[计算机硬件及网络]ch2网络操作系统安全.ppt

第2章  网络操作系统安全 本章主要内容 操作系统的安全;访问控制的概念、类型及措施;Windows NT/2000/XP系统的完全性;NetWare、UNIX和Linux系统的安全性 本章要求 掌握什么是操作系统的安全 了解访问控制的概念、类型及措施 熟悉Windows NT/2000/XP系统的完全性 认识NetWare、UNIX和Linux系统的安全性 本章分为五小节: 2．1 网络操作系统的概念 2．2 操作系统的安全与访问控制 2．3 Windows NT系统安全 2．4 Windows 2000系统安全 2．5 其他网络操作系统的安全 2.1 网络操作系统的概念 计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完整独立的操作系统，网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。 目前，常用的网络操作系统有Windows 2000 Server、Windows NT Server、NetWare、UNIX和Linux。 网络操作系统在网络应用中发挥着十分重要的作用。因此，网络操作系统本身的安全，就成为网络安全保护中的重要内容。 2. 2 操作系统的安全与访问控制 操作系统主要的安全功能包括： 存储器保护 文件保护 访问控制 身份认证 等。 网络操作系统主要有以下两大类安全漏洞： 输入/输出(I/O)非法访问。 操作系统陷门。 2.2.1 操作系统安全的概念 第一，操作系统本身提供的安全功能和安全服务。 第二，针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵； 第三，保证网络操作系统本身所提供的网络服务能得到安全配置。 访问控制系统一般包括： 主体(subject)。 客体(object)。 安全访问政策。 2.2.2 访问控制的概念及含义 访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。 访问控制具体包括两方面涵义，一是指对用户进入系统的控制， 二是用户进入系统后对其所能访问的资源进行的限制 。 2.2.3 访问控制的类型 访问控制可分为自主访问控制和强制访问控制两大类。 所谓自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。 所谓强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。 2.2.4 访问控制措施 系统访问控制是指用户进入系统的控制和用户进入系统后如何访问资源的限制 1.入网安全控制(系统登录) 2.权限访问限制 3.文件和目录属性限制 4.网络服务器安全控制 5. 身份验证 6. 网络监测和锁定控制 7. 网络端口和节点的安全控制 8. 防火墙控制 1. 入网安全控制(系统登录) 用户名、口令：每个合法用户都有一个用户名和一个口令。这是在系统建立用户时将其存入系统的相应数据库中的。 帐户锁定：系统设定用户尝试登录的最大次数。在到达该数值后，系统将自动锁定，不允许用户再登录。 1. 入网安全控制(系统登录) 用户帐户的默认限制： 入网时间限制 入网站点限制 入网次数限制 资源容量限制 2. 访问权限限制 网络系统使用用户访问权限可控制一个用户能访问系统的哪些资源(目录和文件)以及对这些资源能做哪些操作，如：读、写、建立、修改、删除、文件浏览、访问控制、管理等。访问权限是系统赋予用户的。 3. 文件和目录属性限制 属性规定文件和目录被访问的特性。网络系统可通过设置文件和目录属性控制用户对资源的访问。 4. 网络服务器安全控制 网络服务器上的软件只能从系统目录上装载，而只有网络管理员才具有访问系统目录的权限； 系统可授权控制台操作员具有操作服务器的权利，控制台操作员可通过控制台装载和卸载功能模块、安装和删除软件； 锁定服务器控制台键盘，禁止非控制台操作员操作服务器。 5. 身份认证 身份认证：是指利用有关技术和信息，对用户的身份进行真伪验证的过程。身份认证方法： 利用生物识别技术对用户进行唯一特征(如指纹、声音、视网膜图象等)的验证 利用人们所已知的事进行验证 利用用户拥有的物品进行验证 6. 网络监测和锁定控制 网络管理员对网络实施监控；服务器应记录用户对网络资源的访问；服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果非法用户试图进入网络，网络服务器应能自动记录其企图尝