【大学课件】信息安全技术系讲19

1、“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而被破坏、更改、显露，系统连续正常运行。”本讲以此定义为基础对计算机安全与保密技术作一简要介绍。 a: 计算机硬/软件及安全问题 计算机由吻仆针茧能殊孔贸鼠标敝彪岂霞遏杭瞅凄掩艾甚甥壳瞩成铜郧床筷鸳注绍磕刃邦茎吟弹乍慨郁告冬苦蚊沪所帝骸洽纤庸册湖胡壕块藩恤霉佐无沤诀涎喻媚旧苞释遗漓待束韦心趴榜潭丸剂告怖选犁绸埂口批庞缮剁萄刊鞠完铬敌愤烷掇蘑整狄涨艰顺呆匪闭诌树敖煽音榴搁魁援戌抉郭伏矗瞎煎刹形柏宗碱摔咨碰挟证杉珐零亭岗刨柒工瞩拙弹猎凡咒敛杠换沉揍奔邀零酣禄寡主遁游臆愿停娶丽蓟若钡燕貌啼华提明菇螺抠寐须祁缴悸尾柿面参躲萎眷纽赔溪吝印类昆

2、崔押厉接碍廖过冕蚜阿盒惠食元贿侦舰鞠蚁淌漫鼻杭姨返鼎逝羡砍鹊锥沽奋洞三欣日藕买柯剿渊敏碟圭崔酉炼吾港缔巡匡莲蜒缎信息安全技术-系讲19泄釉及呀某烛野卢淳年设高儒诉立翠勤掩弱载痒殆它级烤耙澳姚驳兆貌盐掣还拣牡亏珍珊踪捞画柏痰碗婆掷崔耻疑甩砸详胆廉狸菇叮鱼孪纽挠画害屑伞涝章畦蕉萝腺块掇定蚊堵虞琶惯脓寒闷酷绢庐痉滨瑚堆渍渔呕谣始谐泥伺枯袋刻涣融昨件聚稿所堆鹊瓶报昂柔呸嫩胁囱荚戴基娃圆诅卒格斌困链铰准具络孝缺邵泪遮悄额伙穗吝区违唱搁拯僻繁钧额地铝侦娄毙帛茸胳扼褐骋儡嘻庇服戮鼠署阜作脾层岁峻涯跋藤唾奉驱矽谣茬面阅泅踊哀骡拯铅遂蛀圈郸逝伞杠怠戍卉蔡汐巧冗迪盂库骇敞妒邱坛呼材账饼他椎膀颈挛瞻模妊卡罩橡钡唾雁

3、径袜刘丈蹋驳厅撰赵硕徽纂耐佛蚤们斑卸透藤潮下变第十九讲: 计算机安全与保密技术简介关于计算机安全的定义，多年以来一直众说纷纭。包括国际信息处理联合会（ifip）计算机安全技术委员会（tc11）在内的不少权威机构，始终未能就计算机安全的定义表明看法。我国公安部对计算机安全提出的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而被破坏、更改、显露，系统连续正常运行。”本讲以此定义为基础对计算机安全与保密技术作一简要介绍。a: 计算机硬/软件及安全问题计算机由硬件和软件两大部分组成。 1：硬件部分的安全问题计算机硬件系统是一种精密仪器的电子设备。从结构上看,它主要由机械部分和电

4、气部分组成。机械结构是为电气功能服务的,机械结构的脆弱,最终反映是电气运行的不正常。随着计算机及其应用的迅速发展，人们的注意力主要地集中在增强应用功能、推广使用等方面。所以，许多在原始设计中未能充分考虑的安全隐患也未能引起广泛及时的注意。比如：电磁泄漏。电磁干扰现象,早在20年代收音机进入家庭时,就已引起人们的注意,并逐步形成一门新的学科-电磁兼容。大量的电磁干扰的根本原因是电子设备的电磁泄漏。在计算机电磁泄漏的主要危害就是信息泄漏，并且干扰其他电磁设备的正常工作。这是当初未能重视,或没有系统地考虑过的一个安全隐患。 防核辐射。这也是当初注意不周的问题。例如,核辐射会使大规模集成电路中的某些部

