电子政务计算机网络信息安全概念

1、电子政务系统建设与实施张瑾玉 讲师第4章：电子政务计算机网络信息平安概念本章重点讨论电子政务中的计算机网络信息平安计算机网络信息平安开展过程我国计算机网络与信息平安根本对策计算机网络信息平安的根本对策计算机网络平安管理计算机系统平安技术与标准技术只是实现设计的保证，是一种解决问题的方法、工具、手段。作为计算机系统平安技术从使用角度出发，大致有实体，指硬件平安软件，指系统平安数据，指信息平安网络，指站点平安运行，指效劳质量平安计算机系统平安技术与标准续1其核心技术是加密、病毒防治以及平安评价，可以从两个方面表达计算机系统平安技术：主要表现在硬件、软件、数据信息、网站、运行、病毒防治、防火墙等8个

2、方面计算机系统平安技术与标准续2实体硬件平安主要是指为保证计算机和通讯线路及设施、建筑物、构筑物的平安，预防地震、水灾、火灾、飓风、雷击，满足设备正常运行环境的要求，包括电源供电系统，为保证机房的温度、湿度、清洁度、电磁屏蔽要求而采取的各种方式、方法技术和措施；包括为维护系统正常工作而采取的监测、报警和维护技术及相应高可靠、高技术、高平安的产品；为防止电磁辐射、泄露的高屏蔽、低辐射设备，为保证系统平安可靠的设备备份等涉及到计算机系统的环境平安、计算机的故障诊断技术、抗电磁干扰技术、设备访问控制技术、介质存放管理技术等要求，是计算机系统平安的根本条件计算机系统平安技术与标准续3软件系统平安主要是

3、针对所有计算机程序和文档资料，保证他们免遭破坏、非法拷贝和非法使用而采取的技术和方法，包括操作系统平台、数据库系统、网络操作系统和所有应用软件的平安，同时还包括口令控制、鉴别技术、软件加密、压缩技术、软件防拷贝、防跟踪技术还包括掌握高度平安的产品质量标准，选用系统软件和标准工具软件、软件包，对于自己开发使用的软件建立严格的开发、控制、质量保障机制，保证软件满足平安保密技术要求，确保系统平安可靠的运行数据信息平安计算机系统平安技术与标准续4其平安保密主要是指为保证计算机系统的数据库、数据文件和所有数据信息的免遭攻击破坏、修改、泄露和窃取，为防止这些威胁和攻击而采取的技术、方法和措施包括对各种用户

4、的身份识别技术，口令、指纹验证技术，存取控制技术和数据加密技术，以及建立备份、紧急处置和系统恢复技术，异地存放、妥善保管技术等网络站点平安网络站点平安是指为了保证计算机系统中的网络通信和所有站点的平安而采取的各种技术措施，除防火墙技术外，还包括报文鉴别技术，数字签名技术，访问控制技术，加压加密技术，密钥管理技术等；为了保证线路平安、传输平安而采取的平安传输介质技术，网络跟踪、监测技术，路由控制隔离技术，流量控制分析技术等等计算机系统平安技术与标准续5运行效劳平安主要是指平安运行的管理技术。包括系统的使用与维护技术；随机故障维护技术；软件可靠性、可维护性保证技术；操作系统故障分析处理技术；机房环

5、境监测维护技术；系统设备运行状态实测、分析记录等技术实施目的在于，及时发现运行中的异常情况，及时报警，及时提示用户采取措施或进行随机故障维修和进行必要的平安控制病毒防治技术专门设置计算机病毒检测、诊断、杀毒措施，并要求有一套预防方法，以防止病毒的再入侵涉及计算机硬件实体、计算机软件、数据信息的压缩的加密解密技术计算机系统平安技术与标准续6防火墙技术是介于内部网络与外部网络Internet之间的路由器或计算机一般叫堡垒主机，目的是提供平安保护从本质上说是一种保护装置，是用来保护网络数据、资源和用户声誉的计算机系统的平安评价目前我国已经出台的有?金融电子化系统标准化总体标准?等标准计算机系统平安技

6、术与标准续7国际标准化组织对平安体系结构的论述 ISO7498-2中描述的开放系统互连OSI平安体系结构的5种平安效劳工程是鉴别authentication访问控制access control数据保密data confidentiality数据完整性data integrity抗否认non-reputation计算机系统平安技术与标准续8为了实现以上效劳，制定了8种平安机制加密机制enciphrement mechanisms数字签名机制digital signature mechanisms访问控制机制access control mechanisms数据完整性机制data integrit

7、y mechanisms鉴别交换机制authentication mechanisms通信业务填充机制traffic padding mechanisms路由控制机制routing control mechanisms公证机制notarization mechanisms5种平安效劳和8种平安机制的关系表计算机系统平安技术与标准续9美国国家计算机平安中心NCSCNCSC提出的?可信计算机系统评测标准?TCSEC, Trusted Computer System Evaluation Criteria，将计算机系统的平安分为A、B、C、D、四类7级。不同计算机信息系统可根据需要和可能选用不同平安

