Windows操作系统安全评测_幻灯片.pptVIP

6.2 操作系统安全评测 该六项基本需求为： 4）审计。必须记录和保存审计信息，以便在影响安全的行为发生时，能追踪到责任人。一个可信任的系统必须有能力将与安全有关的事件记录到审计记录中。必须有能力选择所记录的审计事件，减少审计开销。必须保护审计数据，以免遭到修改、破坏或非法访问。 5）保证。计算机系统软件机制，能提供充分的保证正确实施以上必须包含硬件项基本需求。这些机制在典型情况下，被嵌入在操作系统中，并被设计成以安全方式执行所赋予的任务。 6）持续保护。实现这些基本需求的可信任机制必须得到持续保护，避免篡改和非授权改变。如果实现安全策略的基本硬件和软件机制本身受到非授权的修改或破坏，则这样的计算机系统不能被认为是真正安全的。持续保护需要在整个计算机系统生命周期中均有意义。 6.2 操作系统安全评测 6.2.1 可信系统评价标准（TCSEC） TCSEC标准将计算机系统的安全性分为以下四个等级（A、B、C、D）八个级别，其结构如下图所示。 图6.3 TCSEC的构成与等级结构 6.2 操作系统安全评测 6.2.2 操作系统评测框架 好的安全策略模型要满足四条重要的标准：完备性(completeness)、正确性(correctness)、一致性(consistency)和清晰性(clarity)。 1）完备性：如果COMPUSEC策略中所有相关的断言都在安全策略模型的安全定义中得以重申，那么我们就说它是完备的。可以通过安全策略模型与COMPUSEC策略之间的映射来证明完备性。映射必须是双向的，举例来说，所有的断言都必须包括在安全策略模型中(包括上面提到的可能得意外遗漏)，并且所有的被包括的断言都必须来源于COMPUSEC策略。 2）正确性：如果安全策略模型的安全定义准确地陈述了所有来源于COMPUSEC策略的安全相关断言，那么我们就说它是正确的。正确性是最难也是最重要的标准。完备性与正确性之间的差别在于，对于前者所有的断言都必须被包括进来，而对于后者它们都必须正确地重新叙述，完备性可以协商，而正确性则是不容协商的。 6.2 操作系统安全评测 6.2.2 操作系统评测框架 3）一致性：如果安全策略模型中没有数学冲突，那么它就是一致的。一个自动工具可以帮助检查它的一致性。开发者应该保证使用的形式化符号的一致性，举例来说，在整个模型中，NULL集应该表达一致。 4）清晰性：如果安全策略模型简单而没有无关的细节，那么它就是清晰的。然而为了保证安全策略模型不模糊，它又必须包括足够的细节。一个清晰的规范能够使保证论据的建立简单化。对于复杂的安全断言，清晰性特别重要。而开发者、用户、评测员在安全评测上达成一致又是至关重要的。 6.2 操作系统安全评测 6.2.3 基本功能评测 基本功能测评包括 自主访问控制 强制访问控制 安全审计 用户标识与签别 可信路径 数据机密性和完整性 渗透测试及隐通道分析测评 本章小结 操作系统安全评价测度是安全操作系统实现的一个极为重要的环节，信息技术发达的一些国家对此进行了长期深入的研究，形成了一些对实践具有重要指导意义的原则和方法。本章主要对windows操作系统的漏洞扫描方法和评测操作系统安全的标准和方法进行了详细的描述。 实验: Win2003管理员密码的破解 【背景知识】 暴力口令破解方法是使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过设置一定的范围和规则反复访问服务器来破解一台服务器或数据文件（从理论上可以破解所有口令）。 字典口令破解方法通过查询一个“字典文件”来尝试破译口令，“字典文件”文件包括一个很长的单词列表，字典攻击可以利用重复的登录或者收集加密的口令，并且试图同字典中的单词匹配，只要口令包含在字典中，就可以进行破解。所以，攻击的结果基于字典的强度，一个有经验的攻击者能通常在攻击之前针对受害者的名字、生日、电话号码、门牌号码、身份证号码中的几位生成相应的字典，这样破解效率更高。字典口令破解方法是最常用的口令破解方法。 应对口令破解的方法是：使用强密码（10位以上，夹杂有数字、字母和其它特殊字符，并不包含个人特征的信息）；设置错误的登录次数的阈值，超过阈值即进行锁定。 实验: X-Scan漏洞扫描 【实验目的】通过该实验，体会并掌握漏洞扫描的功能和作用，理解X-Scan扫描的工作原理。 【实验准备】工具软件：X-Scan-v3.3；系统要求：Windows 9x/NT4/2000/2003。为了能看到比较理想的实验结果，最好是未打补丁的Windows 2000系统。 实验: Win2003管理员密码的破解 实验步骤 直接双击x-scan-gui.exe就会来到软件的主界面，主界面如图6.4所示。 实验: Win2003管理