網(wǎng)絡(luò)安全與應(yīng)用技術(shù)-第2章-網(wǎng)絡(luò)操作系統(tǒng)安全課件

網(wǎng)絡(luò)安全與應(yīng)用技術(shù)ByJefferyliu網(wǎng)絡(luò)安全與應(yīng)用技術(shù)ByJefferyliu第二章網(wǎng)絡(luò)操作系統(tǒng)安全第二章網(wǎng)絡(luò)操作系統(tǒng)安全21、網(wǎng)絡(luò)操作系統(tǒng)的概念

計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)相互獨(dú)立的計(jì)算機(jī)系統(tǒng)通過通信媒體連接起來的。各計(jì)算機(jī)都具有一個(gè)完整獨(dú)立的操作系統(tǒng)，網(wǎng)絡(luò)操作系統(tǒng)(NOS)是建立在這些獨(dú)立的操作系統(tǒng)基礎(chǔ)上用以擴(kuò)充網(wǎng)絡(luò)功能的系統(tǒng)(系統(tǒng)平臺)。1、網(wǎng)絡(luò)操作系統(tǒng)的概念計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)相互獨(dú)3

網(wǎng)絡(luò)操作系統(tǒng)是為使網(wǎng)絡(luò)用戶能方便而有效地共享網(wǎng)絡(luò)資源而提供各種服務(wù)的軟件及相關(guān)規(guī)程，它是整個(gè)網(wǎng)絡(luò)的核心，通過對網(wǎng)絡(luò)資源的管理，使網(wǎng)上用戶能方便、快捷、有效地共享網(wǎng)絡(luò)資源。操作系統(tǒng)的主要功能包括：進(jìn)程控制和調(diào)度、信息處理、存儲器管理、文件管理、輸入/輸出管理、資源管理等。網(wǎng)絡(luò)操作系統(tǒng)是為使網(wǎng)絡(luò)用戶能方便而有效地共享網(wǎng)4NOS除了具有一般操作系統(tǒng)所具有的處理機(jī)管理、存儲器管理、設(shè)備管理和文件管理功能外，還提供高效而可靠的網(wǎng)絡(luò)通信環(huán)境和多種網(wǎng)絡(luò)服務(wù)功能。如文件服務(wù)、打印服務(wù)、記賬服務(wù)、數(shù)據(jù)庫服務(wù)以及支持Internet和Intranet服務(wù)。目前，常用的網(wǎng)絡(luò)操作系統(tǒng)有WindowsNT5.x、Windows6.x、UNIX和Linux。NT5.x”是指Windows2000/WindowsXP/WindowsServer2003這幾種操作系統(tǒng)；

NT6.x”是指WindowsVista/WindowsServer2008/Windows7/WindowsServer2008R2這幾種操作系統(tǒng)。NOS除了具有一般操作系統(tǒng)所具有的處理機(jī)管理、5操作系統(tǒng)的安全觀點(diǎn)：設(shè)計(jì)者觀點(diǎn)：安全機(jī)制如何從一開始就加入操作系統(tǒng)？操作系統(tǒng)中哪些資源需要保護(hù)？如何建立最可靠的安全機(jī)制？如何分層次、分步驟地實(shí)現(xiàn)安全機(jī)制？如何對安全操作系統(tǒng)進(jìn)行評價(jià)？需要提供多種安全級別以供選擇。操作系統(tǒng)的安全觀點(diǎn)：6使用者觀點(diǎn)：安全機(jī)制如何使用更適合？費(fèi)用如何？時(shí)間如何？如何保護(hù)操作系統(tǒng)的資源？這些安全機(jī)制是否可信？有沒有漏洞？難度如何？這些安全機(jī)制用戶是否感興趣？對安全漏洞采用“補(bǔ)丁”和“外殼”。使用者觀點(diǎn)：7問題的擴(kuò)展：系統(tǒng)安全的折衷系統(tǒng)安全的無縫連接：OS安全必須與應(yīng)用系統(tǒng)的安全機(jī)制無縫連接各種安全機(jī)構(gòu)之間的沖突：OS可含有各種安全機(jī)制。安全手段與系統(tǒng)管理：最安全的系統(tǒng)也是最難使用的；增加安全性要增加費(fèi)用，降低性能或速度；安全機(jī)制越高，花費(fèi)的機(jī)時(shí)越多。問題的擴(kuò)展：8標(biāo)識系統(tǒng)中的用戶并進(jìn)行身份鑒別；依據(jù)系統(tǒng)安全策略對用戶的操作進(jìn)行存取控制，防止用戶對計(jì)算機(jī)資源的非法存??；

監(jiān)督系統(tǒng)運(yùn)行的安全；

保證系統(tǒng)自身的安全性和完整性。操作系統(tǒng)安全的目標(biāo)標(biāo)識系統(tǒng)中的用戶并進(jìn)行身份鑒別；操作系統(tǒng)安全的目標(biāo)92、操作系統(tǒng)面臨的安全威脅

人們認(rèn)識信息安全問題通常是從對系統(tǒng)所遭到的各種成功或者未成功的入侵攻擊的威脅開始的，這些威脅大多是通過挖掘操作系統(tǒng)和應(yīng)用程序的弱點(diǎn)或者缺陷來實(shí)現(xiàn)的。2、操作系統(tǒng)面臨的安全威脅10針對操作系統(tǒng)安全的主要威脅包括：病毒和蠕蟲邏輯炸彈特洛伊木馬天窗隱蔽通道針對操作系統(tǒng)安全的主要威脅包括：11計(jì)算機(jī)中的“邏輯炸彈”是指在特定邏輯條件滿足時(shí)，實(shí)施破壞的計(jì)算機(jī)程序，該程序觸發(fā)后造成計(jì)算機(jī)數(shù)據(jù)丟失、計(jì)算機(jī)不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€(gè)系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象?！斑壿嬚◤棥币l(fā)時(shí)的癥狀與某些病毒的作用結(jié)果相似，并會對社會引發(fā)連帶性的災(zāi)難。與病毒相比，它強(qiáng)調(diào)破壞作用本身，而實(shí)施破壞的程序不具有傳染性。邏輯炸彈是一種程序，或任何部分的程序，直到一個(gè)具體的程序邏輯被激活。計(jì)算機(jī)中的“邏輯炸彈”是指在特定邏輯條件滿足時(shí)12隱蔽通道，是一種違反安全策略，秘密傳輸信息的機(jī)制。

隱蔽通道按其存在的環(huán)境不同可分為主機(jī)隱蔽通道和網(wǎng)絡(luò)隱蔽通道。主機(jī)隱蔽通道是在主機(jī)中不同進(jìn)程中秘密傳輸信息，而網(wǎng)絡(luò)隱蔽通道則在網(wǎng)絡(luò)中不同主機(jī)之間秘密傳輸信息。隱蔽通道通信工具通過將有效數(shù)據(jù)嵌入在數(shù)據(jù)報(bào)文中，通過載體在網(wǎng)絡(luò)中正常傳輸，從而達(dá)到有效數(shù)據(jù)的秘密傳輸而不被發(fā)現(xiàn)。隱蔽通道，是一種違反安全策略，秘密傳輸信息的13

在信息系統(tǒng)中與安全相關(guān)的每一個(gè)漏洞都會使整個(gè)系統(tǒng)的安全控制機(jī)制變得毫無價(jià)值。這個(gè)漏洞如果被入侵者發(fā)現(xiàn)，后果將是十分嚴(yán)重的。從計(jì)算機(jī)信息系統(tǒng)的角度分析，可以看出在信息系統(tǒng)安全所涉及的眾多內(nèi)容中，操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的安全問題是核心。操作系統(tǒng)的安全性在計(jì)算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用。在信息系統(tǒng)中與安全相關(guān)的每一個(gè)漏洞都會使整個(gè)14

一般來說，操作系統(tǒng)安全與安全操作系統(tǒng)的含義不盡相同。從各種不同的角度分析操作系統(tǒng)的安全性，既可以對主流操作系統(tǒng)進(jìn)行安全性增強(qiáng)，也可以按照特定目標(biāo)設(shè)計(jì)實(shí)現(xiàn)專門的或通用的安全操作系統(tǒng)。安全操作系統(tǒng)通常與相應(yīng)的安全等級相對應(yīng)，例如，根據(jù)TCSEC標(biāo)準(zhǔn)，通常稱B1級以上的操作系統(tǒng)為安全操作系統(tǒng)。一般來說，操作系統(tǒng)安全與安全操作系統(tǒng)的含義不153、安全操作系統(tǒng)的研究發(fā)展

Multics是開發(fā)安全操作系統(tǒng)最早期的嘗試。

Adept-50是一個(gè)分時(shí)安全操作系統(tǒng)，可以實(shí)際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50安全控制的研究成果。

1969年B.W.Lampson通過形式化表示方法運(yùn)用主體（subject）、客體（object）和訪問矩陣（accessmatrix）的思想第一次對訪問控制問題進(jìn)行了抽象。3、安全操作系統(tǒng)的研究發(fā)展161972年，J.P.Anderson在一份研究報(bào)告中提出了參照監(jiān)視器（referencemonitor）、訪問驗(yàn)證機(jī)制（referencevalidationmechanism）、安全內(nèi)核（securitykernel）和安全建模（modeling）等重要思想。

1973年，B.W.Lampson提出了隱蔽通道的概念，他發(fā)現(xiàn)兩個(gè)被限制通信的實(shí)體之間如果共享某種資源，那么它們可以利用隱蔽通道傳遞信息。1972年，J.P.Anderson在一份研究報(bào)告中提出了17