8、保密强度的不同标准，如军事、国防为A、B类，金融、财贸为B1、C2级或更高级的计算机系统其他的重要标准，还有平安电子交易协议SET, Secure Electronic Transaction Protocol，美国国家标准化委员会ANSI的DEI，RSA加密算法标准等平安立法问题 与信息平安相关的第一类法律法规是指：不是直接针对国际互连网信息平安的法律法规，但它标准和调整的范围与层次，包括了个人，法人及其它组织的有关信息活动涉及国家平安的法律法规。如国家平安法，保密法等第二类是指直接针对计算机平安和国际互连网平安的法规，如?中华人民共和国计算机信息系统平安保护条例?、?中华人民共和国计算机信

9、息网络国际联网管理暂行规定?以及出台的暂行方法?中华人民共和国计算机信息网络国际联网平安保护管理方法?等平安立法问题续1广泛开展计算机平安教育国际信息处理联合会IFIP，International For Information Process从SEC93到SEC98都在会议上倡导要加强计算机平安教育美国成立的“国际强化平安研究会WISE目的在于为工业和政府机构在各种不同类型的法规方面提供训练和咨询1997年“曼哈顿研究方案Manhattan Cyber Project组织和我国国家实验室联合召开“信息系统平安研讨会2000年开始。我国在大专院校计算机专业普遍开设计算机平安技术课程平安立法问题

10、续2平安立法目前，国外许多政府纷纷制定计算机平安方面的法律、法规，典型的有美国：?信息自由法?、?反腐败行为法?、?伪造访问设备和计算机欺骗与滥用法?、?计算机平安法?英国：?数据保护法?美国和加拿大：?个人隐私法?经济合作开展组织各成员国：联合通过?过境数据流宣言?意大利等国将计算机犯罪与刑法、民法联系起来，修改有关条款平安立法问题续3我国近几年来重要的有关法律、法规?中华人民共和国保守国家秘密法?计算机软件保护条例?中华人民共和国计算机信息系统平安保护条例?中华人民共和国计算机信息网络国际联网管理暂行规定及实施方法?中国公众多媒体通信管理方法?计算机病毒控制条例?中华人民共和国计算机信息系

11、统平安检查方法?中华人民共和国计算机信息系统平安申报注册管理方法?平安立法问题续4我国计算机信息系统平安保护等级划分准那么我国计算机信息系统平安保护等级及划分准那么也称标准，由北京大学、清华大学、中国科学院起草，由国家质量技术监督局于1999年9月13日发布，2001年1月1日起实施。规定了计算机信息系统平安保护能力的五个等级，即：第一级：用户自主保护级第二级：系统审计保护级第三级：平安标记保护级第四级：结构化保护级第五级：访问验证保护级平安立法问题续5等级划分准那么具体内容为：第一级“用户自主保护级：计算机信息系统可信计算通过隔离用户与数据，使用户具备自主平安保护的能力。具有多种形式的控制能

12、力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏自主访问控制身份鉴别数据完整性平安立法问题续6第二级“系统审计保护级：与用户自主保护级相比，本级的计算机信息系统可信计算实施了粒度更细的自主访问控制，它能过登录规程、审计平安性相关事件和隔离资源，使用对自己的行为负责自主访问控制身份鉴别客体重用审计数据完整性平安立法问题续7第三级“平安标记保护级：本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还需提供有关平安策略模型、数据标记以及主体对客体强制访问的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误自主

13、访问控制强制访问控制标记身份鉴别客体重用审计数据完整性平安立法问题续8第四级“结构化保护级：本级的计算机信息系统可信计算基建立于一个明确定义的形式化平安策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的渗透能力平安立法问题续9自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性隐

14、蔽信道分析可信路径平安立法问题续10 第五级“访问验证保护级：本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施平安策略来说并非必要的代码；在设计和实现时，从系统工程角度将其性降低到最小程度。支持平安管理员职能；扩充审计机制，当发生与平安相关的事件时发出信号；提供系统恢复机制。系统具有很高的渗透能力平安立法问题续11自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性隐蔽信息分析可信路径可信恢复我国网络信息平安的现状我国一直重视

15、计算机网络与信息平安，除了政府已经分布的有关法规文件外，信息平安方面成立了专门的研究机构。但国内研究面较狭，主要是网络反病毒产品，如KILL和VRV的网络防火墙产品，但大多数只是“效劳器用户“单机用户的简单杀毒组合，并不具备真正意义上的网络防守实力我国网络信息平安的现状续1瑞星、KV300和KILL三足鼎立的格局已然形成，下一个更大的市场便是网络版的市场从开展方向来看，网络杀毒产品必将是未来市场的一个主流因为网络杀毒软件产品的产值要比单机版要高，利润空间也非常可观因为在历史上国内企业用户对网络版的应用并不是很重视，近来出现了许多网络事故，才引起了重视日前，随着中国电子商务浪潮的风行，许多企业用

