【文档说明】《计算机网络安全(第2版)》2-3操作系统与实体安全ppt课件.ppt，共(77)页，981.544 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-7216.html

以下为本文档部分文字说明：

第2章网络操作系统安全操作系统安全访问控制的概念、类型及措施WindowsNT/2000/2003系统的完全性UNIX和Linux系统的安全性本章要点2．1网络操作系统简介•计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完

整独立的操作系统，网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。•网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务的软件及相关规程，它是整个网络的核心，通过对网络资源的管理，使网上用户能方便、快捷、有效地共享网络资源。操作系统的主要功能

包括：进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理等。2．1网络操作系统简介•NOS是一种运行在硬件基础上的网络操作和管理软件，是网络软件系统的基础，它建立一种集成的网络系统环境，为用户方便而有效地使用和管理网络资源提供网络接口和网络服务。NOS除了具有一般操作系统所具

有的处理机管理、存储器管理、设备管理和文件管理功能外，还提供高效而可靠的网络通信环境和多种网络服务功能。如文件服务、打印服务、记账服务、数据库服务以及支持Internet和Intranet服务。2．1

网络操作系统简介•目前，常用的网络操作系统有Windows2000Server、WindowsNTServer、NetWare、UNIX和Linux。2．1网络操作系统简介•WindowsNT是Microsoft公司在LANManager网络操作系

统基础上于1993年推出的具有更高性能的NOS(WindowsNT3.1)•WindowsNTS主要用于网络上的服务器，包括文件服务器、打印服务器和WindowsNT网络的主域控制器等；WindowsNTWS则主要服务于高档客户。从网络角

度看，WindowsNTS属于管理网络的主服务器软件，而WindowsNTWS则用于管理特殊工作站或用户工作站。两者相比，服务器软件附带有较强的管理功能和较完善的Internet功能，如可以使用附带的IIS软件建立企业网的Internet信息服务器，

而工作站软件只有较简单的单一Web服务功能。2.1.1WindowsNT系统•WindowsNT是一种32位多用户、多任务的网络操作系统，也是一种面向分布式图形应用程序的完整的平台系统。•WindowsNT是功能强大的网络操

作系统，既适合于大型业务机构的实时、分时数据处理，又能为工作组、商业和企业的不同机构提供一种优化的文件和打印服务，其Client/Server平台还可以集成各种新技术，通过该平台为信息存取提供优越的环境。•WindowsNT操作系统在其核心内置了容错技术，可以在应用软件和系统硬件故障时，保证

系统能正常可靠地工作；提供了相当多的易于实施的网络管理及网络安全功能，如创建用户组和用户，用户入网安全限制，进行各种CPU和内存的测试与分析等。2.1.1WindowsNT系统•在WindowsNT之后Microsoft公司又推出的Windows2000网络操作系统。它集Windows98和

WindowsNT4.0的很多优良功能和性能于一身，超越了WindowsNT的原来含义。与WindowsNT相比，Windows2000在许多方面都做了较大的改动，在安全性、可操作性等方面都有了质的飞跃。•Windows2000系列操作平台，继承了WindowsNT的高

性能，融入了Windows9x易操作的特点，又发展了一些新的特性。Windows2000使用了活动目录、分布式文件系统、智能镜像、管理咨询等新技术，它具备了强大的网络功能，可作为各种网络的操作平台，尤其是Windows2000强化的网络通信、提供了强大的Internet功能。2.1.2W

indows2000系统•Windows2000系列操作系统有Windows2000DatacenterServer、Windows2000AdvancedServer、Windows2000Server和Windows

2000Professional四个产品。Windows2000DatacenterServer是一个新的品种，它支持32个以上的CPU和64GB的内存，以及4个节点的集群服务Windows2000Server和AdvancedServer分别是WindowsNTServer4.0及其企

业版的升级产品。Windows2000Professional是一个商业用户的桌面操作系统，也适合移动用户，是WindowsNTWorkstation4.0的升级。2.1.2Windows2000系统•Windows2000平台包括了Windows2000Professional和Wind

ows2000Server前后台的集成，它具有如下的新特性和新功能。•1．活动目录•2．分布式文件系统•3．管理咨询•4．智能镜像技术•5．强化的网络通信•虚拟专用网（VPN）。•路由和远程访问服务。•路由和网关•网络地

址转换。2.1.2Windows2000系统•在微软的企业级操作系统中，如果说Windows2000全面继承了NT技术，那么WindowsServer2003则是依据.Net架构对NT技术进行了重要发展和实质性

改进，并部分实现了.Net战略，构筑了.Net战略中最基础的一环。WindowsServer2003作为.Net架构提出以来最重要、最基础性的产品，它的推出受到了业内人士的关注。•WindowsServe

r2003是一款微软推出的全新操作系统。WindowsServer2003简体中文版分Web、Standard、Enterprise和Datacenter四个版本。Enterprise版最大支持8个处理器和32GB内存，最小配置

为CPU速度不低133MHz，内存不少于128MB。因此，WindowsServer2003具有硬件适应性面广和伸缩性强的特点。2.13Windows2003操作系统•WindowsServer2003

不仅改进了Windows2000原有的服务，提高了这些服务的性能和扩充了许多功能，而且还增加了新的服务。•1．安全性•2．可管理性•3．系统性能•4．安装和界面•5．功能2.13Windows2003操作系统•1．UNIX概述•1970年

，在美国电报电话公司（AT&T）的贝尔（Bell）实验室研制出了一种新的计算机操作系统，这就是UNIX。UNIX是一种分时操作系统，主要用在大型机、超级小型机、RISC计算机和高档微机上。•UNIX系统的成功取决于它将TCP/IP协议运行于UNIX操作系统上，使之成为UNIX操作系统的核

