[工学]电子政务计算机网络信息安全概念

电子政务系统建设与实施,2,南 京 大 学 软 件 学 院,第4章：电子政务计算机网络信息安全概念,本章重点讨论电子政务中的计算机网络信息安全计算机网络信息安全发展过程我国计算机网络与信息安全基本对策计算机网络信息安全的基本对策计算机网络安全管理,3,南 京 大 学 软 件 学 院,计算机系统安全技术与标准,技术只是实现设计的保证，是一种解决问题的方法、工具、手段。作为计算机系统安全技术从使用角度出发，大致有实体，指硬件安全软件，指系统安全数据，指信息安全网络，指站点安全运行，指服务（质量）安全,4,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续1）,其核心技术是加密、病毒防治以及安全评价，可以从两个方面叙述计算机系统安全技术：主要表现在硬件、软件、数据信息、网站、运行、病毒防治、防火墙等8个方面,5,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续2）,实体硬件安全主要是指为保证计算机和通讯线路及设施、建筑物、构筑物的安全，预防地震、水灾、火灾、飓风、雷击，满足设备正常运行环境的要求，包括电源供电系统，为保证机房的温度、湿度、清洁度、电磁屏蔽要求而采取的各种方式、方法技术和措施；包括为维护系统正常工作而采取的监测、报警和维护技术及相应高可靠、高技术、高安全的产品；为防止电磁辐射、泄露的高屏蔽、低辐射设备，为保证系统安全可靠的设备备份等涉及到计算机系统的环境安全、计算机的故障诊断技术、抗电磁干扰技术、设备访问控制技术、介质存放管理技术等要求，是计算机系统安全的基本条件,6,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续3）,软件系统安全主要是针对所有计算机程序和文档资料，保证他们免遭破坏、非法拷贝和非法使用而采取的技术和方法，包括操作系统平台、数据库系统、网络操作系统和所有应用软件的安全，同时还包括口令控制、鉴别技术、软件加密、压缩技术、软件防拷贝、防跟踪技术还包括掌握高度安全的产品质量标准，选用系统软件和标准工具软件、软件包，对于自己开发使用的软件建立严格的开发、控制、质量保障机制，保证软件满足安全保密技术要求，确保系统安全可靠的运行数据信息安全,7,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续4）,其安全保密主要是指为保证计算机系统的数据库、数据文件和所有数据信息的免遭攻击破坏、修改、泄露和窃取，为防止这些威胁和攻击而采取的技术、方法和措施包括对各种用户的身份识别技术，口令、指纹验证技术，存取控制技术和数据加密技术，以及建立备份、紧急处置和系统恢复技术，异地存放、妥善保管技术等网络站点安全网络站点安全是指为了保证计算机系统中的网络通信和所有站点的安全而采取的各种技术措施，除防火墙技术外，还包括报文鉴别技术，数字签名技术，访问控制技术，加压加密技术，密钥管理技术等；为了保证线路安全、传输安全而采取的安全传输介质技术，网络跟踪、监测技术，路由控制隔离技术，流量控制分析技术等等,8,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续5）,运行服务安全主要是指安全运行的管理技术。包括系统的使用与维护技术；随机故障维护技术；软件可靠性、可维护性保证技术；操作系统故障分析处理技术；机房环境监测维护技术；系统设备运行状态实测、分析记录等技术实施目的在于，及时发现运行中的异常情况，及时报警，及时提示用户采取措施或进行随机故障维修和进行必要的安全控制病毒防治技术专门设置计算机病毒检测、诊断、杀毒措施，并要求有一套预防方法，以防止病毒的再入侵涉及计算机硬件实体、计算机软件、数据信息的压缩的加密解密技术,9,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续6）,防火墙技术是介于内部网络与外部网络Internet之间的路由器或计算机（一般叫堡垒主机），目的是提供安全保护从本质上说是一种保护装置，是用来保护网络数据、资源和用户声誉的计算机系统的安全评价目前我国已经出台的有金融电子化系统标准化总体规范等标准,10,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续7）,国际标准化组织对安全体系结构的论述 ISO7498-2中描述的开放系统互连OSI安全体系结构的5种安全服务项目是鉴别（authentication）访问控制（access control）数据保密（data confidentiality）数据完整性（data integrity）抗否认（non-reputation）,11,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续8）,为了实现以上服务，制定了8种安全机制加密机制（enciphrement mechanisms）数字签名机制（digital signature mechanisms）访问控制机制（access control mechanisms）数据完整性机制（data integrity mechanisms）鉴别交换机制（authentication mechanisms）通信业务填充机制（traffic padding mechanisms）路由控制机制（routing control mechanisms）公证机制（notarization mechanisms）5种安全服务和8种安全机制的关系表,12,南 京 大 学 软 件 学 院,计算机系统安全技术与标准（续9）,美国国家计算机安全中心（NCSC）NCSC提出的可信计算机系统评测标准（TCSEC, Trusted Computer System Evaluation Criteria），将计算机系统的安全分为A、B、C、D、四类7级。