第2讲操作系统安全.ppt

第2章  网络操作系统安全 本章主要内容 操作系统的安全;访问控制的概念、类型及措施;Windows NT/2000/XP系统的安全性;NetWare、UNIX和Linux系统的安全性 本章要求 掌握什么是操作系统的安全 了解访问控制的概念、类型及措施 熟悉Windows NT/2000/XP系统的安全性 认识NetWare、UNIX和Linux系统的安全性 本章分为五小节: 2．1 网络操作系统的概念 2．2 操作系统的安全与访问控制 2．3 Windows NT系统安全 2．4 Windows 2000系统安全 2．5 其他网络操作系统的安全 2.1 网络操作系统的概念 计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完整独立的操作系统，网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。 网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务的软件及相关规程，它是整个网络的核心，通过对网络资源的管理，使网上用户能方便、快捷、有效地共享网络资源。操作系统的主要功能包括：进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理等。 NOS是一种运行在硬件基础上的网络操作和管理软件，是网络软件系统的基础，它建立一种集成的网络系统环境，为用户方便而有效地使用和管理网络资源提供网络接口和网络服务。NOS除了具有一般操作系统所具有的处理机管理、存储器管理、设备管理和文件管理功能外，还提供高效而可靠的网络通信环境和多种网络服务功能。如文件服务、打印服务、记账服务、数据库服务以及支持Internet和Intranet服务。 目前，常用的网络操作系统有Windows 2000 Server、Windows NT Server、NetWare、UNIX和Linux。 Windows 2000是在Windows NT基础上发展起来的，在安全性、可操作性等方面都做了较大的改进，又增加了活动目录、分布式文件系统、智能镜像技术、管理咨询和强大的网络通信等新功能，为广大用户所接受。Windows 2003操作系统也已逐渐进入应用，已有超过或取代Windows 2000之势。Windows XP作为一个崭新的操作系统，它继承了Windows NT的稳定性和Windows 2000的安全性，已经得到广泛的应用。 网络操作系统在网络应用中发挥着十分重要的作用。因此，网络操作系统本身的安全，就成为网络安全保护中的重要内容。 2. 2 操作系统的安全与访问控制 操作系统主要的安全功能包括：存储器保护(限定存储区和地址重定位，保护存储信息)、文件保护(保护用户和系统文件，防止非授权用户访问)、访问控制、身份认证(识别请求访问的用户权限和身份)等。 网络操作系统主要有以下两大类安全漏洞： 输入/输出(I/O)非法访问。在一些操作系统中，一旦I/O操作被检查通过后，该操作系统就继续执行操作而不再进行检查，这样就可能造成后续操作的非法访问。 操作系统陷门。某些操作系统为了维护方便、使系统兼容性和开放性更好，在设计时预留了一些端口或保留了某些特殊的管理程序功能。 2.2.1 操作系统安全的概念 第一，操作系统本身提供的安全功能和安全服务。 第二，针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵； 第三，保证网络操作系统本身所提供的网络服务能得到安全配置。 访问控制系统一般包括： 主体(subject)。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。 客体(object)。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。 安全访问政策。安全访问政策是一套规则，可用于确定一个主体是否对客体拥有访问能力。 2.2.2 访问控制的概念及含义 为了系统信息的保密性和完整性，系统需要实施访问控制。访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。只有被授予一定权限的用户，才有资格去访问有关的资源。访问控制具体包括两方面涵义，一是指对用户进入系统的控制，最简单最常用的方法是用户账户和口令限制，其次还有一些身份验证措施；二是用户进入系统后对其所能访问的资源进行的限制，最常用的方法是访问权限和资源属性限制。 访问控制所考虑的是对主体访问客体的控制。主体一般是以用户为单位实施访问控制，此外，网络用户也有以IP地址为单位实施访问控制的。客体的访问控制范围可以是整个应用系统，包括网络系统、服务器系统、操作系统、数据库管理系统；文件、数据库、数据库中的某个表甚至是某个记录或字段等。一般来说，对整个应用系