信息安全技術(shù)中信息系統(tǒng)的物理安全

1、l1) 1) 用戶驗(yàn)證：它檢查嘗試登錄到域或訪問(wèn)網(wǎng)絡(luò)資源的所有用戶的身份。用戶驗(yàn)證：它檢查嘗試登錄到域或訪問(wèn)網(wǎng)絡(luò)資源的所有用戶的身份。l2) 2) 基于對(duì)象的訪問(wèn)控制：允許管理員控制對(duì)網(wǎng)絡(luò)中資源或?qū)ο蟮脑L問(wèn)。管理員通過(guò)對(duì)存儲(chǔ)在活動(dòng)目錄中的對(duì)象指定安全描述符的方式來(lái)執(zhí)行訪問(wèn)控制。安全描述符將列出基于對(duì)象的訪問(wèn)控制：允許管理員控制對(duì)網(wǎng)絡(luò)中資源或?qū)ο蟮脑L問(wèn)。管理員通過(guò)對(duì)存儲(chǔ)在活動(dòng)目錄中的對(duì)象指定安全描述符的方式來(lái)執(zhí)行訪問(wèn)控制。安全描述符將列出獲得訪問(wèn)許可權(quán)限的用戶和組以及指定給這些用戶和組的特殊權(quán)限。安全描述符還指定了針對(duì)對(duì)象審核的各類訪問(wèn)事件，對(duì)象實(shí)例包括文件、打印機(jī)和服務(wù)等。通過(guò)管理對(duì)獲得訪問(wèn)許

2、可權(quán)限的用戶和組以及指定給這些用戶和組的特殊權(quán)限。安全描述符還指定了針對(duì)對(duì)象審核的各類訪問(wèn)事件，對(duì)象實(shí)例包括文件、打印機(jī)和服務(wù)等。通過(guò)管理對(duì)象屬性，管理員可以設(shè)置權(quán)限、指定所有權(quán)和監(jiān)視用戶訪問(wèn)。象屬性，管理員可以設(shè)置權(quán)限、指定所有權(quán)和監(jiān)視用戶訪問(wèn)。l3) 3) 活動(dòng)目錄和安全性：活動(dòng)目錄通過(guò)使用對(duì)象的訪問(wèn)控制和用戶憑據(jù)提供用戶賬戶和組信息的保護(hù)存儲(chǔ)。由于活動(dòng)目錄不僅存儲(chǔ)用戶憑據(jù)，還包括訪問(wèn)控制信息，所以登活動(dòng)目錄和安全性：活動(dòng)目錄通過(guò)使用對(duì)象的訪問(wèn)控制和用戶憑據(jù)提供用戶賬戶和組信息的保護(hù)存儲(chǔ)。由于活動(dòng)目錄不僅存儲(chǔ)用戶憑據(jù)，還包括訪問(wèn)控制信息，所以登錄到網(wǎng)絡(luò)的用戶可同時(shí)獲得訪問(wèn)系統(tǒng)資源的驗(yàn)證和授

3、權(quán)。錄到網(wǎng)絡(luò)的用戶可同時(shí)獲得訪問(wèn)系統(tǒng)資源的驗(yàn)證和授權(quán)。l1.4.2.3 1.4.2.3 公用密鑰公用密鑰l公用密鑰加密技術(shù)是保證認(rèn)證和完整性的安全質(zhì)量最高的加密方法，用來(lái)確定某一特定電子文檔是否來(lái)自于某一特定客戶機(jī)。公用密鑰基本系統(tǒng)簡(jiǎn)稱公用密鑰加密技術(shù)是保證認(rèn)證和完整性的安全質(zhì)量最高的加密方法，用來(lái)確定某一特定電子文檔是否來(lái)自于某一特定客戶機(jī)。公用密鑰基本系統(tǒng)簡(jiǎn)稱DKIDKI，是一個(gè)進(jìn)行數(shù)字，是一個(gè)進(jìn)行數(shù)字認(rèn)證、證書授權(quán)和其他注冊(cè)授權(quán)的系統(tǒng)。認(rèn)證、證書授權(quán)和其他注冊(cè)授權(quán)的系統(tǒng)。l通過(guò)公用系統(tǒng)密鑰基本體系，管理員驗(yàn)證訪問(wèn)信息人員的身份，并在驗(yàn)證身份的前提下控制其訪問(wèn)信息的范圍，在組織中方便安全地

