工学电子政务计算机网络信息安全概念

电子政务系统建设与实施第4章：电子政务计算机网络信息平安概念本章重点讨论电子政务中的计算机网络信息平安计算机网络信息平安开展过程我国计算机网络与信息平安根本对策计算机网络信息平安的根本对策计算机网络平安管理2南京大学软件学院3南京大学软件学院4南京大学软件学院5南京大学软件学院6南京大学软件学院7南京大学软件学院8南京大学软件学院9南京大学软件学院国际标准化组织对平安体系结构的论述ISO7498-2中描述的开放系统互连OSI平安体系结构的5种平安效劳工程是鉴别〔authentication〕访问控制〔accesscontrol〕数据保密〔dataconfidentiality〕数据完整性〔dataintegrity〕抗否认〔non-reputation〕10南京大学软件学院为了实现以上效劳，制定了8种平安机制加密机制〔enciphrementmechanisms〕数字签名机制〔digitalsignaturemechanisms〕访问控制机制〔accesscontrolmechanisms〕数据完整性机制〔dataintegritymechanisms〕鉴别交换机制〔authenticationmechanisms〕通信业务填充机制〔trafficpaddingmechanisms〕路由控制机制〔routingcontrolmechanisms〕公证机制〔notarizationmechanisms〕5种平安效劳和8种平安机制的关系表11南京大学软件学院12南京大学软件学院平安立法问题13南京大学软件学院平安立法问题〔续1〕14南京大学软件学院平安立法问题〔续2〕15南京大学软件学院平安立法问题〔续3〕16南京大学软件学院平安立法问题〔续4〕17南京大学软件学院平安立法问题〔续5〕等级划分准那么具体内容为：第一级“用户自主保护级〞：计算机信息系统可信计算通过隔离用户与数据，使用户具备自主平安保护的能力。具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏自主访问控制身份鉴别数据完整性18南京大学软件学院平安立法问题〔续6〕第二级“系统审计保护级〞：与用户自主保护级相比，本级的计算机信息系统可信计算实施了粒度更细的自主访问控制，它能过登录规程、审计平安性相关事件和隔离资源，使用对自己的行为负责自主访问控制身份鉴别客体重用审计数据完整性19南京大学软件学院平安立法问题〔续7〕第三级“平安标记保护级〞：本级的计算机信息系统可信计算基具有系统审计保护级的所有功能。此外，还需提供有关平安策略模型、数据标记以及主体对客体强制访问的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性20南京大学软件学院平安立法问题〔续8〕第四级“结构化保护级〞：本级的计算机信息系统可信计算基建立于一个明确定义的形式化平安策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的渗透能力21南京大学软件学院平安立法问题〔续9〕自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性隐蔽信道分析可信路径22南京大学软件学院平安立法问题〔续10〕第五级“访问验证保护级〞：本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施平安策略来说并非必要的代码；在设计和实现时，从系统工程角度将其性降低到最小程度。支持平安管理员职能；扩充审计机制，当发生与平安相关的事件时发出信号；提供系统恢复机制。系统具有很高的渗透能力23南京大学软件学院平安立法问题〔续11〕自主访问控制强制访问控制标记身份鉴别客体重用审计数据完整性隐蔽信息分析可信路径可信恢复24南京大学软件学院我国网络信息平安的现状25南京大学软件学院我国网络信息平安的现状〔续1〕瑞星、KV300和KILL三足鼎立的格局已然形成，下一个更大的市场便是网络版的市场从开展方向来看，网络杀毒产品必将是未来市场的一个主流因为网络杀毒软件产品的产值要比单机版要高，利润空间也非常可观因为在历史上国内企业用户对网络版的应用并不是很重视，近来出现了许多网络事故，才引起了重视日前，随着中国电子商务浪潮的风行，许多企业用户也正在由单机防护应