不同计算机信息系统可根据需要和可能选用不同安全保密强度的不同标准，如军事、国防为A、B类，金融、财贸为B1、C2级或更高级的计算机系统其他的重要标准，还有安全电子交易协议（SET, Secure Electronic Transaction Protocol），美国国家标准化委员会ANSI的DEI，RSA加密算法标准等,13,南 京 大 学 软 件 学 院,安全立法问题,与信息安全相关的第一类法律法规是指：不是直接针对国际互连网信息安全的法律法规，但它规范和调整的范围与层次，包括了个人，法人及其它组织的有关信息活动涉及国家安全的法律法规。如国家安全法，保密法等第二类是指直接针对计算机安全和国际互连网安全的法规，如中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定以及出台的暂行办法中华人民共和国计算机信息网络国际联网安全保护管理办法等,14,南 京 大 学 软 件 学 院,安全立法问题（续1）,广泛开展计算机安全教育国际信息处理联合会（IFIP，International For Information Process）从SEC93到SEC98都在会议上倡导要加强计算机安全教育美国成立的“国际强化安全研究会（WISE）”目的在于为工业和政府机构在各种不同类型的法规方面提供训练和咨询1997年“曼哈顿研究计划（Manhattan Cyber Project）”组织和我国国家实验室联合召开“信息系统安全研讨会2000年开始。我国在大专院校计算机专业普遍开设计算机安全技术课程,15,南 京 大 学 软 件 学 院,安全立法问题（续2）,安全立法目前，国外许多政府纷纷制定计算机安全方面的法律、法规，典型的有美国：信息自由法、反腐败行为法、伪造访问设备和计算机欺骗与滥用法、计算机安全法英国：数据保护法美国和加拿大：个人隐私法经济合作发展组织各成员国：联合通过过境数据流宣言意大利等国将计算机犯罪与刑法、民法联系起来，修改有关条款,16,南 京 大 学 软 件 学 院,安全立法问题（续3）,我国近几年来重要的有关法律、法规中华人民共和国保守国家秘密法计算机软件保护条例中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息网络国际联网管理暂行规定及实施办法中国公众多媒体通信管理办法计算机病毒控制条例中华人民共和国计算机信息系统安全检查办法中华人民共和国计算机信息系统安全申报注册管理办法,17,南 京 大 学 软 件 学 院,安全立法问题（续4）,我国计算机信息系统安全保护等级划分准则我国计算机信息系统安全保护等级及划分准则也称标准，由北京大学、清华大学、中国科学院起草，由国家质量技术监督局于1999年9月13日发布，2001年1月1日起实施。规定了计算机信息系统安全保护能力的五个等级，即：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级,18,南 京 大 学 软 件 学 院,安全立法问题（续5）,等级划分准则具体内容为：第一级“用户自主保护级”：计算机信息系统可信计算通过隔离用户与数据，使用户具备自主安全保护的能力。具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏自主访问控制身份鉴别数据完整性,19,南 京 大 学 软 件 学 院,安全立法问题（续6）,第二级“系统审计保护级”：与用户自主保护级相比，本级的计算机信息系统可信计算实施了粒度更细的自主访问控制，它能过登录规程、审计安全性相关事件和隔离资源，使用对自己的行为负责自主访问控制身份鉴别客体重用审计数据完整性,20,南 京 大 学 软 件 学 院,安全立法问题（续7）,第三级“安全标记保护级”：本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还需提供有关安全策略模型、数据标记以及主体对客体强制访问的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性,21,南 京 大 学 软 件 学 院,安全立法问题（续8）,第四级“结构化保护级”：本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的渗透能力,22,南 京 大 学 软 件 学 院,安全立法问题（续9）,自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性隐蔽信道分析可信路径,23,南 京 大 学 软 件 学 院,安全立法问题（续10）,第五级“访问验证保护级”：本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的渗透能力,24,南 京 大 学 软 件 学 院,安全立法问题（续11）,自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性隐蔽信息分析可信路径可信恢复,25,南 京 大 学 软 件 学 院,我国网络信息安全的现状,我国一直重视计算机网络与信息安全，除了政府已经分布的有关法规文件外，信息安全方面成立了专门的研究机构。