大连理工大学城市学院网络安全技术期末知识点第三章.doc

1、网络安全第三章：操作系统的安全安全操作系统操作系统安全等级安全操作系统的基本特征访问控制模型安全操作系统的设计国际安全评价标准的发展及其联系1993加拿大可信计算机产品评价准则1985美国可信计算机系统评价准则1991欧共体信息技术安全评价准则1993美国信息技术安全评价联邦准则1996国际通用准则1998国际通用准则第二版图3.1 安全评价标准的发展计算机安全评价标准（TCSEC）TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算

2、机系统的安全划分为4个等级、7个级别。 D类C类（C1, C2）B类（B1, B2, B3）A类（A1）D类D类安全等级只包括D1一个级别。D1的安全等级最低，D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。例如早期的DOSC类该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。 C1可信任运算基础体制，通过将用户和数据分开来达到安全的目的。例如早期的UnixC2比C1系统加强了可调的审慎控制，在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离来增强这种控制。例如Windows NT

3、和UnixB类B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。 B1u 系统使用灵敏度标记作为所有强迫访问控制的基础B2u 管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制B3u 具有很强的监视委托管理访问能力和抗干扰能力A类A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。 A1系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型，所有的安装操作都必须由系统管理员进行

4、，系统管理员进行的每一步安装操作都必须有正式文档。 欧洲的安全评价标准（ITSEC）ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。 加拿大的评价标准（CTCPEC）CTCPEC专门针对政府需求而设计。与ITSEC类

5、似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为05级。 美国联邦准则（FC）FC是对TCSEC的升级，并引入了“保护轮廓”（PP）的概念。每个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和CTCPEC的优点，在美国的政府、民间和商业领域得到广泛应用。但FC有很多缺陷，是一个过渡标准，后来结合ITSEC发展为国际通用准则。国际通用准则（CC）CC是国际标准化组织统一现有多种准则的结果，是目前最全面的评价准则。1996年6月，CC第一版发布；1998年5月

6、，CC第二版发布；1999年10月CC v2.1版发布，并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC，并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分，评估等级分为eal1、eal2、eal3、eal4、eal5、eal6和eal7共七个等级。每一级均需评估7个功能类，分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。我国安全标准简介公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999计算机信息系统安全保护等级划分准则已经正式颁布并使用了。该准则将信息系统安全分为5个等级，分别是：自主保护级、系

7、统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。 安全操作系统的基本特征最小特权原则自主访问控制和强制访问控制安全审计功能安全域隔离功能最小特权原则最小特权原则是系统安全中最基本的原则之一。所谓最小特权指的是“在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权”。最小特权原则，则是指“应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。最小特权原则一方面给予主

8、体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。自主访问控制和强制访问控制自主访问控制（DAC）是一个接入控制服务，它执行基于系统实体身份和它们的到系统资源的接入授权。这包括在文件，文件夹和共享资源中设置许可。 强制访问控制（MAC）是“强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问控制的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的

9、依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击。 安全审计功能安全审计是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏。 在 TCSEC 中规定了对于安全审计系统的一般要求，主要包括如下的五个方面： （1）记录与再现 （2）入侵检测 （3）记录入侵行为 （4）威慑作用 （5）系统本身的安全性 安全域隔离功

10、能安全域是指在其中实施认证、授权和访问控制的安全策略的计算环境。当您安装和配置操作系统时，将创建称为管理域的初始安全域。安全域理论不仅为建设信息安全保障体系提供基础，而且在风险评估当中如果能较好的应用安全域，还会起到事半功倍的作用。安全域可以将一个单独资产联系起来，在等级保护当中也有比较好的应用。总之，安全域理论是安全方面的最佳实践，对于信息安全建设具有非常重要的指导意义。 Windows Server 2003安全特性Internet连接防火墙（ICF）软件限制策略网页服务器的安全性新的摘要安全包 改善了以太局域网和无线局域网的安全性凭证管理器FIPS-广为认可的内核模式加密算法改进的SSL

11、客户端认证增强的加密文件系统（EFS）Windows安全漏洞对于这些安全漏洞更佳的解决方案是建设一个强壮的防火墙，精心地配置它，只授权给可信赖的主机能通过防火墙。在防火墙上，截止所有从端口137到139的TCP和UDP连接，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接。这是一种辅助措施，以限制该安全漏洞。值得注意的是，有些黑客程序可以具有选择端口号的能力，它可能成功地攻击其它端口。 windows2003的认证机制 Windows 2003 身份认证的重要功能就是它对单一注册的支持。单一注册允许用户使用一个密码一次登录到域，