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大26南京大学软件学院我国网络信息平安的现状〔续2〕27南京大学软件学院我国网络信息平安的现状〔续3〕“在线杀毒〞的方式也是一个很好的方向具有免下载、免等待、病毒码随时更新等特性省去下载最新病毒代码的时间，且因为不用安装，所以不会占用任何电脑系统资源，一般防毒软件根本杀毒功能线上杀毒都能提供对于厂商而言，“在线杀毒〞不需要传统杀毒所需要的介质的费用，减少了产品在流通环节所消耗的费用，使它的本钱和价位都能够降低很多缺点是目前只支持文件型病毒的查毒与杀毒动作，不能去除内存里的病毒28南京大学软件学院我国网络信息平安的现状〔续4〕从效劳上看，杀毒软件的竞争也是效劳质量等方面的竞争，尤其是对于单机版产品作为一款主要面向一般消费人群的单机版产品，除杀毒能力之外，如易用性、速度、资源占用情况、升级的更新频率及步骤简繁等方面也是非常重要的一些业内人士认为“作为一种反病毒产品，其主要目的是为了对抗计算机病毒。因此，反病毒软件的检测率、去除率、误报率，以及对病毒处理的可靠性等方面理应是该款反病毒产品的主要特征和评测目标〞，所以，可能要涉及到非企业类杀毒软件产品的评测方法以什么为依据的问题，以及是否将其与企业级杀毒软件产品的评测标准相别离的问题29南京大学软件学院我国网络信息平安的现状〔续5〕据?每周电脑报?的市场调查研究部的文章认为目前在杀毒软件方面，知名度由高至低的杀毒软件分别是：KV300、瑞星、KILL、Norton、Pc-cillin、VRV和AV95KV300的认识比率高达93%，瑞星和KILL的认知率分别为88.8%和82.3%在使用比率方面，前九位排名也一致，KV300的使用比率在被访企业中占80%在网络平安产品生产商和网络平安效劳供给商和知名度排名中，排名第一位的是瑞星〔71.1%〕，其次是江民〔47.2%〕、CA〔44.5%〕、冠群金辰〔28.3%〕和赛门铁克〔13.7%〕30南京大学软件学院我国网络信息平安的现状〔续6〕31南京大学软件学院我国网络信息平安的现状〔续7〕32南京大学软件学院网络信息平安的根本对策33南京大学软件学院网络信息平安的根本对策〔续1〕平安级别根据美国国防部开发的计算机平安标准，可信任计算机标准评估准那么〔TrustedComputerStandardsEvaluationCriteria〕：桔黄皮书〔OrangeBook〕，被用于保护硬件、软件和存储的信息免受攻击，并描述了不同类型的物理平安、用户身份验证〔authentication〕、操作系统软件的可信任性和用户应用程序。也限制了什么类型的系统可以连接到你的系统34南京大学软件学院网络信息平安的根本对策〔续2〕说明：桔黄皮书自1985年成为美国国防部的标准以来一直没有改变过。多年来一直是评估多用户主机和小型操作系统的主要方法，其它子系统如数据库和网络，也一直是通过桔黄皮书的解释来评估的。例如，可信任数据库解释〔TrustedDatabaseInterpretation〕和可信任网络解释〔TrustedNetworkInterpretation〕35南京大学软件学院网络信息平安的根本对策〔续3〕计算机平安划分为7个等级D1级：是可用的最低的平安形式。该标准说明整个系统都是不可信任的。对于硬件来说，没有任何保护可用；操作系统容易受到损害；对于用户和他们对存储在计算机上信息的访问权限没有身份验证该平安级别典型地指像MS-DOS、MS-Windows和Apple的MacintoshSystem7.x等操作系统。这些操作系统不区分用户，并且没有定义方法来决定谁在敲击键盘。这些操作系统对于计算机硬盘上的什么信息是可以访问的也没有任何控制36南京大学软件学院网络信息平安的根本对策〔续4〕C1级：C级两个平安子级别之一。C1级称为自选平安保护〔DiscretionarySecurityProtection〕系统，描述了一个典型的Unix系统上可用的平安级。对硬件来说存在某种程度的保护，不再那么容易受到损害，尽管损害的可能性仍存在。用户必须通过用户注册名和口令让系统识别他们自己，用来确定每个用户对程序和信息拥有什么样的访问权限访问权限是文件的目录许可权限〔permission〕。这些自选访问控制〔DiscretionaryAccessControls〕使文件或目录的拥有者或者系统管理员能阻止某个人或几个组访问那些程度或信息。但是并没有阻止系统管理帐户执行活动。