信息安全概论第六章 其它安全与保密技术简介.doc

信息安全概论教案信息安全概论教案第六章第六章 其它安全与保密技术简介第一节 数据库安全与保密技术简介 数据库是存储在计算机内的有结构的数据集合。数据库可分为：关系式数据库、网状数据库和层次数据库。数据库在社会各领域的应用范围日益广泛，数据库中存放的信息价值往往远远超过系统本身的价值，因此数据库系统的安全与保密是绝对应该重视的事情。1 数据库系统基本知识 一般地讲，数据库系统由三部分组成：数据库、数据库管理系统和用户。数据库采取集中存储、集中维护的方法存放数据，为多个用户提供数据共享服务。数据库管理系统是一个数据库管理软件，其职能是维护数据库，接受和完成用户程序、命令提出向数据访问的各种请求。数据库管理系统应当为用户及应用程序提供一种访问数据的方法，并且应具有对数据库进行组织、管理、维护和恢复的能力。形象地说：数据库相当于图书馆中的书库，数据库管理系统相当于图书的书卡，用户相当于读者。 数据库系统的优点主要有：l 共享访问 多个用户可以共享公用的集中数据集；l 最小冗余 单个用户不必组织并维护自己的数据集，从而避免了公用数据重复所产生的冗余；l 数据一致性 集中管理和维护数据，易于达到数据的一致性。 从操作系统的角度看，数据库管理系统只是一个大型的应用程序。数据库系统的安全策略，部分由操作系统来完成，部分由强化数据库管理系统的自身安全措施完成。数据库管理系统自身的安全措施在许多方面类似于操作系统的安全措施。数据库系统作为一种重要的信息系统，它当然要以保证信息的完整性、保密性、真实性、可用性、可靠性等为目标。但是，由于数据库系统本身的特点，其中，信息的完整性和保密性的实现方法有所不同，其安全措施与操作系统的安全措施也有本质区别。2 数据库系统安全与保密的特点 从安全与保密角度看，数据库系统的基本特点可以概括为：l 在数据库中要保护的客体比较多；l 数据库中数据的生存期限较长，对保护的精度要求更高；l 数据库的安全涉及到信息在不同程度上的安全；l 数据库系统中受保护的客体可能是复杂的逻辑结构，若干复杂的逻辑结构可能映射到同一物理数据客体上；l 数据库的安全与数据的语法有关。 数据库的安全与保密还应当考虑到对推理攻击的防范。推理攻击是指从非敏感的数据推理得出敏感数据的攻击方式。 从所面临的安全与保密威胁方面来看，数据库系统应该重点对付以下威胁： 篡改（伪造） 篡改就是修改数据，使其不真实。例如，删除定单、发货单或收据等。这是一种潜在的威胁，因为在其造成影响之前，很难发现数据已被篡改。对付篡改的一种实用措施是限制对特定数据的访问。例如，若数据库表存放在一个Microsoft SQL服务器上，则必须限制ISQL/w程序的访问权，因为此程序能绕过限制直接接触数据。 损坏 数据的真正丢失是一个严重威胁。表格和整个数据库都可能被删除、移走或破坏，这样它们的内容就不可用了。数据被损坏的原因可能是恶意破坏、恶作剧或病毒等。 窃取 窃取数据的隐蔽性很强，甚至当数据丢失已经造成损害时，仍未被发现。通过对敏感数据的非法访问，可以将敏感数据拷贝到诸如软盘一样的可移动的介质上，或以打印报告的形式取走。3 数据库系统的基本安全措施 数据库作为一种特殊的信息系统，它的安全保密措施与普通的网络信息系统的安全措施有许多共同之处，当然也有自身的一些特点。数据库的安全与保密措施的主要目的在于： 保证数据库的完整性 包括物理上的完整性（数据不受物理故障（如掉电）的影响，并有可能在灾难性毁坏后重组数据库）、逻辑上的完整性（保护数据库的逻辑结构）、数据库中元素的完整性（保证每个元素所含的数据准确无误）。 保证数据库的保密性 包括用户身份鉴别（保证每个用户是绝对可识别的，从而可对它进行审计跟踪，并可以保证对特定数据的访问保护）、访问控制（保证用户仅能访问授权数据，并保证同一组数据的不同用户可以被赋予不同的访问权限）、可审计性（有能力跟踪谁访问了数据库中的哪些元素）。 保证数据库的可用性 数据库系统对用户应该有友好的界面，可用简单方法访问数据库中所有授权访问数据。 为达到上述安全目的，数据库系统需要采取一系列的安全措施：（l）措施之一：为了防止数据库中的数据受到物理破坏，应当对数据库系统采取定期备份系统中所有文件的方法来保护系统的完整性。（2）措施之二：为了在系统出错时可以重组数据库，数据库管理系统应当维护数据库系统的事务日志，以便用这种日志恢复系统故障时丢失的数据。（3）措施之三：如果在数据修改期间系统发生故障，数据库管理系统将会面临严重的问题。此时，一个记录甚至一个字段中，有的部分得到修改而其余部分维持原样。为了避免这种错误，大多数数据库管理系统都采用两阶段修改技术来保护数据的完整性。两阶段修改技术的第一阶段叫做准备阶段。这时，数据库管理系统完成修改所需的信息，进行修改前的准备工作。在此阶段，数据库管理系统收集数据，建立记录，打开文件并且封锁其他用户，然后计算最后结果。简言之，数据库管理系统完成修改所需的一切准备工作，但未对数据库作任何修改。第一阶段的最后一步叫做“提交”，它的任务是把“提交”标志写入数据库。