16、户也正在由单机防护应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大 我国网络信息平安的现状续2从技术上来看，防病毒软件的开展方向在于要能适应各种产品的数据压缩格式，能对藏于每个文件压缩包内的病毒均可以进行检查和去除实时监控技术是防病毒软件必须具备的主流技术根据国际计算机平安协会的调查，现在新增30%以上的病毒是通过Internet传播，可以说Internet上的防毒能力成为防杀病毒软件的关键技术在这方面，国内的厂商那么相对滞后一些我国网络信息平安的现状续3“在线杀毒的方式也是一个很好的方向具有免下载、免等待、病毒码随时更新等特性省去下载最新病毒代码的时间，且因为不用安装，所以不会

17、占用任何电脑系统资源，一般防毒软件根本杀毒功能线上杀毒都能提供对于厂商而言，“在线杀毒不需要传统杀毒所需要的介质的费用，减少了产品在流通环节所消耗的费用，使它的本钱和价位都能够降低很多缺点是目前只支持文件型病毒的查毒与杀毒动作，不能去除内存里的病毒我国网络信息平安的现状续4从效劳上看，杀毒软件的竞争也是效劳质量等方面的竞争，尤其是对于单机版产品作为一款主要面向一般消费人群的单机版产品，除杀毒能力之外，如易用性、速度、资源占用情况、升级的更新频率及步骤简繁等方面也是非常重要的一些业内人士认为“作为一种反病毒产品，其主要目的是为了对抗计算机病毒。因此，反病毒软件的检测率、去除率、误报率，以及对病毒

18、处理的可靠性等方面理应是该款反病毒产品的主要特征和评测目标，所以，可能要涉及到非企业类杀毒软件产品的评测方法以什么为依据的问题，以及是否将其与企业级杀毒软件产品的评测标准相别离的问题我国网络信息平安的现状续5据?每周电脑报?的市场调查研究部的文章认为目前在杀毒软件方面，知名度由高至低的杀毒软件分别是：KV300、瑞星、KILL、Norton、Pc-cillin、VRV和AV95KV300的认识比率高达93%，瑞星和KILL的认知率分别为88.8%和82.3%在使用比率方面，前九位排名也一致，KV300的使用比率在被访企业中占80%在网络平安产品生产商和网络平安效劳供给商和知名度排名中，排名第一

19、位的是瑞星71.1%，其次是江民47.2%、CA44.5%、冠群金辰28.3%和赛门铁克13.7%我国网络信息平安的现状续6对国产网络平安产品的看法，被访企业的代表70.8%认为在与国外产品的竞争中，价格低廉是最大的优势。另外，技术并不逊于国外产品34.3%、良好的售后效劳30.0%和政策支持23.8%也是国产网络平安产品的优势。仍有8.5%的被访者明确表示国产网络平安产品同国外同类产品比较并没有优势可言我国网络信息平安的现状续7被访者认为国产网络平安产品目前存在的主要问题有：配套效劳不够50.8%、产品线不全45.7%和平安漏洞多34.7%有7.8%的被访者认为中外产品差距在一年以内，19.

20、7%的被访者认为差距在一至两年，18.0%的被访者认为差距在两至三年，14.4%的被访者认为差距在三年或更长的时间一方面源于我国总体应用技术开发滞后另一方面国内网络用户在实际应用范围和水平上都还比较低。网络平安防范意识冷淡或疏于管理网络信息平安的根本对策 联网的计算机，特别是连接Internet的主机，比没有联网的主机暴露出更大的平安问题。全世界几乎每时都有闯入break-in和平安侵犯security violation行为发生，侵犯者不仅仅是Internet的破坏者，也包括为了个人目的或恶意地偷窃计算机信息或政法效劳的雇员网络信息平安的根本对策续1平安级别根据美国国防部开发的计算机平安标准

21、，可信任计算机标准评估准那么Trusted Computer Standards Evaluation Criteria：桔黄皮书Orange Book，被用于保护硬件、软件和存储的信息免受攻击，并描述了不同类型的物理平安、用户身份验证authentication、操作系统软件的可信任性和用户应用程序。也限制了什么类型的系统可以连接到你的系统网络信息平安的根本对策续2说明：桔黄皮书自1985年成为美国国防部的标准以来一直没有改变过。多年来一直是评估多用户主机和小型操作系统的主要方法，其它子系统如数据库和网络，也一直是通过桔黄皮书的解释来评估的。例如，可信任数据库解释Trusted Databa

22、se Interpretation和可信任网络解释Trusted Network Interpretation网络信息平安的根本对策续3计算机平安划分为7个等级D1级：是可用的最低的平安形式。该标准说明整个系统都是不可信任的。对于硬件来说，没有任何保护可用；操作系统容易受到损害；对于用户和他们对存储在计算机上信息的访问权限没有身份验证该平安级别典型地指像MS-DOS、MS-Windows和Apple的Macintosh System 7.x等操作系统。这些操作系统不区分用户，并且没有定义方法来决定谁在敲击键盘。这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制网络信息平安的根本对