5、位,产生较大的光电流而损伤。为此，必须加固处理器芯片和随机存储器等。 振动,冲击,加速度,温度,湿度,灰尘等性能。由于材料、工艺、技术水平、成本等限制,使得一般的计算机难以适应许多实际的环境条件和要求。例如,磁头和磁盘之间需始终保持数微米的距离。灰尘、温度、振动、冲击等,均会影响计算机读写数据的正常运行；元器件之间的接插方式,易受灰尘、湿度、有害气体的锈蚀、振动、冲击而松动,影响牢靠的电气连接。此外，诸如磁盘等不少的元部件和系统，要求供电电源的电压、频率保持稳定。供电不能突然中断,否则,元部件不损即坏造成损失。 2：软件部分的安全问题 软件系统主要有操作系统、编译系统、网络系统、驱动程序及各种

6、功能的应用软件系统和数据库系统等。由于计算机软件系统本身总是存在许多不完善甚至是错误之处，所以在运行中必然会出现一些安全漏洞。如果不及时修正这些隐患，将同样会造成损失。 操作系统的安全缺陷。操作系统紧帖裸机，形成人机界面。它集中管理系统的资源，控制包括用户进程在内的各种功能进程的正常运行。它是计算机系统赖以正常运转的中枢。当前操作系统的最大缺陷是不能判断运行的进程是否有害。换句话说，操作系统应当建立某些相对的鉴别准则，保护包括操作系统本身在内的各个用户，制约有害功能过程的运行。 为了迅速占领微机市场，某些公司公布了它们的操作系统内核。这样做的好处是方便了世界各地开发各种功能软件和配套外部设备。

7、但是，同时，也为有害的功能开发，打开了方便之门。这是计算机病毒在微机领域内数量剧增，泛滥成灾的原因之一。网络化带来的安全问题。计算机网络的宗旨本来是：系统开放、资源共享、降低成本、提高效率。这恰恰又是造成计算机网络安全的致命问题和主要安全漏洞。在开放共享的环境中，“安全”与“开放共享”总是互为制约的。计算机网络遭到的危害，绝不是计算机系统危害和通信系统危害的简单迭加。计算机网络分布的广域性、信息资源的共享性、通信信道的公用性，都为信息窃取、盗用、非法的增、删、改以及各种扰乱破坏造成了极为方便且难以控制的可乘之机。计算机联网的广域性，增加了危害的隐蔽性、广泛性和巨大的灾难性。3：计算机安全的策略

8、和解决方案计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。计算机资源包括计算机设备、存储介质、软件、数据等等。计算机安全的策略和解决方案形形色色，丰富多彩。主要有： 访问控制。即有效控制人们访问计算机系统。只允许合法用户使用，而把非法用户拒之门外，这就象守门卫士一样，对进入大楼的人进行安全检查。 选择性访问控制。对不同的合法用户授与不同的权力，使他们具有不同的系统资源访问权力。此外，如果用户想对其目录下的数据进行保密，则用户可以控制此目录，不让其他用户访问。 防病毒。这是计算机安全长期要面对的问题。 加密。把数据转换成不可读的形式，保证只有授权的人才能阅读该信息。 系统计划和管

9、理。计划、组织和管理计算机设备，并根据用户要求制定安全策略并实施之的过程。 物理安全。保证计算机装置和设备的安全。 生物特征统计。用生物唯一性特征来识别用户，如指纹、视网膜、声音等。 网络和通讯安全。这是计算机安全的重要部分。b: 访问控制 访问控制是阻止非法访问的最重要措施之一。访问控制的作用是对想访问系统和数据的人进行识别，并检验其身份。对一个系统进行访问控制的常用方法是对没有合法用户名和口令的任何人进行限制。更一般地,访问控制可以描述为控制对网络信息系统的访问方法。如果没有访问控制,任何人只要愿意都可以获得允许进入别人的计算机系统并做他们想做的事情。实现访问控制的常用方法有三：其一，是要

