网络安全与应用技术-第2章-网络操作系统安全课件

网络安全与应用技术ByJefferyliu网络安全与应用技术ByJefferyliu第二章网络操作系统安全第二章网络操作系统安全21、网络操作系统的概念

计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完整独立的操作系统，网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。1、网络操作系统的概念计算机网络是由多个相互独3

网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务的软件及相关规程，它是整个网络的核心，通过对网络资源的管理，使网上用户能方便、快捷、有效地共享网络资源。操作系统的主要功能包括：进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理等。网络操作系统是为使网络用户能方便而有效地共享网4NOS除了具有一般操作系统所具有的处理机管理、存储器管理、设备管理和文件管理功能外，还提供高效而可靠的网络通信环境和多种网络服务功能。如文件服务、打印服务、记账服务、数据库服务以及支持Internet和Intranet服务。目前，常用的网络操作系统有WindowsNT5.x、Windows6.x、UNIX和Linux。NT5.x”是指Windows2000/WindowsXP/WindowsServer2003这几种操作系统；

NT6.x”是指WindowsVista/WindowsServer2008/Windows7/WindowsServer2008R2这几种操作系统。NOS除了具有一般操作系统所具有的处理机管理、5操作系统的安全观点：设计者观点：安全机制如何从一开始就加入操作系统？操作系统中哪些资源需要保护？如何建立最可靠的安全机制？如何分层次、分步骤地实现安全机制？如何对安全操作系统进行评价？需要提供多种安全级别以供选择。操作系统的安全观点：6使用者观点：安全机制如何使用更适合？费用如何？时间如何？如何保护操作系统的资源？这些安全机制是否可信？有没有漏洞？难度如何？这些安全机制用户是否感兴趣？对安全漏洞采用“补丁”和“外壳”。使用者观点：7问题的扩展：系统安全的折衷系统安全的无缝连接：OS安全必须与应用系统的安全机制无缝连接各种安全机构之间的冲突：OS可含有各种安全机制。安全手段与系统管理：最安全的系统也是最难使用的；增加安全性要增加费用，降低性能或速度；安全机制越高，花费的机时越多。问题的扩展：8标识系统中的用户并进行身份鉴别；依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；

监督系统运行的安全；

保证系统自身的安全性和完整性。操作系统安全的目标标识系统中的用户并进行身份鉴别；操作系统安全的目标92、操作系统面临的安全威胁

人们认识信息安全问题通常是从对系统所遭到的各种成功或者未成功的入侵攻击的威胁开始的，这些威胁大多是通过挖掘操作系统和应用程序的弱点或者缺陷来实现的。2、操作系统面临的安全威胁10针对操作系统安全的主要威胁包括：病毒和蠕虫逻辑炸弹特洛伊木马天窗隐蔽通道针对操作系统安全的主要威胁包括：11计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。“逻辑炸弹”引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。逻辑炸弹是一种程序，或任何部分的程序，直到一个具体的程序逻辑被激活。计算机中的“逻辑炸弹”是指在特定逻辑条件满足时12隐蔽通道，是一种违反安全策略，秘密传输信息的机制。

隐蔽通道按其存在的环境不同可分为主机隐蔽通道和网络隐蔽通道。主机隐蔽通道是在主机中不同进程中秘密传输信息，而网络隐蔽通道则在网络中不同主机之间秘密传输信息。隐蔽通道通信工具通过将有效数据嵌入在数据报文中，通过载体在网络中正常传输，从而达到有效数据的秘密传输而不被发现。隐蔽通道，是一种违反安全策略，秘密传输信息的13

在信息系统中与安全相关的每一个漏洞都会使整个系统的安全控制机制变得毫无价值。这个漏洞如果被入侵者发现，后果将是十分严重的。从计算机信息系统的角度分析，可以看出在信息系统安全所涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心。操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用。在信息系统中与安全相关的每一个漏洞都会使整个14

一般来说，操作系统安全与安全操作系统的含义不尽相同。从各种不同的角度分析操作系统的安全性，既可以对主流操作系统进行安全性增强，也可以按照特定目标设计实现专门的或通用的安全操作系统。安全操作系统通常与相应的安全等级相对应，例如，根据TCSEC标准，通常称B1级以上的操作系统为安全操作系统。一般来说，操作系统安全与安全操作系统的含义不153、安全操作系统的研究发展

Multics是开发安全操作系统最早期的尝试。

Adept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50安全控制的研究成果。

1969年B.W.Lampson通过形式化表示方法运用主体（subject）、客体（object）和访问矩阵（accessmatrix）的思想第一次对访问控制问题进行了抽象。3、安全操作系统的研究发展161972年，J.P.Anderson在一份研究报告中提出了参照监视器（referencemonitor）、访问验证机制（referencevalidationmechanism）、安全内核（securitykernel）和安全建模（modeling）等重要思想。

1973年，B.W.Lampson提出了隐蔽通道的概念，他发现两个被限制通信的实体之间如果共享某种资源，那么它们可以利用隐蔽通道传递信息。1972年，J.P.Anderson在一份研究报告中提出了17

同年，D.E.Bell和L.J.LaPadula提出了第一个可证明的安全系统的数学模型，即BLP模型。安全内核操作系统（kernelizedsecureoperatingsystem,KSOS）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，由Ford太空通讯公司承担。同年，D.E.Bell和L.J.LaPadula提出了第一18UCLASecureUNIX也是美国国防部研究计划局于1978年前后发起的一个安全操作系统研制项目，由加利福尼亚大学承担。UCLASecureUNIX的系统设计方法及目标几乎与KSOS相同。1983年，美国国防部出版了历史上第一个计算机安全评价标准——《可信计算机系统评价准则（TCSEC）》，1985年，美国国防部对TCSEC进行了修订。UCLASecureUNIX也是美国国防部研究计划局于119SecureXenix是IBM公司于1986年在SCOXenix的基础上开发的一个安全操作系统，它最初是在IBMPC/AT平台上实现的。

UNIXSVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级。SecureXenix是IBM公司于1986年在SCO202001年前后，我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。2000年11月18日，公安部计算机信息系统安全产品质量监督检验中心，在网站上发布公告:“国内首家安全操作系统通过检测”。2001年前后，我国安全操作系统研究人员相继推出了一批基于L212001年3月8日，我国国家技术监督局发布了国家标准GB/T18336－2001《信息技术安全技术信息技术安全性评估准则》，它基本上等同于国际通用安全评价准则（CC）。2001年3月8日，我国国家技术监督局发布了国家标准GB/T224、操作系统安全的概念计算机系统的安全极大地取决于操作系统的安全，计算机操作系统的安全是利用安全手段防止操作系统本身被破坏，防止非法用户对计算机资源(如软件、硬件、时间、空间、数据、服务等资源)的窃取。操作系统安全的实施将保护计算机硬件、软件和数据，防止人为因素造成的故障和破坏。4、操作系统安全的概念23第一，操作系统本身提供的安全功能和安全服务；第二，针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；第三，保证网络操作系统本身所提供的网络服务能得到安全配置。第一，操作系统本身提供的安全功能和安全服务；24

操作系统主要的安全功能包括：隔离控制、存储器保护(限定存储区和地址重定位，保护存储信息)、文件保护(保护用户和系统文件，防止非授权用户访问)、访问控制、身份认证(识别请求访问的用户权限和身份)等。操作系统主要的安全功能包括：隔离控制、存储器保25物理隔离。在物理设备或部件一级进行隔离，使不同的用户程序使用不同的物理对象。时间隔离。对不同安全要求的用户进程分配不同的运行时间段。对于用户运算高密级信息时，甚至独占计算机进行运算。

隔离控制的方法有四种：

物理隔离。在物理设备或部件一级进行隔离，使不同的用户程序使用26③

逻辑隔离多个用户进程可以同时运行，但相互之间感觉不到其他用户进程的存在，这是因为操作系统限定各进程的运行区域，不允许进程访问其他未被允许的区域。

③逻辑隔离27④加密隔离进程把自己的数据和计算活动隐蔽起来，使他们对于其他进程是不可见的，对用户的口令信息或文件数据以密码形式存储，使其他用户无法访问，也是加密隔离控制措施。

④加密隔离28隔离措施复杂性？安全性？这几种隔离措施实现的复杂性是逐步递增的而它们的安全性则是逐步递减的.隔离措施复杂性？安全性？这几种隔离措施实现的复杂性是逐步递增29存储器保护内存储器是操作系统中的共享资源，即使对于单用户的个人计算机，内存也是被用户程序与系统程序所共享，在多道环境下更是被多个进程所共享。为了防止共享失去控制和产生不安全问题，对内存进行保护是必要的。存储器保护内存储器是操作系统中的共享资源，即使对于单用户的个30内存的特点内存储器是操作系统中的共享资源内存被用户程序与系统程序所共享多道环境下更是被多个进程所共享。内存的特点内存储器是操作系统中的共享资源31内存保护的目的是：防止对内存的未授权访问；防止对内存的错误读写，如向只读单元写；防止用户的不当操作破坏内存数据区、程序区或系统区；多道程序环境下，防止不同用户的内存区域互不影响；将用户与内存隔离，不让用户知道数据或程序在内存中的具体位置；内存保护的目的是：32常用的内存保护技术单用户内存保护技术多道程序的保护技术分段与分页保护技术内存标记保护法常用的内存保护技术单用户内存保护技术3334分段与分页技术对于稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程）。每个模块有自己的数据区，各模块之间也可能有共享数据区。各用户程序之间也可能有共享模块或共享数据区。这些模块或数据区有着不同的访问属性和安全要求，使用上述各种保护技术很难满足这些要求。34分段与分页技术35分段技术的作用分段技术就是试图解决较大程序的装入、调度、运行和安全保护等问题的一种技术。分段以模块（过程或子程序）为单位。采用分段技术，用户不知道他的程序实际使用的内存物理地址。这种隐藏对保护用户代码与数据的安全是极有好处的。

35分段技术的作用36分段技术的优点：

（1）在段表中除了与段名对应的段号及段基址外，还可以增加必要的访问控制信息，对于任何企图访问某个段的操作，操作系统和硬件都可以进行检查。（2）分段技术几乎可以实现对程序的不同片段分别保护的目标。根据各段敏感性要求，为各段划分安全级，并提供不同的保护措施。36分段技术的优点：（1）在段表中除了与段名对应的段号及段37（3）分段技术的保护功能可以检查每一次对内存访问是否合法，可以让保护粒度达到数据项级。（4）可以为了实施保护而检查每一次地址访问。（5）还可以避免允许用户直接指定内存地址或段区所带来的安全问题，也可以让多个用户用不同的权限访问一个段。分段技术的优点续：

37（3）分段技术的保护功能可以检查每一次对内存访问是否合法38段的管理方式存在的问题与困难（1）由于各段的长度不相同，对内存管理造成了困难，容易产生内存“碎片”。这是一个很大的安全漏洞。（2）在许多情况下（如段内部包含动态数据结构）要求在使用段方式时允许段的尺寸可以增大。为了保证安全起见，要求系统检查所产生的地址，验证其是否超出所访问的段的末端。38段的管理方式存在的问题与困难39（3）段名不易在指令中编码，由操作系统查名字表的速度也会很慢。解决的办法是由编译器把段名转化为数字，并建立一张数字与段名之间的对照表。但这又为段的共享带来麻烦，因为每个调用者都必须知道该段的编号。

段的管理方式存在的问题与困难续：39（3）段名不易在指令中编码，由操作系统查名字表的速度也会分段与分页的问题与作用为了解决分段可能产生的内存碎片问题，引入了分页技术。分页是把目标程序与内存都划分成相同大小的片段，这些片段就称为“页”。分页技术解决了碎片问题，但损失了分段技术的安全功能。由于段具有逻辑上的完整意义，而页则没有这样的意义，程序员可以为段规定某些安全控制要求，但却无法指定各页的访问控制要求。

40分段与分页的问题与作用4041

用户认证

用户认证的任务是确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用户。认证用户的方法一般有三种：（1）要求输入一些保密信息，如用户的姓名、通行字或加密密钥等；（2）稍微复杂一些鉴别方法，如询问—应答系统、采用物理识别设备（如访问卡、钥匙或令牌标记）等方法；（3）利用用户生物特征，如指纹、声音、视网膜等识别技术对用户进行唯一的识别。41用户认证用户认证的任务是确认当前正在试图登录42口令认证方法口令是一种容易实现并有效地只让授权用户进入系统的方法。口令是用户与操作系统之间交换的信物。用户想使用系统，首先必须通过系统管理员向系统登录，在系统中建立一个用户账号，账号中存放用户的名字(或标识)和口令。用户输入的用户名和口令必须和存放在系统中的账户/口令文件中的相关信息一致才能进入系统。没有一个有效的口令，入侵者要闯入计算机系统是很困难的。42口令认证方法43