但国内研究面较狭，主要是网络反病毒产品，如KILL和VRV的网络防火墙产品，但大多数只是“服务器用户”“单机用户”的简单杀毒组合，并不具备真正意义上的网络防守实力,26,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续1）,瑞星、KV300和KILL三足鼎立的格局已然形成，下一个更大的市场便是网络版的市场从发展方向来看，网络杀毒产品必将是未来市场的一个主流因为网络杀毒软件产品的产值要比单机版要高，利润空间也非常可观因为在历史上国内企业用户对网络版的应用并不是很重视，近来出现了许多网络事故，才引起了重视日前，随着中国电子商务浪潮的风行，许多企业用户也正在由单机防护应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大,27,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续2）,从技术上来看，防病毒软件的发展方向在于要能适应各种产品的数据压缩格式，能对藏于每个文件压缩包内的病毒均可以进行检查和清除实时监控技术是防病毒软件必须具备的主流技术根据国际计算机安全协会的调查，现在新增30%以上的病毒是通过Internet传播，可以说Internet上的防毒能力成为防杀病毒软件的关键技术在这方面，国内的厂商则相对滞后一些,28,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续3）,“在线杀毒”的方式也是一个很好的方向具有免下载、免等待、病毒码随时更新等特性省去下载最新病毒代码的时间，且因为不用安装，所以不会占用任何电脑系统资源，一般防毒软件基本杀毒功能线上杀毒都能提供对于厂商而言，“在线杀毒”不需要传统杀毒所需要的介质的费用，减少了产品在流通环节所消耗的费用，使它的成本和价位都能够降低很多缺点是目前只支持文件型病毒的查毒与杀毒动作，不能清除内存里的病毒,29,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续4）,从服务上看，杀毒软件的竞争也是服务质量等方面的竞争，尤其是对于单机版产品作为一款主要面向一般消费人群的单机版产品，除杀毒能力之外，如易用性、速度、资源占用情况、升级的更新频率及步骤简繁等方面也是非常重要的一些业内人士认为“作为一种反病毒产品，其主要目的是为了对抗计算机病毒。因此，反病毒软件的检测率、清除率、误报率，以及对病毒处理的可靠性等方面理应是该款反病毒产品的主要特征和评测目标”，所以，可能要涉及到非企业类杀毒软件产品的评测方法以什么为依据的问题，以及是否将其与企业级杀毒软件产品的评测标准相分离的问题,30,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续5）,据每周电脑报的市场调查研究部的文章认为目前在杀毒软件方面，知名度由高至低的杀毒软件分别是：KV300、瑞星、KILL、Norton、Pc-cillin、VRV和AV95KV300的认识比率高达93%，瑞星和KILL的认知率分别为88.8%和82.3%在使用比率方面，前九位排名也一致，KV300的使用比率在被访企业中占80%在网络安全产品生产商和网络安全服务供应商和知名度排名中，排名第一位的是瑞星（71.1%），其次是江民（47.2%）、CA（44.5%）、冠群金辰（28.3%）和赛门铁克（13.7%）,31,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续6）,对国产网络安全产品的看法，被访企业的代表70.8%认为在与国外产品的竞争中，价格低廉是最大的优势。另外，技术并不逊于国外产品（34.3%）、良好的售后服务（30.0%）和政策支持（23.8%）也是国产网络安全产品的优势。仍有8.5%的被访者明确表示国产网络安全产品同国外同类产品比较并没有优势可言,32,南 京 大 学 软 件 学 院,我国网络信息安全的现状（续7）,被访者认为国产网络安全产品目前存在的主要问题有：配套服务不够（50.8%）、产品线不全（45.7%）和安全漏洞多（34.7%）有7.8%的被访者认为中外产品差距在一年以内，19.7%的被访者认为差距在一至两年，18.0%的被访者认为差距在两至三年，14.4%的被访者认为差距在三年或更长的时间一方面源于我国总体应用技术开发滞后另一方面国内网络用户在实际应用范围和水平上都还比较低。网络安全防范意识淡漠或疏于管理,33,南 京 大 学 软 件 学 院,网络信息安全的基本对策,联网的计算机，特别是连接Internet的主机，比没有联网的主机暴露出更大的安全问题。