提交标志是两阶段修改技术中两阶段的分界点，它意味着一旦数据库管理系统通过这个分界点后就不再返回，也就是说，一旦进入提交阶段数据库管理系统将开始进行永久性的修改。第二阶段叫做永久性修改阶段。在此阶段中，凡是属于提交前的任何动作都是不可重复的，但本阶段的修改活动本身则可重复多次。因此若在第二阶段系统发生故障，则数据库中可能包含非完整的数据，但可以重复所有第二阶段的活动，使数据恢复完成。第二阶段完成以后，数据库管理系统将把“事务完成”标志写入系统的日志，并清除数据库中的“提交”标志。（4）措施之四：为了保证数据库元素的完整性，数据库管理系统应当在数据输入时帮助用户发现错误和修改错误。常用的方法有三种：首先，数据库管理系统利用字段检查，测试某一位置的值是否正确；其次，数据库管理系统利用访问控制的机制来维护数据的完整性，以防止非授权用户对主体数据的访问；第三种办法是数据库管理系统维持一个数据库的修改日志。修改日志记录数据库的每次修改，既有修改前的值也有修改后的值。借助于修改日志，数据库管理员可以在出错时“废除”任何修改而恢复数据的原值。（5）措施之五：数据库管理系统要求严格的用户身份鉴别。为了进一步加强数据库系统的安全性和保密性，必须对使用数据库的时间甚至地点加以限制。有的数据库管理系统要求用户只能在指定的时间、指定的终端上，对数据库系统进行指定的操作。因此在指定时间、指定的终端上登录上机的用户进行身份标识（ID）和口令的鉴别。（6）措施之六：数据库管理系统应采取适当的访问控制机制。既可以是任意访问控制，又可以是强制访问控制。任意访问控制可以通过控制矩阵进行。强制访问控制通过与军事安全策略类似的方法来实现。具体地讲，在数据库管理系统的安全控制上引入级和范围（类别）的概念，每个主体制订一个范围许可级别，每个客体有相应的保密级别。范围许可级别和保密级别一般有四类：公开、秘密、机密和绝密。在服从强制控制的前提下，还可以结合任意控制访问机制，形成一种比较安全又比较灵活的多级安全模型。（7）措施之七：采用多层数据库系统，即把操作系统的多级安全模型引入安全数据库系统设计之中。多层数据库对访问进行控制的一种简单方法是“分区”。数据库被划分为不同的子库（分区），每个子库都拥有各自的安全层次。这种方法破坏了数据库的基本优点，它增加了设计的冗余，而且在对某个字段进行修改时，可能要同时查询并修改其他分区中的相同字段，以维持设计的一致性。多层数据库对访问控制的另一种方法是利用视图这个抽象概念。简言之，视图是数据库的一个子集，它仅包含用户有权访问的信息。这样单个用户的所有查询仅在自己的数据库子集上进行。子集视图保证用户不会访问允许范围之外的其他设计。除了元素之外，视图由数据库中相应的一系列关系构成。用户可以在已有的属性元素上进行相应的操作。多层数据库的第一层完成访问控制，并进行数据库系统需要的用户身份鉴别，还应当完成数据传输给高层时的筛选工作。第二层完成基本的数据库索引及其计算功能。第三层把用户的视图转化为数据库的基本关系。与多层数据库系统安全有关的还有并发控制、数据恢复、审计跟踪等技术。这些技术是一般数据库系统必备的安全措施，而不是安全数据库系统的特有技术。4 数据库系统的加密技术简介41 数据库系统的加密要求与方式 对数据库中的原始数据进行加密处理也是数据库安全与保密的另一项重要措施。在数据库中，记录的长度一般较短，数据的生命周期一般较长，有的是几年甚至几十年。密钥的保存时间也相应较长。因此，数据库系统有其独特的加密方法和密钥管理方法。对数据库的加密要求可归纳如下： （l）与通信加密相比，其信息保存时间长，不可能采取一次一密的方法进行加密，而要选用其他加密的方式，使其达到实际不可破译的程度。（2）实际加密后，存储空间不应明显增大。（3）加密和解密速度要快，尤其是解密速度要快，使用户感觉不到解密和解密带来系统性能的变化。（4）加密系统要有尽可能灵活的授权机制。数据库系统在多用户环境中使用时，每个用户只使用其中小部分数据。因此数据库系统应有很强的访问控制机制，并辅以很灵活的授权机制，这样既能增加系统的安全又能方便用户的使用。（5）加密系统应提供一套安全、灵活的密钥管理机制。（6）对数据库的加密不应影响系统的原有功能，而应保持对数据库的操作（如查询、检索、修改、更新）的灵活性和简便性。（7）加密后的数据库仍能允许用户对之进行访问。数据库系统的加密一般采用三种方式：库外加密、库内加密和硬件加密：库外加密 数据库管理系统与操作系统的接口方式一般有三种：利用操作系统的文件系统功能，利用操作系统的I/O模块，利用操作系统的存储管理模块。因此，可以把数据在库外进行加密，然后通过上述三种接口方式中的某一种方式纳入数据库。这样，在库内存放的信息不是明文而是密文。操作系统的文件系统把整个数据库当成一个文件，而把每个存储块当成文件的记录。文件系统与数据库管理系统交换的信息就是块号。而且，数据库管理系统为了对存储块进行管理，需要确定块的大小、块号、块头信息标志位、块尾信息标志位等参数。采用库外加密，密钥管理较为简单，只需借用文件加密的密钥管理方法。库内加密 数据库系统，可用三层结构模型来描述：存储模式、概念模式、子模式。