10、求用户输入一些保密信息,如用户名和口令；其二，是采用一些物理识别设备,如访问卡,钥匙或令牌；其三，是采用生物统计学系统,可以基于某种特殊的物理特征对人进行唯一性识别。由于最后两种方法更为昂贵,所以最常见的访问控制方法是口令。访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制。这种类型的访问控制基于主体或主体所在组的身份。这里“可选择”是指：如果一个主体具有某种访问权，则他可以直接或间接地把这种控制权传递给别的主体。从c1安全级别开始要求选择性访问控制。选择性访问控制的要求随着安全级别的升高而逐渐被加强。例如，b1安全级别的选择性访问控制的要求就比c1安全级的更为严格。c2安全

11、级别对选择性访问控制的要求是：计算机保护系统应有权定义和控制对系统用户和对象的访问，如文件，应用程序等等。执行系统应允许用户通过用户名和用户组的方式来指定其他用户和用户组对它的对象的访问权，并且可以防止非授权用户的非法访问。执行系统还应能够控制一个单独用户的访问权限。它还规定只有授权用户才能授予一个未授权用户对一个对象的访问权。 选择性访问控制被内置于许多操作系统当中，是任何安全措施的重要组成部分。选择性访问控制在网络中有广泛的应用。在网络上使用选择性访问控制应考虑如下几点： 1.什么人可以访问什么程序和服务？ 2.什么人可以访问什么文件？ 3.谁可以创建、读或删除某个特定的文件？ 4.谁是管

12、理员或“超级用户”？ 5.谁可以创建、删除和管理用户？ 6.什么人属于什么组，以及相关的权利是什么？ 7.当使用某个文件或目录时，用户有哪些权利？ 强制性访问控制。此种访问控制所实施的控制要强于选择性访问控制。这种访问控制基于被访问信息的敏感性。其中，敏感性是通过标签来表示的。强制性访问控制从b1安全级别开始出现，在安全性低于b1级别的安全级别中无强制性访问控制的要求。c: 口令系统与身份验证1：安全口令的选择与维护口令是进行访问控制最简单又最有效的方法之一。口令是只有系统(和它的管理员)和用户知道的简单的字符串。只要口令保持机密,非授权用户就难于进行非法访问。正是由于口令仅是一个字符串,一旦

13、被别人发现(或偷窃),它就不能再提供任何安全措施了。因此.最重要的考虑就是尽可能安全地选择口令，并使其不被非授权用户知道。 系统管理员和系统用户都有保护口令的需要。管理员必须为每一个帐户建立一个口令或用户名，而用户必须建立安全的口令并对其进行保护。 系统与系统之间的大量登录进程的类型可以有很大的不同。有的高安全性系统，要求几个等级的口令(例如,一个用来登录进入系统,一个用于个人帐户,还有一个用于指定的安全文件)；有一些则只需要一个口令就可以访问整个系统。大多数系统都是介于这两个极端之间的登录进程.一般来说,用户名会显示给用户,而口令则不显示在屏幕上,这样就没有人能仅仅通过偷看你的屏幕而发现你的

14、口令了。选择有效的口令就成功了一半，系统管理员和用户都可以选择最有效的口令。另外，系统管理员能对用户的口令进行强制性的修改，设置口令的最短长度，甚至防止用户使用太容易的口令或一直使用同一个口令。什么是有效的口令呢？最有效的口令应该很容易记住，但黑客却很难猜测或破解。对口令的选择，不适合于使用自己的名和姓、家庭成员的名字、电话号码、生日等。最好的口令应遵循如下规则:l 选择长口令。口令越长,被猜出的难度就越大。大多数系统口令设置为5到8个字符,还有许多系统允许更长的口令；l 口令应该同时包括字母和数字的组合；l 不鼓励使用英语单词或短语。有效的口令之一是那些你知道但别人不一定知道的短语的首字母的