全世界几乎每时都有闯入（break-in）和安全侵犯（security violation）行为发生，侵犯者不仅仅是Internet的破坏者，也包括为了个人目的或恶意地偷窃计算机信息或政法服务的雇员,34,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续1）,安全级别根据美国国防部开发的计算机安全标准，可信任计算机标准评估准则（Trusted Computer Standards Evaluation Criteria）：桔黄皮书（Orange Book），被用于保护硬件、软件和存储的信息免受攻击，并描述了不同类型的物理安全、用户身份验证（authentication）、操作系统软件的可信任性和用户应用程序。也限制了什么类型的系统可以连接到你的系统,35,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续2）,说明：桔黄皮书自1985年成为美国国防部的标准以来一直没有改变过。多年来一直是评估多用户主机和小型操作系统的主要方法，其它子系统如数据库和网络，也一直是通过桔黄皮书的解释来评估的。例如，可信任数据库解释（Trusted Database Interpretation）和可信任网络解释（Trusted Network Interpretation）,36,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续3）,计算机安全划分为7个等级D1级：是可用的最低的安全形式。该标准说明整个系统都是不可信任的。对于硬件来说，没有任何保护可用；操作系统容易受到损害；对于用户和他们对存储在计算机上信息的访问权限没有身份验证该安全级别典型地指像MS-DOS、MS-Windows和Apple的Macintosh System 7.x等操作系统。这些操作系统不区分用户，并且没有定义方法来决定谁在敲击键盘。这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制,37,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续4）,C1级：C级两个安全子级别之一。C1级称为自选安全保护（Discretionary Security Protection）系统，描述了一个典型的Unix系统上可用的安全级。对硬件来说存在某种程度的保护，不再那么容易受到损害，尽管损害的可能性仍存在。用户必须通过用户注册名和口令让系统识别他们自己，用来确定每个用户对程序和信息拥有什么样的访问权限访问权限是文件的目录许可权限（permission）。这些自选访问控制（Discretionary Access Controls）使文件或目录的拥有者或者系统管理员能阻止某个人或几个组访问那些程度或信息。但是并没有阻止系统管理帐户执行活动。结果是不审慎的系统管理员可以容易损害系统安全许多日常系统管理任务只能由以root注册的用户来执行,38,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续5）,C2级：除C1包含的特征外，C2级还包含其它的创建受控访问环境（controlled-access environment）的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。另外，这种安全级别要求系统加以审核（audit），这包括为系统中发生的每个事件编写一个审核记录附加身份验证不能与可应用于程序的SGID和SUID许可权限相混淆，而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证，例如，那些无权浏览进程表的用户，当执行ps命令时，只能看到它们自己的进程审核用来跟踪记录所有与安全有关的事件，比如那些由系统管理员执行的活动，审核还要求身份验证。审核的缺点在于需要额外的处理器和磁盘子系统资源,39,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续6）,B1级：B级三个安全级别之一。B1级称为标志安全保护（Labeled Security Protection），是支持多级安全（比如秘密和绝密）的第一个级别，这一级说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限B2级：结构保护（Structured Protection），要求计算机系统中所有对象都加标签，而且给设备（如磁盘、磁带或终端）分配单个或多个安全级别。是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别,40,南 京 大 学 软 件 学 院,网络信息安全的基本对策（续7）,B3级：安全域级别（Security Domain）使用安装硬件的办法来加强域，如内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。