23、策续4C1级：C级两个平安子级别之一。C1级称为自选平安保护Discretionary Security Protection系统，描述了一个典型的Unix系统上可用的平安级。对硬件来说存在某种程度的保护，不再那么容易受到损害，尽管损害的可能性仍存在。用户必须通过用户注册名和口令让系统识别他们自己，用来确定每个用户对程序和信息拥有什么样的访问权限访问权限是文件的目录许可权限permission。这些自选访问控制Discretionary Access Controls使文件或目录的拥有者或者系统管理员能阻止某个人或几个组访问那些程度或信息。但是并没有阻止系统管理帐户执行活动。结果是不审慎的系统

24、管理员可以容易损害系统平安许多日常系统管理任务只能由以root注册的用户来执行网络信息平安的根本对策续5C2级：除C1包含的特征外，C2级还包含其它的创立受控访问环境controlled-access environment的平安特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。另外，这种平安级别要求系统加以审核audit，这包括为系统中发生的每个事件编写一个审核记录附加身份验证不能与可应用于程序的SGID和SUID许可权限相混淆，而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证，例如，那些无权浏览进程表的用户，当执行ps命令

25、时，只能看到它们自己的进程审核用来跟踪记录所有与平安有关的事件，比方那些由系统管理员执行的活动，审核还要求身份验证。审核的缺点在于需要额外的处理器和磁盘子系统资源网络信息平安的根本对策续6B1级：B级三个平安级别之一。B1级称为标志平安保护Labeled Security Protection，是支持多级平安比方秘密和绝密的第一个级别，这一级说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限B2级：结构保护Structured Protection，要求计算机系统中所有对象都加标签，而且给设备如磁盘、磁带或终端分配单个或多个平安级别。是提出较高平安级别的对象与另一个较低平安

26、级别的对象相通讯的第一个级别网络信息平安的根本对策续7B3级：平安域级别Security Domain使用安装硬件的方法来加强域，如内存管理硬件用于保护平安域免遭无授权访问或其它平安域对象的修改。该级别也要求用户的终端通过一条可信任途径连接到系统上A级：验证设计Verify Design是当前桔黄皮书中最高平安级别，包含了一个严格的设计、控制和验证过程设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。可信任分布Trusted Distribution的含义是，硬件和软件在传输过程是已经受到保护，以防止破坏平安系统也包含较低级别的所有特性加拿大平安已经着手设计它自己的可信任

27、计算标准trusted computing standard，包括两个局部：加拿大可信任计算机产品评估标准Canadian Trusted Computer Product Evaluation Criteria，CTCPEC和普通标准Common CriteriaCTCPEC提出了在开发或评估过程中产品的功能functionality和保证assurance。功能包括机密confidentiality、完整性integrity可用性availability和可说明性accountability，保证集中于产品用以实现组织的平安策略的可信程度普通标准是美国、加拿大、法国、德国和英国联合调查与研

28、究的结果，包含了选择适当的IT平安措施的要求。普通级别有7种保证级：EAL-1到EAL-7加拿大平安续1EAL-1：是最低的保证级别，对开发人员和消费者来说定义了最小程度的保证，并且是以对产品平安性能分析为根底的，使用功能和接口设计来理解平安行为EAL-2：是在不需要强加给产品开发人员除EAL-1要求任务之外的附加任务情况下，可被授予的最高的保证级别。执行对功能和接口标准的分析，以及对产品子系统的高级设计检查加拿大平安续2EAL-3：描述了一种中间的独立确定的平安级别，意味着平安由外部源来证实。允许开发阶段给予最大的保证，而在测试过程中几乎不加修改最大保证指的是设计时已经考虑到了平安问题，而不

29、是设计完之后再实现平安性开发人员必须提供测试证据，包括易受攻击的分析，它们有选择地加以验证。也是包括配置管理评价的第一个级别加拿大平安续3EAL-4：是改进已有生产线的可行的最高保证级别。一个保证级别为EAL-4的产品是一个在设计、测试和检查方面都井井有条的产品，是以很好的商业软件开发经验为根底的，这些经验可以帮助排除一般软件设计问题除了EAL-3级的内容之外，也包括对产品的易受攻击性进行独立的搜索加拿大平安续4EAL-5：对现有的产品来说是不容易到达的。必须有意为了完成该标准来设计和创立产品。适用于那些在严格的开发方法中要求较高保证级别的开发人员和用户，开发人员也必须提出设计标准和如何在产品

30、中从功能上实现这些标准加拿大平安续5EAL-6：包含一个半正式的验证设计和测试文件。包括EAL-5级的所有内容，另外还要求提出实现的结构化表示，产品要接受上下设计检查且必须保证具有高度抗攻击性能。保证在设计循环中使用结构化的开发过程、开发控制和配置管理控制加拿大平安续6EAL-7：只用于最高级别的平安应用程序。包含完整的独立和正式的设计检查，有一个验证、设计和测试阶段。开发人员必须测试产品的每一个方面，寻找明显的或隐藏的易受攻击的地方，这都可以由一个独立的源来全部加以验证局部平安问题用户必须能解决那些局部的，或仅限于用户的组织或组织内部某个部门的平安问题。包括平安策略和口令控制局部平安问题续1

