信息安全技术中信息系统的物理安全

1、l1) 1) 用户验证：它检查尝试登录到域或访问网络资源的所有用户的身份。用户验证：它检查尝试登录到域或访问网络资源的所有用户的身份。l2) 2) 基于对象的访问控制：允许管理员控制对网络中资源或对象的访问。管理员通过对存储在活动目录中的对象指定安全描述符的方式来执行访问控制。安全描述符将列出基于对象的访问控制：允许管理员控制对网络中资源或对象的访问。管理员通过对存储在活动目录中的对象指定安全描述符的方式来执行访问控制。安全描述符将列出获得访问许可权限的用户和组以及指定给这些用户和组的特殊权限。安全描述符还指定了针对对象审核的各类访问事件，对象实例包括文件、打印机和服务等。通过管理对获得访问许

2、可权限的用户和组以及指定给这些用户和组的特殊权限。安全描述符还指定了针对对象审核的各类访问事件，对象实例包括文件、打印机和服务等。通过管理对象属性，管理员可以设置权限、指定所有权和监视用户访问。象属性，管理员可以设置权限、指定所有权和监视用户访问。l3) 3) 活动目录和安全性：活动目录通过使用对象的访问控制和用户凭据提供用户账户和组信息的保护存储。由于活动目录不仅存储用户凭据，还包括访问控制信息，所以登活动目录和安全性：活动目录通过使用对象的访问控制和用户凭据提供用户账户和组信息的保护存储。由于活动目录不仅存储用户凭据，还包括访问控制信息，所以登录到网络的用户可同时获得访问系统资源的验证和授

3、权。录到网络的用户可同时获得访问系统资源的验证和授权。l1.4.2.3 1.4.2.3 公用密钥公用密钥l公用密钥加密技术是保证认证和完整性的安全质量最高的加密方法，用来确定某一特定电子文档是否来自于某一特定客户机。公用密钥基本系统简称公用密钥加密技术是保证认证和完整性的安全质量最高的加密方法，用来确定某一特定电子文档是否来自于某一特定客户机。公用密钥基本系统简称DKIDKI，是一个进行数字，是一个进行数字认证、证书授权和其他注册授权的系统。认证、证书授权和其他注册授权的系统。l通过公用系统密钥基本体系，管理员验证访问信息人员的身份，并在验证身份的前提下控制其访问信息的范围，在组织中方便安全地

4、分配和管理识别凭据等安全问题。通过公用系统密钥基本体系，管理员验证访问信息人员的身份，并在验证身份的前提下控制其访问信息的范围，在组织中方便安全地分配和管理识别凭据等安全问题。l1.4.2.4 1.4.2.4 数据保护数据保护l数据的保密性和完整性从网络验证开始，用户可以使用正确的凭据登录到网络，并在该过程中获得访问存储数据的权限。数据的保密性和完整性从网络验证开始，用户可以使用正确的凭据登录到网络，并在该过程中获得访问存储数据的权限。lWindowsWindows支持两种数据保护类型支持两种数据保护类型存储数据和网络数据：存储数据和网络数据：l1) 1) 存储数据保护：用户可以使用加密文件系

5、统存储数据保护：用户可以使用加密文件系统 (EFS) (EFS) 和数字签名方法存储数据。和数字签名方法存储数据。l2) 2) 网络数据保护：站点内的网络数据由验证协议保护。用户可以用来保护传入和传出站点网络数据的实用工具，包括：网络数据保护：站点内的网络数据由验证协议保护。用户可以用来保护传入和传出站点网络数据的实用工具，包括：IP SecurityIP Security、路由和远程访问、代理服务器。、路由和远程访问、代理服务器。l1.4.3 1.4.3 账户和组的安全性账户和组的安全性l在在WindowsWindows计算机上建立安全体系需要一个管理员。管理员为访问计算机上建立安全体系需要

6、一个管理员。管理员为访问WindowsWindows计算机的用户建立账户，否则此用户将无法对网络进行访问。建立了账户的用户其使用权限和特权计算机的用户建立账户，否则此用户将无法对网络进行访问。建立了账户的用户其使用权限和特权都由他所在的组决定。都由他所在的组决定。l在域内建立安全体系需要域管理员。域管理员首先需要为用户和计算机建立账户，然后把用户和计算机进行分组并放入账户数据库中。域管理员还可以选择哪一个组被包括在域内建立安全体系需要域管理员。域管理员首先需要为用户和计算机建立账户，然后把用户和计算机进行分组并放入账户数据库中。域管理员还可以选择哪一个组被包括进哪一个安全策略之中，并将这些操作

7、的结果放进安全策略数据库。进哪一个安全策略之中，并将这些操作的结果放进安全策略数据库。l在在Windows XPWindows XP中，组内可以包含任何用户、计算机和组账户，而不用顾及这些用户和账户在域目录中的什么位置。另外，动态目录服务把域详细地划分成组织单元中，组内可以包含任何用户、计算机和组账户，而不用顾及这些用户和账户在域目录中的什么位置。另外，动态目录服务把域详细地划分成组织单元 (OU) (OU) ，分别管理域中的一些用户、计算机、组、文件和打印机等资源对象。分别管理域中的一些用户、计算机、组、文件和打印机等资源对象。l1.4.4 1.4.4 域的安全性域的安全性l域在活动目录中是