结果是不审慎的系统管理员可以容易损害系统平安许多日常系统管理任务只能由以root注册的用户来执行37南京大学软件学院网络信息平安的根本对策〔续5〕C2级：除C1包含的特征外，C2级还包含其它的创立受控访问环境〔controlled-accessenvironment〕的平安特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。另外，这种平安级别要求系统加以审核〔audit〕，这包括为系统中发生的每个事件编写一个审核记录附加身份验证不能与可应用于程序的SGID和SUID许可权限相混淆，而且它们是允许用户执行特定命令或访问某些核心表的特定身份验证，例如，那些无权浏览进程表的用户，当执行ps命令时，只能看到它们自己的进程审核用来跟踪记录所有与平安有关的事件，比方那些由系统管理员执行的活动，审核还要求身份验证。审核的缺点在于需要额外的处理器和磁盘子系统资源38南京大学软件学院网络信息平安的根本对策〔续6〕B1级：B级三个平安级别之一。B1级称为标志平安保护〔LabeledSecurityProtection〕，是支持多级平安〔比方秘密和绝密〕的第一个级别，这一级说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限B2级：结构保护〔StructuredProtection〕，要求计算机系统中所有对象都加标签，而且给设备〔如磁盘、磁带或终端〕分配单个或多个平安级别。是提出较高平安级别的对象与另一个较低平安级别的对象相通讯的第一个级别39南京大学软件学院网络信息平安的根本对策〔续7〕B3级：平安域级别〔SecurityDomain〕使用安装硬件的方法来加强域，如内存管理硬件用于保护平安域免遭无授权访问或其它平安域对象的修改。该级别也要求用户的终端通过一条可信任途径连接到系统上A级：验证设计〔VerifyDesign〕是当前桔黄皮书中最高平安级别，包含了一个严格的设计、控制和验证过程设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。可信任分布〔TrustedDistribution〕的含义是，硬件和软件在传输过程是已经受到保护，以防止破坏平安系统也包含较低级别的所有特性40南京大学软件学院加拿大平安41南京大学软件学院加拿大平安〔续1〕EAL-1：是最低的保证级别，对开发人员和消费者来说定义了最小程度的保证，并且是以对产品平安性能分析为根底的，使用功能和接口设计来理解平安行为EAL-2：是在不需要强加给产品开发人员除EAL-1要求任务之外的附加任务情况下，可被授予的最高的保证级别。执行对功能和接口标准的分析，以及对产品子系统的高级设计检查42南京大学软件学院加拿大平安〔续2〕EAL-3：描述了一种中间的独立确定的平安级别，意味着平安由外部源来证实。允许开发阶段给予最大的保证，而在测试过程中几乎不加修改最大保证指的是设计时已经考虑到了平安问题，而不是设计完之后再实现平安性开发人员必须提供测试证据，包括易受攻击的分析，它们有选择地加以验证。也是包括配置管理评价的第一个级别43南京大学软件学院加拿大平安〔续3〕EAL-4：是改进已有生产线的可行的最高保证级别。一个保证级别为EAL-4的产品是一个在设计、测试和检查方面都井井有条的产品，是以很好的商业软件开发经验为根底的，这些经验可以帮助排除一般软件设计问题除了EAL-3级的内容之外，也包括对产品的易受攻击性进行独立的搜索44南京大学软件学院加拿大平安〔续4〕EAL-5：对现有的产品来说是不容易到达的。必须有意为了完成该标准来设计和创立产品。适用于那些在严格的开发方法中要求较高保证级别的开发人员和用户，开发人员也必须提出设计标准和如何在产品中从功能上实现这些标准45南京大学软件学院加拿大平安〔续5〕EAL-6：包含一个半正式的验证设计和测试文件。包括EAL-5级的所有内容，另外还要求提出实现的结构化表示，产品要接受上下设计检查且必须保证具有高度抗攻击性能。保证在设计循环中使用结构化的开发过程、开发控制和配置管理控制46南京大学软件学院加拿大平安〔续6〕EAL-7：只用于最高级别的平安应用程序。包含完整的独立和正式的设计检查，有一个验证、设计和测试阶段。开发人员必须测试产品的每一个方面，寻找明显的或隐藏的易受攻击的地方，这都可以由一个独立的源来全部加以验证47南京大学软件学院局部平安问题用户必须能解决那些局部的，或仅限于用户的组织或组织内部某个部门的平安问题。