《计算机网络安全课件》第四章节计算机系统安全与访问控制.pptVIP

第四章 计算机系统安全与访问控制 什么是计算机安全 计算机的安全级别 系统访问控制 选择性的访问控制 4.1 什么是计算机安全 计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。 1、计算机系统的安全需求能 （P95） 1）保密性；2）安全性；3）完整性；4）服务可用性；5）有效性和合法性；6）信息流保护。 2、计算机系统安全技术 （P97） 1）实体硬件；2）软件系统；3）数据信息；4）网络站点；5）运行服务；6）病毒防治；7）防火墙；8）计算机应用系统的安全评价。 3、计算机系统安全技术标准： P 98 /（1）~（8） 4.2 安全级别 1、D级（是最低的安全级别，完全不可信） 2、C1级（即选择性安全保护，对硬件有某种程度的保护） 3、C2级（具有访问控制环境权力，限制用户执行某些命令或访问某些文件，加入身份认证级别，对发生的事件加以审计） 4、B1级（即标志安全保护，不许文件的拥有者改变其权限） 5、B2级（即结构保护，要求所有的对象都要加上标签） 6、B3级（即安全域级别，使用安装硬件的方式加强域的安全） 7、A级（即验证设计，是当前橙皮书的最高级别，它包括了一个严格的设计、控制和验证过程） 4.3 系统访问控制 访问控制是对进入系统的控制，如在工作站或终端上所使用的Login User ID、Password。它的作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。对一个系统进行访问控制的常用方法是： 1）采用合法的用户名（用户标识）； 2）设置口令。 此外，还可以采用较复杂的物理识别设备，如访问卡、钥匙或令牌。生物统计学系统是一种颇为复杂而又昂贵的访问控制方法，如指纹、笔迹等。 4.3.1 系统登录 1、Unix系统登录 任何一个想使用Unix系统的用户，必须先向该系统的管理员申请一个账号（对每一个账号有一个只有合法用户才知道的口令），然后才能使用系统。P101~102 2、Unix账号文件 Unix账号文件是登录验证的关键，它包括如下内容： 1）登录名称（login后输入的名称） 2）口令（是用户使用系统的“通行证”） 3）用户标识号（用在系统内部处理用户的访问权限） 4）组标识号（用户所在组的组标识号） 5）用户起始目标（指定用户的主目录，各用户对自己的主目录拥有读、写和执行的权力，其他用户对该目录的访问则可以根据具体情况来加以设置） 3、注册的Shell Shell程序是一种能读取输入命令并设法执行这些命令的特殊程序，它是大多数用户进程的父进程。P104 4、Windows NT系统登录 要求每一个用户提供惟一的用户名和口令来登录到计算机上。 强制性登录和使用Ctrl+Alt+Del组合键启动登录过程的好处是： 1）强制性登录过程用以确定用户身份是否合法及其访问权限。 2）使用Ctrl+Alt+Del组合键启动登录过程同时造成用户程序被终止，可防止有人创建或偷窃用户账号和口令的应用程序。 3）强制性登录过程允许用户具有单独的配置，这样，多个用户可以使用同一台机器并具有各自的专用设置。 成功的登录过程有四个步骤： 1）Win 32的WinLogon过程给出一个对话框，要求输入用户名和口令； 2）安全性账户管理程序验证用户名和口令； 3）如果访问是授权的，安全性系统构造一个存取令牌传回到Win 32的WinLogon过程； 4） WinLogon调用Win 32子系统，为用户创建一个新的进程，令牌传给子系统。 5、账户锁定 用户在规定次数内未成功登录，则系统会自动被锁定，不可能再用于登录。P105 6、Windows NT安全性标识符（SID） 它是安全系统上标识一个注册用户的惟一名字，用于系统内部，是一长串数字。在同一台计算机上可以多次创建相同的用户账户名，但其SID各不相同。 4.3.2 身份认证 认证方式可分以下三类，可以是下面 的一种，也可以几种联合使用：P106~107 1、用生物识别技术进行鉴别（如指纹、声音图像、笔迹等） 2、用所知道的事进行鉴别（如口令） 3、使用用户拥有的物品进行鉴别（如智能卡、手机等） 4.3.3 怎样保护系统的口令 1、在建立口令时应遵循的规则：P108 1）选择长的口令；2）口令包括英文字母和数字的组合；3）不要使用英文单词；4）用户若可以访问多个系统，则不要使用相同的口令；5）不要使用名字；6）不要选择记不住的口令；7）使用Unix安全程序来测试口令的安全性。 2）口令的生命期和控制（用户应定期改变自己的口令）； 3）Windows NT的账户口令管理（系统管理员可以对用户的访问时间作出规定）。 4.3.4 关于口令维护的问题 口令维护时应注意如下问题：P109~111 4.4 选择性访问控制 选择性访问控制是