物理数据是系统中存放于存储介质上的数据库，而数据库管理系统中的存储模式描述了数据的物理结构；概念模式描述了数据的全局逻辑结构；子模式描述了相应用户的数据视图，它定义了相应的内部数据模型。在概念模式和存储模式之间，增加一个数据加密模式，就可以在描述数据存储的物理结构之前，对待存储的数据进行加密处理；或者在使用物理存放的数据之前，对之进行解密处理。硬件加密 在物理存储器（一般指磁盘）与数据库系统之间加装一硬件装置，对存入盘中的数据进行加解密。当然，对进入盘中的控制信息不予加密。42 数据库系统的加密方法与密钥营理在数据库中对数据的加密一般类似于常用的加密算法（比如DES，RSA等）。对于数据元素加密多采用分组密码的密本方式；对于记录、关系等较长的数据的加密，多采用密码的密码块链方式。对一给定的长N位的明文，在固定的M位密钥控制下，加密汇总得出位的密文，这种加密方式叫做密本方式。密码块链方式则不同，它把每次加密的输出反馈到输入，作用到下次要加密的明文上。这样，每次加密的输出不仅仅依赖于本次加密输入的明文，而且还依赖于所有原先输入的明文。在数据库中，采用这种密码块链接方式，邻接的两个相同明文在加密过程中会产生两个不同的密文块，从而有效地减少了密文中重复模式的出现，增加了入侵者的攻击难度。随着数据库加密技术的发展，人们现在还有许多新的加密方法： 子密钥数据库加密技术 这种方法按记录对数据进行加密，按数据项（对关系数据库而言）进行解密。需要某记录的某数据项时，就用该数据项的子密钥解密。这样可以保障对数据项的访问遵从最小授权准则，而不会泄漏与授权无关的信息。利用读写子密钥还可以较为方便地对数据库的记录中制订的数据项进行修改和更新，而不需把整个记录全部解密，修改后再重新加密。 秘密同态技术 这是一种不对已加密的数据库解密，而直接在已加密的数据库上进行操作的技术。它避免了大量繁琐的加密解密操作，提高了数据库的运行效率。一般来讲，数据库的密钥是多级密钥形式：数据库密钥、记录级（或域级）密钥、数据项密钥。这种多级密钥的形式及其生命周期相对较长的特点，与网络通信中的一次一密的技术截然不同。数据库系统的密钥产生、更新和管理技术应当适应上述特点。同时，对数据库中的密钥还要进行相应的保护。在数据库中，密钥的种类和数量较多，在生成密钥时应满足以下要求：l 产生重复密钥的概率要低。这样才能抗击密钥穷举搜索攻击和已知明文攻击。l 从一个数据项的密钥推导出另一个数据项的密钥在计算上是不可行的。这样，即使破译了某些数据项的密钥也不会威胁到其他数据项的安全。l 从已知部分明文或明文值的统计分布，在计算上不可能从密文中破译明文。第二节 计算机安全与保密技术简介 关于计算机安全的定义，多年以来一直众说纷坛。包括国际信息处理联合会（IFIP）计算机安全技术委员会（TC11）在内的不少权威机构，始终未能就计算机安全的定义表明看法。我国公安部对计算机安全提出的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而被破坏、更改、显露，系统连续正常运行。”本节以此定义为基础对计算机安全与保密技术作一简要介绍。1 计算机硬软件及安全问题11 硬件部分的安全问题计算机硬件系统是一种精密仪器的电子设备。从结构上看，它主要由机械部分和电气部分组成。机械结构是为电气功能服务的，机械结构的脆弱，最终反映是电气运行的不正常。随着计算机及其应用的迅速发展，人们的注意力主要地集中在增强应用功能和推广使用等方面。所以，许多在原始设计中未能充分考虑的安全隐患也未能引起广泛、及时的注意。比如： 电磁泄漏 电磁干扰现象，早在20年代收音机进入家庭时，就已引起人们的注意，并逐步形成一门新的学科电磁兼容。大量的电磁干扰的根本原因是电子设备的电磁泄漏。计算机电磁泄漏的主要危害就是信息泄漏，并且干扰其他电磁设备的正常工作。这是当初未能重视，或没有系统地考虑过的一个安全隐患。 核辐射 这也是当初注意不周的问题。例如，核辐射会使大规模集成电路中的某些部位，产生较大的光电流而损伤。为此，必须加固处理器芯片和随机存储器等。 振动，冲击，加速度，温度，湿度，灰尘等性能 由于材料、工艺、技术水平、成本等限制，使得一般的计算机难以适应许多实际的环境条件和要求。例如，磁头和磁盘之间需始终保持数微米的距离。灰尘、温度、振动、冲击等，均会影响计算机读写数据的正常运行；元器件之间的接插方式，易受灰尘、湿度、有害气体的锈蚀、振动、冲击而松动，影响牢靠的电气连接。 此外，诸如磁盘等不少的元部件和系统，要求供电电源的电压、频率保持稳定。供电不能突然中断，否则，元部件不损即坏，造成损失。12 软件部分的安全问题 软件系统主要有操作系统、编译系统、网络系统、驱动程序及各种功能的应用软件系统和数据库系统等。由于计算机软件系统本身总是存在许多不完善甚至是错误之处，所以在运行中必然会出现一些安全漏洞。如果不及时修正这些隐患，将同样会造成损失。 操作系统的安全缺陷 操作系统紧贴裸机，形成人机界面。它集中管理系统的资源，控制包括用户进程在内的各种功能进程的正常运行。