破解口令是黑客们攻击系统的常用手段，那些仅由数字组成、或仅由字母组成、或仅由两、三个字符组成、或名字缩写、或常用单词、生日、日期、电话号码、用户喜欢的宠物名、节目名等易猜的字符串作为口令是很容易被破解的。这些类型的口令都不是安全有效的，常被称为弱口令。43破解口令是黑客们攻击系统的常用手段，那些仅由44选取口令应遵循以下规则：①扩大口令字符空间

口令的字符空间不要仅限于26个大写字母，要扩大到包括26个小写字母和10个数字，使字符空间可达到62个之多。

在UNIX系统中，还把其他一些特殊符号（如+、—、*、/、%、#、等）也作为口令的字符空间，因此其口令的安全性更高。

44选取口令应遵循以下规则：45②

选择长口令

选择长口令可以增加破解的时间。假定字符空间是26个字母，如果已知口令的长度不超过3，则可能的口令有26+26*26+26*26*26=18278个。若每毫秒验证一个口令，只需要18多秒钟就可以检验所有口令。

45②选择长口令46③选用无规律的口令

不要使用自己的名字、熟悉的或名人的名字作为口令，不要选择宠物名或各种单词作为口令，因为这种类型的口令往往是破解者首先破解的对象，由于它们的数量有限(常用英文词汇量只不过15万左右)，对计算机来说不是一件困难的事情。假定按每毫秒穷举一个英文单词的速度计算，15万个单词也仅仅需要150秒钟时间。

46③选用无规律的口令47

④口令更换

有时口令已经泄露了，但拥有者却不知道，还在继续使用。为了避免这种情况发生，比较好的办法是定期更换口令。WindowsNT和UNIX系统都支持定期更换口令的功能。

47④口令更换48

⑤多个口令

一般来说，登录名或用户名是与某个私人口令相联系的。尽管如此，在有更高安全要求的系统上还采用多个口令的安全措施。其中包括系统口令，它允许用户访问指定的终端或系统，这是在正常登录过程之后的额外的访问控制层。也可以是对拨号访问或访问某些敏感程序或文件而要求的额外口令。

48⑤多个口令49

⑥系统生成口令可以由计算机为用户生成口令，UNIX系统就有这种功能。口令生成软件可以按前面讨论的许多原则为用户生成口令，由系统生成的口令一般很难记忆，有时会迫使用户写到纸上，造成了不安全因素。49⑥系统生成口令50对口令的控制：除了以上各种安全措施外，有的系统对使用口令进行访问还采取更严格的控制，通常有以下一些措施：

登录时间限制

系统消息

限制登录次数

最后一次登录

尽量减少会话透露的信息

增加认证的信息量50对口令的控制：操作系统的访问控制机制访问控制系统一般包括：主体(subject)。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体(object)。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。安全访问政策。安全访问政策是一套规则，可用于确定一个主体是否对客体拥有访问能力。

操作系统的访问控制机制5152访问控制

访问控制的基本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标，访问控制常以用户身份认证为前提，在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为。

52访问控制访问控制的基本目标都是防止非法用访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。只有被授予一定权限的用户，才有资格去访问有关的资源。访问控制具体包括两方面涵义，一是指对用户进入系统的控制，最简单最常用的方法是用户账户和口令限制，其次还有一些身份验证措施；二是用户进入系统后对其所能访问的资源进行的限制，最常用的方法是访问权限和资源属性限制。访问控制也叫授权，它是对用户访问网络系统资源进53

访问控制可分为自主访问控制和强制访问控制两大类。自主访问控制：是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问控制可分为自主访问控制和强制访问控制两大类。54

强制访问控制：是指由系统（通过专门设置的系统安全员）对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。强制访问控制：是指由系统（通过专门设置的系统安55

所有用户的访问权限完全是由安全管理员根据需要确定的。强制访问控制还有其他安全策略，如“角色授权管理”。该策略将系统中的访问操作按角色进行分组管理。一种角色执行一种操作，由系统安全管理员进行统一授权。当授予某一用户某个角色时，该用户就有执行该角色所对应的一组操作的权限。所有用户的访问权限完全是由安全管理员根据需要确56

系统访问控制是指用户进入系统的控制和用户进入系统后如何访问资源的限制，它包括：1）.访问控制类型2）.入网安全控制(系统登录)3）.访问权限限制4）.文件和目录属性限制5）.网络服务器安全控制6）.网络监测和锁定控制7）.网络端口和节点的安全控制8）.防火墙控制系统访问控制是指用户进入系统的控制和用户进入系5758基本的访问控制模型

（1）访问控制矩阵(ACM，AccessControlMatrix)：基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。58基本的访问控制模型59（2）访问目录表：这种访问控制机制实际上按访问控制矩阵的行实施对系统中客体的访问控制。文件名权限C客体(文件)用户A目录用户B目录CDORWRWBRWABCORWOXRDABO：OwnerR：ReadW：WriteX：Execute访问目录表机制