同年，D.E.Bell和L.J.LaPadula提出了第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型，即BLP模型。安全內(nèi)核操作系統(tǒng)（kernelizedsecureoperatingsystem,KSOS）是美國國防部研究計(jì)劃局1977年發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，由Ford太空通訊公司承擔(dān)。同年，D.E.Bell和L.J.LaPadula提出了第一18UCLASecureUNIX也是美國國防部研究計(jì)劃局于1978年前后發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，由加利福尼亞大學(xué)承擔(dān)。UCLASecureUNIX的系統(tǒng)設(shè)計(jì)方法及目標(biāo)幾乎與KSOS相同。1983年，美國國防部出版了歷史上第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)——《可信計(jì)算機(jī)系統(tǒng)評價(jià)準(zhǔn)則（TCSEC）》，1985年，美國國防部對TCSEC進(jìn)行了修訂。UCLASecureUNIX也是美國國防部研究計(jì)劃局于119SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開發(fā)的一個(gè)安全操作系統(tǒng)，它最初是在IBMPC/AT平臺上實(shí)現(xiàn)的。

UNIXSVR4.1ES是UI（UNIX國際組織）于1991年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B2級。SecureXenix是IBM公司于1986年在SCO202001年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于Linux的安全操作系統(tǒng)開發(fā)成果。2000年11月18日，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，在網(wǎng)站上發(fā)布公告:“國內(nèi)首家安全操作系統(tǒng)通過檢測”。2001年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于L212001年3月8日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標(biāo)準(zhǔn)GB/T18336－2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》，它基本上等同于國際通用安全評價(jià)準(zhǔn)則（CC）。2001年3月8日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標(biāo)準(zhǔn)GB/T224、操作系統(tǒng)安全的概念計(jì)算機(jī)系統(tǒng)的安全極大地取決于操作系統(tǒng)的安全，計(jì)算機(jī)操作系統(tǒng)的安全是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶對計(jì)算機(jī)資源(如軟件、硬件、時(shí)間、空間、數(shù)據(jù)、服務(wù)等資源)的竊取。操作系統(tǒng)安全的實(shí)施將保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)，防止人為因素造成的故障和破壞。4、操作系統(tǒng)安全的概念23第一，操作系統(tǒng)本身提供的安全功能和安全服務(wù)；第二，針對各種常用的操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對付和防御各種入侵；第三，保證網(wǎng)絡(luò)操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置。第一，操作系統(tǒng)本身提供的安全功能和安全服務(wù)；24

操作系統(tǒng)主要的安全功能包括：隔離控制、存儲器保護(hù)(限定存儲區(qū)和地址重定位，保護(hù)存儲信息)、文件保護(hù)(保護(hù)用戶和系統(tǒng)文件，防止非授權(quán)用戶訪問)、訪問控制、身份認(rèn)證(識別請求訪問的用戶權(quán)限和身份)等。操作系統(tǒng)主要的安全功能包括：隔離控制、存儲器保25物理隔離。在物理設(shè)備或部件一級進(jìn)行隔離，使不同的用戶程序使用不同的物理對象。時(shí)間隔離。對不同安全要求的用戶進(jìn)程分配不同的運(yùn)行時(shí)間段。對于用戶運(yùn)算高密級信息時(shí)，甚至獨(dú)占計(jì)算機(jī)進(jìn)行運(yùn)算。

隔離控制的方法有四種：

物理隔離。在物理設(shè)備或部件一級進(jìn)行隔離，使不同的用戶程序使用26③

邏輯隔離多個(gè)用戶進(jìn)程可以同時(shí)運(yùn)行，但相互之間感覺不到其他用戶進(jìn)程的存在，這是因?yàn)椴僮飨到y(tǒng)限定各進(jìn)程的運(yùn)行區(qū)域，不允許進(jìn)程訪問其他未被允許的區(qū)域。

③邏輯隔離27④加密隔離進(jìn)程把自己的數(shù)據(jù)和計(jì)算活動隱蔽起來，使他們對于其他進(jìn)程是不可見的，對用戶的口令信息或文件數(shù)據(jù)以密碼形式存儲，使其他用戶無法訪問，也是加密隔離控制措施。

④加密隔離28隔離措施復(fù)雜性？安全性？這幾種隔離措施實(shí)現(xiàn)的復(fù)雜性是逐步遞增的而它們的安全性則是逐步遞減的.隔離措施復(fù)雜性？安全性？這幾種隔離措施實(shí)現(xiàn)的復(fù)雜性是逐步遞增29存儲器保護(hù)內(nèi)存儲器是操作系統(tǒng)中的共享資源，即使對于單用戶的個(gè)人計(jì)算機(jī)，內(nèi)存也是被用戶程序與系統(tǒng)程序所共享，在多道環(huán)境下更是被多個(gè)進(jìn)程所共享。為了防止共享失去控制和產(chǎn)生不安全問題，對內(nèi)存進(jìn)行保護(hù)是必要的。存儲器保護(hù)內(nèi)存儲器是操作系統(tǒng)中的共享資源，即使對于單用戶的個(gè)30內(nèi)存的特點(diǎn)內(nèi)存儲器是操作系統(tǒng)中的共享資源內(nèi)存被用戶程序與系統(tǒng)程序所共享多道環(huán)境下更是被多個(gè)進(jìn)程所共享。內(nèi)存的特點(diǎn)內(nèi)存儲器是操作系統(tǒng)中的共享資源31內(nèi)存保護(hù)的目的是：防止對內(nèi)存的未授權(quán)訪問；防止對內(nèi)存的錯(cuò)誤讀寫，如向只讀單元寫；防止用戶的不當(dāng)操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)；多道程序環(huán)境下，防止不同用戶的內(nèi)存區(qū)域互不影響；將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置；內(nèi)存保護(hù)的目的是：32常用的內(nèi)存保護(hù)技術(shù)單用戶內(nèi)存保護(hù)技術(shù)多道程序的保護(hù)技術(shù)分段與分頁保護(hù)技術(shù)內(nèi)存標(biāo)記保護(hù)法常用的內(nèi)存保護(hù)技術(shù)單用戶內(nèi)存保護(hù)技術(shù)3334分段與分頁技術(shù)對于稍微復(fù)雜一些的用戶程序，通常按功能劃分成若干個(gè)模塊（過程）。每個(gè)模塊有自己的數(shù)據(jù)區(qū)，各模塊之間也可能有共享數(shù)據(jù)區(qū)。各用戶程序之間也可能有共享模塊或共享數(shù)據(jù)區(qū)。這些模塊或數(shù)據(jù)區(qū)有著不同的訪問屬性和安全要求，使用上述各種保護(hù)技術(shù)很難滿足這些要求。34分段與分頁技術(shù)35分段技術(shù)的作用分段技術(shù)就是試圖解決較大程序的裝入、調(diào)度、運(yùn)行和安全保護(hù)等問題的一種技術(shù)。分段以模塊（過程或子程序）為單位。采用分段技術(shù)，用戶不知道他的程序?qū)嶋H使用的內(nèi)存物理地址。這種隱藏對保護(hù)用戶代碼與數(shù)據(jù)的安全是極有好處的。

35分段技術(shù)的作用36分段技術(shù)的優(yōu)點(diǎn)：

（1）在段表中除了與段名對應(yīng)的段號及段基址外，還可以增加必要的訪問控制信息，對于任何企圖訪問某個(gè)段的操作，操作系統(tǒng)和硬件都可以進(jìn)行檢查。（2）分段技術(shù)幾乎可以實(shí)現(xiàn)對程序的不同片段分別保護(hù)的目標(biāo)。根據(jù)各段敏感性要求，為各段劃分安全級，并提供不同的保護(hù)措施。36分段技術(shù)的優(yōu)點(diǎn)：（1）在段表中除了與段名對應(yīng)的段號及段37（3）分段技術(shù)的保護(hù)功能可以檢查每一次對內(nèi)存訪問是否合法，可以讓保護(hù)粒度達(dá)到數(shù)據(jù)項(xiàng)級。（4）可以為了實(shí)施保護(hù)而檢查每一次地址訪問。（5）還可以避免允許用戶直接指定內(nèi)存地址或段區(qū)所帶來的安全問題，也可以讓多個(gè)用戶用不同的權(quán)限訪問一個(gè)段。分段技術(shù)的優(yōu)點(diǎn)續(xù)：

37（3）分段技術(shù)的保護(hù)功能可以檢查每一次對內(nèi)存訪問是否合法38段的管理方式存在的問題與困難（1）由于各段的長度不相同，對內(nèi)存管理造成了困難，容易產(chǎn)生內(nèi)存“碎片”。這是一個(gè)很大的安全漏洞。（2）在許多情況下（如段內(nèi)部包含動態(tài)數(shù)據(jù)結(jié)構(gòu)）要求在使用段方式時(shí)允許段的尺寸可以增大。為了保證安全起見，要求系統(tǒng)檢查所產(chǎn)生的地址，驗(yàn)證其是否超出所訪問的段的末端。38段的管理方式存在的問題與困難39（3）段名不易在指令中編碼，由操作系統(tǒng)查名字表的速度也會很慢。解決的辦法是由編譯器把段名轉(zhuǎn)化為數(shù)字，并建立一張數(shù)字與段名之間的對照表。但這又為段的共享帶來麻煩，因?yàn)槊總€(gè)調(diào)用者都必須知道該段的編號。

段的管理方式存在的問題與困難續(xù)：39（3）段名不易在指令中編碼，由操作系統(tǒng)查名字表的速度也會分段與分頁的問題與作用為了解決分段可能產(chǎn)生的內(nèi)存碎片問題，引入了分頁技術(shù)。分頁是把目標(biāo)程序與內(nèi)存都劃分成相同大小的片段，這些片段就稱為“頁”。分頁技術(shù)解決了碎片問題，但損失了分段技術(shù)的安全功能。由于段具有邏輯上的完整意義，而頁則沒有這樣的意義，程序員可以為段規(guī)定某些安全控制要求，但卻無法指定各頁的訪問控制要求。