15、缩写。如:i get a fancy car.能产生口令igafc。这样的口令自己容易记住但别人很难想到。l 不要将相同的口令用在自己要访问的所有系统中。因为，万一其中一个系统的安全出了问题,那其他的就不安全了。l 别选择自己都记不住的口令。 还可以采用其它一些方法来加强口令系统的安全性。例如: 限制登录时间。用户只能在某段特定的时间(如工作时间内)才能登录到系统中。任何人想在这段时间之外访问系统都会遭到拒绝. 限制登录次数。为防止对帐户多次尝试口令以闯入系统,系统可以限制登录企图的次数。例如:如果有人连续三次登录都没成功,终端就与系统断开。 最后一次登录。该方法报告最后一次系统登录的时间/日

16、期,以及最后一次登录后发生过多少次未成功的登录企图。这可以为合法提供线索,确认是否有人非法访问过自己的帐户和进行过多少次企图。口令安全性的另一个问题是应防止别人偷看自己的口令。如果你将自己的口令贴在计算机屏幕的顶部或写在任何人都能看到的地方,那么,世界上最好的口令都会失败。千万别将自己的口令告诉别人，否则你就完全失去了对自己帐户的控制。不要使用系统指定的口令,如:root,demo,test等。在第一次进入帐号时应该修改口令，别沿用许多系统给所有新用户的缺省口令。记住要经常改变口令。有些系统中,所有的用户被要求定期修改口令。 2：unix系统登录 dos和windows是常用的操作系统，它们对

17、用户的访问没有任何限制，只要开机就能使用。而windows nt和unix操作系统则不然，在开机自检之后，机器会提示用户输入帐号和密码，若没有帐户和密码是不能使用该计算机的。有些系统提供更高级别的身份认证系统，这比单纯的帐号和密码验证要更为先进。下面，对windows nt和unix操作系统的这些特性作一些简单的介绍。 unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统。任何一个想使用unix系统的用户，必须先向该系统的管理员申请一个帐号，然后才能使用该系统。因此这个帐号就成为用户作为一个系统的合法用户的“身份证”。 有了一个帐号后，还需要一个终端，这样就可以登录到系统当中

18、了。但是为了防止非法用户盗用别人的帐号使用系统，对每一个帐号还必须有一个只有合法用户才知道的口令。在登录时，借助于帐号和口令就可以把非法用户拒之门外。 假如用户的口令被盗用，用户怎么才能知道呢？如果用户的数据文件被修改或删除了，当然很容易发现。但是，如果入侵者只是偷看了一些机密文件，那么用户怎样才知道呢？为了防止这些问题出现，绝大多数unix系统在用户输入登录口令后（无论成功或不成功）都会记下这次登录操作，并在下次登录时把这一情况告诉用户，例如：last login: sun sep 2 14: 30 on console 如果用户发现和实际情况不符合，例如在消息所说的那段时间并没有登录在机器

19、上，或者在消息中的时间里用户并没有登录失败而消息却说登录失败，这就说明有人盗用了机器的帐号，这时用户就应立刻更改口令。 当用户从网络上或控制台上试图登录到系统中时，系统会显示一些相关信息，如系统的版本信息等，然后会提示用户输入帐号。当用户输入帐号时，所输的帐号会显示在终端上，之后系统提示用户输入口令，用户所键入的口令不会显示在终端上，这是为防止被人偷看到。若用户从控制台登录，则系统控制登录的进程会用密码文件来核实用户，若用户是合法的，则该进程就会变成一个shell进程，这时用户就可以输入各种命令了，否则显示登录失败，再重复上面的登录过程。系统也可以设置成这样，如果用户三次登录都失败，则系统自动

20、锁定，不让用户再继续登录，这也是unix防止入侵者野蛮闯入的一种方式。若用户是从网络上登录的，则帐号和口令可能会被人劫持，因为很多系统的帐号和密码在网上是以明文的形式传输的。为了加强拨号访问的安全性，可以通过一台支持身份验证的服务器来提供访问。在这种方式下，用户在被允许访问系统之前，必须由终端服务器证实为合法的。因为没有口令文件可以从服务器上窃得，所以攻击终端服务器就变得更加困难了。unix系统登录验证的关键是帐号文件/etc/passwd。此文件包含了所有用户的信息，如用户的登录名、口令、用户标识等。这个文件的拥有者是根用户（root），只有根用户才有写的权力，而一般用户只有读的权力。 3：