它是计算机系统赖以正常运转的中枢。当前操作系统的最大缺陷是不能判断运行的进程是否有害。换句话说，操作系统应当建立某些相对的鉴别准则，保护包括操作系统本身在内的各个用户，制约有害功能过程的运行。 为了迅速占领微机市场，某些公司公布了它们的操作系统内核。这样做的好处是方便了世界各地开发各种功能软件和配套外部设备。但是同时也为有害的功能开发打开了方便之门。这是计算机病毒在微机领域内数量剧增、泛滥成灾的原因之一。 网络化带来的安全问题 计算机网络的宗旨本来是：系统开放、资源共享、降低成本、提高效率。这恰恰又是造成计算机网络安全的致命问题和主要安全漏洞。在开放共享的环境中，“安全”与“开放共享”总是互为制约的。计算机网络遭到的危害，绝不是计算机系统危害和通信系统危害的简单叠加。计算机网络分布的广域性、信息资源的共享性、通信信道的公用性，都为信息窃取、盗用、非法的增、删、改以及各种扰乱破坏造成了极为方便且难以控制的可乘之机。计算机联网的广域性，增加了危害的隐蔽性、广泛性和巨大的灾难性。13 计算机安全的策略和解决方案 计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。计算机资源包括计算机设备、存储介质、软件、数据等等。计算机安全的策略和解决方案形形色色，丰富多彩。主要有： 访问控制 即有效控制人们访问计算机系统。只允许合法用户使用，而把非法用户拒之门外，这就像门卫一样，对进入大楼的人进行安全检查。 选择性访问控制 对不同的合法用户授予不同的权力，使他们具有不同的系统资源访问权力。此外，如果用户想对其目录下的数据进行保密，则用户可以控制此目录，不让其他用户访问。 防病毒 这是计算机安全长期要面对的问题。 加密 把数据转换成不可读的形式，保证只有授权的人才能阅读该信息。 系统计划和管理 计划、组织和管理计算机设备，并根据用户要求制定安全策略并实施的过程。 物理安全 保证计算机装置和设备的安全。 生物特征统计 用生物唯一性特征来识别用户，如指纹、视网膜、声音等。 网络和通讯安全 这是计算机安全的重要部分。 以上安全方案和策略多数已经在本书的其他章节作了适当介绍。为避免重复，下面仅进一步介绍访问控制、口令系统与身份验证、文件资源访问控制等方面的知识。2 访问控制 访问控制是阻止非法访问的最重要措施之一。访问控制的作用是对想访问系统和数据的人进行识别，并检验其身份。对一个系统进行访问控制的常用方法是对没有合法用户名和口令的任何人进行限制。更一般地，访问控制可以描述为控制对网络信息系统的访问方法。如果没有访问控制，任何人只要愿意都可以获得允许进入别人的计算机系统并做他们想做的事情。 实现访问控制的常用方法有三：其一，是要求用户输入一些保密信息，如用户名和口令；其二，是采用一些物理识别设备，如访问卡，钥匙或令牌；其三，是采用生物统计学系统，可以基于某种特殊的物理特征对人进行唯一性识别。由于最后两种方法更为昂贵，所以最常见的访问控制方法是口令。 访问控制策略可以细分为选择性访问控制和强制性访问控制。 选择性访问控制 这种类型的访问控制基于主体或主体所在组的身份。这里“可选择”是指：如果一个主体具有某种访问权，则他可以直接或间接地把这种控制权传递给别的主体。 从Cl安全级别开始要求选择性访问控制。选择性访问控制的要求随着安全级别的升高而逐渐被加强。例如，Bl安全级别的选择性访问控制的要求就比Cl安全级的更为严格。C2安全级别对选择性访问控制的要求是：计算机保护系统应有权定义和控制对系统用户和对象的访问，如文件，应用程序等等。执行系统应允许用户通过用户名和用户组的方式来指定其他用户和用户组对它的对象的访问权，并且可以防止非授权用户的非法访问。执行系统还应能够控制一个单独用户的访问权限。它还规定只有授权用户才能授予一个未授权用户对一个对象的访问权。 选择性访问控制被内置于许多操作系统当中，是任何安全措施的重要组成部分。选择性访问控制在网络中有广泛的应用。在网络上使用选择性访问控制应考虑如下几点： （l）什么人可以访问什么程序和服务？ （2）什么人可以访问什么文件？ （3）谁可以创建、读或删除某个特定的文件？ （4）谁是管理员或“超级用户”？ （5）谁可以创建、删除和管理用户？ （6）什么人属于什么组，以及相关的权利是什么？ （7）当使用某个文件或目录时，用户有哪些权利？ 强制性访问控制 此种访问控制所实施的控制要强于选择性访问控制。这种访问控制基于被访问信息的敏感性。其中，敏感性是通过标签来表示的。强制性访问控制从Bl安全级别开始出现，在安全性低于Bl级别的安全级别中无强制性访问控制的要求。3 口令系统与身份认证31 安全口令的选择与维护 口令是进行访问控制最简单又最有效的方法之一。口令是只有系统（和它的管理员）和用户知道的简单的字符串。只要口令保密，非授权用户就难于进行非法访问。 正是由于口令仅是一个字符串，一旦被别人发现（或偷窃），它就不能再提供任何安全措施了。因此，最重要的考虑就是尽可能安全地选择口令，并使其不被非授权用户知道。 系统管理员和系统用户都有保护口令的需要。