40分段與分頁的問題與作用4041

用戶認(rèn)證

用戶認(rèn)證的任務(wù)是確認(rèn)當(dāng)前正在試圖登錄進(jìn)入系統(tǒng)的用戶就是賬戶數(shù)據(jù)庫中記錄的那個(gè)用戶。認(rèn)證用戶的方法一般有三種：（1）要求輸入一些保密信息，如用戶的姓名、通行字或加密密鑰等；（2）稍微復(fù)雜一些鑒別方法，如詢問—應(yīng)答系統(tǒng)、采用物理識別設(shè)備（如訪問卡、鑰匙或令牌標(biāo)記）等方法；（3）利用用戶生物特征，如指紋、聲音、視網(wǎng)膜等識別技術(shù)對用戶進(jìn)行唯一的識別。41用戶認(rèn)證用戶認(rèn)證的任務(wù)是確認(rèn)當(dāng)前正在試圖登錄42口令認(rèn)證方法口令是一種容易實(shí)現(xiàn)并有效地只讓授權(quán)用戶進(jìn)入系統(tǒng)的方法?？诹钍怯脩襞c操作系統(tǒng)之間交換的信物。用戶想使用系統(tǒng)，首先必須通過系統(tǒng)管理員向系統(tǒng)登錄，在系統(tǒng)中建立一個(gè)用戶賬號，賬號中存放用戶的名字(或標(biāo)識)和口令。用戶輸入的用戶名和口令必須和存放在系統(tǒng)中的賬戶/口令文件中的相關(guān)信息一致才能進(jìn)入系統(tǒng)。沒有一個(gè)有效的口令，入侵者要闖入計(jì)算機(jī)系統(tǒng)是很困難的。42口令認(rèn)證方法43

破解口令是黑客們攻擊系統(tǒng)的常用手段，那些僅由數(shù)字組成、或僅由字母組成、或僅由兩、三個(gè)字符組成、或名字縮寫、或常用單詞、生日、日期、電話號碼、用戶喜歡的寵物名、節(jié)目名等易猜的字符串作為口令是很容易被破解的。這些類型的口令都不是安全有效的，常被稱為弱口令。43破解口令是黑客們攻擊系統(tǒng)的常用手段，那些僅由44選取口令應(yīng)遵循以下規(guī)則：①擴(kuò)大口令字符空間

口令的字符空間不要僅限于26個(gè)大寫字母，要擴(kuò)大到包括26個(gè)小寫字母和10個(gè)數(shù)字，使字符空間可達(dá)到62個(gè)之多。

在UNIX系統(tǒng)中，還把其他一些特殊符號（如+、—、*、/、%、#、等）也作為口令的字符空間，因此其口令的安全性更高。

44選取口令應(yīng)遵循以下規(guī)則：45②

選擇長口令

選擇長口令可以增加破解的時(shí)間。假定字符空間是26個(gè)字母，如果已知口令的長度不超過3，則可能的口令有26+26*26+26*26*26=18278個(gè)。若每毫秒驗(yàn)證一個(gè)口令，只需要18多秒鐘就可以檢驗(yàn)所有口令。

45②選擇長口令46③選用無規(guī)律的口令

不要使用自己的名字、熟悉的或名人的名字作為口令，不要選擇寵物名或各種單詞作為口令，因?yàn)檫@種類型的口令往往是破解者首先破解的對象，由于它們的數(shù)量有限(常用英文詞匯量只不過15萬左右)，對計(jì)算機(jī)來說不是一件困難的事情。假定按每毫秒窮舉一個(gè)英文單詞的速度計(jì)算，15萬個(gè)單詞也僅僅需要150秒鐘時(shí)間。

46③選用無規(guī)律的口令47

④口令更換

有時(shí)口令已經(jīng)泄露了，但擁有者卻不知道，還在繼續(xù)使用。為了避免這種情況發(fā)生，比較好的辦法是定期更換口令。WindowsNT和UNIX系統(tǒng)都支持定期更換口令的功能。

47④口令更換48

⑤多個(gè)口令

一般來說，登錄名或用戶名是與某個(gè)私人口令相聯(lián)系的。盡管如此，在有更高安全要求的系統(tǒng)上還采用多個(gè)口令的安全措施。其中包括系統(tǒng)口令，它允許用戶訪問指定的終端或系統(tǒng)，這是在正常登錄過程之后的額外的訪問控制層。也可以是對撥號訪問或訪問某些敏感程序或文件而要求的額外口令。

48⑤多個(gè)口令49

⑥系統(tǒng)生成口令可以由計(jì)算機(jī)為用戶生成口令，UNIX系統(tǒng)就有這種功能。口令生成軟件可以按前面討論的許多原則為用戶生成口令，由系統(tǒng)生成的口令一般很難記憶，有時(shí)會迫使用戶寫到紙上，造成了不安全因素。49⑥系統(tǒng)生成口令50對口令的控制：除了以上各種安全措施外，有的系統(tǒng)對使用口令進(jìn)行訪問還采取更嚴(yán)格的控制，通常有以下一些措施：

登錄時(shí)間限制

系統(tǒng)消息

限制登錄次數(shù)

最后一次登錄

盡量減少會話透露的信息

增加認(rèn)證的信息量50對口令的控制：操作系統(tǒng)的訪問控制機(jī)制訪問控制系統(tǒng)一般包括：主體(subject)。主體是指發(fā)出訪問操作、存取請求的主動方，它包括用戶、用戶組、主機(jī)、終端或應(yīng)用進(jìn)程等。主體可以訪問客體?？腕w(object)?？腕w是指被調(diào)用的程序或要存取的數(shù)據(jù)訪問，它包括文件、程序、內(nèi)存、目錄、隊(duì)列、進(jìn)程間報(bào)文、I/O設(shè)備和物理介質(zhì)等。安全訪問政策。安全訪問政策是一套規(guī)則，可用于確定一個(gè)主體是否對客體擁有訪問能力。

操作系統(tǒng)的訪問控制機(jī)制5152訪問控制

訪問控制的基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。

52訪問控制訪問控制的基本目標(biāo)都是防止非法用訪問控制也叫授權(quán)，它是對用戶訪問網(wǎng)絡(luò)系統(tǒng)資源進(jìn)行的控制過程。只有被授予一定權(quán)限的用戶，才有資格去訪問有關(guān)的資源。訪問控制具體包括兩方面涵義，一是指對用戶進(jìn)入系統(tǒng)的控制，最簡單最常用的方法是用戶賬戶和口令限制，其次還有一些身份驗(yàn)證措施；二是用戶進(jìn)入系統(tǒng)后對其所能訪問的資源進(jìn)行的限制，最常用的方法是訪問權(quán)限和資源屬性限制。訪問控制也叫授權(quán)，它是對用戶訪問網(wǎng)絡(luò)系統(tǒng)資源進(jìn)53

訪問控制可分為自主訪問控制和強(qiáng)制訪問控制兩大類。自主訪問控制：是指由用戶有權(quán)對自身所創(chuàng)建的訪問對象(文件、數(shù)據(jù)表等)進(jìn)行訪問，并可將對這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限。訪問控制可分為自主訪問控制和強(qiáng)制訪問控制兩大類。54

強(qiáng)制訪問控制：是指由系統(tǒng)（通過專門設(shè)置的系統(tǒng)安全員）對用戶所創(chuàng)建的對象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對哪些對象進(jìn)行什么樣操作系統(tǒng)類型的訪問，即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對象后，也可能無權(quán)訪問該對象。強(qiáng)制訪問控制：是指由系統(tǒng)（通過專門設(shè)置的系統(tǒng)安55

所有用戶的訪問權(quán)限完全是由安全管理員根據(jù)需要確定的。強(qiáng)制訪問控制還有其他安全策略，如“角色授權(quán)管理”。該策略將系統(tǒng)中的訪問操作按角色進(jìn)行分組管理。一種角色執(zhí)行一種操作，由系統(tǒng)安全管理員進(jìn)行統(tǒng)一授權(quán)。當(dāng)授予某一用戶某個(gè)角色時(shí)，該用戶就有執(zhí)行該角色所對應(yīng)的一組操作的權(quán)限。所有用戶的訪問權(quán)限完全是由安全管理員根據(jù)需要確56

系統(tǒng)訪問控制是指用戶進(jìn)入系統(tǒng)的控制和用戶進(jìn)入系統(tǒng)后如何訪問資源的限制，它包括：1）.訪問控制類型2）.入網(wǎng)安全控制(系統(tǒng)登錄)3）.訪問權(quán)限限制4）.文件和目錄屬性限制5）.網(wǎng)絡(luò)服務(wù)器安全控制6）.網(wǎng)絡(luò)監(jiān)測和鎖定控制7）.網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制8）.防火墻控制系統(tǒng)訪問控制是指用戶進(jìn)入系統(tǒng)的控制和用戶進(jìn)入系5758基本的訪問控制模型

（1）訪問控制矩陣(ACM，AccessControlMatrix)：基本思想就是將所有的訪問控制信息存儲在一個(gè)矩陣中集中管理。當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的。58基本的訪問控制模型59（2）訪問目錄表：這種訪問控制機(jī)制實(shí)際上按訪問控制矩陣的行實(shí)施對系統(tǒng)中客體的訪問控制。文件名權(quán)限C客體(文件)用戶A目錄用戶B目錄CDORWRWBRWABCORWOXRDABO：OwnerR：ReadW：WriteX：Execute訪問目錄表機(jī)制