31、平安策略考虑用户站点平安性的策略采用两个主要观点第一、“没有明确允许的就是禁止的，意味着用户的组织提供了一个明确的和记录在案的效劳集合，所有其它的都在禁止之列第二、“没有明确禁止的就是允许的，意味着除非用户明确指出一种效劳不可用，那么所有效劳都是可用的不管是哪种观点，定义一种平安策略的原因是在一个组织的平安受到损害的情况下，必须决定应当采取什么行动。这种策略也描述了哪些行动是可以容忍的，哪些不行的。平安策略决定了平安性的程度局部平安问题续2口令文件防卫非授权访问系统的第一道防线是/etc/password文件。口令文件包括一些行或记录，每行被“:分成7个域。如：chare:u7mHuh5R4U

32、mVo:105:100:Chris Hare:/u/chare:/bin/kshusername:encrypted password:UID:comment:home directory:login shell局部平安问题续3实际的加密口令并不一定放在在加密口令域中，该域可以包含其它值口令文件的许可权限是只读的，类似的，影像口令文件和TCB中的文件一般也是只读的文件中的口令信息可通过password命令修改。password命令的许可权限包括SUIDSet User ID位，使用户能够改变口令局部平安问题续4影像口令文件不包含来自Secure Mare的高级平安选择的Unix版本可支持影像口

33、令文件在口令域中看到字符x时，那么用户实际的口令就存储在影像口令文件/etc/shadow中。与/etc/passwd文件不同，影像口令文件必须只有通过根才是能可读，如下：#Is -I /etc/shadow-r- 1 root auth 831 Oct 24 11:43 /etc/shadow#局部平安问题续5 文件/etc/shadow的格式与/etc/passwd一致，也有7个由“:分开的域，但/etc/shadow只包含用户名、加密口令和口令生命期信息，如下：#cat /etc/shadowroot:DUQC9rXCioAuo:8887:0:0:daemon:*:0:0:mmdf:MZ

34、74AeYMs4sn3:8842:0:0:ftp:b80lug/921MeY:8333:anyone:8418:chare:7xqmj9fj3bVw2:9009:pppdemo:4QYrWsJEHc81A:9032:# 局部平安问题续6文件/etc/shadow是由命令pwconv在SCO和SVR4系统创立的，只有超级用户能够创立影像口令文件。在SCO系统时/etc/passwd中的信息和保护的口令数据库用于创立口令文件；在SVR4系统时使用/etc/passwd中的信息影像口令文件的主要优点是将加密口令放在一个普通的用户无法访问的文件中局部平安问题续7拨号口令文件直接在Unix系统上支持拨号

35、访问的问题在于允许通过 线路直接访问该系统，破坏者可能“侵入系统可能会导致系统的损害。许多Unix系统提供了匿名UUCP访问，容易导致口令文件的丧失所以，在Unix系统中提供拨号访问的另一种方法是：通过一台支持身份验证的终端效劳器来提供访问。这种方式下，用户在允许网络访问之前必须由终端效劳器证实为合法局部平安问题续8遗憾的是，串行端口线路安装附加口令的能力不是所有Unix版本都具有的。串行线路的拨号口令保护是通过/etc/dialups和/etc/d-passwd两个文件来控制的。文件/etc/dialups包含一个由拨号口令保护的串行端口列表，如下：#cat dialups/dev/tty2

36、A#局部平安问题续9文件/etc/d-passwd用于识别注册外壳。与使用用户注册名的常规口令不同，拨号口令是与注册外壳相联系的。也就是说，使用Bourne外壳的每一个用户有相同的拨号口令。典型的拨号口令：#cat /etc/d-passwd/bin/sh:/usr/lib/uucp/uucico:#该文件中的每一行或记录包含两个由“:分开的域。第一个域识别给定口令支持的外壳，第二个域列出了口令上面的例子中，两个外壳都没有口令，这意味着用户注册时不会被提示输入口令局部平安问题续10拨号口令通过在passwd命令中使用-m选项来增加，该选项通知passwd，搜集的口令支持拨号口令文件中的某个特定

37、外壳。语法格式：passwd -m shell-name一个实例和执行# passwd -m/bin/s:Setting modem password for login shell:/bin/shPlease enter new passwordModem password: testingRe-enter password: testing#局部平安问题续11上例中，系统管理员为/bin/sh外壳增加拨号口令。意味着注册到该系统将Bourne外壳作为其注册外壳的任何用户，都会被提示输入拨号口令。与通常的passwd一样，实际的口令在其键入时并不显示；它们必须输入的口令在上例中显示出来，只是