4、分配和管理識(shí)別憑據(jù)等安全問(wèn)題。通過(guò)公用系統(tǒng)密鑰基本體系，管理員驗(yàn)證訪問(wèn)信息人員的身份，并在驗(yàn)證身份的前提下控制其訪問(wèn)信息的范圍，在組織中方便安全地分配和管理識(shí)別憑據(jù)等安全問(wèn)題。l1.4.2.4 1.4.2.4 數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)l數(shù)據(jù)的保密性和完整性從網(wǎng)絡(luò)驗(yàn)證開(kāi)始，用戶可以使用正確的憑據(jù)登錄到網(wǎng)絡(luò)，并在該過(guò)程中獲得訪問(wèn)存儲(chǔ)數(shù)據(jù)的權(quán)限。數(shù)據(jù)的保密性和完整性從網(wǎng)絡(luò)驗(yàn)證開(kāi)始，用戶可以使用正確的憑據(jù)登錄到網(wǎng)絡(luò)，并在該過(guò)程中獲得訪問(wèn)存儲(chǔ)數(shù)據(jù)的權(quán)限。lWindowsWindows支持兩種數(shù)據(jù)保護(hù)類型支持兩種數(shù)據(jù)保護(hù)類型存儲(chǔ)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)：存儲(chǔ)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)：l1) 1) 存儲(chǔ)數(shù)據(jù)保護(hù)：用戶可以使用加密文件系

5、統(tǒng)存儲(chǔ)數(shù)據(jù)保護(hù)：用戶可以使用加密文件系統(tǒng) (EFS) (EFS) 和數(shù)字簽名方法存儲(chǔ)數(shù)據(jù)。和數(shù)字簽名方法存儲(chǔ)數(shù)據(jù)。l2) 2) 網(wǎng)絡(luò)數(shù)據(jù)保護(hù)：站點(diǎn)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)由驗(yàn)證協(xié)議保護(hù)。用戶可以用來(lái)保護(hù)傳入和傳出站點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)用工具，包括：網(wǎng)絡(luò)數(shù)據(jù)保護(hù)：站點(diǎn)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)由驗(yàn)證協(xié)議保護(hù)。用戶可以用來(lái)保護(hù)傳入和傳出站點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)用工具，包括：IP SecurityIP Security、路由和遠(yuǎn)程訪問(wèn)、代理服務(wù)器。、路由和遠(yuǎn)程訪問(wèn)、代理服務(wù)器。l1.4.3 1.4.3 賬戶和組的安全性賬戶和組的安全性l在在WindowsWindows計(jì)算機(jī)上建立安全體系需要一個(gè)管理員。管理員為訪問(wèn)計(jì)算機(jī)上建立安全體系需要

6、一個(gè)管理員。管理員為訪問(wèn)WindowsWindows計(jì)算機(jī)的用戶建立賬戶，否則此用戶將無(wú)法對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)。建立了賬戶的用戶其使用權(quán)限和特權(quán)計(jì)算機(jī)的用戶建立賬戶，否則此用戶將無(wú)法對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)。建立了賬戶的用戶其使用權(quán)限和特權(quán)都由他所在的組決定。都由他所在的組決定。l在域內(nèi)建立安全體系需要域管理員。域管理員首先需要為用戶和計(jì)算機(jī)建立賬戶，然后把用戶和計(jì)算機(jī)進(jìn)行分組并放入賬戶數(shù)據(jù)庫(kù)中。域管理員還可以選擇哪一個(gè)組被包括在域內(nèi)建立安全體系需要域管理員。域管理員首先需要為用戶和計(jì)算機(jī)建立賬戶，然后把用戶和計(jì)算機(jī)進(jìn)行分組并放入賬戶數(shù)據(jù)庫(kù)中。域管理員還可以選擇哪一個(gè)組被包括進(jìn)哪一個(gè)安全策略之中，并將這些操作

7、的結(jié)果放進(jìn)安全策略數(shù)據(jù)庫(kù)。進(jìn)哪一個(gè)安全策略之中，并將這些操作的結(jié)果放進(jìn)安全策略數(shù)據(jù)庫(kù)。l在在Windows XPWindows XP中，組內(nèi)可以包含任何用戶、計(jì)算機(jī)和組賬戶，而不用顧及這些用戶和賬戶在域目錄中的什么位置。另外，動(dòng)態(tài)目錄服務(wù)把域詳細(xì)地劃分成組織單元中，組內(nèi)可以包含任何用戶、計(jì)算機(jī)和組賬戶，而不用顧及這些用戶和賬戶在域目錄中的什么位置。另外，動(dòng)態(tài)目錄服務(wù)把域詳細(xì)地劃分成組織單元 (OU) (OU) ，分別管理域中的一些用戶、計(jì)算機(jī)、組、文件和打印機(jī)等資源對(duì)象。分別管理域中的一些用戶、計(jì)算機(jī)、組、文件和打印機(jī)等資源對(duì)象。l1.4.4 1.4.4 域的安全性域的安全性l域在活動(dòng)目錄中是