12、然后向域中的任何计算机认证身份。 单一注册在安全性方面提供了两个主要优点：对用户而言，单个密码或智能卡的使用减少了混乱，提高了工作效率；对管理员而言，由于管理员只需要为每个用户管理一个帐户，域用户所要求的管理支持减少了。身份认证分以下两种方式执行：（1）交互式登录 （2）网络身份认证 Windows 2003账号安全1域用户账号 域用户账号是用户访问域的惟一凭证，因此在域中必须是惟一的。域用户账号是在域控制器上建立，作为活动目录的一个对象保存在域的数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域控制器所验证。 2本地用户账号本地用户账号只能建立在

13、Windows2003独立服务器上，以控制用户对该计算机资源的访问 3内置的用户账号 Administrator(管理员)账号被赋予在域中和在计算机中具有不受限制的权利，该账号被设计用于对本地计算机或域进行管理，可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限等工作。Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。出于安全考虑，Guest帐号在Windows2003安装好之后是被屏蔽的。如果需要，可以手动启动，应该注意分配给该帐号的权限，该帐号也是

14、黑客攻击的主要对像。 账号与密码约定1账号命名约定 由于账号的在域中的重要性和惟一性，因此账号的命名约定十分重要。一个好的帐号命名约定将有助于规划一个高效的活动目录。Windows2003的账号命名约定包括如下内容：域用户账号的用户登录名在AD中必须惟一。域用户账号的完全名称在创建该用户账号的域中必须惟一。本地用户账号在创建该账号的计算机上必须惟一。2密码约定 通常使用密码有如下原则：尽量避免带有明显意义的字符或数字的组合，最好采用大小写和数字的无意义混合。在不同安全要求下，规定最小的密码长度。通常密码越长越不易被猜到(最长可以达到128位)。对于不同级别的安全要求，确定用户的账号密码是由管理

15、员控制还是由账号的拥有者控制。定期更改密码，尽量使用不同的密码.有关密码的策略可以由系统管理员在密码策略管理工具中加以规定，以保护系统的安全性。windows 2003文件系统安全NTFS权限及使用原则 NTFS权限的继承性 共享文件夹权限管理 NTFS权限及使用原则（1）权限最大原则 当一个用户同时属于多个组，而这些组又有可能被对某种资源赋予了不同的访问权限，则用户对该资源最终有效权限是在这些组中最宽松的权限，即加权限，将所有的权限加在一起即为该用户的权限(“完全控制”权限为所有权限的总和)。（2）文件权限超越文件夹权限原则 当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户

16、对文件的最终权限是用户被赋予访问该文件的权限，即文件权限超越文件的上级文件夹的权限，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。（3）拒绝权限超越其他权限原则 当用户对某个资源有拒绝权限时，该权限覆盖其他任何权限，即在访问该资源的时候只有拒绝权限是有效的。当有拒绝权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。 NTFS权限的继承性在同一个NTFS分区内或不同的NTFS分区之间移动或拷贝一个文件或文件夹时，该文件或文件夹的NTFS权限会发生不同的变化。1在同一个NTFS分区内移动文件或文件夹在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹

17、“搬”过来，因此文件和文件夹仍然保留有在原位置的一切NTFS权限(准确地讲就是该文件或文件夹的权限不变)。2在不同NTFS分区之间移动文件或文件夹在这种情况下文件和文件夹会继承目的分区中文件夹的权限(ACL)，实质就是在原位置删除该文件或文件夹，并且在目的位置新建该文件或文件夹。（要从NTFS分区中移动文件或文件夹，操作者必须具有相应的权限。在原位置上必须有“修改”的权限，在目的位置上必须有“写”权限）3在同一个NTFS分区内拷贝文件或文件夹 在这种情况下拷贝文件和文件夹将继承目的位置中的文件夹的权限。4在不同NTFS分区之间拷贝文件或文件夹 在这种情况下拷贝文件和文件夹将继承目的位置中文件夹

18、的权限。（当从NTFS分区向FAT分区中拷贝或移动文件和文件夹都将导致文件和文件夹的权限丢失，因为FAT分区不支持NTFS权限。）共享权限和NTFS权限共享权限有三种：完全控制、更改、读取 共享权限和NTFS权限的联系和区别 (1)共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限;NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置. (2)共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文件时它会与共享权

19、限联合起作用,规则是取最严格的权限设置. (3)共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用. 共享权限只有几种:读取,更改和完全控制;NTFS权限有许多种,如读,写,执行,改变,完全控制等.我们可以进行非常细致的设置.共享权限和NTFS权限的组合权限 共享权限只对通过网络访问的用户有效，所以有时需要和NTFS权限配合，才能严格的控制用户的访问。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。 如果希望用户能够完全控制共享文件夹，首先要在共享权限中添加此用户（组），并设置完全控制的权限。然后在NTFS权限设