59（2）訪問目錄表：這種訪問控制機(jī)制實(shí)際上按訪問控制矩陣的訪問目錄表機(jī)制容易實(shí)現(xiàn)，但存在三個(gè)問題需要解決：①共享客體的控制。凡是允許用戶訪問的客體，都應(yīng)該把它的名字存入該用戶的訪問目錄表內(nèi)，共享客體也應(yīng)該存入該目錄表中。存在的問題是，如果共享的客體太多（如子程序庫），用戶的目錄表將會很長，增加了處理時(shí)間。訪問目錄表機(jī)制容易實(shí)現(xiàn)，但存在三個(gè)問題需要解決：6061②訪問權(quán)的收回問題。在實(shí)際情況中，甲乙兩人之間可能有信任關(guān)系，文件A的擁有者甲可以把該文件的某些權(quán)限傳遞給用戶乙，當(dāng)甲用戶想從乙用戶收回該訪問權(quán)時(shí)，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關(guān)系。但是若允許信任關(guān)系傳遞，則給目錄表的管理帶來麻煩。假設(shè)乙用戶在把文件A的訪問權(quán)又傳遞給丙用戶，當(dāng)甲用戶希望收回所有用戶對文件A的訪問權(quán)時(shí)，甲可能不知道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費(fèi)很多時(shí)間。61②訪問權(quán)的收回問題。62③多重許可權(quán)問題。多重許可權(quán)問題是由文件重名問題引起的。假定乙用戶的目錄表中已經(jīng)有一個(gè)文件A，甲用戶也有一個(gè)文件A，但這兩個(gè)文件A的內(nèi)容不同。如果甲信任乙，第一次把自己A文件的部分訪問權(quán)傳遞給乙，為了不重名，甲的文件A被改名為H后存入到乙的目錄表中，乙可能會忘記自己目錄表中的H就是甲的A文件，于是又向甲申請A文件的訪問權(quán)，甲有可能對乙更加信任，就把文件A更高的訪問權(quán)授予乙，于是造成乙用戶對甲的文件A有多重訪問權(quán)的問題，產(chǎn)生客體安全管理的混亂，而且可能產(chǎn)生矛盾。62③多重許可權(quán)問題。63（3）訪問控制表ACLACL表保護(hù)機(jī)制實(shí)際上是按矩陣的列實(shí)施對系統(tǒng)中客體的訪問控制的。訪問目錄表和訪問控制表分別將訪問控制設(shè)施設(shè)置在用戶端和客體端，這兩種控制方式需要管理的表項(xiàng)的總數(shù)量是相同的，它們的差別在于管理共享客體的方法上，訪問控制表技術(shù)易于實(shí)現(xiàn)對這些共享客體的管理。63（3）訪問控制表ACL客體FILE1FILE2PRG1HELPUSER-CRACL表USER-BUSER-CUSER-AORWRWORWUSER-AUSER-DOXXUSER-AUSER-BUSER-CUSER-DRRRWOO：OWNERR：READW：WRITEX：EXCUTE

客體目錄FILE1FILE2PRG1HELP訪問控制表機(jī)制

客體FILE1FILE2PRG1HELPUSER-CRAC6465（4）能力機(jī)制能力（Capability）機(jī)制就是可以滿足這些要求更高的訪問控制機(jī)制。主體具有的能力是一種權(quán)證，類似一個(gè)“入場卷”它是操作系統(tǒng)賦予主體訪問客體的許可權(quán)限，它是一種不可偽造的標(biāo)記。能力是在用戶向系統(tǒng)登錄時(shí)，由操作系統(tǒng)賦予的一種權(quán)限標(biāo)記，用戶憑借該標(biāo)記對客體進(jìn)行許可的訪問。

65（4）能力機(jī)制66

能力可以實(shí)現(xiàn)復(fù)雜的訪問控制機(jī)制。假設(shè)主體對客體的能力包括“轉(zhuǎn)授”（或“傳播”）的訪問權(quán)限，具有這種能力主體可以把自己的能力拷貝傳遞給其他主體。這種能力可以用表格描述，“轉(zhuǎn)授”權(quán)限是其中的一個(gè)表項(xiàng)。一個(gè)具有“轉(zhuǎn)授”能力的主體可以把這個(gè)權(quán)限傳遞給其他主體，其他主體也可以再傳遞給第三者。具有轉(zhuǎn)授能力的主體可以把“轉(zhuǎn)授”權(quán)限從能力表中刪除，進(jìn)而限制這種能力的進(jìn)一步傳播。

66能力可以實(shí)現(xiàn)復(fù)雜的訪問控制機(jī)制。假設(shè)主體對客67（5）面向過程的訪問控制面向過程的訪問控制是指在主體訪問客體的過程中對主體的訪問操作進(jìn)行監(jiān)視與限制。例如，對于只有讀權(quán)的主體，就要控制它不能對客體進(jìn)行修改。要實(shí)現(xiàn)面向過程的訪問控制就要建立一個(gè)對客體訪問進(jìn)行控制的過程，該過程能夠自己進(jìn)行用戶認(rèn)證，以此加強(qiáng)操作系統(tǒng)的基本認(rèn)證能力。

67（5）面向過程的訪問控制68訪問目錄表、訪問控制表、訪問控制矩陣、能力和面向過程的控制等五種對客體的訪問控制機(jī)制的實(shí)現(xiàn)復(fù)雜性是逐步遞增的。實(shí)現(xiàn)能力機(jī)制需要必須對每次訪問進(jìn)行檢查，而訪問目錄表方式實(shí)現(xiàn)比較容易，它只需要在主體對客體第一次訪問時(shí)進(jìn)行檢查。實(shí)現(xiàn)復(fù)雜的保護(hù)方式提高了系統(tǒng)的安全性，但降低了系統(tǒng)響應(yīng)速度。安全與效率之間需要平衡。

68訪問目錄表、訪問控制表、訪問控制矩陣、能力和面5、windows系統(tǒng)安全技術(shù)Windows安全基礎(chǔ)Windows賬號和密碼安全Windows安全結(jié)構(gòu)Windows文件系統(tǒng)安全Windows注冊表的安全Windows系統(tǒng)中查殺后門木馬技術(shù)Windows系統(tǒng)中常用安全命令5、windows系統(tǒng)安全技術(shù)6970Windows系統(tǒng)的安全子系統(tǒng)（1）Windows系統(tǒng)的安全組件·自主訪問控制(DiscretionAccessControl)·對象重用(ObjectReuse)

·強(qiáng)制登錄(Mandatorylogon)·對象的訪問控制(ControlofAccesstoObject)70Windows系統(tǒng)的安全子系統(tǒng)安全子系統(tǒng)包括以下部分：WinlogonGraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritySupportProvidersNetlogonServiceSecurityAccountManager(SAM)安全子系統(tǒng)包括以下部分：71網(wǎng)絡(luò)安全與應(yīng)用技術(shù)-第2章-網(wǎng)絡(luò)操作系統(tǒng)安全課件72（1）Windows安全基礎(chǔ)

Windows系統(tǒng)中有兩種基本模型：工作組模型和域模型。工作組模型：是一個(gè)“對等”網(wǎng)結(jié)構(gòu)。域模型：域是一個(gè)共享公共目錄數(shù)據(jù)庫和安全策略的計(jì)算機(jī)及用戶的集合，它提供登錄認(rèn)證，并具有唯一的域名。（1）Windows安全基礎(chǔ)73組：除用戶帳戶外，Windows2000(XP)還提供組帳戶。可使用組帳戶對同類用戶授予權(quán)限以簡化帳戶管理。如果用戶是可訪問某個(gè)資源的一個(gè)組中的成員，則該特定用戶也可訪問這一資源。因此，若要使某個(gè)用戶能訪問各種工作相關(guān)的資源，只需將該用戶加入正確的組。可以按照不同用戶的操作需求和資源訪問需求來創(chuàng)建不同的組，實(shí)現(xiàn)對用戶的統(tǒng)一配置和管理。組：74域：Windows還提供了域的概念進(jìn)行網(wǎng)絡(luò)訪問控制，即允許或拒絕某個(gè)主機(jī)或用戶連接到其他主機(jī)的能力。域賬戶存儲在一個(gè)稱為域控制器的中央計(jì)算機(jī)上。如果一臺計(jì)算機(jī)加入了一個(gè)域(域是至少有一臺運(yùn)行Windows2000Server的計(jì)算機(jī)，并且將它作為一臺域控制器進(jìn)行工作的網(wǎng)絡(luò))，則應(yīng)使用域賬戶進(jìn)行登錄。域：75Windows系統(tǒng)提供四種基本的域模型：單域模型、主域模型、多主域模型和完全信任域模型。每個(gè)域中有主域控制器、備份域控制器和服務(wù)器、工作站。每個(gè)域都有自己的安全策略以及與其他域相關(guān)的安全關(guān)系。Windows系統(tǒng)提供四種基本的域模型：單域76

信任關(guān)系是域與域之間建立的連接關(guān)系。它可以執(zhí)行對經(jīng)過委托的域內(nèi)用戶的登錄審核工作。域之間經(jīng)過委托后，用戶只要在某一個(gè)域內(nèi)有一個(gè)用戶帳號，就可以使用其他域內(nèi)的網(wǎng)絡(luò)資源了。若A域信任委托B域，則B域的用戶可以訪問A域的資源，而A域的用戶則不能訪問B域的資源，這就是單向委托；若A域的用戶也想訪問B域的資源，那么必須再建立B域信任A域的委托關(guān)系，這就是雙向委托。信任關(guān)系是域與域之間建立的連接關(guān)系。它可以執(zhí)行77（2）Windows系統(tǒng)的安全性機(jī)制

Windows的安全機(jī)制主要有帳號規(guī)則、權(quán)限規(guī)則、審計(jì)規(guī)則和域管理機(jī)制。帳號規(guī)則帳號規(guī)則是對用戶帳號和口令進(jìn)行安全管理--入網(wǎng)訪問控制。用戶帳號還包括對用戶入網(wǎng)時(shí)間限制、入網(wǎng)站點(diǎn)限制、帳號鎖定、用戶對特定文件/目錄的訪問權(quán)限限制和用戶使用的網(wǎng)絡(luò)環(huán)境的限制等內(nèi)容。（2）Windows系統(tǒng)的安全性機(jī)制78權(quán)限規(guī)則

Windows系統(tǒng)采用兩類訪問權(quán)限：用戶訪問權(quán)限和資源訪問權(quán)限。用戶訪問權(quán)限有四種：完全控制、更改、讀寫和拒絕訪問，完全控制權(quán)限最大。

