操作系统安全要点.pptVIP

第7章 操作系统安全 安全体系结构 操作系统是最底层软件系统,其安全性直接影响并决定了计算机的安全性能。 操作系统安全是信息系统安全的最基本、最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞，必然导致信息系统的整体安全脆弱性。操作系统的任何功能性变化，都可导致信息系统安全脆弱性分布情况的变化。从软件角度来看，确保信息系统安全的第一要事便是采取措施保证操作系统安全。 在目前的操作系统中,对安全机制的设计不尽完善,存在较多的安全漏洞隐患。面对黑客的盛行,网络攻击的日益频繁,运用的技术愈加先进,计算机操作系统的安全显得尤为重要。 安全体系结构的安全服务 操作系统安全 身份认证 提纲 单机状态下身份认证 基于口令的认证方式 基于智能卡的认证方式 基于生物特征的认证方式 认证的概念 认证是一个过程，通过这个过程，一个实体向另一个实体证明了某种声称的属性。 身份认证 身份认证，用来确定用户在系统中的身份的真实性，包括用户的标识和鉴别，是用户进入系统后的第一道防线。 用户标识是指用户登录注册在信息系统中的身份标识（ID），代表用户的身份信息。 鉴别是验证某些事物的过程。 身份认证的基本途径 基于你所知道的（What you know ） 知识、口令、密码 基于你所拥有的（What you have ） 身份证、信用卡、密钥、智能卡等 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜 双因素(双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统)、多因素认证 身份认证的基本模型 申请者（Claimant） 验证者（Verifier） 认证信息AI（Authentication Information） 可信第三方(Trusted Third Party) 常用的身份认证技术/协议 简单口令认证 质询/响应认证 一次性口令认证（OTP） 电子令牌 基于U盾的身份认证 基于生物特征的身份认证 基于口令的身份认证 用户名/口令认证技术是最简单、最普遍的身份识别技术 各类系统的登录等。 口令具有共享秘密的属性，只有用户和系统知道。 例如，用户把他的用户名和口令送服务器，服务器操作系统鉴别该用户。 口令有时由用户选择，有时由系统分配。 通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。 口令有多种，如一次性口令；还有基于时间的口令 基于口令的身份认证 用户名/口令具有实现简单的优点，但存在以下安全缺点： 大多数系统的口令是明文传送到验证服务器的，容易被截获。 口令维护的成本较高。为保证安全性，口令应当经常更换。另外为避免对口令的字典攻击，口令应当保证一定的长度，并且尽量采用随机的字符。但缺点是难于记忆。 口令容易在输入的时候被攻击者偷窥，而且用户无法及时发现。 简单和安全是互相矛盾的两个因素 口令保护技术 对口令的使用,存储和更新进行控制 控制口令显示信息 限制注册失败次数: 3次或6次 定期更新口令 避免重复使用 最小长度:6~8个字符 用户被锁 -系统生成口令:随机性更好 创建强健的口令 在创建安全口令的时候，最好能遵循以下准则：不要做以下的事： 不要只使用单词或数字 — 决不要在口令中只使用单词或数字。 某些不安全口令包括： 8675309 juan hackme 不要使用现成词汇 — 像名称、词典中的词汇、甚至电视剧或小说中的用语，即使在两端使用数字，都应该避免使用。 某些不安全口令包括： John1 DS-9 mentat123 创建强健的口令 不要使用外语中的词汇 — 口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。 不要使用黑客术语 — 如果你以为在口令中使用黑客术语 — 又称 L337 (LEET) — 就会与众不同，请再三思。许多词汇列表都包含了 LEET 式术语。 不要使用个人信息 — 千万不要使用个人信息。如果攻击者知道你的身份，推导出你所用口令的任务就会变得非常容易。以下是你在创建口令时应该避免使用的信息类型。 某些不安全口令包括： 你的名字 宠物的名字 家庭成员的名字 生日 你的电话号码或邮政编码 创建强健的口令 不要倒转现存词汇 — 优秀的口令破译者总是倒转常用词汇，因此倒转薄弱口令并不会使它更安全。 不要笔录你的口令 — 决不要把口令写在纸上。把它牢记在心才更为安全。 不要在所有机器上都使用同样的口令 — 在每个机器上使用不同的口令是及其重要的。这样，如果一个系统泄密了，所有其它系统都不会立即受到威胁。 做以下的事： 创建强健的口令 口令长度至少为八个字符 — 口令