李凤华教材资料--计算机安全跟保密技术--第五章节.pptVIP

网络安全 第五讲 积极防御 本讲内容 5.1 访问控制 5.2 审计 5.3 防火墙 5.4 入侵检测 5.5 安全系统设计 5.1.7 常见相关工具介绍— 访问控制(1) ?Kerberos 开发者：Barray Jaspan 一个用于不安全物理网络上的验证原则有效性系统 原则= PrimaryName , Instance , Realm 主名 事例 领域 1.用户：注册标识符 空或与用户相 区分不同的 关的特殊信息 身份验证域 2.服务：服务的名字 机器名 (所以可同时拥有 不同的K服务器) 常见相关工具介绍— 访问控制(2) ? 其它常见工具软件 Deslogin —— 开发者Dave Barrett 提供比Telnet,rlogin更强的安全认证功能，而且所有的数据都可通过DES加密方式从远程主机传入或传出，因此可允许用户通过不可靠的网络访问远程主机，而不必担心被窃听 DIAL ——开发者Roger Tolkv Emulex 通过利用电话业务控制访问者身份的回拨工具。即只有已经授权的用户通过自己特定的电话号码，才能够通过验证；一旦用户通过了身份认证，他这次的连接就会被挂断，然后系统会按照他拨入时所使用的电话号码进行回拨用（C语言编写的） CALLBACK.EXE 功能/原理和DIAL几乎一致（用Fortran编写） …… 5.1.8 常见相关工具介绍—— 单机访问控制 访问控制主要内容 典型工具软件 Windows 平台 桌面保护 Windows Enforcer + Cetus StormWindows 系统保护 UNIX 平台 多层次权限管理 GUARDIAN (一般通过特权值) suGUARD …… 注：1. 桌面保护包括隐藏桌面图标/网上邻居/所有的驱动程序等 2. 系统保护包括屏蔽热启动/添删打印机/进入DOS环境等 5.2 审计 5.2.1 问题的提出 70%的安全问题起源于管理 几乎所有的安全事件的查处和追踪依赖系统事件记录 系统资源的改善需要历史经验 5.2.2 审计 概念： 根据一定的策略，通过记录、分析历史操作事件发现和改进系统性能和安全 作用： 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为提供有效的追纠证据 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 5.2.3 NT的安全审计 在NT 中可以对如下事件进行安全审计： 登录及注销 文件及对象访问 用户权力的使用，用户及组管理 安全性规则更改 重新启动、关机系统 进程追踪等 NT安全审计方法 利用NT 的用户管理器，可以设置安全审计规则。要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看NT 记录的安全性事件类型的事件，可以跟踪所选用户的操作。 NT 的审计规则如下(既可以审计成功的操作，又可以审计失败的操作)： 登录及注销：登录及注销或连接到网络 文件及对象访问 用户及组管理：创建、更改或删除用户帐号或组；重命名、禁止或启用用户号；或设置和更改密码 安全性规则更改：对用户权利、审计或委托关系规则的改动 重新启动、关机：用户重新启动或关闭计算机；或者发生了一个影响系统安全性或安全日志的事件 进程追踪：这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制，间接对象的访问和退出进程 对于文件及对象访问中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体的设置 文件和目录审计允许您跟踪目录和文件的用法。对于一个具体的文件或目录，可以指定要审计的组、用户或操作。既可以审计成功的操作，又可以审计失败的操作 审计目录可以选择下列事件：读、写、执行、删除、更改权限、获得所有权 5.2.4 NT日志文件 名称: /WINNT/SYSTEM32/CONFIG/ SysEvent.evt SecEvent.evt AppEvent.evt 打开工具: 程序/管理工具/事件查看器 5.2.5 UNIX的安全审计 Unix的日志文件 主要目录: /etc /etc/security /usr/adm 早期版本 /var/adm 近