计算机网络安全基础.ppt

计算机网络安全基础,第4章 计算机系统安全与访问控制,计算机作为一种信息社会中不可缺少的资源和财产以予保护，以防止由于窃贼、侵入者和其它的各种原因造成的损失一直是一个真正的需求。如何保护好计算机系统、设备以及数据的安全是一种颇为刺激的挑战。 由于计算机和信息产业的快速成长以及对网络和全球通信的日益重视，计算机安全正变得更为重要。然而、计算机的安全一般来说是较为脆弱的，不管是一个诡计多端的“黑客”还是一群聪明的学生，或者是一个不满的雇员所造成的对计算机安全的损害带来的损失往往是巨大的，影响是严重的。,计算机网络安全基础,第4章 计算机系统安全与访问控制,本章主要内容： 1计算机安全的主要目标 2安全级别 3系统访问控制 4选择性访问控制 5强制性访问控制,计算机网络安全基础,4.1什么是计算机安全,4.1什么是计算机安全 主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。 计算机部件中经常发生的一些电子和机械故障有： （1）磁盘故障； （2）IO控制器故障； （3）电源故障； （4）存储器故障； （5）介质、设备和其它备份故障； （6）芯片和主板故障等。,计算机网络安全基础,4.1什么是计算机安全,1计算机系统的安全需求 （l）保密性 （2）安全性 （3）完整性 （4）服务可用性 （5）有效性和合法性 （6）信息流保护,计算机网络安全基础,4.1什么是计算机安全,2计算机系统安全技术 （1）实体硬件安全 （2）软件系统安全 （3）数据信息安全 （4）网络站点安全 （5）运行服务安全 （6）病毒防治技术 （7）防火墙技术 （8）计算机应用系统的安全评价,计算机网络安全基础,4.1什么是计算机安全,3计算机系统安全技术标准 加密机制（enciphrement mechanisms） 数字签名机制（digital signature mechanisms） 访问控制机制（access control mechanisms） 数据完整性机制（data integrity mechanisms） 鉴别交换机制（authentication mechanisms） 通信业务填充机制（traffic padding mechanisms） 路由控制机制（routing control mechanisms） 公证机制（notarization mechanisms）,计算机网络安全基础,4.2 安全级别,(1)D级 D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。 (2)C1级 C级有两个安全子级别：C1和C2。C1级，又称选择性安全保护（discretionary security protection）系统，它描述了一种典型的用在Unix系统上的安全级别。这种级别的系统对硬件有某种程度的保护：用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。,计算机网络安全基础,4.2 安全级别,(3)C2级 除了C1级包含的特性外，C2级别应具有访问控制环境（controlled-access environment）权力。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。 (4)B1级 B级中有三个级别，B1级即标志安全保护（labeled security protection），是支持多级安全（例如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。,计算机网络安全基础,4.2 安全级别,(5)B2级 B2级，又叫做结构保护（structured protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。 (6)B3级 B3级或又称安全域级别（security domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。,计算机网络安全基础,4.2 安全级别,(7)A级 A级或又称验证设计（verity design）是当前橙皮书的最高级别，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。,计算机网络安全基础,4.3 系统访问控制,实现访问控制的方法，除了使用用户标识与口令之外，还可以采用较为复杂的物理识别设备，如访问卡、钥匙或令牌。生物统计学系统是一种颇为复杂而又昂贵的访问控制方法，它基于某种特殊的物理特征对人进行唯一性识别，如指纹等。,计算机网络安全基础,4.3 系统访问控制,4.3.1 系统登陆 1 Unix系统登陆 Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统，任何一个想使用Unix系统的用户，必须先向该系统的管理员申请一个账号，然后才能使用该系统，因此账号就成为用户进入系统的合法“身份证”。 