38、为了说明方便。注意，只有系统管理员能够改变一个外壳的拨号口令passwd命令改变d-passwd文件的内容，将新的口令包括进去，如下：#cat d-passwd/bin/sh:Ora391.Na1jjQ:/usr/lib/uucp/uucico:#现在Bourne外壳用户在注册到文件/etc/dialups中指定的终端端口时，必须提供附加口令局部平安问题续12例子描述了当用户使用拨号口令注册时经历的过程：gatewaygateway! login: charePassword Dialup Password:Last successful login for chare: Fri Oct 28

39、 22:52:02 EDT 1994 on tty2aLast unsuccessful login for chare: Tue Oct 18 13:27:53 EDT 1994 on ttyp1SCO Unix System V/383 Release 3.2Copyright (C) 1973-1989 UNIX System Laboratories, Inc.Copyright (C) 1980-1989 Microsoft CorporationCopyright (C) 1983-1992 The Santa Cruz Operation. Inc.All Rights Rese

40、rvedgatewayTERM = (ansi)#局部平安问题续13如上直到用户输入用户名和口令，才通过通常的注册过程。这些被验证有效之后，检查拨号口令控制文件/etc/dialups。当用户连接的终端放置在该文件中，且注册外壳是Bourne时，提示用户输入拨号口令。如果拨号口令输入正确，就授权用户访问系统，如上局部平安问题续14如果拨号错误，就放弃注册，用户被近重新启动，如下：gatewaygateway!login: charePassword:Dialup Password:Login incorrectWait for login retry:login: charePassword:

41、Dialup Password:局部平安问题续15组文件：文件/etc/group用来控制访问那些不是用户所拥有的文件。如果用户不是文件的拥有者，那么就检查用户所属的组，查看用户是否是拥有该文件的组的成员组员列表存储在/etc/group中，文件的格式如下：tech:*:103:andrewg,patc,chare,erict,lorrainel,lensgroup name:password:GID:userlist局部平安问题续16组文件的口令是不使用的，也没有容易的机制用于在文件中安装口令。如果用户试图切换到它们不是其成员的组，就会被提示输入口令，如下：$newgrp technewgr

42、p: Passwordnewgrp: Sory$grep tech/etc/grouptech:*:103:andrewg, patc$如果执行该命令的用户已经成为组tech的成员，newgrp命令就会成功。但许多Unix的当前版本使用户能够同时成为多个组的成员，这会减少或取消使用newgrp命令的需要口令生命期和控制口令生命期password aging机制控制用户何时可以加密口令后通过在口令文件中插入一个值来修改他们的口令。该值定义了用户修改口令之前必须经过的最小时间间隔和口令有效期满之前可以经历的最大时间间隔口令生命期控制信息与加密口令存储在一起，以一系列可打印字符的形式出现。控制包含在

43、口令之后，用逗号分开。通常逗号后面的字符表示下述信息口令有效的最大周数用户可以再次改变其口令之前必须经过的最小周数口令最近改变的时间口令生命期和控制续1使用口令生命期信息值查看口令的生命期：chare:2eLNss48eJ/GY, C2:215:100:Chris Hare:/usr1/chare:bin/sh上例中口令已经被设置了生命期，使用“C值定义了口令到期前的最大周数，“2定义了用户能够再次更改口令前必须经过的最大周数每次用户注册时，就将上次改变的值与最大值作比较，来检查该口令的生命到期了没有口令生命期和控制续2生命期控制机制识别两种特殊情况：一种迫使用户在下次注册时改变其口令；一种禁

44、止用户修改口令要强迫用户修改其口令，比方一个新用户，该用户的口令域为“/，在这种情况下用户在下次注册时被迫修改其口令。一旦修改之后“强迫控制信息就从口令项中删除了，下面显示了一个口令中强迫项的例子：chare:2eLNss48eJ/GY,./:215:100:Chris Hare:/usr1/chare:/bin/sh口令生命期和控制续3第二种特殊情况禁止用户修改其口令，通过设置最大值小于最小值来建立。这种情况下用户被告知其口令不能改变，如下：chare:,.:215:100:Chris Hare:/usr1/chare:/bin/sh当前更新、更平安的Unix版本会有术语口令生存期passw

45、ord lifetime，它是最大时限之后用户仍然能够使用到期的口令注册其帐户的宽限期；生存期到期时帐户就被取消了口令生命期机制并没有禁止用户改变其口令然后再将其改变回来。口令生命期的实现过程是依赖于版本的破坏者的口令术语“黑客hacker，也叫计算机迷并不是一个贬义词。确切地说，它是指那些固执的、试图破坏事物、弄清它们工作原理的人。只有恶意的破坏行为才被称作破坏者vandal破坏者出于种种原因希望访问你的系统仅仅为了好玩浏览观光偷窃计算机资源窃取商业秘密或其它有价值的信息破坏者的口令续1多数情况下，破坏者最需要的信息是文件/etc/passwd。当破坏者拥有有效用户的帐户名列表时，创立猜测口