59（2）访问目录表：这种访问控制机制实际上按访问控制矩阵的访问目录表机制容易实现，但存在三个问题需要解决：①共享客体的控制。凡是允许用户访问的客体，都应该把它的名字存入该用户的访问目录表内，共享客体也应该存入该目录表中。存在的问题是，如果共享的客体太多（如子程序库），用户的目录表将会很长，增加了处理时间。访问目录表机制容易实现，但存在三个问题需要解决：6061②访问权的收回问题。在实际情况中，甲乙两人之间可能有信任关系，文件A的拥有者甲可以把该文件的某些权限传递给用户乙，当甲用户想从乙用户收回该访问权时，只要从乙的目录表中删除该文件名即可。在许多操作系统中都支持这种信任关系。但是若允许信任关系传递，则给目录表的管理带来麻烦。假设乙用户在把文件A的访问权又传递给丙用户，当甲用户希望收回所有用户对文件A的访问权时，甲可能不知道这种情况，解决的办法是搜索所有用户的目录表，如果系统中用户数量较大，将要花费很多时间。61②访问权的收回问题。62③多重许可权问题。多重许可权问题是由文件重名问题引起的。假定乙用户的目录表中已经有一个文件A，甲用户也有一个文件A，但这两个文件A的内容不同。如果甲信任乙，第一次把自己A文件的部分访问权传递给乙，为了不重名，甲的文件A被改名为H后存入到乙的目录表中，乙可能会忘记自己目录表中的H就是甲的A文件，于是又向甲申请A文件的访问权，甲有可能对乙更加信任，就把文件A更高的访问权授予乙，于是造成乙用户对甲的文件A有多重访问权的问题，产生客体安全管理的混乱，而且可能产生矛盾。62③多重许可权问题。63（3）访问控制表ACLACL表保护机制实际上是按矩阵的列实施对系统中客体的访问控制的。访问目录表和访问控制表分别将访问控制设施设置在用户端和客体端，这两种控制方式需要管理的表项的总数量是相同的，它们的差别在于管理共享客体的方法上，访问控制表技术易于实现对这些共享客体的管理。63（3）访问控制表ACL客体FILE1FILE2PRG1HELPUSER-CRACL表USER-BUSER-CUSER-AORWRWORWUSER-AUSER-DOXXUSER-AUSER-BUSER-CUSER-DRRRWOO：OWNERR：READW：WRITEX：EXCUTE

客体目录FILE1FILE2PRG1HELP访问控制表机制

客体FILE1FILE2PRG1HELPUSER-CRAC6465（4）能力机制能力（Capability）机制就是可以满足这些要求更高的访问控制机制。主体具有的能力是一种权证，类似一个“入场卷”它是操作系统赋予主体访问客体的许可权限，它是一种不可伪造的标记。能力是在用户向系统登录时，由操作系统赋予的一种权限标记，用户凭借该标记对客体进行许可的访问。

65（4）能力机制66

能力可以实现复杂的访问控制机制。假设主体对客体的能力包括“转授”（或“传播”）的访问权限，具有这种能力主体可以把自己的能力拷贝传递给其他主体。这种能力可以用表格描述，“转授”权限是其中的一个表项。一个具有“转授”能力的主体可以把这个权限传递给其他主体，其他主体也可以再传递给第三者。具有转授能力的主体可以把“转授”权限从能力表中删除，进而限制这种能力的进一步传播。

66能力可以实现复杂的访问控制机制。假设主体对客67（5）面向过程的访问控制面向过程的访问控制是指在主体访问客体的过程中对主体的访问操作进行监视与限制。例如，对于只有读权的主体，就要控制它不能对客体进行修改。要实现面向过程的访问控制就要建立一个对客体访问进行控制的过程，该过程能够自己进行用户认证，以此加强操作系统的基本认证能力。

67（5）面向过程的访问控制68访问目录表、访问控制表、访问控制矩阵、能力和面向过程的控制等五种对客体的访问控制机制的实现复杂性是逐步递增的。实现能力机制需要必须对每次访问进行检查，而访问目录表方式实现比较容易，它只需要在主体对客体第一次访问时进行检查。实现复杂的保护方式提高了系统的安全性，但降低了系统响应速度。安全与效率之间需要平衡。

68访问目录表、访问控制表、访问控制矩阵、能力和面5、windows系统安全技术Windows安全基础Windows账号和密码安全Windows安全结构Windows文件系统安全Windows注册表的安全Windows系统中查杀后门木马技术Windows系统中常用安全命令5、windows系统安全技术6970Windows系统的安全子系统（1）Windows系统的安全组件·自主访问控制(DiscretionAccessControl)·对象重用(ObjectReuse)

·强制登录(Mandatorylogon)·对象的访问控制(ControlofAccesstoObject)70Windows系统的安全子系统安全子系统包括以下部分：WinlogonGraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritySupportProvidersNetlogonServiceSecurityAccountManager(SAM)安全子系统包括以下部分：71网络安全与应用技术-第2章-网络操作系统安全课件72（1）Windows安全基础

Windows系统中有两种基本模型：工作组模型和域模型。工作组模型：是一个“对等”网结构。域模型：域是一个共享公共目录数据库和安全策略的计算机及用户的集合，它提供登录认证，并具有唯一的域名。（1）Windows安全基础73组：除用户帐户外，Windows2000(XP)还提供组帐户。可使用组帐户对同类用户授予权限以简化帐户管理。如果用户是可访问某个资源的一个组中的成员，则该特定用户也可访问这一资源。因此，若要使某个用户能访问各种工作相关的资源，只需将该用户加入正确的组。可以按照不同用户的操作需求和资源访问需求来创建不同的组，实现对用户的统一配置和管理。组：74域：Windows还提供了域的概念进行网络访问控制，即允许或拒绝某个主机或用户连接到其他主机的能力。域账户存储在一个称为域控制器的中央计算机上。如果一台计算机加入了一个域(域是至少有一台运行Windows2000Server的计算机，并且将它作为一台域控制器进行工作的网络)，则应使用域账户进行登录。域：75Windows系统提供四种基本的域模型：单域模型、主域模型、多主域模型和完全信任域模型。每个域中有主域控制器、备份域控制器和服务器、工作站。每个域都有自己的安全策略以及与其他域相关的安全关系。Windows系统提供四种基本的域模型：单域76

信任关系是域与域之间建立的连接关系。它可以执行对经过委托的域内用户的登录审核工作。域之间经过委托后，用户只要在某一个域内有一个用户帐号，就可以使用其他域内的网络资源了。若A域信任委托B域，则B域的用户可以访问A域的资源，而A域的用户则不能访问B域的资源，这就是单向委托；若A域的用户也想访问B域的资源，那么必须再建立B域信任A域的委托关系，这就是双向委托。信任关系是域与域之间建立的连接关系。它可以执行77（2）Windows系统的安全性机制

Windows的安全机制主要有帐号规则、权限规则、审计规则和域管理机制。帐号规则帐号规则是对用户帐号和口令进行安全管理--入网访问控制。用户帐号还包括对用户入网时间限制、入网站点限制、帐号锁定、用户对特定文件/目录的访问权限限制和用户使用的网络环境的限制等内容。（2）Windows系统的安全性机制78权限规则