管理员必须为每一个帐户建立一个口令或用户名，而用户必须建立“安全”的口令并对其进行保护。 系统与系统之间的大量登录进程的类型可以有很大的不同。有的高安全性系统，要求几个等级的口令（例如，一个用来登录进入系统，一个用于个人帐户，还有一个用于指定的安全文件）；有一些则只需要一个口令就可以访问整个系统。大多数系统都是介于这两个极端之间的登录进程。 一般来说，用户名会显示给用户，而口令则不显示在屏幕上，这样就没有人能仅仅通过偷看你的屏幕而发现你的口令了。选择有效的口令就成功了一半，系统管理员和用户都可以选择最有效的口令。另外，系统管理员能对用户的口令进行强制性的修改，设置口令的最短长度，甚至防止用户使用太容易的口令或一直使用同一个口令。什么是有效的口令呢？最有效的口令应该很容易记住，但“黑客”却很难猜测或破解。对口令的选择，不适合于使用自己的名和姓、家庭成员的名字、电话号码、生日等。最好的口令应遵循如下规则：l 选择长口令。口令越长，被猜出的难度就越大。大多数系统口令设置为5到8个字符，还有许多系统允许更长的口令。l 口令应该同时包括字母和数字的组合。l 不鼓励使用英语单词或短语。有效的口令之一是那些你知道但别人不一定知道的短语的首字母的缩写。如：“I get a fancy car！”能产生口令“igfc”。这样的口令自己容易记住但别人很难想到。l 不要将相同的口令用在自己要访问的所有系统中。因为，万一其中一个系统的安全出了问题，那其他的就不安全了。l 别选择自己都记不住的口令。 还可以采用其他一些方法来加强口令系统的安全性。例如：l 限制登录时间。用户只能在某段特定的时间（如工作时间内）才能登录到系统中。任何人想在这段时间之外访问系统都会遭到拒绝。l 限制登录次数。为防止对帐户多次尝试口令以闯入系统，系统可以限制登录企图的次数。例如：如果有人连续三次登录都没成功，终端就与系统断开。l 最后一次登录。该方法报告最后一次系统登录的时间/日期，以及最后一次登录后发生过多少次未成功的登录企图。这可以为合法用户提供线索，确认是否有人非法访问过自己的账户和进行过多少次企图。口令安全性的另一个问题是应防止别人偷看自己的口令。如果你将自己的口令贴在计算机屏幕的顶部或写在任何人都能看到的地方，那么世界上最好的口令都会失败。千万别将自己的口令告诉别人，否则你就完全失去了对自己账户的控制。不要使用系统指定的口令，如：“root”，“demo。”，“test”等。在第一次进入账号时应该修改口令，别沿用许多系统给所有新用户的缺省口令。记住要经常改变口令。有些系统中，所有的用户被要求定期修改口令。DOS和Windows是常用的操作系统，它们对用户的访问没有任何限制，只要开机就能使用。而Windows NT和Unix操作系统则不然，在开机自检之后，机器会提示用户输入账号和密码，若没有账户和密码是不能使用该计算机的。有些系统提供更高级别的身份认证系统，这比单纯的账号和密码验证要更为先进。下面对Unix和Windows NT操作系统的这些特性作一些简单的介绍。32 Unix系统登录Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统。任何一个想使用Unix系统的用户，必须先向该系统的管理员申请一个账号，然后才能使用该系统。因此这个账号就成为用户作为一个系统的合法用户的“身份证”。有了一个账号后，还需要一个终端，这样就可以登录到系统当中了。但是为了防止非法用户盗用别人的账号使用系统，对每一个账号还必须有一个只有合法用户才知道的口令。在登录时，借助于账号和口令就可以把非法用户拒之门外。 假如用户的口令被盗用，用户怎么才能知道呢？如果用户的数据文件被修改或删除了，当然很容易发现。但是如果入侵者只是偷看了一些机密文件，那么用户怎样才知道呢？为了防止这些问题出现，绝大多数Unix系统在用户输入登录口令后（无论成功或不成功）都会记下这次登录操作，并在下次登录时把这一情况告诉用户，例如： Last Login：Sun Sep 2 14：30 on console 如果用户发现和实际情况不符合，例如在消息所说的那段时间并没有登录在机器上，或者在消息中的时间里用户并没有登录失败而消息却说登录失败，这就说明有人盗用了机器的账号，这时用户就应立刻更改口令。 当用户从网络上或控制台上试图登录到系统中时，系统会显示一些相关信息，如系统的版本信息等，然后会提示用户输入账号。当用户输入账号时，所输入的账号会显示在终端上，之后系统提示用户输入口令，用户所键入的口令不会显示在终端上，这是为防止被人偷看到。若用户从控制台登录，则系统控制登录的进程会用密码文件来核实用户，若用户是合法的，则该进程就会变成一个Shell进程，这时用户就可以输入各种命令了，否则显示登录失败，再重复上面的登录过程。系统也可以设置成这样：如果用户三次登录都失败，则系统自动锁定，不让用户再继续登录，这也是Unix防止入侵者野蛮闯入的一种方式。若用户是从网络上登录的，则账号和口令可能会被人劫持，因为很多系统的账号和密码在网上是以明文的形式传输的。 为了加强拨号访问的安全性，可以通过一台支持身份验证的服务器来提供访问。