NTFS允許用兩種訪問權(quán)限來控制用戶對特定目錄和文件的訪問：一種是標(biāo)準(zhǔn)權(quán)限(基本安全性措施)；另一種是特殊權(quán)限(特殊安全性措施)。權(quán)限規(guī)則79審核規(guī)則審核規(guī)則是系統(tǒng)對用戶操作行為的跟蹤，管理員可根據(jù)審核結(jié)果來控制用戶的操作。Windows系統(tǒng)可對如下事件進(jìn)行審核：登錄和注銷、文件和對象的訪問、用戶權(quán)限的使用、用戶和組的管理、安全性策略的改變、啟動與關(guān)閉系統(tǒng)的安全性和進(jìn)程的跟蹤等。跟蹤審核結(jié)果存放在安全日志文件中。審核規(guī)則80域管理機(jī)制域是Windows系統(tǒng)目錄服務(wù)和安全管理的基本單元，域內(nèi)工作由主域控制器控制。用戶每次登錄整個(gè)域而非某一服務(wù)器。域所使用的安全機(jī)制信息或用戶帳號信息都存放在目錄數(shù)據(jù)庫中--安全帳號管理數(shù)據(jù)庫。目錄數(shù)據(jù)庫存放在服務(wù)器中并復(fù)制到備份服務(wù)器中。在每次用戶登錄時(shí)，都要通過目錄數(shù)據(jù)庫檢查用戶帳號信息。域管理機(jī)制8182（2）登錄及身份驗(yàn)證過程成功的登錄過程要經(jīng)過以下4個(gè)步驟：①Windows2000的Winlogon過程給出一個(gè)對話框，要求回答一個(gè)用戶名和口令。②Winlogon將用戶名和口令傳遞給LSA(LocalSecurityAuthority，本地安全權(quán)威)，LSA決定該登錄應(yīng)該在本地計(jì)算機(jī)還使網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證。

82（2）登錄及身份驗(yàn)證過程83③如果是本地登錄，LSA會查詢SAM數(shù)據(jù)庫，以確定用戶名和口令是否屬于授權(quán)的系統(tǒng)用戶。如果用戶名和密碼合法，SAM把該用戶的SID以及該用戶所屬的所有組的SID返回給LSA。LSA使用這些信息創(chuàng)建一個(gè)訪問令牌(AccessToken)，每當(dāng)用戶請求訪問一個(gè)受保護(hù)資源時(shí)，LSA就會將訪問令牌顯示出來以代表用戶的“標(biāo)記”。④Winlogon啟動系統(tǒng)，該用戶的訪問令牌就成了用戶進(jìn)程在Windows2000系統(tǒng)中的通行證。83③如果是本地登錄，LSA會查詢SAM數(shù)據(jù)庫，以確定用戶名默認(rèn)賬號：Administrator--rootAdministrator是系統(tǒng)管理員賬號、具有最高權(quán)限。在域中和計(jì)算機(jī)中具有不受限制的權(quán)利，可以管理本地或域中的任何計(jì)算機(jī)。從不被鎖定，不能刪除，可重命名。Guest：默認(rèn)被禁用，不能刪除，可重命名默認(rèn)賬號：Administrator--root8485（3）Windows操作系統(tǒng)安全檢查表：安裝最新的系統(tǒng)補(bǔ)丁(ServicePack)與更新(Hotfix)程序?yàn)锳dministrator賬號指定安全的口令把Administrator帳號重新命名禁用或刪除不必要的帳號關(guān)閉不必要的服務(wù)安裝防病毒軟件85（3）Windows操作系統(tǒng)安全檢查表：866．給所有必要的文件共享設(shè)置適當(dāng)?shù)脑L問控制權(quán)限激活系統(tǒng)的審計(jì)功能關(guān)于應(yīng)用軟件方面的建議windows2000服務(wù)配置參考網(wǎng)絡(luò)上的參考資源866．給所有必要的文件共享設(shè)置適當(dāng)?shù)脑L問控制權(quán)限（4）WinXP本地安全設(shè)置開始->運(yùn)行窗口中輸入”secpol.msc”，打開“本地安全設(shè)置窗口”。控制面板->管理工具->本地安全策略，打開“本地安全設(shè)置窗口”。密碼策略（4）WinXP本地安全設(shè)置87網(wǎng)絡(luò)安全與應(yīng)用技術(shù)-第2章-網(wǎng)絡(luò)操作系統(tǒng)安全課件88打開審核策略開啟安全審核是Windows系統(tǒng)最基本的入侵檢測方法。當(dāng)有人嘗試對你的系統(tǒng)進(jìn)行某些方式的入侵時(shí)，都會被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。打開審核策略89確?？尚诺牡卿浗缑鎸⒂?jì)算機(jī)設(shè)置成登錄windows之前必須按”ctrl+alt+delete”組合鍵，是為了保護(hù)免受某些木馬的攻擊。一些木馬程序模仿成windows登錄界面，欺騙用戶輸入用戶名和密碼。使用該組合鍵可以確?？吹降氖钦鎸?shí)的登錄界面。設(shè)置：控制面板->”用戶賬號“->高級->安全登錄。確?？尚诺牡卿浗缑嬖O(shè)置：控制面板->”用戶賬號“->高級->90（5）Windows注冊表：注冊表是windows的數(shù)據(jù)庫，這個(gè)數(shù)據(jù)庫存儲了計(jì)算機(jī)軟硬件的各種配置數(shù)據(jù)。因些，優(yōu)化注冊表可以把計(jì)算機(jī)調(diào)整到最佳狀態(tài)。黑客入侵手段多數(shù)都是借助或篡改注冊表而進(jìn)行的。（5）Windows注冊表：91注冊表的特點(diǎn)：1、注冊表允許對硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動程序進(jìn)行跟蹤配置，這使得修改某些設(shè)置后不用重新啟動成為可能。2、注冊表中登錄的硬件部分?jǐn)?shù)據(jù)可以支持高版本windows的即插即用特性。3、管理人員和用戶通過注冊表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，便宜得遠(yuǎn)程管理得以實(shí)現(xiàn)。注冊表的特點(diǎn)：92各主鍵的簡單介紹：（1）HKEY_LOCAL_MACHINE是一個(gè)顯示控制系統(tǒng)和軟件的處理鍵。它管理著當(dāng)前系統(tǒng)硬件配置。在這個(gè)根鍵中保存了本地計(jì)算機(jī)硬件配置數(shù)據(jù)，此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中，用來提供HKEY_LOCAL_MACHINE所需的信息，或者在遠(yuǎn)程計(jì)算機(jī)中可訪問的一組鍵中。

這個(gè)根鍵里面的許多子鍵與ystem.ini文件中設(shè)置項(xiàng)類似。

各主鍵的簡單介紹：93（2）HKEY_CLASSES_ROOT

管理文件系統(tǒng)。根據(jù)在Windows中安裝的應(yīng)用程序的擴(kuò)展名，該根鍵指明其文件類型的名稱，相應(yīng)打開該文件所要調(diào)用的程序等等信息。（3）HKEY_CURRENT_USER

管理系統(tǒng)當(dāng)前的用戶信息。在這個(gè)根鍵中保存了本地計(jì)算機(jī)中存放的當(dāng)前登錄的用戶信息，包括用戶登錄用戶名和暫存的密碼。在用戶登錄Windows時(shí)，其信息從HKEY_USERS中相應(yīng)的項(xiàng)拷貝到HKEY_CURRENT_USER中。（2）HKEY_CLASSES_ROOT

管理文件系統(tǒng)94（4）HKEY_USERS

管理系統(tǒng)的用戶信息。在這個(gè)根鍵中保存了存放在本地計(jì)算機(jī)口令列表中的用戶標(biāo)識和密碼列表。同時(shí)每個(gè)用戶的預(yù)配置信息都存儲在HKEY_USERS根鍵中。HKEY_USERS是遠(yuǎn)程計(jì)算機(jī)中訪問的根鍵之一。

（5）HKEY_CURRENT_CONFIG

管理當(dāng)前用戶的系統(tǒng)配置。在這個(gè)根鍵中保存著定義當(dāng)前用戶桌面配置(如顯示器等等)的數(shù)據(jù)，該用戶使用過的文檔列表（MRU），應(yīng)用程序配置和其他有關(guān)當(dāng)前用戶的Windows的安裝信息。

（4）HKEY_USERS

管理系統(tǒng)的用戶信息。在這個(gè)95WindowsXP基本系統(tǒng)進(jìn)程WindowsXP基本系統(tǒng)進(jìn)程96WindowsX附加系統(tǒng)進(jìn)程（1）WindowsX附加系統(tǒng)進(jìn)程（1）97WindowsX附加系統(tǒng)進(jìn)程（2）WindowsX附加系統(tǒng)進(jìn)程（2）98WindowsX附加系統(tǒng)進(jìn)程（3）WindowsX附加系統(tǒng)進(jìn)程（3）99WindowsX附加系統(tǒng)進(jìn)程（4）WindowsX附加系統(tǒng)進(jìn)程（4）100WindowsX附加系統(tǒng)進(jìn)程（5）WindowsX附加系統(tǒng)進(jìn)程（5）101網(wǎng)絡(luò)安全與應(yīng)用技術(shù)ByJefferyliu網(wǎng)絡(luò)安全與應(yīng)用技術(shù)ByJefferyliu第二章網(wǎng)絡(luò)操作系統(tǒng)安全第二章網(wǎng)絡(luò)操作系統(tǒng)安全1031、網(wǎng)絡(luò)操作系統(tǒng)的概念

計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)相互獨(dú)立的計(jì)算機(jī)系統(tǒng)通過通信媒體連接起來的。各計(jì)算機(jī)都具有一個(gè)完整獨(dú)立的操作系統(tǒng)，網(wǎng)絡(luò)操作系統(tǒng)(NOS)是建立在這些獨(dú)立的操作系統(tǒng)基礎(chǔ)上用以擴(kuò)充網(wǎng)絡(luò)功能的系統(tǒng)(系統(tǒng)平臺)。1、網(wǎng)絡(luò)操作系統(tǒng)的概念計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)相互獨(dú)104

