计算机网络安全基础课件 第2章 计算机系统安全与访问控制

THEBASISOFCOMPUTERNETWORKSECURITY第2章计算机系统安全与访问控制计算机网络安全基础1第2章计算机系统安全与访问控制随着计算机技术的不断发展，计算机系统安全问题也越来越突出。因此，计算机系统安全技术也变得日益重要。计算机系统安全是指保护计算机系统、网络以及其中储存的数据和软件免受未授权访问、修改、破坏或泄漏的能力。访问控制是在保障授权用户能获得所需资源的同时拒绝非授权用户的安全机制。访问控制技术是保护计算机系统和数据安全的重要手段，也是计算机网络安全理论基础重要组成部分。2第2章主要内容●计算机安全的主要目标●安全级别●系统访问控制●选择性访问控制●强制性访问控制3（第2章）2.1什么是计算机安全42.1什么是计算机安全计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。计算机部件中经常发生的一些电子和机械故障有：磁盘故障，I／O控制器故障，电源故障，存储器故障，介质、设备和其它备份故障，芯片和主板故障等。51．计算机系统的安全需求●保密性●安全性●完整性●服务可用性●有效性和合法性●信息流保护62．计算机系统安全技术（1）硬件安全技术计算机实体硬件安全技术主要是指为保证计算机设备及其他设施免受危害所采取的措施。计算机实体包含了计算机的设备、通信线路及设施（包括供电系统、建筑物）等。所受的危害包括地震、水灾、火灾、飓风、雷击、电磁辐射和泄露等。（2）软件安全技术软件系统安全主要是保证所有计算机程序和文档资料，免遭破坏、非法复制和非法使用，同时也应包括操作系统平台、数据库系统、网络操作系统和所有应用软件的安全；软件安全技术包括口令控制、鉴别技术，软件加密、压缩技术，软件防复制、防跟踪技术。软件安全技术还包括掌握高安全产品的质量标准，选用系统软件和标准工具软件、软件包。72．计算机系统安全技术（3）信息安全技术数据信息技术主要是指为保证计算机系统的数据库、数据文件和所有数据信息免遭破坏、修改、泄露和窃取；为防止这些威胁和攻击应采取的一切技术、方法和措施。其中包括对各种用户的身份识别技术，口令、指纹验证技术，存取控制技术和数据加密技术，以及建立备份、紧急处置和系统恢复技术，异地存放、妥善保管技术等。（4）站点安全技术网络站点安全技术是指为了保证计算机系统中的网络通信和所有站点的安全而采取的各种技术措施，除了包括防火墙技术外，还包括报文鉴别技术、数字签名技术、访问控制技术、压缩加密技术和密钥管理技术等，为保证线路安全、传输安全而采取的安全传输介质技术，如网络跟踪、监测技术，路由控制隔离技术和流量控制分析技术等。82．计算机系统安全技术（5）运行安全技术计算机系统运行服务安全主要是安全运行的管理技术。它包括系统的使用与维护技术，随机故障维护技术，软件可靠性、可维护性保证技术，操作系统故障分析处理技术，机房环境监测维护技术，系统设备运行状态实测、分析记录等技术。以上技术的实施目的在于，及时发现运行中的异常情况、及时报警、及时提示用户采取措施或进行随机故障维修和软件故障的测试与维修，或进行安全控制与审计。（6）病毒防治技术为保证计算机系统的安全运行，除了运行服务安全技术措施外，还要专门设置计算机病毒检测、诊断和消除设施，并采取成套的、系统的预防方法，以防止病毒的再入侵。92．计算机系统安全技术（7）防火墙技术防火墙是介于内部网络或Web站点与互联网之间的路由器或计算机，目的是提供安全保护，控制谁可以访问内部受保护的环境，谁可以从内部网络访问互联网。（8）安全评价技术安全评价技术是在某种特定的安全要求级别下，通过技术分析和评估确定系统是否达到安全要求的过程。系统安全评价的目标是确定系统是否达到安全要求，并且还要检查系统安全控制是否能够满足安全要求。它主要包括系统被评估的安全性，技术安全性，访问控制，安全检查，安全管理，法律合规性等。103．计算机系统安全技术标准国际标准化组织在ISO7498-2中描述的开放系统互连OSI安全体系结构的5种安全服务项目有：①认证（Authentication）②访问控制（AccessControl）③数据保密（DataConfidentiality）④数据完整性（DataIntegrity）⑤抗否认（Non-reputation）11安全机制①加密机制（EnciphermentMechanisms）②数字签名机制（DigitalSignatureMechanisms）③访问控制机制（AccessControlMechanisms）④数据完整性机制（DataIntegrityMechanisms）⑤认证机制（AuthenticationMechanisms）⑥通信业务填充机制（TrafficPaddingMechanisms）⑦路由控制机制（RoutingControlMechanisms）⑧公证机制（NotarizationMechanisms）12（第2章）2.2安全级别132.2安全级别安全级别有两个含义，一个是主客体信息资源的安全类别，另一个是访问控制系统实现的安全级别。根据不同的安全强度要求，美国国防部可信计算机系统评估系统TCSEC共定义了四组七个等级可信计算机系统准则，即D、C1、C2、B1、B2、B3、A。1．D级D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信的。对于硬件来说，没有任何保护措施，操作系统容易受到损坏，没有系统访问限制和数据访问限制，任何人不需任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。