Windows系统采用两类访问权限：用户访问权限和资源访问权限。用户访问权限有四种：完全控制、更改、读写和拒绝访问，完全控制权限最大。

NTFS允许用两种访问权限来控制用户对特定目录和文件的访问：一种是标准权限(基本安全性措施)；另一种是特殊权限(特殊安全性措施)。权限规则79审核规则审核规则是系统对用户操作行为的跟踪，管理员可根据审核结果来控制用户的操作。Windows系统可对如下事件进行审核：登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。跟踪审核结果存放在安全日志文件中。审核规则80域管理机制域是Windows系统目录服务和安全管理的基本单元，域内工作由主域控制器控制。用户每次登录整个域而非某一服务器。域所使用的安全机制信息或用户帐号信息都存放在目录数据库中--安全帐号管理数据库。目录数据库存放在服务器中并复制到备份服务器中。在每次用户登录时，都要通过目录数据库检查用户帐号信息。域管理机制8182（2）登录及身份验证过程成功的登录过程要经过以下4个步骤：①Windows2000的Winlogon过程给出一个对话框，要求回答一个用户名和口令。②Winlogon将用户名和口令传递给LSA(LocalSecurityAuthority，本地安全权威)，LSA决定该登录应该在本地计算机还使网络上进行身份验证。

82（2）登录及身份验证过程83③如果是本地登录，LSA会查询SAM数据库，以确定用户名和口令是否属于授权的系统用户。如果用户名和密码合法，SAM把该用户的SID以及该用户所属的所有组的SID返回给LSA。LSA使用这些信息创建一个访问令牌(AccessToken)，每当用户请求访问一个受保护资源时，LSA就会将访问令牌显示出来以代表用户的“标记”。④Winlogon启动系统，该用户的访问令牌就成了用户进程在Windows2000系统中的通行证。83③如果是本地登录，LSA会查询SAM数据库，以确定用户名默认账号：Administrator--rootAdministrator是系统管理员账号、具有最高权限。在域中和计算机中具有不受限制的权利，可以管理本地或域中的任何计算机。从不被锁定，不能删除，可重命名。Guest：默认被禁用，不能删除，可重命名默认账号：Administrator--root8485（3）Windows操作系统安全检查表：安装最新的系统补丁(ServicePack)与更新(Hotfix)程序为Administrator账号指定安全的口令把Administrator帐号重新命名禁用或删除不必要的帐号关闭不必要的服务安装防病毒软件85（3）Windows操作系统安全检查表：866．给所有必要的文件共享设置适当的访问控制权限激活系统的审计功能关于应用软件方面的建议windows2000服务配置参考网络上的参考资源866．给所有必要的文件共享设置适当的访问控制权限（4）WinXP本地安全设置开始->运行窗口中输入”secpol.msc”，打开“本地安全设置窗口”。控制面板->管理工具->本地安全策略，打开“本地安全设置窗口”。密码策略（4）WinXP本地安全设置87网络安全与应用技术-第2章-网络操作系统安全课件88打开审核策略开启安全审核是Windows系统最基本的入侵检测方法。当有人尝试对你的系统进行某些方式的入侵时，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。打开审核策略89确保可信的登录界面将计算机设置成登录windows之前必须按”ctrl+alt+delete”组合键，是为了保护免受某些木马的攻击。一些木马程序模仿成windows登录界面，欺骗用户输入用户名和密码。使用该组合键可以确保看到的是真实的登录界面。设置：控制面板->”用户账号“->高级->安全登录。确保可信的登录界面设置：控制面板->”用户账号“->高级->90（5）Windows注册表：注册表是windows的数据库，这个数据库存储了计算机软硬件的各种配置数据。因些，优化注册表可以把计算机调整到最佳状态。黑客入侵手段多数都是借助或篡改注册表而进行的。（5）Windows注册表：91注册表的特点：1、注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置，这使得修改某些设置后不用重新启动成为可能。2、注册表中登录的硬件部分数据可以支持高版本windows的即插即用特性。3、管理人员和用户通过注册表可以在网络上检查系统的配置和设置，便宜得远程管理得以实现。注册表的特点：92各主键的简单介绍：（1）HKEY_LOCAL_MACHINE是一个显示控制系统和软件的处理键。它管理着当前系统硬件配置。在这个根键中保存了本地计算机硬件配置数据，此根键下的子关键字包括在SYSTEM.DAT中，用来提供HKEY_LOCAL_MACHINE所需的信息，或者在远程计算机中可访问的一组键中。

这个根键里面的许多子键与ystem.ini文件中设置项类似。

各主键的简单介绍：93（2）HKEY_CLASSES_ROOT

管理文件系统。根据在Windows中安装的应用程序的扩展名，该根键指明其文件类型的名称，相应打开该文件所要调用的程序等等信息。（3）HKEY_CURRENT_USER

管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息，包括用户登录用户名和暂存的密码。在用户登录Windows时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。（2）HKEY_CLASSES_ROOT

管理文件系统94（4）HKEY_USERS

管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。

（5）HKEY_CURRENT_CONFIG

管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据，该用户使用过的文档列表（MRU），应用程序配置和其他有关当前用户的Windows的安装信息。

（4）HKEY_USERS

管理系统的用户信息。在这个95WindowsXP基本系统进程WindowsXP基本系统进程96WindowsX附加系统进程（1）WindowsX附加系统进程（1）97WindowsX附加系统进程（2）WindowsX附加系统进程（2）98WindowsX附加系统进程（3）WindowsX附加系统进程（3）99WindowsX附加系统进程（4）WindowsX附加系统进程（4）100WindowsX附加系统进程（5）WindowsX附加系统进程（5）101网络安全与应用技术ByJefferyliu网络安全与应用技术ByJefferyliu第二章网络操作系统安全第二章网络操作系统安全1031、网络操作系统的概念

计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完整独立的操作系统，网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。1、网络操作系统的概念计算机网络是由多个相互独104

网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务的软件及相关规程，它是整个网络的核心，通过对网络资源的管理，使网上用户能方便、快捷、有效地共享网络资源。操作系统的主要功能包括：进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理等。网络操作系统是为使网络用户能方便而有效地共享网105NOS除了具有一般操作系统所具有的处理机管理、存储器管理、设备管理和文件管理功能外，还提供高效而可靠的网络通信环境和多种网络服务功能。如文件服务、打印服务、记账服务、数据库服务以及支持Internet和Intranet服务。目前，常用的网络操作系统有WindowsNT5.x、Windows6.x、UNIX和Linux。NT5.x”是指Windows2000/WindowsXP/WindowsServer2003这几种操作系统；