在这种方式下，用户在被允许访问系统之前，必须由终端服务器证实为合法。因为没有口令文件可以从服务器上窃得，所以攻击终端服务器就变得更加困难了。 Unix系统登录验证的关键是账号文件etcpasswd。此文件包含了所有用户的信息，如用户的登录名、口令、用户标识等。这个文件的拥有者是根用户（root），只有根用户才有写的权力，而一般用户只有读的权力。33 Windows NT系统登录Windows NT要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能被关闭。强制性登录和使用Ctrl十Alt十Del启动登录过程的好处是：l 强制性登录过程确定用户身份是否合法，从而确定用户对系统资源的访问权限。l 在强制性登录期间，暂停对用户模式程序的访问，这便可以防止有人创建或偷窃用户账号和口令的应用程序。例如入侵者可能会仿制一个Windows NT的登录界面，然后让用户进行登录从而获得用户登录名和相应的密码。l 强制登录过程允许用户具有单独的配置，包括桌面和网络连接。这些配置在用户退出时自动保存，在用户登录后自动调出。这样，多个用户可以使用同一台机器，并且仍然具有他们自己的专用设置。用户的配置文件可以放在域控制器上，这样用户在域中任何一台机器登录都会有相同的界面和网络连接设置。 Windows NT的成功登录过程有4个步骤： （l）Win32的WinLogin过程给出一个对话框，要求用户名和口令。这个信息传递给安全账户管理程序。 （2）安全账户管理程序查询安全账户数据库，以确定用户名和口令是否属于授权用户。 （3）如果访问是授权的，安全性系统构造一个存取令牌，并将它传回到Win32的Winlogin过程。 （4）WinLogin调用Win32子系统，为用户创建一个新的进程，传递存取令牌给子系统，Win32对新创建的过程连接此令脾。 为了防止有人企图强行闯入系统中，用户可以设定最大登录次数，如果用户在规定次数内未成功登录，则系统会自动被锁定，不可能再用于登录。 可以通过User Manager配置账号锁定，它有6个选项：No Account Lockout（不管使用账号进行多少次登录，用户账号不锁定）、Account Lockout（允许账号锁定特性）、Lockout after（引起账号锁定的错误登录次数，范围是l999）、Reset Count after（两次失败的登录企图之间要进行锁定的最大分钟数，范围是1999）、Lockout Duration-Forever（账号将保持锁定，直到管理员解锁）、Lockout Duration（在解锁账号前，账号被锁定的分钟数，范围是l9999）。 在Windows NT中有一个安全标识符，它标识一个注册用户（或用户组）的唯一名字。安全性标识符是用于系统内部的，在存取令牌和接入控制表内使用。安全性标识符是一长串数字，例如：S-l-5-21-76965814-1898335404-322544488-100134 身份验证 在大多数系统中，用户在被允许注册之前必须为其用户帐户指定一个口令。口令的目的就是验证使用该用户就是他声明的那个人。换句话说，口令充当了验证用户身份的机制。但口令一旦被窃取，别人就会假扮用户。所以，除了口令之外，还可以使用其他一些更为可靠的身份验证技术。 验证身份的主要方法或者是由它们组合而成的身份验证系统有以下三种：（l）用本身特征进行鉴别。人类生物学提供了几种方法去鉴别一个人，如指纹、声音等。但这些技术应用到计算机用户的身份验证比较困难。例如，不可能要求每台机器都配有话筒用于声音识别，况且人在感冒时声音就会发生变化。（2）用所知道的事进行鉴别。口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制。例如，挑战反应机制，这种机制要求用户提供一些由计算机和用户共享的信息（比如，用户的祖父的名字和生日，或其他一些特殊信息）。计算机每次会根据一个种子值、一个迭代值和该短语信息计算出一个口令，其中种子值和选代值是时变的，所以每次计算出的口令也不一样，这样即使入侵者通过窃听手段得到密码也不能闯入系统。（3）用用户拥有的物品进行鉴别。智能卡就是一种根据用户拥有的物品进行鉴别的手段。用户必须拥有这些设备中的一个，以便能够注册到系统，这种身份验证是基于“用户知道某些事”。当计算机要求输入口令时，主计算机向用户提示一个从智能卡获得的值，有时主计算机给用户一些必须输入到智能卡中的信息。智能卡然后显示一个回应，也必须输入到计算机中。如果该回应接受，则对话建立。一些智能卡显示一个随时间变化的数字，但是它是与计算机上的身份证软件同步进行的。4 文件资源访问控制 系统访问控制可以有效地将非授权者拒于系统之外。这就好像大楼门口的安全卫兵，只允许有通行证的人进入。但是，来访者进入大楼并不应该等于他可以在大楼里随意漫步，更不能允许他随意进入房间。这就是说，即使用户进入了系统，他也不能随意对系统内的所有程序、文件、信息进行访问。 用户登录到了系统上后，就领到了一个标识其身份的证件。