属于这个级别的操作系统有DOS、Windows98和Apple的MacintoshSystem7.1。142.2安全级别2．C1级C类有两个安全子级别：C1和C2。C1级，又称选择性安全保护系统。这种级别的系统对硬件有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件中的访问属性，从而对不同的用户给予不同的访问权。C1级保护的不足之处在于用户能直接访问操作系统的超级用户。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，可以控制系统配置，获取比系统管理员允许的更高权限，如改变和控制用户名。152.2安全级别3．C2级除了C1级包含的特性外，C2级为有控制的存取保护。在访问控制环境中，C2级具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。系统对发生的事件加以审计，并写入日志当中。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别。授权分级使系统管理员能够对用户进行分组，授予他们访问某些程序或分级目录的权限。用户权限能够以个人为单位授权对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动获得访问这些信息的权限。能够达到C2级的常见操作系统有：UNIX操作系统、Linux操作系统、Windows2019Server操作系统。162.2安全级别4．B1级B类属强制保护，要求系统在其生成的数据结构中带有标记，并要求提供对数据流的监视。B类中有3个级别，B1级即标识安全保护（LabeledSecurityProtection），是支持多级安全（如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。在这一级，访问磁盘区和文件服务器目录必须在访问控制之下，不允许拥有者更改他们的权限。B1级的计算机系统安全措施视操作系统而定。政府机构和防御承包商们是B1级计算机系统的主要拥有者。典型的代表是AT&TSystemV操作系统，它是Solaris系统的前身。172.2安全级别5．B2级B2级，又被称为结构保护（StructuredProtection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。B2级除满足B1要求外，还要实行强制控制并进行严格的保护，这个级别支持硬件保护。6．B3级B3级又称安全域级别（SecurityDomain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。B3级是B类中的最高子类，提供可信设备的管理和恢复，即使计算机崩溃，也不会泄露系统信息。182.2安全级别7．A级A级又称验证设计（VerityDesign），是当前橙皮书的最高级别，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。设计必须是经过数学验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布（TrustedDistribution）的含义是，硬件和软件在物理传输过程中已经受到保护，防止安全系统被破坏。19TCSEC可信计算机标准评估准则级别名称主要特征A1验证设计级形式化安全验证模型，形式化隐蔽通道分析B3安全区域保护级安全内核，高抗渗透能力B2结构化保护级形式化安全模型，隐蔽通道约束，面向安全的体系结构，较好的抗渗透能力B1标签安全保护级强制访问控制，安全标识，删去安全相关的缺陷C2受控存取保护级受控自主访问控制，增加审核机制，记录安全性事件C1自主安全保护级自由访问控制D最小保护级最低等级20（第2章）2.3系统访问控制212.3系统访问控制访问控制是指保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制，从而确保只有合法用户的合法访问才能给予批准，而且相应的访问只能执行授权的操作。访问控制是计算机网络系统安全防范和保护的重要手段，是保证网络安全最重要的核心策略之一，也是计算机网络安全理论基础重要组成部分。22访问控制的主要目的限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。访问控制包括三个要素：主体、客体和控制策略。（1）主体。是指提出访问资源具体请求。是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。（2）客体。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。（3）控制策略。是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。23访问控制的主要功能保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括认证、控制策略实现和安全审计。（1）认证。包括主体对客体的识别及客体对主体的检验确认。（2）控制策略。通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。（3）安全审计。系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。