NT6.x”是指WindowsVista/WindowsServer2008/Windows7/WindowsServer2008R2这几种操作系统。NOS除了具有一般操作系统所具有的处理机管理、106操作系统的安全观点：设计者观点：安全机制如何从一开始就加入操作系统？操作系统中哪些资源需要保护？如何建立最可靠的安全机制？如何分层次、分步骤地实现安全机制？如何对安全操作系统进行评价？需要提供多种安全级别以供选择。操作系统的安全观点：107使用者观点：安全机制如何使用更适合？费用如何？时间如何？如何保护操作系统的资源？这些安全机制是否可信？有没有漏洞？难度如何？这些安全机制用户是否感兴趣？对安全漏洞采用“补丁”和“外壳”。使用者观点：108问题的扩展：系统安全的折衷系统安全的无缝连接：OS安全必须与应用系统的安全机制无缝连接各种安全机构之间的冲突：OS可含有各种安全机制。安全手段与系统管理：最安全的系统也是最难使用的；增加安全性要增加费用，降低性能或速度；安全机制越高，花费的机时越多。问题的扩展：109标识系统中的用户并进行身份鉴别；依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；

监督系统运行的安全；

保证系统自身的安全性和完整性。操作系统安全的目标标识系统中的用户并进行身份鉴别；操作系统安全的目标1102、操作系统面临的安全威胁

人们认识信息安全问题通常是从对系统所遭到的各种成功或者未成功的入侵攻击的威胁开始的，这些威胁大多是通过挖掘操作系统和应用程序的弱点或者缺陷来实现的。2、操作系统面临的安全威胁111针对操作系统安全的主要威胁包括：病毒和蠕虫逻辑炸弹特洛伊木马天窗隐蔽通道针对操作系统安全的主要威胁包括：112计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。“逻辑炸弹”引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。逻辑炸弹是一种程序，或任何部分的程序，直到一个具体的程序逻辑被激活。计算机中的“逻辑炸弹”是指在特定逻辑条件满足时113隐蔽通道，是一种违反安全策略，秘密传输信息的机制。

隐蔽通道按其存在的环境不同可分为主机隐蔽通道和网络隐蔽通道。主机隐蔽通道是在主机中不同进程中秘密传输信息，而网络隐蔽通道则在网络中不同主机之间秘密传输信息。隐蔽通道通信工具通过将有效数据嵌入在数据报文中，通过载体在网络中正常传输，从而达到有效数据的秘密传输而不被发现。隐蔽通道，是一种违反安全策略，秘密传输信息的114

在信息系统中与安全相关的每一个漏洞都会使整个系统的安全控制机制变得毫无价值。这个漏洞如果被入侵者发现，后果将是十分严重的。从计算机信息系统的角度分析，可以看出在信息系统安全所涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心。操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用。在信息系统中与安全相关的每一个漏洞都会使整个115

一般来说，操作系统安全与安全操作系统的含义不尽相同。从各种不同的角度分析操作系统的安全性，既可以对主流操作系统进行安全性增强，也可以按照特定目标设计实现专门的或通用的安全操作系统。安全操作系统通常与相应的安全等级相对应，例如，根据TCSEC标准，通常称B1级以上的操作系统为安全操作系统。一般来说，操作系统安全与安全操作系统的含义不1163、安全操作系统的研究发展

Multics是开发安全操作系统最早期的尝试。

Adept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50安全控制的研究成果。

1969年B.W.Lampson通过形式化表示方法运用主体（subject）、客体（object）和访问矩阵（accessmatrix）的思想第一次对访问控制问题进行了抽象。3、安全操作系统的研究发展1171972年，J.P.Anderson在一份研究报告中提出了参照监视器（referencemonitor）、访问验证机制（referencevalidationmechanism）、安全内核（securitykernel）和安全建模（modeling）等重要思想。

1973年，B.W.Lampson提出了隐蔽通道的概念，他发现两个被限制通信的实体之间如果共享某种资源，那么它们可以利用隐蔽通道传递信息。1972年，J.P.Anderson在一份研究报告中提出了118

同年，D.E.Bell和L.J.LaPadula提出了第一个可证明的安全系统的数学模型，即BLP模型。安全内核操作系统（kernelizedsecureoperatingsystem,KSOS）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，由Ford太空通讯公司承担。同年，D.E.Bell和L.J.LaPadula提出了第一119UCLASecureUNIX也是美国国防部研究计划局于1978年前后发起的一个安全操作系统研制项目，由加利福尼亚大学承担。UCLASecureUNIX的系统设计方法及目标几乎与KSOS相同。1983年，美国国防部出版了历史上第一个计算机安全评价标准——《可信计算机系统评价准则（TCSEC）》，1985年，美国国防部对TCSEC进行了修订。UCLASecureUNIX也是美国国防部研究计划局于1120SecureXenix是IBM公司于1986年在SCOXenix的基础上开发的一个安全操作系统，它最初是在IBMPC/AT平台上实现的。

UNIXSVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级。SecureXenix是IBM公司于1986年在SCO1212001年前后，我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。2000年11月18日，公安部计算机信息系统安全产品质量监督检验中心，在网站上发布公告:“国内首家安全操作系统通过检测”。2001年前后，我国安全操作系统研究人员相继推出了一批基于L1222001年3月8日，我国国家技术监督局发布了国家标准GB/T18336－2001《信息技术安全技术信息技术安全性评估准则》，它基本上等同于国际通用安全评价准则（CC）。2001年3月8日，我国国家技术监督局发布了国家标准GB/T1234、操作系统安全的概念计算机系统的安全极大地取决于操作系统的安全，计算机操作系统的安全是利用安全手段防止操作系统本身被破坏，防止非法用户对计算机资源(如软件、硬件、时间、空间、数据、服务等资源)的窃取。操作系统安全的实施将保护计算机硬件、软件和数据，防止人为因素造成的故障和破坏。4、操作系统安全的概念124第一，操作系统本身提供的安全功能和安全服务；第二，针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；第三，保证网络操作系统本身所提供的网络服务能得到安全配置。第一，操作系统本身提供的安全功能和安全服务；125