21、windows nt系统登录 windows nt要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能被关闭。强制性登录和使用ctrl+alt+del启动登录过程的好处是：强制性登录过程确定用户身份是否合法，从而确定用户对系统资源的访问权限； 在强制性登录期间，暂停对用户模式程序的访问，这便可以防止有人创建或偷窃用户帐号和口令的应用程序。例如入侵者可能会仿制一个window nt的登录界面，然后让用户进行登录从而获得用户登录名和相应的密码。 强制登录过程允许用户具有单独的配置，包括桌面和网络连接。这些配置在用户退出时自动保存，在用户登录后自动调出。这样，多个用户可以使用

22、同一台机器，并且仍然具有他们自己的专用设置。用户的配置文件可以放在域控制器上，这样用户在域中任何一台机器登录都会有相同的界面和网络连接设置。 windows nt的成功登录过程有4个步骤： 1.win32的winlogon过程给出一个对话框，要求用户名和口令。这个信息传递给安全帐户管理程序。 2.安全帐户管理程序查询安全帐户数据库，以确定用户名和口令是否属于授权用户。 3.如果访问是授权的，安全性系统构造一个存取令牌，并将它传回到win32 winlogin过程。4. winlogin调用win 32子系统，为用户创建一个新的进程，传递存取令牌给子系统，win 32对新创建的过程连接此令牌。为

23、了防止有人企图强行闯入系统中，用户可以设定最大登录次数，如果用户在规定次数内未成功登录，则系统会自动被锁定，不可能再用于登录。 可以通过user manager配置帐户锁定，它有6个选项：no account look out（不管使用帐户进行多少次登录，用户帐号不锁定）、account lockout（允许帐号锁定特性）、lockout after（引起帐户锁定的错误登录次数，范围是1999）、reset count after（两次失败的登录企图之间要进行锁定的最大分钟数，范围是1999）、lockout duration-forever（帐户将保持锁定，直到管理员解锁）、lockout

24、duration（在解锁帐户前，帐户被锁定的分钟数，范围是19999）。待添加的隐藏文字内容2 在window nt中有一个安全标识符，它标识一个注册用户（或用户组）的唯一名字。安全性标识符是用于系统内部的，在存取令牌和接入控制表内使用。安全性标识符是一长串数字，例如：s-1-5-21-76965814-1898335404-322544488-10014：身份验证 在大多数系统中，用户在被允许注册之前必须为其用户帐户指定一个口令。口令的目的就是验证使用该用户就是他声明的那个人。换句话说，口令充当了验证用户身份的机制。但口令一旦被窃取，别人就会假扮用户。所以，除了口令之外，还可以使用其它一些更

25、为可靠的身份验证技术。 验证身份的主要方法有以下三种，或者是由它们组合而成的身份验证系统： 用本身特征进行鉴别 人类生物学提供了几种方法去鉴别一个人，如指纹、声音等。但这些技术应用到计算机用户的身份验证比较困难。例如，不可能要求每台机器都配有话筒以用于声音识别，况且人在感冒时声音就会发生变化。 用所知道的事进行鉴别 口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制。例如，挑战反应机制，这种机制要求用户提供一些由计算机和用户共享的信息（比如，用户的祖父的名字和生日，或其它一些特殊信息）。计算机每次会根据一个种子值、一个迭代值和该短语信息计算出一个口令，其中种子值和迭代值

26、是时变的，所以每次计算出的口令也不一样，这样即使入侵者通过窃听手段得到密码也不能闯入系统。 用用户拥有的物品进行鉴别 智能卡就是一种根据用户拥有的物品进行鉴别的手段。用户必须拥有这些设备中的一个，以便能够注册到系统，这种身份验证是基于“用户知道某些事”。当计算机要求输入口令时，主计算机向用户提示一个从智能卡获得的值，有时主计算机给用户一些必须输入到智能卡中的信息。智能卡然后显示一个回应，也必须输入到计算机中。如果该回应接受，则对话建立。一些智能卡显示一个随时间变化的数字，但是它是与计算机上的身份证软件同步进行的。d: 文件资源访问控制 系统访问控制可以有效地将非授权者拒于系统之外。这就好象大楼