该级别也要求用户的终端通过一条可信任途径连接到系统上A级：验证设计（Verify Design）是当前桔黄皮书中最高安全级别，包含了一个严格的设计、控制和验证过程设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。可信任分布（Trusted Distribution）的含义是，硬件和软件在传输过程是已经受到保护，以防止破坏安全系统也包含较低级别的所有特性,41,南 京 大 学 软 件 学 院,加拿大安全,已经着手设计它自己的可信任计算标准（trusted computing standard），包括两个部分：加拿大可信任计算机产品评估标准（Canadian Trusted Computer Product Evaluation Criteria，CTCPEC）和普通标准（Common Criteria）CTCPEC提出了在开发或评估过程中产品的功能（functionality）和保证（assurance）。功能包括机密（confidentiality）、完整性（integrity）可用性（availability）和可说明性（accountability），保证集中于产品用以实现组织的安全策略的可信程度普通标准是美国、加拿大、法国、德国和英国联合调查与研究的结果，包含了选择适当的IT安全措施的要求。普通级别有7种保证级：EAL-1到EAL-7,42,南 京 大 学 软 件 学 院,加拿大安全（续1）,EAL-1：是最低的保证级别，对开发人员和消费者来说定义了最小程度的保证，并且是以对产品安全性能分析为基础的，使用功能和接口设计来理解安全行为EAL-2：是在不需要强加给产品开发人员除EAL-1要求任务之外的附加任务情况下，可被授予的最高的保证级别。执行对功能和接口规范的分析，以及对产品子系统的高级设计检查,43,南 京 大 学 软 件 学 院,加拿大安全（续2）,EAL-3：描述了一种中间的独立确定的安全级别，意味着安全由外部源来证实。允许开发阶段给予最大的保证，而在测试过程中几乎不加修改最大保证指的是设计时已经考虑到了安全问题，而不是设计完之后再实现安全性开发人员必须提供测试证据，包括易受攻击的分析，它们有选择地加以验证。也是包括配置管理评价的第一个级别,44,南 京 大 学 软 件 学 院,加拿大安全（续3）,EAL-4：是改进已有生产线的可行的最高保证级别。一个保证级别为EAL-4的产品是一个在设计、测试和检查方面都井井有条的产品，是以很好的商业软件开发经验为基础的，这些经验可以帮助排除一般软件设计问题除了EAL-3级的内容之外，也包括对产品的易受攻击性进行独立的搜索,45,南 京 大 学 软 件 学 院,加拿大安全（续4）,EAL-5：对现有的产品来说是不容易达到的。必须有意为了完成该标准来设计和创建产品。适用于那些在严格的开发方法中要求较高保证级别的开发人员和用户，开发人员也必须提出设计规范和如何在产品中从功能上实现这些规范,46,南 京 大 学 软 件 学 院,加拿大安全（续5）,EAL-6：包含一个半正式的验证设计和测试文件。包括EAL-5级的所有内容，另外还要求提出实现的结构化表示，产品要接受高低设计检查且必须保证具有高度抗攻击性能。保证在设计循环中使用结构化的开发过程、开发控制和配置管理控制,47,南 京 大 学 软 件 学 院,加拿大安全（续6）,EAL-7：只用于最高级别的安全应用程序。包含完整的独立和正式的设计检查，有一个验证、设计和测试阶段。开发人员必须测试产品的每一个方面，寻找明显的或隐藏的易受攻击的地方，这都可以由一个独立的源来全部加以验证,48,南 京 大 学 软 件 学 院,局部安全问题,用户必须能解决那些局部的，或仅限于用户的组织或组织内部某个部门的安全问题。包括安全策略和口令控制,49,南 京 大 学 软 件 学 院,局部安全问题（续1）,安全策略考虑用户站点安全性的策略采用两个主要观点第一、“没有明确允许的就是禁止的”，意味着用户的组织提供了一个明确的和记录在案的服务集合，所有其它的都在禁止之列第二、“没有明确禁止的就是允许的”，意味着除非用户明确指出一种服务不可用，则所有服务都是可用的不管是哪种观点，定义一种安全策略的原因是在一个组织的安全受到损害的情况下，必须决定应当采取什么行动。这种策略也描述了哪些行动是可以容忍的，哪些不行的。安全策略决定了安全性的程度,50,南 京 大 学 软 件 学 院,局部安全问题（续2）,口令文件防卫非授权访问系统的第一道防线是/etc/password文件。口令文件包括一些行或记录，每行被“:”分成7个域。如：chare:u7mHuh5R4UmVo:105:100:Chris Hare:/u/chare:/bin/kshusername:encrypted password:UID:comment:home directory:login shell,51,南 京 大 学 软 件 学 院,局部安全问题（续3）,实际的加密口令并不一定放在在加密口令域中，该域可以包含其它值口令文件的许可权限是只读的，类似的，影像口令文件和TCB中的文件一般也是只读的文件中的口令信息可通过password命令修改。password命令的许可权限包括SUID（Set User ID）位，使用户能够改变口令,52,南 京 大 学 软 件 学 院,局部安全问题（续4）,影像口令文件不包含来自Secure Mare的高级安全选择的Unix版本可支持影像口令文件在口令域中看到字符x时，那么用户实际的口令就存储在影像口令文件/etc/shadow中。