46、令的程序就很简单了。但许多现代注册程序在注册提示之间包含一个时间延迟，随着每一次不成功的注册尝试，该延迟变得越来越长；它也会包含程序代码在记录了太多的不成功的尝试情况下取消访问端口使用/etc/shadow或保护口令数据库，因为这些文件和目录要求根访问来浏览它们，这使得破坏者要获取加密口令信息更加困难C2平安性和TCB可信任计算根底TCB是C2级Unix系统的平安系统的一局部，它为系统的操作和管理增添了明显的复杂性将/etc/passwd文件的位移到其它地方，并为原始信息增加附加信息，组成可信任计算根底数据库文件分散在几个不同的目录等级结构中但编辑这些文件会导致对你的系统的严重损害在一个使用T

47、CB的系统上，“*被放置于/etc/passwd的口令域，这是因为实际的用户口令是和可信任计算根底中的其它用户信息一起存储的。使用TCB并不改变系统的操作。在一些Unix版本比方XCO Unix中，即使没有使用C2平安性，TCB仍然用于提供平安效劳C2平安性和TCB续1TCB共6个组件。当引用TCB时，指的是所有组件而不是任何一个单个组件一个TCB由包含Unix核心和维护TCB的实用程序的软件的集合组成实用程序包括用于验证和改正口令数据库中问题的authck，和验证系统文件的准确性的integrityTCB实现了系统的平安策略，该策略是一个控制主题subject，如进程和对象Object，如文

48、件、设备和过程中通讯对象之间的的操作规那么的集合 C2平安性和TCB续2只有当一个动作可被追溯至个人时，才可定义该动作的可说明性accountability传统的Unix系统上，不止一个人知道根口令，动作要追溯至任何个人至少是困难。像cron和lp这样的伪帐户是匿名运行，它们的行为只有当系统信息被改变之后才可能被追踪在可信任的Unix系统中得到了修正，每个帐户都与一个真实的用户联系在一起，每个动作都是经过审核的，并且每个动作都与某个特定的用户相联系C2平安性和TCB续2传统Unix几乎不进行识别和身份验证Identification and Authentication，I&A传统的Unix用

49、户通过提供注册名和口令的组合来注册，通过搜索文件/etc/passwd来确认有效的在一个可信任系统中，使用一些附加的规那么来改进标准的IA技术，如创立了一些新的修改和产生口令的过程，对口令数据库的各个局部提供了更好的保护C2平安性和TCB续3下面的例子描述了一个SCO系统上的TCB中的典型用户项，详细提供了一个特定用户的信息，而且该信息永远不应该被手工编辑。例子如下：chare:u_name=chare: # Actual user name : u_id#1003: # User ID:u_pwd=MWUNe/91rPqck: # Encrypted password:u_type=gene

50、ral: # User Type:u_succhg#743505937: # Last Successful Password Change:u_unsucchg#743503114: # Last Unsuccessful Password Change:u_pswduser = chare: #:u_suclog#747033753: # Last successful login:u_suctty=tty02: # Last successful login on tty:u_unsuclog#747150039: # Last unsuccessful login:u_unsuctty

51、=tty04: # Last unsuccessful login on tty:u_numunsuclog#1: # Number of unsuccessful logins:u_lock : # Lock Status:chkent: #C2平安性和TCB续4上述例子在工程中用“插入了注释。它说明在TCB中事实上也追踪了其它信息，并不是所有的信息，而只是包含在一个文件中的内容。对每一个用户来说，以用户名命名的文件被存储起来，并且包含上例中所描述的信息项u_succhg显示值为743505937，这是Unix追踪的时间。该值是从1970年1月1日开始计算的秒数。该值可以提供给Unix核心中

52、的一个将其转换为实际的日期和时间的函数C2平安性和TCB续5传统的Unix系统保存了有关系统活动的有限的信息，在某些情况下，只有当它们被这样配置时它们才这么做在可信任的Unix中，审核是保证动作与特定用户相联系的主要特征。审核系统为每个动作编写一系列的记录，以产生有关系统上发生的事件审核踪迹trail。该审核踪迹由每个主题和对象之间的动作组成，这些动作是关于对象访问、对主题和对象的修改，以及系统特征的理解网络等价两种主要的网络等价类型是可信任主机访问和可信任用户访问，也就是说主机等价和用户等价主机等价host equivalency或可信任访问trusted access，使系统用户不使用注册

53、名和口令就能够访问他们在远程系统上的帐户通过使用文件/etc/hosts.equiv，系统管理员可以列出所有可信任的系统如果某机器项没有标识任何用户名，那么所有的用户都是可信任的如果系统管理员没有对所有用户指定某台机器，那么每个用户都可以使用他们主目录中的.rhosts文件，将他们要对其进行可信任访问的机器列出理解网络等价续1文件hosts.equiv的每一项都是可信任的，这意味着某个特定的机器上的用户可以不使用口令访问在本地机器上的等价帐户。这对根是不适用的，对于根和那些希望提供访问不包含在系统列表中的系统的用户，要求使用用户主目录中的.rhosts文件请看下面的例子文件/etc/hosts