包括平安策略和口令控制48南京大学软件学院局部平安问题〔续1〕平安策略考虑用户站点平安性的策略采用两个主要观点第一、“没有明确允许的就是禁止的〞，意味着用户的组织提供了一个明确的和记录在案的效劳集合，所有其它的都在禁止之列第二、“没有明确禁止的就是允许的〞，意味着除非用户明确指出一种效劳不可用，那么所有效劳都是可用的不管是哪种观点，定义一种平安策略的原因是在一个组织的平安受到损害的情况下，必须决定应当采取什么行动。这种策略也描述了哪些行动是可以容忍的，哪些不行的。平安策略决定了平安性的程度49南京大学软件学院局部平安问题〔续2〕口令文件防卫非授权访问系统的第一道防线是/etc/password文件。口令文件包括一些行或记录，每行被“:〞分成7个域。如：chare:u7mHuh5R4UmVo:105:100:ChrisHare:/u/chare:/bin/kshusername:encryptedpassword:UID:comment:homedirectory:loginshell50南京大学软件学院局部平安问题〔续3〕实际的加密口令并不一定放在在加密口令域中，该域可以包含其它值口令文件的许可权限是只读的，类似的，影像口令文件和TCB中的文件一般也是只读的文件中的口令信息可通过password命令修改。password命令的许可权限包括SUID〔SetUserID〕位，使用户能够改变口令51南京大学软件学院局部平安问题〔续4〕影像口令文件不包含来自SecureMare的高级平安选择的Unix版本可支持影像口令文件在口令域中看到字符x时，那么用户实际的口令就存储在影像口令文件/etc/shadow中。与/etc/passwd文件不同，影像口令文件必须只有通过根才是能可读，如下：#Is-I/etc/shadow-r------1rootauth831Oct2411:43/etc/shadow#52南京大学软件学院局部平安问题〔续5〕文件/etc/shadow的格式与/etc/passwd一致，也有7个由“:〞分开的域，但/etc/shadow只包含用户名、加密口令和口令生命期信息，如下：#cat/etc/shadowroot:DUQC9rXCioAuo:8887:0:0::daemon:*::0:0::mmdf:MZ74AeYMs4sn3:8842:0:0::ftp:b80lug/921MeY:8333::::anyone::8418::::chare:7xqmj9fj3bVw2:9009::::pppdemo:4QYrWsJEHc81A:9032::::#53南京大学软件学院局部平安问题〔续6〕文件/etc/shadow是由命令pwconv在SCO和SVR4系统创立的，只有超级用户能够创立影像口令文件。在SCO系统时/etc/passwd中的信息和保护的口令数据库用于创立口令文件；在SVR4系统时使用/etc/passwd中的信息影像口令文件的主要优点是将加密口令放在一个普通的用户无法访问的文件中54南京大学软件学院局部平安问题〔续7〕拨号口令文件直接在Unix系统上支持拨号访问的问题在于允许通过线路直接访问该系统，破坏者可能“侵入〞系统可能会导致系统的损害。许多Unix系统提供了匿名UUCP访问，容易导致口令文件的丧失所以，在Unix系统中提供拨号访问的另一种方法是：通过一台支持身份验证的终端效劳器来提供访问。这种方式下，用户在允许网络访问之前必须由终端效劳器证实为合法55南京大学软件学院局部平安问题〔续8〕遗憾的是，串行端口线路安装附加口令的能力不是所有Unix版本都具有的。串行线路的拨号口令保护是通过/etc/dialups和/etc/d-passwd两个文件来控制的。文件/etc/dialups包含一个由拨号口令保护的串行端口列表，如下：#catdialups/dev/tty2A#56南京大学软件学院局部平安问题〔续9〕文件/etc/d-passwd用于识别注册外壳。与使用用户注册名的常规口令不同，拨号口令是与注册外壳相联系的。也就是说，使用Bourne外壳的每一个用户有相同的拨号口令。典型的拨号口令：#cat/etc/d-passwd/bin/sh::/usr/lib/uucp/uucico::#该文件中的每一行或记录包含两个由“:〞分开的域。