8、用來(lái)定義安全邊界的。活動(dòng)目錄由一個(gè)或多個(gè)域組成。每個(gè)域均擁有與其他域相關(guān)的安全策略和安全關(guān)系。域提供以下便利：域在活動(dòng)目錄中是用來(lái)定義安全邊界的?；顒?dòng)目錄由一個(gè)或多個(gè)域組成。每個(gè)域均擁有與其他域相關(guān)的安全策略和安全關(guān)系。域提供以下便利：l1) 1) 兩個(gè)不同域的安全策略和設(shè)置兩個(gè)不同域的安全策略和設(shè)置 ( (諸如管理權(quán)限和訪問(wèn)控制列表諸如管理權(quán)限和訪問(wèn)控制列表) ) 不能相互交叉。不能相互交叉。l2) 2) 分派管理權(quán)限消除了需要大量具有廣泛管理權(quán)限的管理員的必要。分派管理權(quán)限消除了需要大量具有廣泛管理權(quán)限的管理員的必要。l3) 3) 將對(duì)象分成不同的組放入域中有助于在網(wǎng)絡(luò)中反映公司的組織結(jié)構(gòu)

9、。將對(duì)象分成不同的組放入域中有助于在網(wǎng)絡(luò)中反映公司的組織結(jié)構(gòu)。l4) 4) 每個(gè)域只存儲(chǔ)有關(guān)該域中對(duì)象的信息?；顒?dòng)目錄可通過(guò)拆分目錄信息的存儲(chǔ)組織擴(kuò)展成數(shù)量龐大的對(duì)象。每個(gè)域只存儲(chǔ)有關(guān)該域中對(duì)象的信息。活動(dòng)目錄可通過(guò)拆分目錄信息的存儲(chǔ)組織擴(kuò)展成數(shù)量龐大的對(duì)象。l域通常分為兩種類型：主域域通常分為兩種類型：主域 ( (存儲(chǔ)用戶和組賬戶存儲(chǔ)用戶和組賬戶) ) 和資源域和資源域 ( (存儲(chǔ)文件、打印機(jī)、應(yīng)用服務(wù)等等存儲(chǔ)文件、打印機(jī)、應(yīng)用服務(wù)等等) ) 。在這種多域計(jì)算環(huán)境中，資源域需要具有所有主域的多委托關(guān)系。這些。在這種多域計(jì)算環(huán)境中，資源域需要具有所有主域的多委托關(guān)系。這些委托關(guān)系允許主域中的用

10、戶訪問(wèn)資源域中的資源。委托關(guān)系允許主域中的用戶訪問(wèn)資源域中的資源。l1.4.5 1.4.5 文件系統(tǒng)的安全性文件系統(tǒng)的安全性lWindowsWindows推薦使用的推薦使用的NTFSNTFS文件系統(tǒng)提供了文件系統(tǒng)提供了FATFAT和和FAT32FAT32文件系統(tǒng)所沒(méi)有的全面的性能、可靠性和兼容性。文件系統(tǒng)所沒(méi)有的全面的性能、可靠性和兼容性。NTFSNTFS文件系統(tǒng)的設(shè)計(jì)目標(biāo)就是能夠在很大的硬盤上很快地執(zhí)行諸如讀文件系統(tǒng)的設(shè)計(jì)目標(biāo)就是能夠在很大的硬盤上很快地執(zhí)行諸如讀、寫和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的高級(jí)操作。、寫和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的高級(jí)

11、操作。NTFSNTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個(gè)人計(jì)算機(jī)所需的安全特性，它還支持對(duì)于文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個(gè)人計(jì)算機(jī)所需的安全特性，它還支持對(duì)于關(guān)鍵數(shù)據(jù)完整性的數(shù)據(jù)訪問(wèn)控制和私有權(quán)限。除了可以賦予關(guān)鍵數(shù)據(jù)完整性的數(shù)據(jù)訪問(wèn)控制和私有權(quán)限。除了可以賦予 WindowsWindows計(jì)算機(jī)中的共享文件夾特定權(quán)限外，計(jì)算機(jī)中的共享文件夾特定權(quán)限外，NTFSNTFS文件和文件夾無(wú)論共享與否都可以賦予權(quán)限。文件和文件夾無(wú)論共享與否都可以賦予權(quán)限。l在在NTFSNTFS卷中設(shè)置權(quán)限就是指定一個(gè)組或用戶對(duì)該目錄的訪問(wèn)許可。設(shè)置目錄權(quán)限時(shí)，對(duì)已有的子目錄和文件除非特別指定，否則