与/etc/passwd文件不同，影像口令文件必须只有通过根才是能可读，如下：#Is -I /etc/shadow-r- 1 root auth 831 Oct 24 11:43 /etc/shadow#,53,南 京 大 学 软 件 学 院,局部安全问题（续5）,文件/etc/shadow的格式与/etc/passwd一致，也有7个由“:”分开的域，但/etc/shadow只包含用户名、加密口令和口令生命期信息，如下：#cat /etc/shadowroot:DUQC9rXCioAuo:8887:0:0:daemon:*:0:0:mmdf:MZ74AeYMs4sn3:8842:0:0:ftp:b80lug/921MeY:8333:anyone:8418:chare:7xqmj9fj3bVw2:9009:pppdemo:4QYrWsJEHc81A:9032:#,54,南 京 大 学 软 件 学 院,局部安全问题（续6）,文件/etc/shadow是由命令pwconv在SCO和SVR4系统创建的，只有超级用户能够创建影像口令文件。在SCO系统时/etc/passwd中的信息和保护的口令数据库用于创建口令文件；在SVR4系统时使用/etc/passwd中的信息影像口令文件的主要优点是将加密口令放在一个普通的用户无法访问的文件中,55,南 京 大 学 软 件 学 院,局部安全问题（续7）,拨号口令文件直接在Unix系统上支持拨号访问的问题在于允许通过电话线路直接访问该系统，破坏者可能“侵入”系统可能会导致系统的损害。许多Unix系统提供了匿名UUCP访问，容易导致口令文件的丢失所以，在Unix系统中提供拨号访问的另一种方法是：通过一台支持身份验证的终端服务器来提供访问。这种方式下，用户在允许网络访问之前必须由终端服务器证实为合法,56,南 京 大 学 软 件 学 院,局部安全问题（续8）,遗憾的是，串行端口线路安装附加口令的能力不是所有Unix版本都具有的。串行线路的拨号口令保护是通过/etc/dialups和/etc/d-passwd两个文件来控制的。文件/etc/dialups包含一个由拨号口令保护的串行端口列表，如下：#cat dialups/dev/tty2A#,57,南 京 大 学 软 件 学 院,局部安全问题（续9）,文件/etc/d-passwd用于识别注册外壳。与使用用户注册名的常规口令不同，拨号口令是与注册外壳相联系的。也就是说，使用Bourne外壳的每一个用户有相同的拨号口令。典型的拨号口令：#cat /etc/d-passwd/bin/sh:/usr/lib/uucp/uucico:#该文件中的每一行或记录包含两个由“:”分开的域。第一个域识别给定口令支持的外壳，第二个域列出了口令上面的例子中，两个外壳都没有口令，这意味着用户注册时不会被提示输入口令,58,南 京 大 学 软 件 学 院,局部安全问题（续10）,拨号口令通过在passwd命令中使用-m选项来增加，该选项通知passwd，搜集的口令支持拨号口令文件中的某个特定外壳。语法格式：passwd -m shell-name一个实例和执行# passwd -m/bin/s:Setting modem password for login shell:/bin/shPlease enter new passwordModem password: testingRe-enter password: testing#,59,南 京 大 学 软 件 学 院,局部安全问题（续11）,上例中，系统管理员为/bin/sh外壳增加拨号口令。意味着注册到该系统将Bourne外壳作为其注册外壳的任何用户，都会被提示输入拨号口令。与通常的passwd一样，实际的口令在其键入时并不显示；它们必须输入的口令在上例中显示出来，只是为了说明方便。注意，只有系统管理员能够改变一个外壳的拨号口令passwd命令改变d-passwd文件的内容，将新的口令包括进去，如下：#cat d-passwd/bin/sh:Ora391.Na1jjQ:/usr/lib/uucp/uucico:#现在Bourne外壳用户在注册到文件/etc/dialups中指定的终端端口时，必须提供附加口令,60,南 京 大 学 软 件 学 院,局部安全问题（续12）,例子描述了当用户使用拨号口令注册时经历的过程：gatewaygateway! login: charePassword Dialup Password:Last successful login for chare: Fri Oct 28 22:52:02 EDT 1994 on tty2aLast unsuccessful login for chare: Tue Oct 18 13:27:53 EDT 1994 on ttyp1SCO Unix System V/383 Release 3.2Copyright (C) 1973-1989 UNIX System Laboratories, Inc.Copyright (C) 1980-1989 Microsoft CorporationCopyright (C) 1983-1992 The Santa Cruz Operation. Inc.All Rights ReservedgatewayTERM = (ansi)#,61,南 京 大 学 软 件 学 院,局部安全问题（续13）,如上直到用户输入用户名和口令，才通过通常的注册过程。