2 Unix账号文件 Unix账号文件/etc/passwd是登录验证的关键，该文件包含所有用户的信息，如用户的登录名、口令和用户标识号等等信息。该文件的拥有者是超级用户，只有超级用户才有写的权力，而一般用户只有读取的权力。,计算机网络安全基础,4.3 系统访问控制,文件/etc/passwd中具有的内容： #cat /etc/passwd root:!:0:0:/:/bin/ksh daemon:!:1:1:/etc: bin:!:2:2:/bin: sys:!:3:3:/usr/sys: adm:!:4:4:/var/adm: uucp:!:5:5:/usr/lib/uucp: guest:!:100:100:/home/guest: nobody:!:429496724294967294:4294967294:/: lpd:!:9:4294967294:/: nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico netinst:*:200:1:/home/netinst:/usr/bin/ksh zhang:!:208:1:/home/zhang:/usr/bin/ksh wang:!:213:1:/home/wang:/usr/bin/ksh,计算机网络安全基础,4.3 系统访问控制,3. Windows NT系统登录 Windows NT要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。 成功的登录过程有4个步骤： （1）Win 32的WinLogon过程给出一个对话框，要求要有一个用户名和口令，这个信息被传递给安全性账户管理程序。 （2）安全性账户管理程序查询安全性账户数据库，以确定指定的用户名和口令是否属于授权的系统用户。 （3）如果访问是授权的，安全性系统构造一个存取令牌，并将它传回到Win 32的 WinLogin过程。 （4）WinLogin调用Win 32子系统，为用户创建一个新的进程，传递存取令牌给子系统，Win 32对新创建的过程连接此令牌。,计算机网络安全基础,4.3 系统访问控制,4. 账户锁定 为了防止有人企图强行闯入系统中，用户可以设定最大登录次数，如果用户在规定次数内未成功登录，则系统会自动被锁定，不可能再用于登录。 5. Windows NT安全性标识符（SID） 在安全系统上标识一个注册用户的唯一名字，它可以用来标识一个用户或一组用户。 例如： s-1-5-21-76965814-1898335404-322544488-1001,计算机网络安全基础,4.3 系统访问控制,4.3.2 身份认证 身份认证（Identification and Authentication）可以定义为，为了使某些授予许可权限的权威机构满意，而提供所要求的用户身份验证的过程。 1用生物识别技术进行鉴别 指纹是一种已被接受的用于唯一地识别一个人的方法。手印是又一种被用于读取整个手而不是仅仅手指的特征和特性。声音图像对每一个人来说也是各不相的同。笔迹或签名不仅包括字母和符号的组合方式，也包括了签名时某些部分用力的大小，或笔接触纸的时间的长短和笔移动中的停顿等细微的差别。视网膜扫描是用红外线检查人眼各不相同的血管图像。,计算机网络安全基础,4.3 系统访问控制,2用所知道的事进行鉴别 口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制 3使用用户拥有的物品进行鉴别 智能卡（Smart Card）就是一种根据用户拥有的物品进行鉴别的手段。 一些认证系统组合以上这些机制，加智能卡要求用户输入个人身份证号码（PIN），这种方法就结合了拥有物品（智能卡）和知晓内容（PIN）两种机制。 例如大学开放实验室的认证系统、自动取款机ATM。,计算机网络安全基础,4.3 系统访问控制,4.3.3 怎样保护系统的口令 口令是访问控制的简单而有效的方法，只要口令保持机密，非授权用户就无法使用该账 1怎样选择一个安全的口令 最有效的口令是用户很容易记住但“黑客”很难猜测或破解的。建立口令时最好遵循如下的规则： （1）选择长的口令，口令越长，黑客猜中的概率就越 （2）最好的口令包括英文字母和数字的组合。 （3）不要使用英语单词。 （4）不要使用相同的口令访问多个系统。,计算机网络安全基础,4.3 系统访问控制,（5）不要使用名字，自己名字、家人的名字和宠物的名字等。 （6）别选择记不住的口令，这样会给自己带来麻烦。 （7）使用Unix安全程序，如 passwd+和npasswd程序来测试口令的安全性 。 2口令的生命期和控制 用户应该定期改变自己的口令，例如一个月换一次。如果口令被偷就会引起安全问题，经常更换口令可以帮助减少损失。比如两个星期更换一次口令总比一直保留原有口令损失要小。 管理员可以为口令设定生命期，这样当口令生命期到后，系统就会强制用户更改系统密码。,计算机网络安全基础,4.3 系统访问控制,口令生命期控制信息保存在/etc/passwd或/etc/shadow文件当中，它位于口令的后面，通常用逗号分开并表示下述信息： （1）口令有效的最大周数； （2）用户可以再次改变其口令必须经过的最小周数； （3）口令最近的改变时间。 