【文档说明】计算机网络安全基础第4章课件.ppt，共(36)页，447.500 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-5162.html

以下为本文档部分文字说明：

*计算机网络安全基础第4章计算机系统安全与访问控制计算机作为一种信息社会中不可缺少的资源和财产以予保护，以防止由于窃贼、侵入者和其它的各种原因造成的损失一直是一个真正的需求。如何保护好计算机系统、设备以及数据的安全是一种颇为刺激的挑战。由于计算机和信

息产业的快速成长以及对网络和全球通信的日益重视，计算机安全正变得更为重要。然而、计算机的安全一般来说是较为脆弱的，不管是一个诡计多端的“黑客”还是一群聪明的学生，或者是一个不满的雇员所造成的对计算机安全的损害带来的损失往往是巨大的，影

响是严重的。第1页，共36页。*计算机网络安全基础第4章计算机系统安全与访问控制本章主要内容：1．计算机安全的主要目标2．安全级别3．系统访问控制4．选择性访问控制5．强制性访问控制第2页，共36页。

*计算机网络安全基础4.1什么是计算机安全4.1什么是计算机安全主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。计算机部件中经常发生的一些电子和机械故障有：（1）磁盘故障；（2）I／O控制器故障；（3）电源

故障；（4）存储器故障；（5）介质、设备和其它备份故障；（6）芯片和主板故障等。第3页，共36页。*计算机网络安全基础4.1什么是计算机安全1．计算机系统的安全需求（l）保密性（2）安全性（3）完整性（4）服务可用性（5）有效性和合法性（6）信息流保护第

4页，共36页。*计算机网络安全基础4.1什么是计算机安全2．计算机系统安全技术（1）实体硬件安全（2）软件系统安全（3）数据信息安全（4）网络站点安全（5）运行服务安全（6）病毒防治技术（7）防火墙技术（8）计算机应用系

统的安全评价第5页，共36页。*计算机网络安全基础4.1什么是计算机安全3．计算机系统安全技术标准●加密机制（enciphrementmechanisms）●数字签名机制（digitalsignaturemechanisms）●访问控制机制（accesscontrolme

chanisms）●数据完整性机制（dataintegritymechanisms）●鉴别交换机制（authenticationmechanisms）●通信业务填充机制（trafficpaddingmechanisms）●路由控制机制（rout

ingcontrolmechanisms）●公证机制（notarizationmechanisms）第6页，共36页。*计算机网络安全基础4.2安全级别(1)D级D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。(2

)C1级C级有两个安全子级别：C1和C2。C1级，又称选择性安全保护（discretionarysecurityprotection）系统，它描述了一种典型的用在Unix系统上的安全级别。这种级别的系统对硬件有某种程度的保护：用户

拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。第7页，共36页。*计算机网络安全基础4.2安全级别(3)C2级除了C1级包含的特性外，C2级别应具有访问控制

环境（controlled-accessenvironment）权力。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。(4)B1级B级中有三个级别，B1级即标志安全保护（

labeledsecurityprotection），是支持多级安全（例如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。第8页，共36页。*计算机网络安全基础4.2安全级别(5)B2级B2级，又叫做结构保护（structuredprote

ction），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。(6)B3级B3级或又称安全域级别（securitydomain）

，使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。第9页，共36页。*计算机网络安全基础4.2安全级别(7)A级A级或又称验证设计（veritydesign）是当前橙皮书的最高级别，它包括了一个严格的设计

、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。第10页，共36页。*计算机网络安全基础4.3系统访问控制实现访问控制的方法，除了使用用户标识与口令之外，还可以采用较为复杂的物理识别设备，如访问卡、钥匙或令牌。生物统计学系统是一种颇为复杂而又昂贵的访问控制方法，它基

于某种特殊的物理特征对人进行唯一性识别，如指纹等。第11页，共36页。*计算机网络安全基础4.3系统访问控制4.3.1系统登陆1．Unix系统登陆Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统，任何一个想使用Unix系统的用户，必须先向该系统的管理

员申请一个账号，然后才能使用该系统，因此账号就成为用户进入系统的合法“身份证”。2．Unix账号文件Unix账号文件/etc/passwd是登录验证的关键，该文件包含所有用户的信息，如用户的登录名、口令和用户标识号等等信息。该文件的拥有者是超级用户，只有

超级用户才有写的权力，而一般用户只有读取的权力。第12页，共36页。*计算机网络安全基础4.3系统访问控制文件/etc/passwd中具有的内容：#cat/etc/passwdroot:!:0:0::/:/bin/kshd

aemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys:adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp:guest:!:100:100::/home/guest:no

body:!:429496724294967294:4294967294::/:lpd:!:9:4294967294::/:nuucp:*:6:5:uucploginuser:/var/spool/uucppublic:/usr/sbin/uucp/uuciconetinst:*:200:1::