第一个域识别给定口令支持的外壳，第二个域列出了口令上面的例子中，两个外壳都没有口令，这意味着用户注册时不会被提示输入口令57南京大学软件学院局部平安问题〔续10〕拨号口令通过在passwd命令中使用-m选项来增加，该选项通知passwd，搜集的口令支持拨号口令文件中的某个特定外壳。语法格式：passwd-mshell-name一个实例和执行#passwd-m/bin/s:Settingmodempasswordforloginshell:/bin/shPleaseenternewpasswordModempassword:testingRe-enterpassword:testing#58南京大学软件学院局部平安问题〔续11〕上例中，系统管理员为/bin/sh外壳增加拨号口令。意味着注册到该系统将Bourne外壳作为其注册外壳的任何用户，都会被提示输入拨号口令。与通常的passwd一样，实际的口令在其键入时并不显示；它们必须输入的口令在上例中显示出来，只是为了说明方便。注意，只有系统管理员能够改变一个外壳的拨号口令passwd命令改变d-passwd文件的内容，将新的口令包括进去，如下：#catd-passwd/bin/sh:Ora391.Na1jjQ:/usr/lib/uucp/uucico::#现在Bourne外壳用户在注册到文件/etc/dialups中指定的终端端口时，必须提供附加口令59南京大学软件学院局部平安问题〔续12〕例子描述了当用户使用拨号口令注册时经历的过程：gatewaygateway!login:charePasswordDialupPassword:Lastsuccessfulloginforchare:FriOct2822:52:02EDT1994ontty2aLastunsuccessfulloginforchare:TueOct1813:27:53EDT1994onttyp1SCOUnixSystemV/383Release3.2Copyright(C)1973-1989UNIXSystemLaboratories,Inc.Copyright(C)1980-1989MicrosoftCorporationCopyright(C)1983-1992TheSantaCruzOperation.Inc.AllRightsReservedgatewayTERM=(ansi)#60南京大学软件学院局部平安问题〔续13〕如上直到用户输入用户名和口令，才通过通常的注册过程。这些被验证有效之后，检查拨号口令控制文件/etc/dialups。当用户连接的终端放置在该文件中，且注册外壳是Bourne时，提示用户输入拨号口令。如果拨号口令输入正确，就授权用户访问系统，如上61南京大学软件学院局部平安问题〔续14〕如果拨号错误，就放弃注册，用户被近重新启动，如下：gatewaygateway!login:charePassword:DialupPassword:LoginincorrectWaitforloginretry:login:charePassword:DialupPassword:62南京大学软件学院局部平安问题〔续15〕组文件：文件/etc/group用来控制访问那些不是用户所拥有的文件。如果用户不是文件的拥有者，那么就检查用户所属的组，查看用户是否是拥有该文件的组的成员组员列表存储在/etc/group中，文件的格式如下：tech:*:103:andrewg,patc,chare,erict,lorrainel,lensgroupname:password:GID:userlist63南京大学软件学院局部平安问题〔续16〕组文件的口令是不使用的，也没有容易的机制用于在文件中安装口令。如果用户试图切换到它们不是其成员的组，就会被提示输入口令，如下：$newgrptechnewgrp:Passwordnewgrp:Sory$greptech/etc/grouptech:*:103:andrewg,patc$如果执行该命令的用户已经成为组tech的成员，newgrp命令就会成功。但许多Unix的当前版本使用户能够同时成为多个组的成员，这会减少或取消使用newgrp命令的需要64南京大学软件学院口令生命期和控制口令生命期〔passwordaging〕机制控制用户何时可以加密口令后通过在口令文件中插入一个值来修改他们的口令。该值定义了用户修改口令之前必须经过的最小时间间隔和口令有效期满之前可以经历的最大时间间隔口令生命期控制信息与加密口令存储在一起，以一系列可打印字符的形式出现。