三、建立软件安全认证体系

   在网络提供更高层次服务的时候，对于用户的身份认证、服务权限管理的要求也需相应地提高。原有单机身份认证方式难以达到这个要求，这就需要有一个独立的、高安全性和可靠性的身份认证及权限管理系统，并由此系统完成对整个网络用户的身份确认和权限管理。

我院是非经营利单位，不可能投入大量资金去开发或购买高效、安全的定制系统。因此我们主要用微软的域控制器来提供安全、统一的身份认证和权限管理服务。

　　我们采用域管理模式。为每一位合法用户在域控制器上设置域帐号，并分属于各个工作组（工作组以部门为单位，如泥沙所、水保所等），同时在三层交换机和域控制器上分别加上了静态路由，使院内所有VLAN的电脑都可以通过VLAN接口（即子网的网关）登陆到该域控制器。用户以域用户登录后，需要提供本地资源共享时，资源的访问权限可以用一个访问控制表来描述；可以进行网络级的权限控制，目录级的权限控制，保证非法用户无法进入网络内部，同时采用域管理模式，还使我们的安全策略和服务（如EMAIL、FTP、SUS、防病毒系统等）都能基于域帐号得以实现。域服务器是我院所有网络服务的基础。