網(wǎng)絡(luò)操作系統(tǒng)是為使網(wǎng)絡(luò)用戶能方便而有效地共享網(wǎng)絡(luò)資源而提供各種服務(wù)的軟件及相關(guān)規(guī)程，它是整個(gè)網(wǎng)絡(luò)的核心，通過對網(wǎng)絡(luò)資源的管理，使網(wǎng)上用戶能方便、快捷、有效地共享網(wǎng)絡(luò)資源。操作系統(tǒng)的主要功能包括：進(jìn)程控制和調(diào)度、信息處理、存儲器管理、文件管理、輸入/輸出管理、資源管理等。網(wǎng)絡(luò)操作系統(tǒng)是為使網(wǎng)絡(luò)用戶能方便而有效地共享網(wǎng)105NOS除了具有一般操作系統(tǒng)所具有的處理機(jī)管理、存儲器管理、設(shè)備管理和文件管理功能外，還提供高效而可靠的網(wǎng)絡(luò)通信環(huán)境和多種網(wǎng)絡(luò)服務(wù)功能。如文件服務(wù)、打印服務(wù)、記賬服務(wù)、數(shù)據(jù)庫服務(wù)以及支持Internet和Intranet服務(wù)。目前，常用的網(wǎng)絡(luò)操作系統(tǒng)有WindowsNT5.x、Windows6.x、UNIX和Linux。NT5.x”是指Windows2000/WindowsXP/WindowsServer2003這幾種操作系統(tǒng)；

NT6.x”是指WindowsVista/WindowsServer2008/Windows7/WindowsServer2008R2這幾種操作系統(tǒng)。NOS除了具有一般操作系統(tǒng)所具有的處理機(jī)管理、106操作系統(tǒng)的安全觀點(diǎn)：設(shè)計(jì)者觀點(diǎn)：安全機(jī)制如何從一開始就加入操作系統(tǒng)？操作系統(tǒng)中哪些資源需要保護(hù)？如何建立最可靠的安全機(jī)制？如何分層次、分步驟地實(shí)現(xiàn)安全機(jī)制？如何對安全操作系統(tǒng)進(jìn)行評價(jià)？需要提供多種安全級別以供選擇。操作系統(tǒng)的安全觀點(diǎn)：107使用者觀點(diǎn)：安全機(jī)制如何使用更適合？費(fèi)用如何？時(shí)間如何？如何保護(hù)操作系統(tǒng)的資源？這些安全機(jī)制是否可信？有沒有漏洞？難度如何？這些安全機(jī)制用戶是否感興趣？對安全漏洞采用“補(bǔ)丁”和“外殼”。使用者觀點(diǎn)：108問題的擴(kuò)展：系統(tǒng)安全的折衷系統(tǒng)安全的無縫連接：OS安全必須與應(yīng)用系統(tǒng)的安全機(jī)制無縫連接各種安全機(jī)構(gòu)之間的沖突：OS可含有各種安全機(jī)制。安全手段與系統(tǒng)管理：最安全的系統(tǒng)也是最難使用的；增加安全性要增加費(fèi)用，降低性能或速度；安全機(jī)制越高，花費(fèi)的機(jī)時(shí)越多。問題的擴(kuò)展：109標(biāo)識系統(tǒng)中的用戶并進(jìn)行身份鑒別；依據(jù)系統(tǒng)安全策略對用戶的操作進(jìn)行存取控制，防止用戶對計(jì)算機(jī)資源的非法存??；

監(jiān)督系統(tǒng)運(yùn)行的安全；

保證系統(tǒng)自身的安全性和完整性。操作系統(tǒng)安全的目標(biāo)標(biāo)識系統(tǒng)中的用戶并進(jìn)行身份鑒別；操作系統(tǒng)安全的目標(biāo)1102、操作系統(tǒng)面臨的安全威脅

人們認(rèn)識信息安全問題通常是從對系統(tǒng)所遭到的各種成功或者未成功的入侵攻擊的威脅開始的，這些威脅大多是通過挖掘操作系統(tǒng)和應(yīng)用程序的弱點(diǎn)或者缺陷來實(shí)現(xiàn)的。2、操作系統(tǒng)面臨的安全威脅111針對操作系統(tǒng)安全的主要威脅包括：病毒和蠕蟲邏輯炸彈特洛伊木馬天窗隱蔽通道針對操作系統(tǒng)安全的主要威脅包括：112計(jì)算機(jī)中的“邏輯炸彈”是指在特定邏輯條件滿足時(shí)，實(shí)施破壞的計(jì)算機(jī)程序，該程序觸發(fā)后造成計(jì)算機(jī)數(shù)據(jù)丟失、計(jì)算機(jī)不能從硬盤或者軟盤引導(dǎo)，甚至?xí)拐麄€(gè)系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。“邏輯炸彈”引發(fā)時(shí)的癥狀與某些病毒的作用結(jié)果相似，并會對社會引發(fā)連帶性的災(zāi)難。與病毒相比，它強(qiáng)調(diào)破壞作用本身，而實(shí)施破壞的程序不具有傳染性。邏輯炸彈是一種程序，或任何部分的程序，直到一個(gè)具體的程序邏輯被激活。計(jì)算機(jī)中的“邏輯炸彈”是指在特定邏輯條件滿足時(shí)113隱蔽通道，是一種違反安全策略，秘密傳輸信息的機(jī)制。

隱蔽通道按其存在的環(huán)境不同可分為主機(jī)隱蔽通道和網(wǎng)絡(luò)隱蔽通道。主機(jī)隱蔽通道是在主機(jī)中不同進(jìn)程中秘密傳輸信息，而網(wǎng)絡(luò)隱蔽通道則在網(wǎng)絡(luò)中不同主機(jī)之間秘密傳輸信息。隱蔽通道通信工具通過將有效數(shù)據(jù)嵌入在數(shù)據(jù)報(bào)文中，通過載體在網(wǎng)絡(luò)中正常傳輸，從而達(dá)到有效數(shù)據(jù)的秘密傳輸而不被發(fā)現(xiàn)。隱蔽通道，是一種違反安全策略，秘密傳輸信息的114

在信息系統(tǒng)中與安全相關(guān)的每一個(gè)漏洞都會使整個(gè)系統(tǒng)的安全控制機(jī)制變得毫無價(jià)值。這個(gè)漏洞如果被入侵者發(fā)現(xiàn)，后果將是十分嚴(yán)重的。從計(jì)算機(jī)信息系統(tǒng)的角度分析，可以看出在信息系統(tǒng)安全所涉及的眾多內(nèi)容中，操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的安全問題是核心。操作系統(tǒng)的安全性在計(jì)算機(jī)信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用。在信息系統(tǒng)中與安全相關(guān)的每一個(gè)漏洞都會使整個(gè)115

一般來說，操作系統(tǒng)安全與安全操作系統(tǒng)的含義不盡相同。從各種不同的角度分析操作系統(tǒng)的安全性，既可以對主流操作系統(tǒng)進(jìn)行安全性增強(qiáng)，也可以按照特定目標(biāo)設(shè)計(jì)實(shí)現(xiàn)專門的或通用的安全操作系統(tǒng)。安全操作系統(tǒng)通常與相應(yīng)的安全等級相對應(yīng)，例如，根據(jù)TCSEC標(biāo)準(zhǔn)，通常稱B1級以上的操作系統(tǒng)為安全操作系統(tǒng)。一般來說，操作系統(tǒng)安全與安全操作系統(tǒng)的含義不1163、安全操作系統(tǒng)的研究發(fā)展

Multics是開發(fā)安全操作系統(tǒng)最早期的嘗試。

Adept-50是一個(gè)分時(shí)安全操作系統(tǒng)，可以實(shí)際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50安全控制的研究成果。

1969年B.W.Lampson通過形式化表示方法運(yùn)用主體（subject）、客體（object）和訪問矩陣（accessmatrix）的思想第一次對訪問控制問題進(jìn)行了抽象。3、安全操作系統(tǒng)的研究發(fā)展1171972年，J.P.Anderson在一份研究報(bào)告中提出了參照監(jiān)視器（referencemonitor）、訪問驗(yàn)證機(jī)制（referencevalidationmechanism）、安全內(nèi)核（securitykernel）和安全建模（modeling）等重要思想。

1973年，B.W.Lampson提出了隱蔽通道的概念，他發(fā)現(xiàn)兩個(gè)被限制通信的實(shí)體之間如果共享某種資源，那么它們可以利用隱蔽通道傳遞信息。1972年，J.P.Anderson在一份研究報(bào)告中提出了118

同年，D.E.Bell和L.J.LaPadula提出了第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型，即BLP模型。安全內(nèi)核操作系統(tǒng)（kernelizedsecureoperatingsystem,KSOS）是美國國防部研究計(jì)劃局1977年發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，由Ford太空通訊公司承擔(dān)。同年，D.E.Bell和L.J.LaPadula提出了第一119UCLASecureUNIX也是美國國防部研究計(jì)劃局于1978年前后發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，由加利福尼亞大學(xué)承擔(dān)。UCLASecureUNIX的系統(tǒng)設(shè)計(jì)方法及目標(biāo)幾乎與KSOS相同。1983年，美國國防部出版了歷史上第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)——《可信計(jì)算機(jī)系統(tǒng)評價(jià)準(zhǔn)則（TCSEC）》，1985年，美國國防部對TCSEC進(jìn)行了修訂。UCLASecureUNIX也是美國國防部研究計(jì)劃局于1120SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開發(fā)的一個(gè)安全操作系統(tǒng)，它最初是在IBMPC/AT平臺上實(shí)現(xiàn)的。

UNIXSVR4.1ES是UI（UNIX國際組織）于1991年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B2級。SecureXenix是IBM公司于1986年在SCO1212001年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于Linux的安全操作系統(tǒng)開發(fā)成果。2000年11月18日，公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，在網(wǎng)站上發(fā)布公告:“國內(nèi)首家安全操作系統(tǒng)通過檢測”。2001年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于L1222001年3月8日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標(biāo)準(zhǔn)GB/T18336－2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》，它基本上等同于國際通用安全評價(jià)準(zhǔn)則（CC）。2001年3月8日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標(biāo)準(zhǔn)GB/T1234、操作系統(tǒng)安全的概念計(jì)算機(jī)系統(tǒng)的安全極大地取決于操作系統(tǒng)的安全，計(jì)算機(jī)操作系統(tǒng)的安全是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶對計(jì)算機(jī)資源(如軟件、硬件、時(shí)間、空間、數(shù)據(jù)、服務(wù)等資源)的竊取。操作系統(tǒng)安全的實(shí)施將保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)，防止人為因素造成的故障和破壞。4、操作系統(tǒng)安全的概念124第一，操作系統(tǒng)本身提供的安全功能和安全服務(wù)；第二，針對各種常用的操作系統(tǒng)，進(jìn)行相關(guān)配置，使之能正確對付和防御各種入侵；第三，保證網(wǎng)絡(luò)操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置。第一，操作系統(tǒng)本身提供的安全功能和安全服務(wù)；125