各种资源都包含有一个控制用户访问的控制信息。当用户试图访问该资源时，系统应查看资源的访问控制信息和用户的身份证，检查用户是否有权访问该资源以及对该资源的访问形式是什么。各种操作系统的资源访问控制就是以这种思想为基础的，具体在实现上不尽相同。比如：41 Windows NT的资源访问控制 在Windows NT中，所有的对象都有一个安全性标识符，它列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性。所有的命名对象、进程、线程都有与之关联的安全标识符。Windows NT安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例。这些安全信息，包括下列元素：所有者（用于确定拥有这个对象的用户）、组（用于指出这个对象和哪个组相联系）、自由接入控制表（此数据结构由对象拥有者控制，标明谁可以和谁不可以存取该对象）、系统接入控制表（这个数据结构由安全管理者控制，用于控制审计消息的产生）、存取令牌（它永久地连接到用户的每个进程当中，并作为进程使用资源时的一个身份证）。 在Windows NT的许可检查过程中，安全子系统按下面步骤来比较存取令牌： （l）从接入控制表的顶部开始，安全子系统检查每项接入控制元素，查看是否显式地拒绝该用户所要求的访问形式（如读的操作、写的操作等）或是否显式地拒绝该用户所在组的这种形式的访问。（2）查看用户要求的访问类型是否已经被显式地授予用户或用户所在的组。（3）对接入控制表重复l，2步，直到遇到显式地拒绝，或者直到累计所有的许可，以授权所要求的访问。（4）如果对于每个需要的许可，接入控制表中没有拒绝也没有授权，则用户将被拒绝。 熟悉DOS的人都知道，DOS只使用了FAT文件系统。FAT文件系统极不安全，因为它不支持文件访问控制，任何人都可随便地打开该文件，甚至修改、删除该文件。Windows NT不但支持FAT文件系统，还支持一种安全的文件系统，即NTFS文件系统。这是一种安全的文件系统，因为它支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何使用这个文件。NTFS文件系统的五个预定义的许可为：拒绝访问、读取、更改、完全控制和选择性访问。42 Unix系统文件访问控制 与Windows NT基于对象的访问控制不同，Unix系统的资源访问控制是基于文件的。在Unix当中各种硬件设备，端口设备甚至内存都是以文件形式存在的。虽然这些文件和普通磁盘文件在实现上有所不同，但它们向上提供的界面却是相同的。这样就带来了Unix系统资源访问控制实现的方便性。 为了维护系统的安全性，系统中每一个文件都具有一定的访问权限。只有具有这种访问权限的用户才能访问该文件，否则系统将给出Permission Denied的错误信息。用户可以使用ls命令，并且加上一个选项-l来查看文件的访问权限，Unix系统将用户分为三类： 第一类，用户本人。用户自己对自己的文件一般具有读、写和执行的权限。但有时用户为了防止自己对某个文件的不经意的破坏，则可能会将此文件设成自己不可写的。 第二类，用户所在组的用户。一般地，系统中每一个用户将会属于某一个用户组。在传统的Unix中，一个用户只能属于一个组，在新的系统中，下个用户可以同时属于八个用户组。对于文件所属组中的每个用户，他们对文件可以有读、写或执行权限中的一个或多个，也可以什么权限也没有，这取决于文件拥有者和超级用户的设置。 第三类，系统中除上面两种用户外的其他用户。其他用户要对系统有任何类型的访问权，这可以由文件拥有者和超级用户来决定。第三节 物理安全与保密技术简介 所谓物理安全就是指以物理方法和技术保障网络信息系统的设备、线路和信息的安全与保密。物理安全主要防范由于各种人为和自然因素引起的安全和保密问题。物理安全是安全和保密的重要方面，历来受到广泛重视，国内外已经制定了许多标准和规范。物理安全与保密所涉及的内容相当广泛，本节重点介绍有关基础设施安全、设备安全防护、故障处理和电磁兼容和防电磁泄漏等方面的知识。1 基础设施安全11 场区环境安全 基础设施安全以保护信息网络的外部条件来保障信息网络的安全，它是网络的安全屏障。基础设施安全的主要目标是从场区环境安全方面保障网络安全。目前，网络系统的许多主节点、电信大楼、台站，包括线路铺设都已经基本完成，虽然在设计之初已经对场区环境、防自然灾害等有一定的考虑，但是由于自然条件的局限或与其他行业部门的协调不够，架空光纤被毁、地下埋设线路被毁、火灾等事故常常发生。确保场区环境和地理位置达到安全标准是十分重要的。制定场区环境安全规范的基本原则包括： （l）因地制宜实施抵御各项自然灾害的措施； （2）避开低洼、潮湿以及水灾和地震频繁的地带； （3）避开有害气体源、粉尘以及存放腐蚀、易燃、易爆物品的地方； （4）避开强振动源、强电磁干扰源和强噪音源； （5）网络线路与电力线路、电力机车线路应有一定的安全距离； （6）避免有严重鼠、虫害的地区，以防止电缆线被咬断造成短路； （7）无线通信的电磁环境要符合要求； （8）地下埋设线路应有一定的安全要求，如设置明显标记，防止农用水利建设时无意切断线路； （9）设立安全防护圈。