控制包含在口令之后，用逗号分开。通常逗号后面的字符表示下述信息口令有效的最大周数用户可以再次改变其口令之前必须经过的最小周数口令最近改变的时间65南京大学软件学院口令生命期和控制〔续1〕使用口令生命期信息值查看口令的生命期：chare:2eLNss48eJ/GY,C2:215:100:ChrisHare:/usr1/chare:bin/sh上例中口令已经被设置了生命期，使用“C〞值定义了口令到期前的最大周数，“2〞定义了用户能够再次更改口令前必须经过的最大周数每次用户注册时，就将上次改变的值与最大值作比较，来检查该口令的生命到期了没有66南京大学软件学院口令生命期和控制〔续2〕生命期控制机制识别两种特殊情况：一种迫使用户在下次注册时改变其口令；一种禁止用户修改口令要强迫用户修改其口令，比方一个新用户，该用户的口令域为“/〞，在这种情况下用户在下次注册时被迫修改其口令。一旦修改之后“强迫〞控制信息就从口令项中删除了，下面显示了一个口令中强迫项的例子：chare:2eLNss48eJ/GY,./:215:100:ChrisHare:/usr1/chare:/bin/sh67南京大学软件学院口令生命期和控制〔续3〕68南京大学软件学院破坏者的口令69南京大学软件学院破坏者的口令〔续1〕多数情况下，破坏者最需要的信息是文件/etc/passwd。当破坏者拥有有效用户的帐户名列表时，创立猜测口令的程序就很简单了。但许多现代注册程序在注册提示之间包含一个时间延迟，随着每一次不成功的注册尝试，该延迟变得越来越长；它也会包含程序代码在记录了太多的不成功的尝试情况下取消访问端口使用/etc/shadow或保护口令数据库，因为这些文件和目录要求根访问来浏览它们，这使得破坏者要获取加密口令信息更加困难70南京大学软件学院C2平安性和TCB可信任计算根底〔TCB〕是C2级Unix系统的平安系统的一局部，它为系统的操作和管理增添了明显的复杂性将/etc/passwd文件的位移到其它地方，并为原始信息增加附加信息，组成可信任计算根底数据库文件分散在几个不同的目录等级结构中但编辑这些文件会导致对你的系统的严重损害在一个使用TCB的系统上，“*〞被放置于/etc/passwd的口令域，这是因为实际的用户口令是和可信任计算根底中的其它用户信息一起存储的。使用TCB并不改变系统的操作。在一些Unix版本比方XCOUnix中，即使没有使用C2平安性，TCB仍然用于提供平安效劳71南京大学软件学院C2平安性和TCB〔续1〕TCB共6个组件。当引用TCB时，指的是所有组件而不是任何一个单个组件一个TCB由包含Unix核心和维护TCB的实用程序的软件的集合组成实用程序包括用于验证和改正口令数据库中问题的authck，和验证系统文件的准确性的integrityTCB实现了系统的平安策略，该策略是一个控制主题〔subject，如进程〕和对象〔Object，如文件、设备和过程中通讯对象〕之间的的操作规那么的集合72南京大学软件学院C2平安性和TCB〔续2〕只有当一个动作可被追溯至个人时，才可定义该动作的可说明性〔accountability〕传统的Unix系统上，不止一个人知道根口令，动作要追溯至任何个人至少是困难。像cron和lp这样的伪帐户是匿名运行，它们的行为只有当系统信息被改变之后才可能被追踪在可信任的Unix系统中得到了修正，每个帐户都与一个真实的用户联系在一起，每个动作都是经过审核的，并且每个动作都与某个特定的用户相联系73南京大学软件学院C2平安性和TCB〔续2〕74南京大学软件学院C2平安性和TCB〔续3〕下面的例子描述了一个SCO系统上的TCB中的典型用户项，详细提供了一个特定用户的信息，而且该信息永远不应该被手工编辑。例子如下：chare:u_name=chare:\#Actualusername:u_id#1003:\#UserID:u_pwd=MWUNe/91rPqck:\#Encryptedpassword:u_type=general:\#UserType:u_succhg#743505937:\#LastSuccessfulPasswordChange:u_unsucchg#743503114:\#LastUnsuccessfulPasswordChange:u_pswduser=chare:\#:u_suclog#747033753:\#Lastsuccessfullogin:u_suctty=tty02:\#Lastsuccessfulloginontty:u_unsuclog#747150039:\#Lastunsuccessfullogin:u_unsuctty=tty04:\#Lastunsuccessfulloginontty:u_numunsuclog#1:\#Numberofunsuccessfullogins:u_lock@:\#LockStatus:chkent:#75南京大学软件学院C2平安性和TCB〔续4〕上述例子在工程中用“＃〞插入了注释。