操作系統(tǒng)主要的安全功能包括：隔離控制、存儲器保護(hù)(限定存儲區(qū)和地址重定位，保護(hù)存儲信息)、文件保護(hù)(保護(hù)用戶和系統(tǒng)文件，防止非授權(quán)用戶訪問)、訪問控制、身份認(rèn)證(識別請求訪問的用戶權(quán)限和身份)等。操作系統(tǒng)主要的安全功能包括：隔離控制、存儲器保126物理隔離。在物理設(shè)備或部件一級進(jìn)行隔離，使不同的用戶程序使用不同的物理對象。時(shí)間隔離。對不同安全要求的用戶進(jìn)程分配不同的運(yùn)行時(shí)間段。對于用戶運(yùn)算高密級信息時(shí)，甚至獨(dú)占計(jì)算機(jī)進(jìn)行運(yùn)算。

隔離控制的方法有四種：

物理隔離。在物理設(shè)備或部件一級進(jìn)行隔離，使不同的用戶程序使用127③

邏輯隔離多個(gè)用戶進(jìn)程可以同時(shí)運(yùn)行，但相互之間感覺不到其他用戶進(jìn)程的存在，這是因?yàn)椴僮飨到y(tǒng)限定各進(jìn)程的運(yùn)行區(qū)域，不允許進(jìn)程訪問其他未被允許的區(qū)域。

③邏輯隔離128④加密隔離進(jìn)程把自己的數(shù)據(jù)和計(jì)算活動隱蔽起來，使他們對于其他進(jìn)程是不可見的，對用戶的口令信息或文件數(shù)據(jù)以密碼形式存儲，使其他用戶無法訪問，也是加密隔離控制措施。

④加密隔離129隔離措施復(fù)雜性？安全性？這幾種隔離措施實(shí)現(xiàn)的復(fù)雜性是逐步遞增的而它們的安全性則是逐步遞減的.隔離措施復(fù)雜性？安全性？這幾種隔離措施實(shí)現(xiàn)的復(fù)雜性是逐步遞增130存儲器保護(hù)內(nèi)存儲器是操作系統(tǒng)中的共享資源，即使對于單用戶的個(gè)人計(jì)算機(jī)，內(nèi)存也是被用戶程序與系統(tǒng)程序所共享，在多道環(huán)境下更是被多個(gè)進(jìn)程所共享。為了防止共享失去控制和產(chǎn)生不安全問題，對內(nèi)存進(jìn)行保護(hù)是必要的。存儲器保護(hù)內(nèi)存儲器是操作系統(tǒng)中的共享資源，即使對于單用戶的個(gè)131內(nèi)存的特點(diǎn)內(nèi)存儲器是操作系統(tǒng)中的共享資源內(nèi)存被用戶程序與系統(tǒng)程序所共享多道環(huán)境下更是被多個(gè)進(jìn)程所共享。內(nèi)存的特點(diǎn)內(nèi)存儲器是操作系統(tǒng)中的共享資源132內(nèi)存保護(hù)的目的是：防止對內(nèi)存的未授權(quán)訪問；防止對內(nèi)存的錯(cuò)誤讀寫，如向只讀單元寫；防止用戶的不當(dāng)操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)；多道程序環(huán)境下，防止不同用戶的內(nèi)存區(qū)域互不影響；將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置；內(nèi)存保護(hù)的目的是：133常用的內(nèi)存保護(hù)技術(shù)單用戶內(nèi)存保護(hù)技術(shù)多道程序的保護(hù)技術(shù)分段與分頁保護(hù)技術(shù)內(nèi)存標(biāo)記保護(hù)法常用的內(nèi)存保護(hù)技術(shù)單用戶內(nèi)存保護(hù)技術(shù)134135分段與分頁技術(shù)對于稍微復(fù)雜一些的用戶程序，通常按功能劃分成若干個(gè)模塊（過程）。每個(gè)模塊有自己的數(shù)據(jù)區(qū)，各模塊之間也可能有共享數(shù)據(jù)區(qū)。各用戶程序之間也可能有共享模塊或共享數(shù)據(jù)區(qū)。這些模塊或數(shù)據(jù)區(qū)有著不同的訪問屬性和安全要求，使用上述各種保護(hù)技術(shù)很難滿足這些要求。34分段與分頁技術(shù)136分段技術(shù)的作用分段技術(shù)就是試圖解決較大程序的裝入、調(diào)度、運(yùn)行和安全保護(hù)等問題的一種技術(shù)。分段以模塊（過程或子程序）為單位。采用分段技術(shù)，用戶不知道他的程序?qū)嶋H使用的內(nèi)存物理地址。這種隱藏對保護(hù)用戶代碼與數(shù)據(jù)的安全是極有好處的。

35分段技術(shù)的作用137分段技術(shù)的優(yōu)點(diǎn)：

（1）在段表中除了與段名對應(yīng)的段號及段基址外，還可以增加必要的訪問控制信息，對于任何企圖訪問某個(gè)段的操作，操作系統(tǒng)和硬件都可以進(jìn)行檢查。（2）分段技術(shù)幾乎可以實(shí)現(xiàn)對程序的不同片段分別保護(hù)的目標(biāo)。根據(jù)各段敏感性要求，為各段劃分安全級，并提供不同的保護(hù)措施。36分段技術(shù)的優(yōu)點(diǎn)：（1）在段表中除了與段名對應(yīng)的段號及段138（3）分段技術(shù)的保護(hù)功能可以檢查每一次對內(nèi)存訪問是否合法，可以讓保護(hù)粒度達(dá)到數(shù)據(jù)項(xiàng)級。（4）可以為了實(shí)施保護(hù)而檢查每一次地址訪問。（5）還可以避免允許用戶直接指定內(nèi)存地址或段區(qū)所帶來的安全問題，也可以讓多個(gè)用戶用不同的權(quán)限訪問一個(gè)段。分段技術(shù)的優(yōu)點(diǎn)續(xù)：

37（3）分段技術(shù)的保護(hù)功能可以檢查每一次對內(nèi)存訪問是否合法139段的管理方式存在的問題與困難（1）由于各段的長度不相同，對內(nèi)存管理造成了困難，容易產(chǎn)生內(nèi)存“碎片”。這是一個(gè)很大的安全漏洞。（2）在許多情況下（如段內(nèi)部包含動態(tài)數(shù)據(jù)結(jié)構(gòu)）要求在使用段方式時(shí)允許段的尺寸可以增大。為了保證安全起見，要求系統(tǒng)檢查所產(chǎn)生的地址，驗(yàn)證其是否超出所訪問的段的末端。38段的管理方式存在的問題與困難140（3）段名不易在指令中編碼，由操作系統(tǒng)查名字表的速度也會很慢。解決的辦法是由編譯器把段名轉(zhuǎn)化為數(shù)字，并建立一張數(shù)字與段名之間的對照表。但這又為段的共享帶來麻煩，因?yàn)槊總€(gè)調(diào)用者都必須知道該段的編號。

段的管理方式存在的問題與困難續(xù)：39（3）段名不易在指令中編碼，由操作系統(tǒng)查名字表的速度也會分段與分頁的問題與作用為了解決分段可能產(chǎn)生的內(nèi)存碎片問題，引入了分頁技術(shù)。分頁是把目標(biāo)程序與內(nèi)存都劃分成相同大小的片段，這些片段就稱為“頁”。分頁技術(shù)解決了碎片問題，但損失了分段技術(shù)的安全功能。由于段具有邏輯上的完整意義，而頁則沒有這樣的意義，程序員可以為段規(guī)定某些安全控制要求，但卻無法指定各頁的訪問控制要求。

141分段與分頁的問題與作用40142

用戶認(rèn)證

用戶認(rèn)證的任務(wù)是確認(rèn)當(dāng)前正在試圖登錄進(jìn)入系統(tǒng)的用戶就是賬戶數(shù)據(jù)庫中記錄的那個(gè)用戶。認(rèn)證用戶的方法一般有三種：（1）要求輸入一些保密信息，如用戶的姓名、通行字或加密密鑰等；（2）稍微復(fù)雜一些鑒別方法，如詢問—應(yīng)答系統(tǒng)、采用物理識別設(shè)備（如訪問卡、鑰匙或令牌標(biāo)記）等方法；（3）利用用戶生物特征，如指紋、聲音、視網(wǎng)膜等識別技術(shù)對用戶進(jìn)行唯一的識別。41用戶認(rèn)證用戶認(rèn)證的任務(wù)是確認(rèn)當(dāng)前正在試圖登錄143口令認(rèn)證方法口令是一種容易實(shí)現(xiàn)并有效地只讓授權(quán)用戶進(jìn)入系統(tǒng)的方法?？诹钍怯脩襞c操作系統(tǒng)之間交換的信物。用戶想使用系統(tǒng)，首先必須通過系統(tǒng)管理員向系統(tǒng)登錄，在系統(tǒng)中建立一個(gè)用戶賬號，賬號中存放用戶的名字(或標(biāo)識)和口令。用戶輸入的用戶名和口令必須和存放在系統(tǒng)中的賬戶/口令文件中的相關(guān)信息一致才能進(jìn)入系統(tǒng)。沒有一個(gè)有效的口令，入侵者要闖入計(jì)算機(jī)系統(tǒng)是很困難的。42口令認(rèn)證方法144

破解口令是黑客們攻擊系統(tǒng)的常用手段，那些僅由數(shù)字組成、或僅由字母組成、或僅由兩、三個(gè)字符組成、或名字縮寫、或常用單詞、生日、日期、電話號碼、用戶喜歡的寵物名、節(jié)目名等易猜的字符串作為口令是很容易被破解的。這些類型的口令都不是安全有效的，常被稱為弱口令。43破解口令是黑客們攻擊系統(tǒng)的常用手段，那些僅由145選取口令應(yīng)遵循以下規(guī)則：①擴(kuò)大口令字符空間