24系统登录1.Unix系统登陆Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统，任何一个想使用Unix系统的用户，必须先向该系统的管理员申请一个账号，然后才能使用该系统，因此账号就成为用户进入系统的合法“身份证”。2.Unix账号文件Unix账号文件/etc/passwd是登录验证的关键，该文件包含所有用户的信息，如用户的登录名、口令和用户标识号等等信息。该文件的拥有者是超级用户，只有超级用户才有写的权力，而一般用户只有读取的权力。25/etc/passwd文件部分内容每一行分7个部分，每部分用冒号分开。登录名称：口令：用户标识号：所属组：用户全称：起始目标：默认登录shell26系统登录3．Windows操作系统登录Windows操作系统的登录主要有以下4种类型。（1）交互式登录交互式登录就是用户通过相应的用户账号和密码在本机进行登录。（2）网络登录如果计算机加入工作组或域，当要访问其他计算机的资源时，就需要“网络登录”了。（3）服务登录服务登录是一种特殊的登录方式，很少用到。（4）批处理登录一般用户很少用到，通常被执行批处理操作的程序所使用。在执行批处理登录时，所用账号要具有批处理工作的权限，否则不能进行登录。27系统登录4.登录中使用的组件在Windows操作系统的登录过程中，使用了如下的组件。（1）Winlogon.exe（2）图形化识别和验证（GINA）（3）本地安全授权服务（LSA）（4）SAM数据库（5）NetLogon服务（6）KDC服务（7）ActiveDirectory服务28系统登录5．安全标识符安全标识符（SecurityIdentifiers，SID），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的SID。用户每次登录时，系统会为该用户创建访问令牌。访问令牌包含用户所属的任何组的SID、用户权限和SID。此令牌为用户在此计算机上执行的任何操作提供安全上下文。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。29SID的结构30身份认证身份认证是指通过一定的手段，完成对用户身份的确认。身份认证的方法有很多，基本上可分为：基于共享密钥的身份认证、基于生物学特征的身份认证和基于公开密钥加密算法的身份认证。1．基于共享密钥的身份认证基于共享密钥的身份认证是指服务器端和用户共同拥有一个或一组密码。当用户需要进行身份认证时，用户通过输入或通过保管有密码的设备提交由用户和服务器共同拥有的密码。服务器在收到用户提交的密码后，检查用户所提交的密码是否与服务器端保存的密码一致，如果一致，就判断用户为合法用户。如果提交的密码与服务器端所保存的密码不一致时，则判定身份认证失败。31身份认证2．基于生物学特征的身份认证基于生物学特征的身份认证是指基于每个人身体上独一无二的特征，如指纹、手印、声音、虹膜等。这种识别技术只用于控制访问极为重要的场合，用于极为仔细地识别人员。3．基于公开密钥加密算法基于公开密钥加密算法的身份验证是指通信中的双方分别持有公开密钥和私有密钥，由其中的一方采用私有密钥对特定数据进行加密，而对方采用公开密钥对数据进行解密，如果解密成功，就认为用户是合法用户，否则就认为是身份验证失败。32系统口令口令是访问控制的简单而有效的方法，只要口令保持机密，非授权用户就无法使用该账号。系统口令的维护不只是管理员一个人的事情，系统管理员和普通用户都有义务保护好口令，下面将讨论用户应怎样来选择和保护自己的口令。1．选择安全的口令选择长的口令，口令越长，黑客破解的成功率就越低；口令最好包括英文字母和数字的组合；不要使用英语单词作为口令；若用户访问多个系统，则不要使用相同的口令；不要使用自己名字、家人和宠物的名字作口令；不要选择不易记忆的口令。33系统口令2.口令的生命期和控制用户应该定期改变自己的口令，例如一个月换一次。如果口令泄露或被盗取就会引起安全问题，经常更换口令可以帮助减少损失。比如两个星期更换一次口令总比一直保留原有口令损失要小。管理员可以为口令设定生命期，这样当口令生命期到后，系统就会强制用户更改系统密码。34系统口令3.口令的维护①不要将口令告诉别人，也不要几个人共享一个口令，不要把它记在本子上或计算机周围。②不要用系统指定的口令，如root、demo和test等。③如果账户长期不用，应将其暂停。④可以限制用户的登录时间，例如，只有在工作时间，用户才能登录。⑤限制登录次数。为了防止对账户多次尝试口令以闯入系统，系统可以限制登录的次数，这样可以防止有人不断地尝试使用不同的口令和登录名。35（第2章）2.4选择性访问控制362.4选择性访问控制选择性访问控制（DiscretionaryAccessControl，DAC）是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接或间接地把这种控制权传递给别的主体（除非这种授权是被强制型控制所禁止的）。选择性访问控制被内置于许多操作系统当中，是任何安全措施的重要成部分。文件拥有者可以授予一个用户或一组用户访问权。选择性访问控制在网络中有着广泛的应用，下面将着重介绍网络上的选择性访问控制的应用。372.4选择性访问控制在网络上使用选择性访问控制应考虑如下几点：（1）某人可以访问什么程序和服务？（2）某人可以访问什么文件？（3）谁可以创建、读或删除某个特定的文件？（4）谁是管理员或“超级用户”？（5）谁可以创建、删除和管理用户？（6）某人属于什么组，以及相关的权利是什么？（7）当使用某个文件或目录时，用户有哪些权利？382.4选择性访问控制有两种选择性访问控制方法来帮助和控制用户在系统中可以做什么，一种是安全级别指定，另一种是目录／文件安全。（1）管理