(wǎng)訪(fǎng)問(wèn)控制通常分為三步執行：用戶(hù)名的識別與驗證；用戶(hù)口令的識別與驗證；用戶(hù)賬戶(hù)的默認權限檢查。三道控制關(guān)卡中只要任何一關(guān)未過(guò)，該用戶(hù)便不能進(jìn)入網(wǎng)絡(luò )。

　　對網(wǎng)絡(luò )用戶(hù)的用戶(hù)名和口令進(jìn)行驗證是防止非法訪(fǎng)問(wèn)的第一道關(guān)卡。用戶(hù)登錄時(shí)首先輸入用戶(hù)名和口令，服務(wù)器將驗證所輸入的用戶(hù)名是否合法。用戶(hù)的口令是用戶(hù)入網(wǎng)的關(guān)鍵所在�？诹钭詈檬菙底�、字母和其他字符的組合，長(cháng)度應不少于6個(gè)字符，必須經(jīng)過(guò)加密�？诹罴用艿姆椒ê芏�，最常見(jiàn)的方法有基于單向函數的口令加密、基于測試模式的口令加密、基于公鑰加密方案的口令加密、基于平方剩余的口令加密、基于多項式共享的口令加密、基于數字簽名方案的口令加密等。經(jīng)過(guò)各種方法加密的口令，即使是網(wǎng)絡(luò )管理員也不能夠得到。系統還可采用一次性用戶(hù)口令，或使用如智能卡等便攜式驗證設施來(lái)驗證用戶(hù)的身份。

　　網(wǎng)絡(luò )管理員應該可對用戶(hù)賬戶(hù)的使用、用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )的時(shí)間和方式進(jìn)行控制和限制。用戶(hù)名或用戶(hù)賬戶(hù)是所有計算機系統中最基本的安全形式。用戶(hù)賬戶(hù)應只有網(wǎng)絡(luò )管理員才能建立。用戶(hù)口令是用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )所必須提交的準入證。用戶(hù)應該可以修改自己的口令，網(wǎng)絡(luò )管理員對口令的控制功能包括限制口令的最小長(cháng)度、強制用戶(hù)修改口令的時(shí)間間隔、口令的惟一性、口令過(guò)期失效后允許入網(wǎng)的寬限次數。針對用戶(hù)登錄時(shí)多次輸入口令不正確的情況，系統應按照非法用戶(hù)入侵對待并給出報警信息，同時(shí)應該能夠對允許用戶(hù)輸入口令的次數給予限制。

　　用戶(hù)名和口令通過(guò)驗證之后，系統需要進(jìn)一步對用戶(hù)賬戶(hù)的默認權限進(jìn)行檢查。網(wǎng)絡(luò )應能控制用戶(hù)登錄入網(wǎng)的位置、限制用戶(hù)登錄入網(wǎng)的時(shí)間、限制用戶(hù)入網(wǎng)的主機數量。當交費網(wǎng)絡(luò )的用戶(hù)登錄時(shí)，如果系統發(fā)現“資費”用盡，還應能對用戶(hù)的操作進(jìn)行限制。

2.操作權限控制策略

　　操作權限控制是針對可能出現的網(wǎng)絡(luò )非法操作而采取安全保護措施。用戶(hù)和用戶(hù)組被賦予一定的操作權限。網(wǎng)絡(luò )管理員能夠通過(guò)設置，指定用戶(hù)和用戶(hù)組可以訪(fǎng)問(wèn)網(wǎng)絡(luò )中的哪些服務(wù)器和計算機，可以在服務(wù)器或計算機上操控哪些程序，訪(fǎng)問(wèn)哪些目錄、子目錄、文件和其他資源。網(wǎng)絡(luò )管理員還應該可以根據訪(fǎng)問(wèn)權限將用戶(hù)分為特殊用戶(hù)、普通用戶(hù)和審計用戶(hù)，可以設定用戶(hù)對可以訪(fǎng)問(wèn)的文件、目錄、設備能夠執行何種操作。特殊用戶(hù)是指包括網(wǎng)絡(luò )管理員的對網(wǎng)絡(luò )、系統和應用軟件服務(wù)有特權操作許可的用戶(hù)；普通用戶(hù)是指那些由網(wǎng)絡(luò )管理員根據實(shí)際需要為其分配操作權限的用戶(hù)；審計用戶(hù)負責網(wǎng)絡(luò )的安全控制與資源使用情況的審計。系統通常將操作權限控制策略，通過(guò)訪(fǎng)問(wèn)控制表來(lái)描述用戶(hù)對網(wǎng)絡(luò )資源的操作權限。