它说明在TCB中事实上也追踪了其它信息，并不是所有的信息，而只是包含在一个文件中的内容。对每一个用户来说，以用户名命名的文件被存储起来，并且包含上例中所描述的信息项u_succhg显示值为743505937，这是Unix追踪的时间。该值是从1970年1月1日开始计算的秒数。该值可以提供给Unix核心中的一个将其转换为实际的日期和时间的函数76南京大学软件学院C2平安性和TCB〔续5〕传统的Unix系统保存了有关系统活动的有限的信息，在某些情况下，只有当它们被这样配置时它们才这么做在可信任的Unix中，审核是保证动作与特定用户相联系的主要特征。审核系统为每个动作编写一系列的记录，以产生有关系统上发生的事件审核踪迹〔trail〕。该审核踪迹由每个主题和对象之间的动作组成，这些动作是关于对象访问、对主题和对象的修改，以及系统特征的77南京大学软件学院理解网络等价两种主要的网络等价类型是可信任主机访问和可信任用户访问，也就是说主机等价和用户等价主机等价〔hostequivalency〕或可信任访问〔trustedaccess〕，使系统用户不使用注册名和口令就能够访问他们在远程系统上的帐户通过使用文件/etc/hosts.equiv，系统管理员可以列出所有可信任的系统如果某机器项没有标识任何用户名，那么所有的用户都是可信任的如果系统管理员没有对所有用户指定某台机器，那么每个用户都可以使用他们主目录中的.rhosts文件，将他们要对其进行可信任访问的机器列出78南京大学软件学院理解网络等价〔续1〕文件hosts.equiv的每一项都是可信任的，这意味着某个特定的机器上的用户可以不使用口令访问在本地机器上的等价帐户。这对根是不适用的，对于根和那些希望提供访问不包含在系统列表中的系统的用户，要求使用用户主目录中的.rhosts文件请看下面的例子文件/etc/hosts.equiv#cat/etc/hosts.equiv#例子中工程能使这些机器上的任何用户使用相同的帐户注册到本地系统，而不使用口令79南京大学软件学院理解网络等价〔续2〕但是，如下例列出该文件中的帐户名是可能的#cat/etc/hosts.equivandrewg#上例中系统andrewg可以使用除root之外的任何的用户名注册到本地系统。当andrewg的帐户可能被损害时，将产生一个潜在的问题，破坏者可以从那台机器访问本地系统。因此，使用/etc/hosts.equiv的用户名和.rhosts文件是令人沮丧的80南京大学软件学院理解网络等价〔续3〕有关主机等价的平安问题包括根等价和文件许可权限。允许系统间的根等价是很危险的，虽然使用根等价更容易完成任务，但也使得破坏网络的行为更容易发生。如果一个与其它节点拥有根等价的节点的平安受到损害，破坏者只需几秒钟就可对此进行确定并访问其它机器。因此建议不要在网络环境中允许根等价81南京大学软件学院理解网络等价〔续4〕另一个问题是网络访问文件/etc/hosts.equiv和.rhosts的许可的权限。/etc/hosts.equiv文件必须只有根可写，尽管其它用户可以阅读该文件。rhosts文件必须只有文件拥有者才可写使用.rhosts和/etc/host.equiv文件的一些Berkeleyr-命令实现检查它们的许可权限，如果许可权限设置不当就拒绝使用它们。可编写一个外壳程序查找不适当授权的文件.rhosts82南京大学软件学院理解网络等价〔续5〕用户等价：可信任用户访问比较容易配置，但是如果它是在配置用户列表之后安装的，配置起来可能就非常困难用户等价与可信任主机访问完全不同，是通过给予网络中每个用户〔不仅仅是机器〕一个唯一的用户名和数值UID〔UserID〕来配置的。这意味着在每台机器上的用户都有一个使用相同UID的帐户。