/home/netinst:/usr/bin/kshzhang:!:208:1::/home/zhang:/usr/bin/kshwang:!:213:1::/home/wang:/usr/bin/ksh第13页，共36页。*计算机网络安

全基础4.3系统访问控制3.WindowsNT系统登录WindowsNT要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。成功的登录过程有4个步骤：（1）Win32的WinLogon过程给出一个对话框，要求要有一个用户名和口令，这个信息被传递给安

全性账户管理程序。（2）安全性账户管理程序查询安全性账户数据库，以确定指定的用户名和口令是否属于授权的系统用户。（3）如果访问是授权的，安全性系统构造一个存取令牌，并将它传回到Win32的WinLogin过程。（4）WinLogin调用W

in32子系统，为用户创建一个新的进程，传递存取令牌给子系统，Win32对新创建的过程连接此令牌。第14页，共36页。*计算机网络安全基础4.3系统访问控制4.账户锁定为了防止有人企图强行闯入系统中，用户可以设定最大登录次数，如果用户在规定次数内未成功登录，则系统会自动被锁定，不可能

再用于登录。5.WindowsNT安全性标识符（SID）在安全系统上标识一个注册用户的唯一名字，它可以用来标识一个用户或一组用户。例如：s-1-5-21-76965814-1898335404-322544488-1001第15页，

共36页。*计算机网络安全基础4.3系统访问控制4.3.2身份认证身份认证（IdentificationandAuthentication）可以定义为，为了使某些授予许可权限的权威机构满意，而提供所要求的用户身份验证的过程。1．用生物识别技术进行鉴别指纹是一种已被接受的用于唯一地识别一个

人的方法。手印是又一种被用于读取整个手而不是仅仅手指的特征和特性。声音图像对每一个人来说也是各不相的同。笔迹或签名不仅包括字母和符号的组合方式，也包括了签名时某些部分用力的大小，或笔接触纸的时间的长短和笔移动中的停顿等细微的差别。视网膜扫描是用红外线检查人

眼各不相同的血管图像。第16页，共36页。*计算机网络安全基础4.3系统访问控制2．用所知道的事进行鉴别口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制3．使用用户拥有的物品进行鉴别智能卡（SmartCard）就

是一种根据用户拥有的物品进行鉴别的手段。一些认证系统组合以上这些机制，加智能卡要求用户输入个人身份证号码（PIN），这种方法就结合了拥有物品（智能卡）和知晓内容（PIN）两种机制。例如大学开放实验室的认证系统、自动取款机ATM。第17页，共36页。*计算机网络安全

基础4.3系统访问控制4.3.3怎样保护系统的口令口令是访问控制的简单而有效的方法，只要口令保持机密，非授权用户就无法使用该账1．怎样选择一个安全的口令最有效的口令是用户很容易记住但“黑客”很难猜测或破解的。建立口令时最好遵循如下

的规则：（1）选择长的口令，口令越长，黑客猜中的概率就越低（2）最好的口令包括英文字母和数字的组合。（3）不要使用英语单词。（4）不要使用相同的口令访问多个系统。第18页，共36页。*计算机网络安全基础4.3系统访问控制

（5）不要使用名字，自己名字、家人的名字和宠物的名字等。（6）别选择记不住的口令，这样会给自己带来麻烦。（7）使用Unix安全程序，如passwd+和npasswd程序来测试口令的安全性。2．口令的生命期和控制用户应该定期改变自己的口令，例如一个

月换一次。如果口令被偷就会引起安全问题，经常更换口令可以帮助减少损失。比如两个星期更换一次口令总比一直保留原有口令损失要小。管理员可以为口令设定生命期，这样当口令生命期到后，系统就会强制用户更改系统密码。第19页，共36页。*计算机网络安全基础4.3系统访问

控制口令生命期控制信息保存在/etc/passwd或/etc/shadow文件当中，它位于口令的后面，通常用逗号分开并表示下述信息：（1）口令有效的最大周数；（2）用户可以再次改变其口令必须经过的最小周

数；（3）口令最近的改变时间。例如：2ALNSS48eJ／GY，A2：210：105口令已被设置了生命期，“A”值定义了口令到期前的最大周数，“2”值定义了用户能够再次更改口令前必须经过的最小周数。通过查表，就可以知道“A”代表12周，而“2”代表4周。第20页，共36页。*计算机