操作系统主要的安全功能包括：隔离控制、存储器保护(限定存储区和地址重定位，保护存储信息)、文件保护(保护用户和系统文件，防止非授权用户访问)、访问控制、身份认证(识别请求访问的用户权限和身份)等。操作系统主要的安全功能包括：隔离控制、存储器保126物理隔离。在物理设备或部件一级进行隔离，使不同的用户程序使用不同的物理对象。时间隔离。对不同安全要求的用户进程分配不同的运行时间段。对于用户运算高密级信息时，甚至独占计算机进行运算。

隔离控制的方法有四种：

物理隔离。在物理设备或部件一级进行隔离，使不同的用户程序使用127③

逻辑隔离多个用户进程可以同时运行，但相互之间感觉不到其他用户进程的存在，这是因为操作系统限定各进程的运行区域，不允许进程访问其他未被允许的区域。

③逻辑隔离128④加密隔离进程把自己的数据和计算活动隐蔽起来，使他们对于其他进程是不可见的，对用户的口令信息或文件数据以密码形式存储，使其他用户无法访问，也是加密隔离控制措施。

④加密隔离129隔离措施复杂性？安全性？这几种隔离措施实现的复杂性是逐步递增的而它们的安全性则是逐步递减的.隔离措施复杂性？安全性？这几种隔离措施实现的复杂性是逐步递增130存储器保护内存储器是操作系统中的共享资源，即使对于单用户的个人计算机，内存也是被用户程序与系统程序所共享，在多道环境下更是被多个进程所共享。为了防止共享失去控制和产生不安全问题，对内存进行保护是必要的。存储器保护内存储器是操作系统中的共享资源，即使对于单用户的个131内存的特点内存储器是操作系统中的共享资源内存被用户程序与系统程序所共享多道环境下更是被多个进程所共享。内存的特点内存储器是操作系统中的共享资源132内存保护的目的是：防止对内存的未授权访问；防止对内存的错误读写，如向只读单元写；防止用户的不当操作破坏内存数据区、程序区或系统区；多道程序环境下，防止不同用户的内存区域互不影响；将用户与内存隔离，不让用户知道数据或程序在内存中的具体位置；内存保护的目的是：133常用的内存保护技术单用户内存保护技术多道程序的保护技术分段与分页保护技术内存标记保护法常用的内存保护技术单用户内存保护技术134135分段与分页技术对于稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程）。每个模块有自己的数据区，各模块之间也可能有共享数据区。各用户程序之间也可能有共享模块或共享数据区。这些模块或数据区有着不同的访问属性和安全要求，使用上述各种保护技术很难满足这些要求。34分段与分页技术136分段技术的作用分段技术就是试图解决较大程序的装入、调度、运行和安全保护等问题的一种技术。分段以模块（过程或子程序）为单位。采用分段技术，用户不知道他的程序实际使用的内存物理地址。这种隐藏对保护用户代码与数据的安全是极有好处的。

35分段技术的作用137分段技术的优点：

（1）在段表中除了与段名对应的段号及段基址外，还可以增加必要的访问控制信息，对于任何企图访问某个段的操作，操作系统和硬件都可以进行检查。（2）分段技术几乎可以实现对程序的不同片段分别保护的目标。根据各段敏感性要求，为各段划分安全级，并提供不同的保护措施。36分段技术的优点：（1）在段表中除了与段名对应的段号及段138（3）分段技术的保护功能可以检查每一次对内存访问是否合法，可以让保护粒度达到数据项级。（4）可以为了实施保护而检查每一次地址访问。（5）还可以避免允许用户直接指定内存地址或段区所带来的安全问题，也可以让多个用户用不同的权限访问一个段。分段技术的优点续：

37（3）分段技术的保护功能可以检查每一次对内存访问是否合法139段的管理方式存在的问题与困难（1）由于各段的长度不相同，对内存管理造成了困难，容易产生内存“碎片”。这是一个很大的安全漏洞。（2）在许多情况下（如段内部包含动态数据结构）要求在使用段方式时允许段的尺寸可以增大。为了保证安全起见，要求系统检查所产生的地址，验证其是否超出所访问的段的末端。38段的管理方式存在的问题与困难140（3）段名不易在指令中编码，由操作系统查名字表的速度也会很慢。解决的办法是由编译器把段名转化为数字，并建立一张数字与段名之间的对照表。但这又为段的共享带来麻烦，因为每个调用者都必须知道该段的编号。

段的管理方式存在的问题与困难续：39（3）段名不易在指令中编码，由操作系统查名字表的速度也会分段与分页的问题与作用为了解决分段可能产生的内存碎片问题，引入了分页技术。分页是把目标程序与内存都划分成相同大小的片段，这些片段就称为“页”。分页技术解决了碎片问题，但损失了分段技术的安全功能。由于段具有逻辑上的完整意义，而页则没有这样的意义，程序员可以为段规定某些安全控制要求，但却无法指定各页的访问控制要求。

141分段与分页的问题与作用40142

用户认证

用户认证的任务是确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用户。认证用户的方法一般有三种：（1）要求输入一些保密信息，如用户的姓名、通行字或加密密钥等；（2）稍微复杂一些鉴别方法，如询问—应答系统、采用物理识别设备（如访问卡、钥匙或令牌标记）等方法；（3）利用用户生物特征，如指纹、声音、视网膜等识别技术对用户进行唯一的识别。41用户认证用户认证的任务是确认当前正在试图登录143口令认证方法口令是一种容易实现并有效地只让授权用户进入系统的方法。口令是用户与操作系统之间交换的信物。用户想使用系统，首先必须通过系统管理员向系统登录，在系统中建立一个用户账号，账号中存放用户的名字(或标识)和口令。用户输入的用户名和口令必须和存放在系统中的账户/口令文件中的相关信息一致才能进入系统。没有一个有效的口令，入侵者要闯入计算机系统是很困难的。42口令认证方法144

破解口令是黑客们攻击系统的常用手段，那些仅由数字组成、或仅由字母组成、或仅由两、三个字符组成、或名字缩写、或常用单词、生日、日期、电话号码、用户喜欢的宠物名、节目名等易猜的字符串作为口令是很容易被破解的。这些类型的口令都不是安全有效的，常被称为弱口令。43破解口令是黑客们攻击系统的常用手段，那些仅由145选取口令应遵循以下规则：①扩大口令字符空间