换句话说，网络中机器上的所有/.etc/passwd和/etc/group文件都是相同的网络文件系统〔NetworkFileSystem,NFS〕必须使用用户等价防止访问问题83南京大学软件学院理解网络等价〔续6〕在网络中不使用用户等价而允许对文件系统的数据的非授权访问，就会将它们置于一种危险的境地如书中用户列表中的用户janicec和terrih都拥有唯一的用户名，但是它们的UID号码并不唯一如果janicec在上拥有帐户，terrih在上拥有帐户terrih在其上拥有帐户的文件系统是运行在上用户的输出文件系统的一局部。当janicec访问terrih目录中的文件并将它们列出时，ls-l命令就将janicec作为文件的拥有者列出，因为UID号码是相同的。这意味着，janicec可以删除和修改那些文件中的信息，即使不是文件拥有者。用户名不同没有关系，NFS和用户等价的关键是UID84南京大学软件学院定义用户和组从有关网络等价的讨论可以看出，可预先考虑如何处理在网络中增加用户的问题。那种/etc/passwd和/etc/group文件在所有系统中都是一样的说法是精确的，但分配UID号码和保证其唯一性的策略更是一个问题完成这项工作有许多种方式。可以按顺序给它们赋值，分配号码块给部门或用户类别，或者分配号码块给办公室。不管用哪种方法，重要的是应该增加用户的标准85南京大学软件学院理解许可权限Unix对每个文件的许可权限决定了如何控制对文件和目录的访问检查标准的许可权限应用于一个文件的许可权限是基于标记于该文件的UID和GID〔GroupID〕，以及试图访问该文件的用户的UID或GID。3组许可权限如下该文件的拥有者拥有与该文件相同的GID的用户其它所有用户86南京大学软件学院理解许可权限〔续1〕对于每类用户来说，有三个许可权限位：读、写和执行。这就是说，每个文件或目录有9个许可权限位。下面的例子：$Is-Ioutput-rw-r--r--1chareusers233Aug2420:13output$在上例的输出中，许可权限为-rw-r--r-第一个连字符代表文件类型，其余字符代表许可权限在许可权限中，符号r、w和x分别表示读、写和执行许可权限。读许可权限指请求的用户可以浏览文件或目录的内容。写许可权限授予用户修改文件或目录中创立新文件的权利。最后，执行许可权限允许像命令一样执行该文件87南京大学软件学院理解许可权限〔续2〕root和NFS当考虑到根时候，会想到对文件、目录、程序和系统设备的不加控制的访问。但是，当根试图通过NFS访问远程系统上的文件时，根用户拥有极少或根本就没有许可权限。这是由于NFS的内置的平安特征。这种平安特征查找值为0的UID，当它发现该值时，它就知道这是根。然后就将该UID值重新映射为35534或-2，这意味着，在NFS上根无法访问其它类型的用户这种特征的优点是，如果没有网络机器之间的根等价，当其中一个受到了损害后，破坏者将更难涉及到文件系统88南京大学软件学院数据加密方法信息加密为系统及其数据提供更高级别的平安性，但如果不对用户进行适当的监控和培训，即使是加密了的数据仍然存在危险从平安角度出发，用户和系统管理员，常常采用以下二种加密方法对口令加密从前口令以纯文本格式存储，而且只有管理员和系统软件可以访问该文件。口令文件/etc/passwd可能被编辑。大多数编辑器创立一个临时文件，它就是实际被编辑的文件。此时，该文件将是可读的，它泄露了所有帐户的口令如果使用一次性加密算法对口令进行加密，加密过的值替代文本被存储起来，这样系统平安实际上取决于所采用的加密方法89南京大学软件学院数据加密方法〔续1〕当用户注册到Unix系统时，getty程序提示用户输入用户名，然后执行login程序。login程序提示输入口令，事实上login程序加密该口令，然后将新加密过的值与存储在etc/passwd的口令相比较，如果它们相匹配，那么用户就提供了正确的值存储在/etc/passwd中的实际口令值是：对用户口令使用crypt(3)调用加密一个34位零块的结果。纯洁文本〔cleartext〕指用户的口令，它是加密操作的关键。被加密的文本是34个零位，结果密码文本〔ciphertext〕是经过加密的口令Unix口令加密方法是通过名为crypt(3)的核心机制来访问的。由于美国联邦许可证问题，crypt例程可能在你的机器上不可用。问题是尽管加密例程所需要的信息是可用的，但那些解密信息的程序在美国之外是不可用的90南京大学软件学院数据加密方法〔续2〕91南京大学软件