口令的字符空間不要僅限于26個(gè)大寫字母，要擴(kuò)大到包括26個(gè)小寫字母和10個(gè)數(shù)字，使字符空間可達(dá)到62個(gè)之多。

在UNIX系統(tǒng)中，還把其他一些特殊符號（如+、—、*、/、%、#、等）也作為口令的字符空間，因此其口令的安全性更高。

44選取口令應(yīng)遵循以下規(guī)則：146②

選擇長口令

選擇長口令可以增加破解的時(shí)間。假定字符空間是26個(gè)字母，如果已知口令的長度不超過3，則可能的口令有26+26*26+26*26*26=18278個(gè)。若每毫秒驗(yàn)證一個(gè)口令，只需要18多秒鐘就可以檢驗(yàn)所有口令。

45②選擇長口令147③選用無規(guī)律的口令

不要使用自己的名字、熟悉的或名人的名字作為口令，不要選擇寵物名或各種單詞作為口令，因?yàn)檫@種類型的口令往往是破解者首先破解的對象，由于它們的數(shù)量有限(常用英文詞匯量只不過15萬左右)，對計(jì)算機(jī)來說不是一件困難的事情。假定按每毫秒窮舉一個(gè)英文單詞的速度計(jì)算，15萬個(gè)單詞也僅僅需要150秒鐘時(shí)間。

46③選用無規(guī)律的口令148

④口令更換

有時(shí)口令已經(jīng)泄露了，但擁有者卻不知道，還在繼續(xù)使用。為了避免這種情況發(fā)生，比較好的辦法是定期更換口令。WindowsNT和UNIX系統(tǒng)都支持定期更換口令的功能。

47④口令更換149

⑤多個(gè)口令

一般來說，登錄名或用戶名是與某個(gè)私人口令相聯(lián)系的。盡管如此，在有更高安全要求的系統(tǒng)上還采用多個(gè)口令的安全措施。其中包括系統(tǒng)口令，它允許用戶訪問指定的終端或系統(tǒng)，這是在正常登錄過程之后的額外的訪問控制層。也可以是對撥號訪問或訪問某些敏感程序或文件而要求的額外口令。

48⑤多個(gè)口令150

⑥系統(tǒng)生成口令可以由計(jì)算機(jī)為用戶生成口令，UNIX系統(tǒng)就有這種功能?？诹钌绍浖梢园辞懊嬗懻摰脑S多原則為用戶生成口令，由系統(tǒng)生成的口令一般很難記憶，有時(shí)會迫使用戶寫到紙上，造成了不安全因素。49⑥系統(tǒng)生成口令151對口令的控制：除了以上各種安全措施外，有的系統(tǒng)對使用口令進(jìn)行訪問還采取更嚴(yán)格的控制，通常有以下一些措施：

登錄時(shí)間限制

系統(tǒng)消息

限制登錄次數(shù)

最后一次登錄

盡量減少會話透露的信息

增加認(rèn)證的信息量50對口令的控制：操作系統(tǒng)的訪問控制機(jī)制訪問控制系統(tǒng)一般包括：主體(subject)。主體是指發(fā)出訪問操作、存取請求的主動方，它包括用戶、用戶組、主機(jī)、終端或應(yīng)用進(jìn)程等。主體可以訪問客體。客體(object)?？腕w是指被調(diào)用的程序或要存取的數(shù)據(jù)訪問，它包括文件、程序、內(nèi)存、目錄、隊(duì)列、進(jìn)程間報(bào)文、I/O設(shè)備和物理介質(zhì)等。安全訪問政策。安全訪問政策是一套規(guī)則，可用于確定一個(gè)主體是否對客體擁有訪問能力。

操作系統(tǒng)的訪問控制機(jī)制152153訪問控制

訪問控制的基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。

52訪問控制訪問控制的基本目標(biāo)都是防止非法用訪問控制也叫授權(quán)，它是對用戶訪問網(wǎng)絡(luò)系統(tǒng)資源進(jìn)行的控制過程。只有被授予一定權(quán)限的用戶，才有資格去訪問有關(guān)的資源。訪問控制具體包括兩方面涵義，一是指對用戶進(jìn)入系統(tǒng)的控制，最簡單最常用的方法是用戶賬戶和口令限制，其次還有一些身份驗(yàn)證措施；二是用戶進(jìn)入系統(tǒng)后對其所能訪問的資源進(jìn)行的限制，最常用的方法是訪問權(quán)限和資源屬性限制。訪問控制也叫授權(quán)，它是對用戶訪問網(wǎng)絡(luò)系統(tǒng)資源進(jìn)154

訪問控制可分為自主訪問控制和強(qiáng)制訪問控制兩大類。自主訪問控制：是指由用戶有權(quán)對自身所創(chuàng)建的訪問對象(文件、數(shù)據(jù)表等)進(jìn)行訪問，并可將對這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限。訪問控制可分為自主訪問控制和強(qiáng)制訪問控制兩大類。155

強(qiáng)制訪問控制：是指由系統(tǒng)（通過專門設(shè)置的系統(tǒng)安全員）對用戶所創(chuàng)建的對象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對哪些對象進(jìn)行什么樣操作系統(tǒng)類型的訪問，即使是創(chuàng)建者用戶，在創(chuàng)建一個(gè)對象后，也可能無權(quán)訪問該對象。強(qiáng)制訪問控制：是指由系統(tǒng)（通過專門設(shè)置的系統(tǒng)安156

所有用戶的訪問權(quán)限完全是由安全管理員根據(jù)需要確定的。強(qiáng)制訪問控制還有其他安全策略，如“角色授權(quán)管理”。該策略將系統(tǒng)中的訪問操作按角色進(jìn)行分組管理。一種角色執(zhí)行一種操作，由系統(tǒng)安全管理員進(jìn)行統(tǒng)一授權(quán)。當(dāng)授予某一用戶某個(gè)角色時(shí)，該用戶就有執(zhí)行該角色所對應(yīng)的一組操作的權(quán)限。所有用戶的訪問權(quán)限完全是由安全管理員根據(jù)需要確157

系統(tǒng)訪問控制是指用戶進(jìn)入系統(tǒng)的控制和用戶進(jìn)入系統(tǒng)后如何訪問資源的限制，它包括：1）.訪問控制類型2）.入網(wǎng)安全控制(系統(tǒng)登錄)3）.訪問權(quán)限限制4）.文件和目錄屬性限制5）.網(wǎng)絡(luò)服務(wù)器安全控制6）.網(wǎng)絡(luò)監(jiān)測和鎖定控制7）.網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制8）.防火墻控制系統(tǒng)訪問控制是指用戶進(jìn)入系統(tǒng)的控制和用戶進(jìn)入系158159基本的訪問控制模型

（1）訪問控制矩陣(ACM，AccessControlMatrix)：基本思想就是將所有的訪問控制信息存儲在一個(gè)矩陣中集中管理。當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的。58基本的訪問控制模型160（2）訪問目錄表：這種訪問控制機(jī)制實(shí)際上按訪問控制矩陣的行實(shí)施對系統(tǒng)中客體的訪問控制。文件名權(quán)限C客體(文件)用戶A目錄用戶B目錄CDORWRWBRWABCORWOXRDABO：OwnerR：ReadW：WriteX：Execute訪問目錄表機(jī)制

59（2）訪問目錄表：這種訪問控制機(jī)制實(shí)際上按訪問控制矩陣的訪問目錄表機(jī)制容易實(shí)現(xiàn)，但存在三個(gè)問題需要解決：①共享客體的控制。凡是允許用戶訪問的客體，都應(yīng)該把它的名字存入該用戶的訪問目錄表內(nèi)，共享客體也應(yīng)該存入該目錄表中。存在的問題是，如果共享的客體太多（如子程序庫），用戶的目錄表將會很長，增加了處理時(shí)間。訪問目錄表機(jī)制容易實(shí)現(xiàn)，但存在三個(gè)問題需要解決：161162②訪問權(quán)的收回問題。在實(shí)際情況中，甲乙兩人之間可能有信任關(guān)系，文件A的擁有者甲可以把該文件的某些權(quán)限傳遞給用戶乙，當(dāng)甲用戶想從乙用戶收回該訪問權(quán)時(shí)，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關(guān)系。但是若允許信任關(guān)系傳遞，則給目錄表的管理帶來麻煩。假設(shè)乙用戶在把文件A的訪問權(quán)又傳遞給丙用戶，當(dāng)甲用戶希望收回所有用戶對文件A的訪問權(quán)時(shí)，甲可能不知道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費(fèi)很多時(shí)間。61②訪問權(quán)的收回問題。163③多重許可權(quán)問題。多重許可權(quán)問題是由文件重名問題引起的。假定乙用戶的目錄表中已經(jīng)有一個(gè)文件A，甲用戶也有一個(gè)文件A，但這兩個(gè)文件A的內(nèi)容不同。如果甲信任乙，第一次把自己A文件的部分訪問權(quán)傳遞給乙，為了不重名，甲的文件A被改名為H后存入到乙的目錄表中，乙可能會忘記自己目錄表中的H就是甲的A文件，于是又向甲申請A文件的訪問權(quán)，甲有可能對乙更加信任，就把文件A更高的訪問權(quán)授予乙，于是造成乙用戶對甲的文件A有多重訪問權(quán)的問題，產(chǎn)生客體安全管理的混亂，而且可能產(chǎn)生矛盾。62③多重許可權(quán)問題。164（3）訪問控制表ACLACL表保護(hù)機(jī)制實(shí)際上是按矩陣的列實(shí)施對系統(tǒng)中客體的訪問控制的。訪問目錄表和訪問控制表分別將訪問控制設(shè)施設(shè)置在用戶端和客體端，這兩種控制方式需要管理的表項(xiàng)的總數(shù)量是相同的，它們的差別在于管理共享客體的方法上，訪問控制表技術(shù)易