20、置中添加此用户（组），也设置完全控制权限。只有两个地方都设置了完全控制权限，才最终有完全控制权限。 当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束，而有效权限是最严格的权限（也就是两种权限的交集）。而当用户从本地计算机直接访问文件夹的时候，不受共享权限的约束，只受NTFS权限的约束。 同样的，这里也要考虑到两个权限的冲突问题，比如，共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。 Windows 文件保护微软公司为Windows 2000/XP系统增添了一项新功能WFP（Windows File Pr

21、otection）。这个组件的主要功能是，在系统文件遭到意外删除、或在安装/卸载应用程序时被无意识破坏后，利用备份文件恢复Windows系统。1Windows文件保护打开“组策略”窗口，在左侧列表里展开“计算机设置”|“管理模板”|“系统”|“Windows文件”，在右侧列表中显示已有的文件保护策略，如图所示，双击列表中的某项，打开设置窗口，如图所示，在该窗口中可设置是否启用这一项开全策略。Windows2003的加密机制文件加密系统文件加密系统 (EFS) 提供一种核心文件加密技术，该技术用于在 NTFS 文件系统卷上存储已加密的文件。使用文件加密系统 (EFS)，用户可以对文件进行加密和解

22、密。以保证文件的安全，防止那些未经许可的入侵者访问存储的敏感资料（例如，通过盗窃笔记本计算机或外挂式硬盘驱动器来偷取资料）。用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密。但是，不允许入侵者访问任何已加密的文件或文件夹。Windows2003的安全配置安全策略配置 利用windows2003的管理工具“本地安全策略”，可以配置服务器的安全策略。依次选择“开始”“程序” “管理工具” “本地安全策略”，打开“本地安全配置”窗口，如图所示。1帐户策略2本地策略 3IP安全策略配置 Windows2003文件和

23、数据的备份据备份的类型大致分为以下几种： （1）副本备份，可以复制所有选定的文件，但不将这些文件标记为已经备份（换言之，不清除存档属性）。（2）每日备份，用于复制执行每日备份的当天修改过的所有选定文件。备份的文件将不会标记为已经备份（。 （3）差异备份，用于复制自上次正常或增量备份以来所创建或更改的文件。它不将文件标记为已经备份。 （4）增量备份，仅备份自上次正常或增量备份以来创建或更改的文件。它将文件标记为已经备份。（5）正常备份，用于复制所有选定的文件，并且在备份后标记每个文件。 启动备份工具两种启动方式u 【开始】|【所有程序】|【附件】|【系统工具】|【备份】 u 【开始】菜单中的【运

24、行】里输入ntbackup 备份工具的向导模式备份工具的高级模式文件属性中的备份标记用来标识文件的备份状态u FAT32文件系统中备份标记的位置u NTFS文件系统中备份标记的位置备份类型3-1类型执行操作备份前是否检查标记备份后是否清除标记常规备份备份所有选定的文件否是增量备份只备份自上次正常或增量备份以来创建或更改的文件（只备份有存档标记的文件）是是差异备份只备份自上次正常或增量备份以来创建或更改的文件（只备份有存档标记的文件）是否副本备份备份所有选定的文件否否每日备份当天创建或更改过的所有选定文件否否备份类型3-2备份方案u 常规备份+增量备份其它有利于提高系统安全性的设置.关闭不必要的

25、端口和服务2. 安全的帐号设置（）停止Guest帐号 （）限制账户数据 （3）尽量少用管理员权限登录 （4）管理员账号更名和设置陷阱账号 （5）修改默认权限 （6）不显示上次登录名 （7）禁止Guest访问日志 3. 其他的一些有利于安全的设置（1）注册表锁定（2）禁止判断主机类型（3）禁止默认共享 系统安全扫描软件系统安全扫描软件系统安全漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的，对本主机中的各项信息都具有读写的权限，因此只要研究出相关的安全漏洞的检测方法，都可以查获该主机上是否存在着相应的安全漏洞远程检测软件一般情况下只具备远程匿名用户的权限，如果对应的主机不开启远程访问

26、服务，那么就只能通过各种试探的方法，甚至直接进行攻击的方法才能对该漏洞进行检测。即使这样，也只能检测一部分的漏洞1.为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统是（ ）。A计算机安全B安全操作系统C实体安全D信息安全2.操作系统是企业网络管理平台的基础，其安全性是第一位的，所以作为一名合格的企 业安全管理员，应该了解操作系统所面临（ ）的安全威胁。（选择1 项） A 操作系统软件自身的漏洞 B 开放了所有的端口 C 开放了全部的服务 D 病毒 3.保证操作系统的安全是网管的第一要务，通过（ ）可以针对Windows 操作系统进行有效的安全加固，从而为其他应用构筑最基础的安全平台。（选择3 项） A 使用强壮的密码，不使