例如： 2ALNSS48eJGY， A2：210：105 口令已被设置了生命期，“A”值定义了口令到期前的最大周数，“2”值定义了用户能够再次更改口令前必须经过的最小周数。通过查表，就可以知道“A”代表12周，而“2”代表4周。,计算机网络安全基础,3Windows NT的账户口令管理,计算机网络安全基础,4.3 系统访问控制,4.3.4 关于口令维护的问题 口令维护时应注意如下问题。 （1）不要将口令告诉别人，也不要几个人共享一个口令，不要把它记在本子上或计算机周围。 （2）不要用系统指定的口令，如 root、demo和test等，第一次进入系统就修改口令，不要沿用系统给用户的缺省口令，关闭掉Unix供货商随操作系统配备的所有缺省账号，这个操作也要在每次系统升级或系统安装之后来进行。 （3）最好不要用电子邮件传送口令，如果一定需要这样做，则最好对电子邮件进行加密处理。,计算机网络安全基础,4.3 系统访问控制,（4）如果账户长期不用，管理员应将其暂停。如果雇员离开公司，则管理员应及时把他的账户消除，不要保留一些不用的账号，这是很危险的。 （5）管理员也可以限制用户的登录时间，比如说只有在工作时间，用户才能登录到计算机上。 （6）限制登录次数。为了防止对账户多次尝试口令以闯入系统，系统可以限制登记企图的次数，这样可以防止有人不断地尝试使用不同的口令和登录名。 （7）最后一次登录，该方法报告最后一次系统登录的时间、日期，以及在最后一次登录后发生过多少次未成功的登录企图。这样可以提供线索了解是否有人非法访问。,计算机网络安全基础,4.3 系统访问控制,（8）通过使用TFTP（Trivial File Transfer Protocol）获取口令文件。为了检验系统的安全性，通过TFTP命令连接到系统上，然后获取/etc/passwd文件。如果用户能够完成这种操作，那么网络上的任何人都能获取用户的passwd文件。因此，应该去掉TFTP服务。如果必须要有TFTP服务，要确保它是受限访问的。 （9）定期地查看日志文件，以便检查登录成功和不成功的su（l）命令的使用，一定要定期地查看登录末成功的消息日志文件，一定要定期地查看 Login Refused消息日志文件。 （10）根据场所安全策略，确保除了root之外没有任何公共的用户账号。也就是说，一个账号不能被两个或两个以上的用户知道。去掉guest账号，或者更安全的方法是，根本就不创建guest账号。,计算机网络安全基础,4.3 系统访问控制,（11）使用特殊的用户组来限制哪些用户可以使用su命令来成为root，例如：在 SunOS下的wheel用户组。 （12）一定要关闭所有没有口令却可以运行命令的账号，例如：sync。删除这些账号拥有的文件或改变这些账号拥有的文件的拥有者。确保这些账号没有任何的cron或at作业。最安全的方法是彻底删除这些账号。,计算机网络安全基础,4.4 选择性访问控制,选择性访问控制（Discretionary Access Control，DAC）是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接或间接地把这种控制权传递给别的主体（除非这种授权是被强制型控制所禁止的）。 选择性访问控制被内置于许多操作系统当中，是任何安全措施的重要成部分。文件拥有者可以授予一个用户或一组用户访问权。选择性访问控制在网络中有着广泛的应用，下面将着重介绍网络上的选择性访问控制的应用。,计算机网络安全基础,4.4 选择性访问控制,在网络上使用选择性访问控制应考虑如下几点： （1）某人可以访问什么程序和服务？ （2）某人可以访问什么文件？ （3）谁可以创建、读或删除某个特定的文件？ （4）谁是管理员或“超级用户”？ （5）谁可以创建、删除和管理用户？ （6）某人属于什么组，以及相关的权利是什么？ （7）当使用某个文件或目录时，用户有哪些权利？,计算机网络安全基础,4.4 选择性访问控制,Windows NT提供两种选择性访问控制方法来帮助控制某人在系统中可以做什么，一种是安全级别指定，另一种是目录文件安全。 下面是常见的安全级别内容其中也包括了一些网络权力。 （1）管理员组享受广泛的权力，包括生成、消除和管理用户账户、全局组和局部组，共享目录和打印机，认可资源的许可和权利，安装操作系统文件和程序。 （2）服务器操作员具有共享和停止共享资源、锁住和解锁服务器、格式化服务器硬盘、登录到服务器以及备份和恢复服务器的权力。,计算机网络安全基础,4.4 选择性访问控制,（3）打印操作员具有共享和停止共享打印机、管理打印机、从控制台登录到服务器以及关掉服务器等权力。 （4）备份操作员具有备份和恢复服务器、从控制台登录到服务器和关掉服务器等权力。 （5）账户操作员具有生成、取消和修改用户、全局组和局部组，不能修改管理员组或服务器操作员组的权力。 （6）复制者与目录复制服务联合使用。 （7）用户组可执行授予它们的权力，访问授予它们访问权的资源。 （8）访问者组仅可执行一些非常有限的权力，所能访问的资源也很有