网络安全基础3．WindowsNT的账户口令管理第21页，共36页。*计算机网络安全基础4.3系统访问控制4.3.4关于口令维护的问题口令维护时应注意如下问题。（1）不要将口令告诉别人，也不要几个人共享一个口令，不要把它记在本子上或计算机周围。（2）不要用系统指定的口令，如root、dem

o和test等，第一次进入系统就修改口令，不要沿用系统给用户的缺省口令，关闭掉Unix供货商随操作系统配备的所有缺省账号，这个操作也要在每次系统升级或系统安装之后来进行。（3）最好不要用电子邮件传送口令，如果一定需

要这样做，则最好对电子邮件进行加密处理。第22页，共36页。*计算机网络安全基础4.3系统访问控制（4）如果账户长期不用，管理员应将其暂停。如果雇员离开公司，则管理员应及时把他的账户消除，不要保留一些不用的账号，这是很危险的。（5）管理员也可以限制

用户的登录时间，比如说只有在工作时间，用户才能登录到计算机上。（6）限制登录次数。为了防止对账户多次尝试口令以闯入系统，系统可以限制登记企图的次数，这样可以防止有人不断地尝试使用不同的口令和登录名。（7）最后一次登录，该方法报告最后一次系统登录的时间、日期，以及在最后

一次登录后发生过多少次未成功的登录企图。这样可以提供线索了解是否有人非法访问。第23页，共36页。*计算机网络安全基础4.3系统访问控制（8）通过使用TFTP（TrivialFileTransferProtocol）获取口令文件。为了检验系统的安全性，通过TFTP命令连

接到系统上，然后获取/etc/passwd文件。如果用户能够完成这种操作，那么网络上的任何人都能获取用户的passwd文件。因此，应该去掉TFTP服务。如果必须要有TFTP服务，要确保它是受限访问的。（9）定期地查看日志文件，以便检查登录成功和不成功的su（l）命令的使用，一定要

定期地查看登录末成功的消息日志文件，一定要定期地查看LoginRefused消息日志文件。（10）根据场所安全策略，确保除了root之外没有任何公共的用户账号。也就是说，一个账号不能被两个或两个以上的用户知道。去掉guest账号，或者更安全的方法是，

根本就不创建guest账号。第24页，共36页。*计算机网络安全基础4.3系统访问控制（11）使用特殊的用户组来限制哪些用户可以使用su命令来成为root，例如：在SunOS下的wheel用户组。（12）一定要关闭所有没有口令却可以运行命令的账号，例如：sync。删除这些账

号拥有的文件或改变这些账号拥有的文件的拥有者。确保这些账号没有任何的cron或at作业。最安全的方法是彻底删除这些账号。第25页，共36页。*计算机网络安全基础4.4选择性访问控制选择性访问控制（DiscretionaryAccessCon

trol，DAC）是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访问权，则它可以直接或间接地把这种控制权传递给别的主体（除非这种授权是被强制型控制所禁止的）。选择性访问控制被内置于许多操作系统当中，是

任何安全措施的重要成部分。文件拥有者可以授予一个用户或一组用户访问权。选择性访问控制在网络中有着广泛的应用，下面将着重介绍网络上的选择性访问控制的应用。第26页，共36页。*计算机网络安全基础4.4选择性访问控

制在网络上使用选择性访问控制应考虑如下几点：（1）某人可以访问什么程序和服务？（2）某人可以访问什么文件？（3）谁可以创建、读或删除某个特定的文件？（4）谁是管理员或“超级用户”？（5）谁可以创建、删除和管理用户？（6）某人属于什么组，以及相关的权利是什么？（7）当使用某个文件或目录时，用

户有哪些权利？第27页，共36页。*计算机网络安全基础4.4选择性访问控制WindowsNT提供两种选择性访问控制方法来帮助控制某人在系统中可以做什么，一种是安全级别指定，另一种是目录／文件安全。下面是常见的安全级别内容其中也包括了一些网络权力

。（1）管理员组享受广泛的权力，包括生成、消除和管理用户账户、全局组和局部组，共享目录和打印机，认可资源的许可和权利，安装操作系统文件和程序。（2）服务器操作员具有共享和停止共享资源、锁住和解锁服务器、格式化

服务器硬盘、登录到服务器以及备份和恢复服务器的权力。第28页，共36页。*计算机网络安全基础4.4选择性访问控制（3）打印操作员具有共享和停止共享打印机、管理打印机、从控制台登录到服务器以及关掉服务器等权力。（4）备份操作员具有备份

和恢复服务器、从控制台登录到服务器和关掉服务器等权力。（5）账户操作员具有生成、取消和修改用户、全局组和局部组，不能修改管理员组或服务器操作员组的权力。（6）复制者与目录复制服务联合使用。（7）用户组可执行授予它们的权力，访问授予它们访问权的资源。（8）访问者组仅可执行一些