口令的字符空间不要仅限于26个大写字母，要扩大到包括26个小写字母和10个数字，使字符空间可达到62个之多。

在UNIX系统中，还把其他一些特殊符号（如+、—、*、/、%、#、等）也作为口令的字符空间，因此其口令的安全性更高。

44选取口令应遵循以下规则：146②

选择长口令

选择长口令可以增加破解的时间。假定字符空间是26个字母，如果已知口令的长度不超过3，则可能的口令有26+26*26+26*26*26=18278个。若每毫秒验证一个口令，只需要18多秒钟就可以检验所有口令。

45②选择长口令147③选用无规律的口令

不要使用自己的名字、熟悉的或名人的名字作为口令，不要选择宠物名或各种单词作为口令，因为这种类型的口令往往是破解者首先破解的对象，由于它们的数量有限(常用英文词汇量只不过15万左右)，对计算机来说不是一件困难的事情。假定按每毫秒穷举一个英文单词的速度计算，15万个单词也仅仅需要150秒钟时间。

46③选用无规律的口令148

④口令更换

有时口令已经泄露了，但拥有者却不知道，还在继续使用。为了避免这种情况发生，比较好的办法是定期更换口令。WindowsNT和UNIX系统都支持定期更换口令的功能。

47④口令更换149

⑤多个口令

一般来说，登录名或用户名是与某个私人口令相联系的。尽管如此，在有更高安全要求的系统上还采用多个口令的安全措施。其中包括系统口令，它允许用户访问指定的终端或系统，这是在正常登录过程之后的额外的访问控制层。也可以是对拨号访问或访问某些敏感程序或文件而要求的额外口令。

48⑤多个口令150

⑥系统生成口令可以由计算机为用户生成口令，UNIX系统就有这种功能。口令生成软件可以按前面讨论的许多原则为用户生成口令，由系统生成的口令一般很难记忆，有时会迫使用户写到纸上，造成了不安全因素。49⑥系统生成口令151对口令的控制：除了以上各种安全措施外，有的系统对使用口令进行访问还采取更严格的控制，通常有以下一些措施：

登录时间限制

系统消息

限制登录次数

最后一次登录

尽量减少会话透露的信息

增加认证的信息量50对口令的控制：操作系统的访问控制机制访问控制系统一般包括：主体(subject)。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体(object)。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。安全访问政策。安全访问政策是一套规则，可用于确定一个主体是否对客体拥有访问能力。

操作系统的访问控制机制152153访问控制

访问控制的基本目标都是防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标，访问控制常以用户身份认证为前提，在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为。

52访问控制访问控制的基本目标都是防止非法用访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。只有被授予一定权限的用户，才有资格去访问有关的资源。访问控制具体包括两方面涵义，一是指对用户进入系统的控制，最简单最常用的方法是用户账户和口令限制，其次还有一些身份验证措施；二是用户进入系统后对其所能访问的资源进行的限制，最常用的方法是访问权限和资源属性限制。访问控制也叫授权，它是对用户访问网络系统资源进154

访问控制可分为自主访问控制和强制访问控制两大类。自主访问控制：是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问控制可分为自主访问控制和强制访问控制两大类。155

强制访问控制：是指由系统（通过专门设置的系统安全员）对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。强制访问控制：是指由系统（通过专门设置的系统安156

所有用户的访问权限完全是由安全管理员根据需要确定的。强制访问控制还有其他安全策略，如“角色授权管理”。该策略将系统中的访问操作按角色进行分组管理。一种角色执行一种操作，由系统安全管理员进行统一授权。当授予某一用户某个角色时，该用户就有执行该角色所对应的一组操作的权限。所有用户的访问权限完全是由安全管理员根据需要确157

系统访问控制是指用户进入系统的控制和用户进入系统后如何访问资源的限制，它包括：1）.访问控制类型2）.入网安全控制(系统登录)3）.访问权限限制4）.文件和目录属性限制5）.网络服务器安全控制6）.网络监测和锁定控制7）.网络端口和节点的安全控制8）.防火墙控制系统访问控制是指用户进入系统的控制和用户进入系158159基本的访问控制模型

（1）访问控制矩阵(ACM，AccessControlMatrix)：基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。58基本的访问控制模型160（2）访问目录表：这种访问控制机制实际上按访问控制矩阵的行实施对系统中客体的访问控制。文件名权限C客体(文件)用户A目录用户B目录CDORWRWBRWABCORWOXRDABO：OwnerR：ReadW：WriteX：Execute访问目录表机制

59（2）访问目录表：这种访问控制机制实际上按访问控制矩阵的访问目录表机制容易实现，但存在三个问题需要解决：①共享客体的控制。凡是允许用户访问的客体，都应该把它的名字存入该用户的访问目录表内，共享客体也应该存入该目录表中。存在的问题是，如果共享的客体太多（如子程序库），用户的目录表将会很长，增加了处理时间。访问目录表机制容易实现，但存在三个问题需要解决：161162②访问权的收回问题。在实际情况中，甲乙两人之间可能有信任关系，文件A的拥有者甲可以把该文件的某些权限传递给用户乙，当甲用户想从乙用户收回该访问权时，只要从乙的目录表中删除该文件名即可。在许多操作系统中都支持这种信任关系。但是若允许信任关系传递，则给目录表的管理带来麻烦。假设乙用户在把文件A的访问权又传递给丙用户，当甲用户希望收回所有用户对文件A的访问权时，甲可能不知道这种情况，解决的办法是搜索所有用户的目录表，如果系统中用户数量较大，将要花费很多时间。61②访问权的收回问题。163③多重许可权问题。多重许可权问题是由文件重名问题引起的。假定乙用户的目录表中已经有一个文件A，甲用户也有一个文件A，但这两个文件A的内容不同。如果甲信任乙，第一次把自己A文件的部分访问权传递给乙，为了不重名，甲的文件A被改名为H后存入到乙的目录表中，乙可能会忘记自己目录表中的H就是甲的A文件，于是又向甲申请A文件的访问权，甲有可能对乙更加信任，就把文件A更高的访问权授予乙，于是造成乙用户对甲的文件A有多重访问权的问题，产生客体安全管理的混乱，而且可能产生矛盾。62③多重许可权问题。164（3）访问控制表ACLACL表保护机制实际上是按矩阵的列实施对系统中客体的访问控制的。访问目录表和访问控制表分别将访问控制设施设置在用户端和客体端，这两种控制方式需要管理的表项的总数量是相同的，它们的差别在于管理共享客体的方法上，访问控制表技术易