12、是不會(huì)更改其權(quán)限的。生成新的子目錄和文卷中設(shè)置權(quán)限就是指定一個(gè)組或用戶對(duì)該目錄的訪問(wèn)許可。設(shè)置目錄權(quán)限時(shí)，對(duì)已有的子目錄和文件除非特別指定，否則是不會(huì)更改其權(quán)限的。生成新的子目錄和文件時(shí)，它們就從目錄中繼承了新設(shè)置的權(quán)限。件時(shí)，它們就從目錄中繼承了新設(shè)置的權(quán)限。l與目錄權(quán)限類似，在與目錄權(quán)限類似，在NTFSNTFS卷中設(shè)置文件權(quán)限就是指定組或用戶對(duì)該文件的訪問(wèn)許可。在目錄中創(chuàng)建一個(gè)文件時(shí)，該文件也從目錄中繼承了這種權(quán)限。需要注意的是，賦予了卷中設(shè)置文件權(quán)限就是指定組或用戶對(duì)該文件的訪問(wèn)許可。在目錄中創(chuàng)建一個(gè)文件時(shí)，該文件也從目錄中繼承了這種權(quán)限。需要注意的是，賦予了對(duì)一個(gè)目錄的對(duì)一個(gè)目錄的“完

13、全控制完全控制”權(quán)限的組或用戶可以刪除該目錄中的文件，而無(wú)論該文件有何保護(hù)權(quán)限。權(quán)限的組或用戶可以刪除該目錄中的文件，而無(wú)論該文件有何保護(hù)權(quán)限。l通過(guò)設(shè)置目錄和文件權(quán)限，用戶可以保護(hù)自己的文件和目錄，也可以通過(guò)設(shè)置通過(guò)設(shè)置目錄和文件權(quán)限，用戶可以保護(hù)自己的文件和目錄，也可以通過(guò)設(shè)置NTFSNTFS卷中的文件和目錄的特殊訪問(wèn)權(quán)限來(lái)加強(qiáng)對(duì)自己的文件和目錄的保護(hù)。特殊訪問(wèn)權(quán)限可以卷中的文件和目錄的特殊訪問(wèn)權(quán)限來(lái)加強(qiáng)對(duì)自己的文件和目錄的保護(hù)。特殊訪問(wèn)權(quán)限可以對(duì)目錄、所選目錄的所有文件或選定文件有效。對(duì)目錄、所選目錄的所有文件或選定文件有效。l1.4.6 IP1.4.6 IP安全性管理安全性管理l在在W

14、indowsWindows中使用了因特網(wǎng)安全協(xié)議，即通常所說(shuō)的中使用了因特網(wǎng)安全協(xié)議，即通常所說(shuō)的 IPIP安全性，簡(jiǎn)稱為安全性，簡(jiǎn)稱為IPSecIPSec，它能夠定義與網(wǎng)絡(luò)通信相聯(lián)系的安全策略。，它能夠定義與網(wǎng)絡(luò)通信相聯(lián)系的安全策略。lIPIP安全性可以自動(dòng)對(duì)進(jìn)出該系統(tǒng)的安全性可以自動(dòng)對(duì)進(jìn)出該系統(tǒng)的IPIP網(wǎng)絡(luò)包進(jìn)行加密或解密。從而，可以防止通信內(nèi)容被竊取。另外在網(wǎng)絡(luò)包進(jìn)行加密或解密。從而，可以防止通信內(nèi)容被竊取。另外在IPIP網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)中安裝IPIP安全性時(shí)，與所送的安全性時(shí)，與所送的TCP/IPTCP/IP包的類型和包的類型和TCP/IPTCP/IP端口一端口一樣，既可以使其覆蓋所有的機(jī)器，也可以只覆蓋一部分機(jī)器。樣，既可以使其覆蓋所有的機(jī)器，也可以只覆蓋一部分機(jī)器。l1.4.7 1.4.7 實(shí)驗(yàn)與思考實(shí)驗(yàn)與思考l本節(jié)實(shí)驗(yàn)與思考的目的是：本節(jié)實(shí)驗(yàn)與思考的目的是：l1) 1) 通過(guò)學(xué)習(xí)使用通過(guò)學(xué)習(xí)使用WindowsWindows系統(tǒng)管理工具，熟悉系統(tǒng)