非常有限的权力，所能访问的资源也很有限。第29页，共36页。*计算机网络安全基础4.4选择性访问控制选择性访问控制不同于强制性访问控制（MandatoryAccessControl，MAC）。MAC实施的控制要强于选择性访问控制

，这种访问控制是基于被访问信息的敏感性，这种敏感性是通过标签（Label）来表示的。强制性访问控制从B1安全级别开始出现，在安全性低于B1级别的安全级别中无强制性访问控制的要求。第30页，共36页。*计算机网络安全基础小结1．计算机安全的主要目标计算机安全的主要目标是保护

计算机资源免受毁坏、替换、盗窃和丢失。2．安全级别根据美国国防部开发的计算机安全标准，将安全级别由最低到最高划分为D级、C级、B级和A级，D级为最低级别，A级为最高级别。3．系统访问控制系统访问控制是对进入系统的控制。其主要作用

是对需要访问系统及其数据的人进行识别，并检验其合法身份。第31页，共36页。*计算机网络安全基础小结4．选择性访问控制选择性访问控制是基于主体或主体所在组的身份的，这种访问控制是可选择性的，也就是说，如果一个主体具有某种访

问权，则它可以直接或间接地把这种控制权传递给别的主体。5．强制性访问控制强制性访问控制为访问系统中的信息提供了更为严格的控制，这种访问控制基于被访问信息的敏感性，这种敏感性是通过标签（Label）来表示的。第32页，共36页。

*计算机网络安全基础习题与思考题1．计算机系统安全的主要目标是什么？2．简述计算机系统安全技术的主要内容3．计算机系统安全技术标准有哪些？4．访问控制的含义是什么？5．如何从Unix系统登录？6．如何从WindowsNT系统登录？7．怎样保护系统的口令？8．什么是口令的生命周期？9．如

何保护口令的安全？10．建立口令应遵循哪些规则？第33页，共36页。第34页，共36页。第35页，共36页。其实，世上最温暖的语言，“不是我爱你，而是在一起。”所以懂得才是最美的相遇！只有彼此以诚相待，彼此尊重，相互包容，相互懂得，才能

走的更远。相遇是缘，相守是爱。缘是多么的妙不可言，而懂得又是多么的难能可贵。否则就会错过一时，错过一世！择一人深爱，陪一人到老。一路相扶相持，一路心手相牵，一路笑对风雨。在平凡的世界，不求爱的轰轰烈烈；不求誓言多

么美丽；唯愿简单的相处，真心地付出，平淡地相守，才不负最美的人生；不负善良的自己。人海茫茫，不求人人都能刻骨铭心，但求对人对己问心无愧，无怨无悔足矣。大千世界，与万千人中遇见，只是相识的开始，只有彼此真心付出，以心交心，以情换情，相知相惜，才能相伴美好的一生，一路同行。然而，生活不

仅是诗和远方，更要面对现实。如果曾经的拥有，不能天长地久，那么就要学会华丽地转身，学会忘记。忘记该忘记的人，忘记该忘记的事儿，忘记苦乐年华的悲喜交集。人有悲欢离合，月有阴晴圆缺。对于离开的人，不必折磨自己脆弱的生命，虚度了美好的朝夕；不必让

心灵痛苦不堪，弄丢了快乐的自己。擦汗眼泪，告诉自己，日子还得继续，谁都不是谁的唯一，相信最美的风景一直在路上。人生，就是一场修行。你路过我，我忘记你；你有情，他无意。谁都希望在正确的时间遇见对的人，然而事与愿违时，你越渴望的东西，也许越是无情无义地弃你而去。所以美好的愿望，就会像肥皂泡一样

破灭，只能在错误的时间遇到错的人。岁月匆匆像一阵风，有多少故事留下感动。愿曾经的相遇，无论是锦上添花，还是追悔莫及；无论是青涩年华的懵懂赏识，还是成长岁月无法躲避的经历……愿曾经的过往，依然如花芬芳四溢，永远无悔岁月赐予的美好相遇。其实，人生之路的每一段相遇，都是一笔

财富，尤其亲情、友情和爱情。在漫长的旅途上，他们都会丰富你的生命，使你的生命更充实，更真实；丰盈你的内心，使你的内心更慈悲，更善良。所以生活的美好，缘于一颗善良的心，愿我们都能善待自己和他人。一路走来，愿相亲相爱的人，相濡以沫，同甘共苦，百年好合。愿有情有意

的人，不离不弃，相惜相守，共度人生的每一个朝夕……直到老得哪也去不了，依然是彼此手心里的宝，感恩一路有你！感谢您对文章的阅读跟下载，希望本篇文章能帮助到您，建议您下载后自己先查看一遍，把用不上的部分页面删掉哦，当然包括最后一页，最后祝您生活愉快!第36页，共36

页。