3.目錄安全控制策略

　　訪(fǎng)問(wèn)控制策略應該允許網(wǎng)絡(luò )管理員控制用戶(hù)對目錄、文件、設備的操作。目錄安全允許用戶(hù)在目錄一級的操作對目錄中的所有文件和子目錄都有效。用戶(hù)還可進(jìn)一步自行設置對目錄下的子控制目錄和文件的權限。對目錄和文件的常規操作有：讀取(Read)、寫(xiě)入(Write)、創(chuàng )建(Create)、刪除(Delete)、修改(Modify)等。網(wǎng)絡(luò )管理員應當為用戶(hù)設置適當的操作權限，操作權限的有效組合可以讓用戶(hù)有效地完成工作，同時(shí)又能有效地控制用戶(hù)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)。

4.屬性安全控制策略

　　訪(fǎng)問(wèn)控制策略還應該允許網(wǎng)絡(luò )管理員在系統一級對文件、目錄等指定訪(fǎng)問(wèn)屬性。屬性安全控制策略允許將設定的訪(fǎng)問(wèn)屬性與網(wǎng)絡(luò )服務(wù)器的文件、目錄和網(wǎng)絡(luò )設備聯(lián)系起來(lái)。屬性安全策略在操作權限安全策略的基礎上，提供更進(jìn)一步的網(wǎng)絡(luò )安全保障。網(wǎng)絡(luò )上的資源都應預先標出一組安全屬性，用戶(hù)對網(wǎng)絡(luò )資源的操作權限對應一張訪(fǎng)問(wèn)控制表，屬性安全控制級別高于用戶(hù)操作權限設置級別。屬性設置經(jīng)�？刂频臋嘞薨�括：向文件或目錄寫(xiě)入、文件復制、目錄或文件刪除、查看目錄或文件、執行文件、隱含文件、共享文件或目錄等。允許網(wǎng)絡(luò )管理員在系統一級控制文件或目錄等的訪(fǎng)問(wèn)屬性，可以保護網(wǎng)絡(luò )系統中重要的目錄和文件，維持系統對普通用戶(hù)的控制權，防止用戶(hù)對目錄和文件的誤刪除等操作。

5.網(wǎng)絡(luò )服務(wù)器安全控制策略

　　網(wǎng)絡(luò )系統允許在服務(wù)器控制臺上執行一系列操作。用戶(hù)通過(guò)控制臺可以加載和卸載系統模塊，可以安裝和刪除軟件。網(wǎng)絡(luò )服務(wù)器的安全控制包括可以設置口令鎖定服務(wù)器控制臺，以防止非法用戶(hù)修改系統、刪除重要信息或破壞數據。系統應該提供服務(wù)器登錄限制、非法訪(fǎng)問(wèn)者檢測等功能。

6.網(wǎng)絡(luò )監測和鎖定控制策略

　　網(wǎng)絡(luò )管理員應能夠對網(wǎng)絡(luò )實(shí)施監控。網(wǎng)絡(luò )服務(wù)器應對用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )資源的情況進(jìn)行記錄。對于非法的網(wǎng)絡(luò )訪(fǎng)問(wèn)，服務(wù)器應以圖形、文字或聲音等形式報警，引起網(wǎng)絡(luò )管理員的注意。對于不法分子試圖進(jìn)入網(wǎng)絡(luò )的活動(dòng)，網(wǎng)絡(luò )服務(wù)器應能夠自動(dòng)記錄這種活動(dòng)的次數，當次數達到設定數值，該用戶(hù)賬戶(hù)將被自動(dòng)鎖定。

7.防火墻控制策略

　　防火墻是一種保護計算機網(wǎng)絡(luò )安全的技術(shù)性措施，是用來(lái)阻止網(wǎng)絡(luò )黑客進(jìn)入企業(yè)內部網(wǎng)的屏障。防火墻分為專(zhuān)門(mén)設備構成的硬件防火墻和運行在服務(wù)器或計算機上的軟件防火墻。無(wú)論哪一種，防火墻通常都安置在網(wǎng)絡(luò )邊界上，通過(guò)網(wǎng)絡(luò )通信監控系統隔離內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )，以阻檔來(lái)自外部網(wǎng)絡(luò )的入侵。