这些被验证有效之后，检查拨号口令控制文件/etc/dialups。当用户连接的终端放置在该文件中，且注册外壳是Bourne时，提示用户输入拨号口令。如果拨号口令输入正确，就授权用户访问系统，如上,62,南 京 大 学 软 件 学 院,局部安全问题（续14）,如果拨号错误，就放弃注册，用户被近重新启动，如下：gatewaygateway!login: charePassword:Dialup Password:Login incorrectWait for login retry:login: charePassword:Dialup Password:,63,南 京 大 学 软 件 学 院,局部安全问题（续15）,组文件：文件/etc/group用来控制访问那些不是用户所拥有的文件。如果用户不是文件的拥有者，那么就检查用户所属的组，查看用户是否是拥有该文件的组的成员组员列表存储在/etc/group中，文件的格式如下：tech:*:103:andrewg,patc,chare,erict,lorrainel,lensgroup name:password:GID:userlist,64,南 京 大 学 软 件 学 院,局部安全问题（续16）,组文件的口令是不使用的，也没有容易的机制用于在文件中安装口令。如果用户试图切换到它们不是其成员的组，就会被提示输入口令，如下：$newgrp technewgrp: Passwordnewgrp: Sory$grep tech/etc/grouptech:*:103:andrewg, patc$如果执行该命令的用户已经成为组tech的成员，newgrp命令就会成功。但许多Unix的当前版本使用户能够同时成为多个组的成员，这会减少或取消使用newgrp命令的需要,65,南 京 大 学 软 件 学 院,口令生命期和控制,口令生命期（password aging）机制控制用户何时可以加密口令后通过在口令文件中插入一个值来修改他们的口令。该值定义了用户修改口令之前必须经过的最小时间间隔和口令有效期满之前可以经历的最大时间间隔口令生命期控制信息与加密口令存储在一起，以一系列可打印字符的形式出现。控制包含在口令之后，用逗号分开。通常逗号后面的字符表示下述信息口令有效的最大周数用户可以再次改变其口令之前必须经过的最小周数口令最近改变的时间,66,南 京 大 学 软 件 学 院,口令生命期和控制（续1）,使用口令生命期信息值查看口令的生命期：chare:2eLNss48eJ/GY, C2:215:100:Chris Hare:/usr1/chare:bin/sh上例中口令已经被设置了生命期，使用“C”值定义了口令到期前的最大周数，“2”定义了用户能够再次更改口令前必须经过的最大周数每次用户注册时，就将上次改变的值与最大值作比较，来检查该口令的生命到期了没有,67,南 京 大 学 软 件 学 院,口令生命期和控制（续2）,生命期控制机制识别两种特殊情况：一种迫使用户在下次注册时改变其口令；一种禁止用户修改口令要强迫用户修改其口令，比如一个新用户，该用户的口令域为“/”，在这种情况下用户在下次注册时被迫修改其口令。一旦修改之后“强迫”控制信息就从口令项中删除了，下面显示了一个口令中强迫项的例子：chare:2eLNss48eJ/GY,./:215:100:Chris Hare:/usr1/chare:/bin/sh,68,南 京 大 学 软 件 学 院,口令生命期和控制（续3）,第二种特殊情况禁止用户修改其口令，通过设置最大值小于最小值来建立。这种情况下用户被告知其口令不能改变，如下：chare:,.:215:100:Chris Hare:/usr1/chare:/bin/sh当前更新、更安全的Unix版本会有术语口令生存期（password lifetime），它是最大时限之后用户仍然能够使用到期的口令注册其帐户的宽限期；生存期到期时帐户就被取消了口令生命期机制并没有禁止用户改变其口令然后再将其改变回来。口令生命期的实现过程是依赖于版本的,69,南 京 大 学 软 件 学 院,破坏者的口令,术语“黑客”（hacker，也叫计算机迷）并不是一个贬义词。确切地说，它是指那些固执的、试图破坏事物、弄清它们工作原理的人。只有恶意的破坏行为才被称作破坏者（vandal）破坏者出于种种原因希望访问你的系统仅仅为了好玩浏览观光偷窃计算机资源窃取商业秘密或其它有价值的信息,70,南 京 大 学 软 件 学 院,破坏者的口令（续1）,多数情况下，破坏者最需要的信息是文件/etc/passwd。当破坏者拥有有效用户的帐户名列表时，创建猜测口令的程序就很简单了。