8、用来定义安全边界的。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利：域在活动目录中是用来定义安全边界的。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利：l1) 1) 两个不同域的安全策略和设置两个不同域的安全策略和设置 ( (诸如管理权限和访问控制列表诸如管理权限和访问控制列表) ) 不能相互交叉。不能相互交叉。l2) 2) 分派管理权限消除了需要大量具有广泛管理权限的管理员的必要。分派管理权限消除了需要大量具有广泛管理权限的管理员的必要。l3) 3) 将对象分成不同的组放入域中有助于在网络中反映公司的组织结构

9、。将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。l4) 4) 每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储组织扩展成数量庞大的对象。每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储组织扩展成数量庞大的对象。l域通常分为两种类型：主域域通常分为两种类型：主域 ( (存储用户和组账户存储用户和组账户) ) 和资源域和资源域 ( (存储文件、打印机、应用服务等等存储文件、打印机、应用服务等等) ) 。在这种多域计算环境中，资源域需要具有所有主域的多委托关系。这些。在这种多域计算环境中，资源域需要具有所有主域的多委托关系。这些委托关系允许主域中的用

10、户访问资源域中的资源。委托关系允许主域中的用户访问资源域中的资源。l1.4.5 1.4.5 文件系统的安全性文件系统的安全性lWindowsWindows推荐使用的推荐使用的NTFSNTFS文件系统提供了文件系统提供了FATFAT和和FAT32FAT32文件系统所没有的全面的性能、可靠性和兼容性。文件系统所没有的全面的性能、可靠性和兼容性。NTFSNTFS文件系统的设计目标就是能够在很大的硬盘上很快地执行诸如读文件系统的设计目标就是能够在很大的硬盘上很快地执行诸如读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级

11、操作。NTFSNTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性，它还支持对于文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性，它还支持对于关键数据完整性的数据访问控制和私有权限。除了可以赋予关键数据完整性的数据访问控制和私有权限。除了可以赋予 WindowsWindows计算机中的共享文件夹特定权限外，计算机中的共享文件夹特定权限外，NTFSNTFS文件和文件夹无论共享与否都可以赋予权限。文件和文件夹无论共享与否都可以赋予权限。l在在NTFSNTFS卷中设置权限就是指定一个组或用户对该目录的访问许可。设置目录权限时，对已有的子目录和文件除非特别指定，否则

12、是不会更改其权限的。生成新的子目录和文卷中设置权限就是指定一个组或用户对该目录的访问许可。设置目录权限时，对已有的子目录和文件除非特别指定，否则是不会更改其权限的。生成新的子目录和文件时，它们就从目录中继承了新设置的权限。件时，它们就从目录中继承了新设置的权限。l与目录权限类似，在与目录权限类似，在NTFSNTFS卷中设置文件权限就是指定组或用户对该文件的访问许可。在目录中创建一个文件时，该文件也从目录中继承了这种权限。需要注意的是，赋予了卷中设置文件权限就是指定组或用户对该文件的访问许可。在目录中创建一个文件时，该文件也从目录中继承了这种权限。需要注意的是，赋予了对一个目录的对一个目录的“完

13、全控制完全控制”权限的组或用户可以删除该目录中的文件，而无论该文件有何保护权限。权限的组或用户可以删除该目录中的文件，而无论该文件有何保护权限。l通过设置目录和文件权限，用户可以保护自己的文件和目录，也可以通过设置通过设置目录和文件权限，用户可以保护自己的文件和目录，也可以通过设置NTFSNTFS卷中的文件和目录的特殊访问权限来加强对自己的文件和目录的保护。特殊访问权限可以卷中的文件和目录的特殊访问权限来加强对自己的文件和目录的保护。特殊访问权限可以对目录、所选目录的所有文件或选定文件有效。对目录、所选目录的所有文件或选定文件有效。l1.4.6 IP1.4.6 IP安全性管理安全性管理l在在W

14、indowsWindows中使用了因特网安全协议，即通常所说的中使用了因特网安全协议，即通常所说的 IPIP安全性，简称为安全性，简称为IPSecIPSec，它能够定义与网络通信相联系的安全策略。，它能够定义与网络通信相联系的安全策略。lIPIP安全性可以自动对进出该系统的安全性可以自动对进出该系统的IPIP网络包进行加密或解密。从而，可以防止通信内容被窃取。另外在网络包进行加密或解密。从而，可以防止通信内容被窃取。另外在IPIP网络中安装网络中安装IPIP安全性时，与所送的安全性时，与所送的TCP/IPTCP/IP包的类型和包的类型和TCP/IPTCP/IP端口一端口一样，既可以使其覆盖所有的机器，也可以只覆盖一部分机器。样，既可以使其覆盖所有的机器，也可以只覆盖一部分机器。l1.4.7 1.4.7 实验与思考实验与思考l本节实验与思考的目的是：本节实验与思考的目的是：l1) 1) 通过学习使用通过学习使用WindowsWindows系统管理工具，熟悉系统