54、.equiv#cat /etc/hosts.equiv#例子中工程能使这些机器上的任何用户使用相同的帐户注册到本地系统，而不使用口令理解网络等价续2 但是，如下例列出该文件中的帐户名是可能的# cat/etc/hosts.equiv andrewg#上例中系统andrewg可以使用除root之外的任何的用户名注册到本地系统。当andrewg的帐户可能被损害时，将产生一个潜在的问题，破坏者可以从那台机器访问本地系统。因此，使用/etc/hosts.equiv的用户名和.rhosts文件是令人沮丧的理解网络等价续3有关主机等价的平安问题包括根等价和文件许可权限。允许系统间的根等价是很危险的，虽然使

55、用根等价更容易完成任务，但也使得破坏网络的行为更容易发生。如果一个与其它节点拥有根等价的节点的平安受到损害，破坏者只需几秒钟就可对此进行确定并访问其它机器。因此建议不要在网络环境中允许根等价理解网络等价续4另一个问题是网络访问文件/etc/hosts.equiv和.rhosts的许可的权限。/etc/hosts.equiv文件必须只有根可写，尽管其它用户可以阅读该文件。rhosts文件必须只有文件拥有者才可写使用.rhosts和/etc/host.equiv文件的一些Berkeley r-命令实现检查它们的许可权限，如果许可权限设置不当就拒绝使用它们。可编写一个外壳程序查找不适当授权的文件.r

56、hosts理解网络等价续5用户等价：可信任用户访问比较容易配置，但是如果它是在配置用户列表之后安装的，配置起来可能就非常困难用户等价与可信任主机访问完全不同，是通过给予网络中每个用户不仅仅是机器一个唯一的用户名和数值UIDUser ID来配置的。这意味着在每台机器上的用户都有一个使用相同UID的帐户。换句话说，网络中机器上的所有/.etc/passwd和/etc/group文件都是相同的网络文件系统Network File System, NFS必须使用用户等价防止访问问题理解网络等价续6在网络中不使用用户等价而允许对文件系统的数据的非授权访问，就会将它们置于一种危险的境地如书中用户列表中的用

57、户janicec和terrih都拥有唯一的用户名，但是它们的UID号码并不唯一如果janicec在上拥有帐户，terrih在上拥有帐户terrih在其上拥有帐户的文件系统是运行在上用户的输出文件系统的一局部。当janicec访问terrih目录中的文件并将它们列出时，ls -l命令就将janicec作为文件的拥有者列出，因为UID号码是相同的。这意味着，janicec可以删除和修改那些文件中的信息，即使不是文件拥有者。用户名不同没有关系，NFS和用户等价的关键是UID定义用户和组从有关网络等价的讨论可以看出，可预先考虑如何处理在网络中增加用户的问题。那种/etc/passwd和/etc/gro

58、up文件在所有系统中都是一样的说法是精确的，但分配UID号码和保证其唯一性的策略更是一个问题完成这项工作有许多种方式。可以按顺序给它们赋值，分配号码块给部门或用户类别，或者分配号码块给办公室。不管用哪种方法，重要的是应该增加用户的标准理解许可权限Unix对每个文件的许可权限决定了如何控制对文件和目录的访问检查标准的许可权限应用于一个文件的许可权限是基于标记于该文件的UID和GIDGroup ID，以及试图访问该文件的用户的UID或GID。3组许可权限如下该文件的拥有者拥有与该文件相同的GID的用户其它所有用户理解许可权限续1对于每类用户来说，有三个许可权限位：读、写和执行。这就是说，每个文件或

59、目录有9个许可权限位。下面的例子：$ Is -I output-rw-r- -r- -1 chare users 233 Aug 24 20:13 output$在上例的输出中，许可权限为-rw-r- -r-第一个连字符代表文件类型，其余字符代表许可权限在许可权限中，符号r、w和x分别表示读、写和执行许可权限。读许可权限指请求的用户可以浏览文件或目录的内容。写许可权限授予用户修改文件或目录中创立新文件的权利。最后，执行许可权限允许像命令一样执行该文件理解许可权限续2root和NFS当考虑到根时候，会想到对文件、目录、程序和系统设备的不加控制的访问。但是，当根试图通过NFS访问远程系统上的文件时

60、，根用户拥有极少或根本就没有许可权限。这是由于NFS的内置的平安特征。这种平安特征查找值为0的UID，当它发现该值时，它就知道这是根。然后就将该UID值重新映射为35534或-2，这意味着，在NFS上根无法访问其它类型的用户这种特征的优点是，如果没有网络机器之间的根等价，当其中一个受到了损害后，破坏者将更难涉及到文件系统数据加密方法信息加密为系统及其数据提供更高级别的平安性，但如果不对用户进行适当的监控和培训，即使是加密了的数据仍然存在危险从平安角度出发，用户和系统管理员，常常采用以下二种加密方法对口令加密从前口令以纯文本格式存储，而且只有管理员和系统软件可以访问该文件。口令文件/etc/pa