包括外层防护圈、建筑物防护圈和信息中心防护圈三重体系。12 机房设施的安全 机房是信息网络的安全外壳。机房设施的安全会直接影响网络信息中心的安全，如机房被火烧将会造成大面积的网络中断。机房设施的安全除要符合建筑部门和其他相关部门的要求外，还应该重点考虑以下情况： （l）根据不同地区，提出整个建筑物的抗震要求，如能够承受68级地震； （2）机房核心应设在建筑物的中层，使之受到足够的保护； （3）机房的空调与办公室的空调分开配置且备份，机房的温度应为15250C；相对湿度应为4565，空气的洁净度应该不超过10000（粒dm3）； （4）机房内的结构材料（墙壁、地板、隔板、装饰材料、支撑材料及其辅助材料）都应该是防火材料； （5）对重要的通信部门要进行有效的电磁屏蔽，还应有一定的安全隔离区； （6）机房静电防护也应满足相关要求； （7）要有充分的防火设施和灭火系统。 机房大楼除必要的门卫24小时警卫外，重要部位还需要警卫系统，用于防止有人通过门窗闯入。对于门窗防盗除采用安全门锁外，还可以采用电磁式的防盗报警系统。对于秘密级以上的文件资料和记录媒体的保存，应有安全可靠的保险柜和保险箱，钥匙和密码号应有专人负责，以防丢失和被盗。13 配电、接地和低压电器的安全 供电系统关系全局的安全，它是网络系统的要害部位。 配电 网络中心应有两路供电，供电系统必须独立使用，与其他设备用电、机房照明用电、消防用电严格分开，以免相互干扰。不采用UPS供电的机房，低压配电盘应设有自锁装置，以免电源的瞬时通断造成设备损坏。供电设备、配电设备、照明器具及电力管道应有一定的安全防护措施。 发电和供电设备 供电设备应具有足够的功率，其额定值应高于常用电量的125以上。备份电源为油机，一旦外电网停电，应能够保证在5min内启动运行，7min内即已能正常供电。最好要配置不间断电源（UPS），保证电源中断后，设备不停机运行15min以上。 接地 应采用多种接地方式（比如：网络系统的直流工作地、供电系统的交流工作地、安全保护地、防雷保护地、机房屏蔽地等）。而且要尽量实施主等电位连接，建筑物内的主等电位连接导体应与下列可导电部分相互连接：主保护导体（保护主干线）、主接地导体（接地线干线）或总体接地端子、建筑物的公用金属管道和类似的金属构件、建筑物中的金属部分及集中采暖和空调系统。来年建筑物外面的导体，应在建筑物内尽量靠入口处与等电位连接的导体连接。 网络系统的地线为电信号传输提供参考零电位，同时为静电屏蔽提供地电位。网络系统的地线网应单独设置，不与避雷地线和动力电地线共用。如果可能，应在设备附近设置专门的接地体，最后再与接地总干线连接起来。在安装时，不要将供电的地位线和避雷地线裸露与墙相贴。2 设备安全防护21 网络设备和线路的防护 网络设备和线路的防护主要包括一般性的物理防护和防止未经许可的操作与使用。一般性的物理防护包括：不同场合下的温度、湿度、防震、防电磁干扰、防雷、电源波动以及电缆的绝缘电阻、阻燃性、抗腐性、介电强度等。防止未经许可的操作与使用则主要依靠个人标识和鉴别。22 软件防护 软件防护包括系统中正在运行的软件和网络之外保存的软件的防护。软件依附于硬件实体内，对设备的保护也就保护了软件。但是，在网络环境下，任何远端的物理访问都允许对整个网络的访问，逻辑访问也有同样的问题。因此，在网络中，除了一般性的物理防护外，还必须有访问控制。23 记录媒体的防护 在信息网络系统中，不仅要保护运行于网内的信息安全，而且还要十分注意保护与网络信息相关的网外信息的安全。 作为网络的重要组成部分，许多网外信息存储于各种记录媒体上（如：硬盘、光盘、软盘、磁带、记录纸、磁卡、胶片等）。保护各种记录媒体是网络信息安全与保密的重要内容之一。 记录媒体的存放和管理应该注意： （l）凡属规定密级的各种记录媒体，应建立相应的文件库和登记制度，严格借用手续，中途不得转借他人，归还时要严格复核手续等； （2）文件库应有一定的安全措施； （3）对于日常使用的记录媒体应放在保险柜中，并有专人负责保管； （4）对于磁记录媒体应特别注意防磁和温度适当； （5）对于重要的记录媒体应有备份措施，应单独隔离在远离网络中心的地方存放； （6）注意防拷贝、防复制。 记录媒体在传送过程中，应该加密处理并按规定确保安全。对于机密级以上的媒体记录要按机要邮件传送。绝密级要有专人传送。 在网络信息系统中，版本更新时既要防止原来运行的重要信息被暴露，又要防止被装入隐蔽性的破坏信息。 记录媒体中信息的清除和销毁也是应该重视的一个方面。在实际工作中，对临时文件、中间结果和过期文件，利用删除命令清除，往往忽略这些命令并非彻底清除文件，它会使残留的机密信息被暴露。比如，操作系统中的ERA或DEL命令只是删除文件名，文件内容依然保留。准确地说，它只改变文件分配表和根目录的部分字符，其他字符并没有被删除。因此，当执行删除命令ERA或DEL后，若没有执行新文件覆盖原先被删除的文件存储的话，利用磁盘文