但许多现代注册程序在注册提示之间包含一个时间延迟，随着每一次不成功的注册尝试，该延迟变得越来越长；它也会包含程序代码在记录了太多的不成功的尝试情况下取消访问端口使用/etc/shadow或保护口令数据库，因为这些文件和目录要求根访问来浏览它们，这使得破坏者要获取加密口令信息更加困难,71,南 京 大 学 软 件 学 院,C2安全性和TCB,可信任计算基础（TCB）是C2级Unix系统的安全系统的一部分，它为系统的操作和管理增添了明显的复杂性将/etc/passwd文件的位移到其它地方，并为原始信息增加附加信息，组成可信任计算基础数据库文件分散在几个不同的目录等级结构中但编辑这些文件会导致对你的系统的严重损害在一个使用TCB的系统上，“*”被放置于/etc/passwd的口令域，这是因为实际的用户口令是和可信任计算基础中的其它用户信息一起存储的。使用TCB并不改变系统的操作。在一些Unix版本比如XCO Unix中，即使没有使用C2安全性，TCB仍然用于提供安全服务,72,南 京 大 学 软 件 学 院,C2安全性和TCB（续1）,TCB共6个组件。当引用TCB时，指的是所有组件而不是任何一个单个组件一个TCB由包含Unix核心和维护TCB的实用程序的软件的集合组成实用程序包括用于验证和改正口令数据库中问题的authck，和验证系统文件的准确性的integrityTCB实现了系统的安全策略，该策略是一个控制主题（subject，如进程）和对象（Object，如文件、设备和过程中通讯对象）之间的的操作规则的集合,73,南 京 大 学 软 件 学 院,C2安全性和TCB（续2）,只有当一个动作可被追溯至个人时，才可定义该动作的可说明性（accountability）传统的Unix系统上，不止一个人知道根口令，动作要追溯至任何个人至少是困难。像cron和lp这样的伪帐户是匿名运行，它们的行为只有当系统信息被改变之后才可能被追踪在可信任的Unix系统中得到了修正，每个帐户都与一个真实的用户联系在一起，每个动作都是经过审核的，并且每个动作都与某个特定的用户相联系,74,南 京 大 学 软 件 学 院,C2安全性和TCB（续2）,传统Unix几乎不进行识别和身份验证（Identification and Authentication，I&A）传统的Unix用户通过提供注册名和口令的组合来注册，通过搜索文件/etc/passwd来确认有效的在一个可信任系统中，使用一些附加的规则来改进标准的IA技术，如创建了一些新的修改和产生口令的过程，对口令数据库的各个部分提供了更好的保护,75,南 京 大 学 软 件 学 院,C2安全性和TCB（续3）,下面的例子描述了一个SCO系统上的TCB中的典型用户项，详细提供了一个特定用户的信息，而且该信息永远不应该被手工编辑。例子如下：chare:u_name=chare: # Actual user name : u_id#1003: # User ID:u_pwd=MWUNe/91rPqck: # Encrypted password:u_type=general: # User Type:u_succhg#743505937: # Last Successful Password Change:u_unsucchg#743503114: # Last Unsuccessful Password Change:u_pswduser = chare: #:u_suclog#747033753: # Last successful login:u_suctty=tty02: # Last successful login on tty:u_unsuclog#747150039: # Last unsuccessful login:u_unsuctty=tty04: # Last unsuccessful login on tty:u_numunsuclog#1: # Number of unsuccessful logins:u_lock : # Lock Status:chkent: #,76,南 京 大 学 软 件 学 院,C2安全性和TCB（续4）,上述例子在项目中用“”插入了注释。它说明在TCB中事实上也追踪了其它信息，并不是所有的信息，而只是包含在一个文件中的内容。对每一个用户来说，以用户名命名的文件被存储起来，并且包含上例中所描述的信息项u_succhg显示值为743505937，这是Unix追踪的时间。该值是从1970年1月1日开始计算的秒数。该值可以提供给Unix核心中的一个将其转换为实际的日期和时间的函数,77,南 京 大 学 软 件 学 院,C2安全性和TCB（续5）,传统的Unix系统保存了有关系统活动的有限的信息，在某些情况下，只有当它们被这样配置时它们才这么做在可信任的Unix中，审核是保证动作与特定用户相联系的主要特征。审核系统为每个动作编写一系列的记录，以产生有关系统上发生的事件审核踪迹（trail）。该审核踪迹由每个主题和对象之间的动作组成，这些动作是关于对象访问、对主题和对象的修改，以及系统特征的,78,南 京 大 学 软 件 学 院,理解网络等价,两种主要的网络等价类型是可信任主机访问和可信任用户访问，也就是说主机等价和用户等价主机等价（host equivalency）或可信任访问（trusted access），使系统用户不使用注册名和口令就能够访问他们在远程系统上的帐户通过使用文件/etc/hosts.equiv，系统管理员可以列出所有可信任的系统如果某机器项没有标识任何用户名，那么所有的用户都是可信任的如果系统管理员没有对所有用户指定某台机器，那么每个用户都可以使用他们主目录中的.rhosts文件，将他们要对其