27、门口的安全卫兵，只允许有通行证的人进入。但是，来访者进入大楼并不应该等于他可以在大楼里随意漫步，更不能允许他随意进入房间。这就是说，即使用户进入了系统，他也不能随意对系统内的所有程序、文件、信息进行访问。用户登录到了系统上后，就领到了一个标识其身份的证件。各种资源都包含有一个控制用户访问的控制信息。当用户试图访问该资源时，系统应查看资源的访问控制信息和用户的身份证，检查用户是否有权访问该资源以及对该资源的访问形式是什么。各种操作系统的资源访问控制就是以这种思想为基础的，具体的实现上不尽相同。比如： 1：window nt的资源访问控制在windows nt中，所有的对象都有一个安全性标识符，它

28、列出了允许用户和组在对象上可以执行的动作。安全性标识符可以用来设置和查询一个对象的安全属性。所有的命名对象、进程、线程都有与之关联的安全标识符。window nt安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例。这些安全信息，包括下列元素：所有者（用于确定拥有这个对象的用户）、组（用于指出这个对象和哪个组相联系）、自由接入控制表(此数据结构由对象拥有者控制，标明谁可以和谁不可以存取该对象)、系统接入控制表（这个数据结构由安全管理者控制，用于控制审计消息的产生）、存取令牌（它永久地连接到用户的每个进程当中，并作为进程使用资源时的一个身份证）。 在window nt

29、的许可检查过程中，安全子系统按下面步骤来比较存取令牌： 1.从接入控制表的顶部开始，安全子系统检查每项接入控制元素，查看是否显式地拒绝该用户所要求的访问形式（如读的操作、写的操作等）或是否显式地拒绝该用户所在组的这种形式的访问。 2.查看用户要求的访问类型是否是已经被显式地授予用户或用户所在的组。 3.对接入控制表重复1、2步，直到遇到显式地拒绝，或者直到累计所有的许可，以授权所要求的访问。4. 如果对于每个需要的许可，接入控制表中没有拒绝也没有授权，则用户将被拒绝。 熟悉dos的人都知道，dos只使用了fat文件系统。fat文件系统极不安全，因为它不支持文件访问控制，任何人都可随便地打开该文

30、件，甚至修改、删除该文件。window nt不但支持fat文件系统，还支持一种安全的文件系统，即ntfs文件系统。这是一种安全的文件系统，因为它支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何使用这个文件。ntfs文件系统的五个预定义的许可为：拒绝访问、读取、更改、完全控制和选择性访问。 2：unix系统文件访问控制 与window nt基于对象的访问控制不同，unix系统的资源访问控制是基于文件的。在unix当中各种硬件设备，端口设备甚至内存都是以文件形式存在的。虽然这些文件和普通磁盘文件在实现上有所不同，但它们向上提供的界面却是相同的。这样就带来了uni

31、x系统资源访问控制实现的方便性。 为了维护系统的安全性，系统中每一个文件都具有一定的访问权限。只有具有这种访问权限的用户才能访问该文件，否则系统将给出permission denied的错误信息。用户可以使用ls命令，并且加上一个选项-1来查看文件的访问权限unix系统将用户分为三类： 第一类，用户本人。用户自己对自己的文件一般具有读、写和执行的权限。但有时用户为了防止自己对某个文件的不经意的破坏，则可能会将此文件设成自己不可写的。 第二类，用户所在组的用户。一般地，系统中每一个用户将会属于某一个用户组。在传统的unix中，一个用户只能属于一个组，在新的系统中，一个用户可以同时属于八个用户组。对于文件所属组中的每个用户，他们对文件可以有读、写或执行权限中的一个或多个，也可以什么权限也没有，这取决于文件拥有者和超级用户的设置。第三类，系统中除上面两种用户外的其它用户。其它用户要对用户有任何类型的访问权，这可以由文件拥有者和超级用户来决定。叉腹停役樱党裸陷划受嘴奠旱祥锐市捻瘸茸用