心，从而构成了UNIX网络操作系统。UNIX操作系统在各种机器上都得到了广泛的应用，它已成为最流行的网络操作系统之一和事实上标准的网络操作系统。UNIX系统服务器可以与Windows及DOS工作站通过TCP/IP协议连接成

网络。UNIX服务器具有支持网络文件系统服务、提供数据库应用等优点。2.1.4UNIX系统•2．UNIX操作系统的特点•UNIX系统是一个可供多用户同时操作的会话式分时操作系统。•UNIX系统继承了以往操作系统的先进技术，在操作系统功能设计上力

求简捷、高效。•UNIX系统在结构上分为内核和核外程序两部分。•UNIX系统向用户提供了两种界面：即用户界面和系统调用。•UNIX系统采用树型结构的文件系统。•UNIX系统提供了丰富的核外系统程序，为用户提供了相当完备的程序设计环境。•UNIX系统基本上是用C语言编写的，这使系统易于理解、修改

和扩充，且使系统具有良好的可移植性。•UNIX系统是能在笔记本计算机、PC机、工作站、中小型机乃至巨型机上运行的操作系统。因此，UNIX系统具有极强的可伸缩性。2.1.4UNIX系统2.1.5Linux系统•1．Linux

概述•Linux是一种类似UNIX操作系统的自由软件，它是由一位芬兰赫尔辛基大学的一位叫Linus的大学生发明的。•随着Internet的普及应用，免费而性能优异的Linux操作系统将发挥越来越大的作用。Linux和Internet的发展相辅相成，Linux是一个完全公开

的操作系统，每个人都可以得到它的源代码，这使得许多人的才能有了用武之地。2.1.5Linux系统•2．Linux的特点•Linux继承了UNIX的很多优点(如多任务、多用户)，但也具有如下自身独特的优点：•共享内存页面。•使用分页技术的虚拟内存。•动态链接共享库。•支持多

个虚拟控制台•调度磁盘缓冲功能•支持多平台•与其他UNIX系统兼容•提供全部源代码•此外，Linux还具有支持多种CPU、多种硬件、软件移植性好等特点。2．2网络操作系统的安全与管理•操作系统主要的安全功能包括：存储器保护(限定存

储区和地址重定位，保护存储信息)、文件保护(保护用户和系统文件，防止非授权用户访问)、访问控制、身份认证(识别请求访问的用户权限和身份)等。网络操作系统主要有以下两大类安全漏洞：•输入/输出(I/O)非法访问。在一些操作

系统中，一旦I/O操作被检查通过后，该操作系统就继续执行操作而不再进行检查，这样就可能造成后续操作的非法访问。•操作系统陷门。某些操作系统为了维护方便、使系统兼容性和开放性更好，在设计时预留了一些端口或保留了某些特殊的管理程序功能。2．2

网络操作系统的安全与管理2.2.1操作系统安全的概念第一，操作系统本身提供的安全功能和安全服务。第二，针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；第三，保证网络操作系统本身所提供的网络服务能得到安全配置。2．2网络操作系统的安全与管理访问控制系统

一般包括：•主体(subject)。主体是指发出访问操作、存取请求的主动方，它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。•客体(object)。客体是指被调用的程序或要存取的数据访问，它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。•安全访问

政策。安全访问政策是一套规则，可用于确定一个主体是否对客体拥有访问能力。2．2网络操作系统的安全与管理2.2.2网络的访问控制1．访问控制的概念•为了系统信息的保密性和完整性，系统需要实施访问控制。访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。只有被授予一定权限的用户，才有资格去

访问有关的资源。访问控制具体包括两方面涵义，一是指对用户进入系统的控制，最简单最常用的方法是用户账户和口令限制，其次还有一些身份验证措施；二是用户进入系统后对其所能访问的资源进行的限制，最常用的方法是访问权限和资源属性限制。2．2网络操作系统的安全与管

理2.2.2网络的访问控制1．访问控制的概念•访问控制所考虑的是对主体访问客体的控制。主体一般是以用户为单位实施访问控制，此外，网络用户也有以IP地址为单位实施访问控制的。客体的访问控制范围可以是整个应用系统，包括网络系统、服务器系统、操作系统、数据库管理系统；文件、数据库、数据库

中的某个表甚至是某个记录或字段等。一般来说，对整个应用系统的访问，宏观上通常是采用身份鉴别的方法进行控制，而微观控制通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制。2．2网络操作系统的安全与管理2.

2.2网络的访问控制2．访问控制的类型•访问控制可分为自主访问控制和强制访问控制两大类。•所谓自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予

其他用户和从授予权限的用户收回其访问权限。•自主访问控制允许用户自行定义其所创建的数据。•需要指出的是，在一些系统中，往往是由系统管理员充当访问对象的创建者，并进行访问授权，而在其后通过“授权转让”将权限转让给指定用户。2．2网络操作系统的安全与管理2.

2.2网络的访问控制2．访问控制的类型•所谓强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对

象。•所有用户的访问权限完全是由安全员根据需要确定的。•强制访问控制还有其他安全策略，如“角色授权管理”。该策略将系统中的访问操作按角色进行分组管理。一种角色执行一种操作，由系统安全员进行统一授权。当授予某一用户某个

角色时，该用户就有执行该角色所对应的一组操作的权限。2．2网络操作系统的安全与管理2.2.2网络的访问控制3．访问控制措施访问控制是保证网络系统安全的主要措施，也是维护网络系统安全、保护网络资源的重要手段。通常具体的访问控制措施有以下几种。(1)入网访问控制(2)权

限访问控制(3)属性访问控制(4)身份验证(5)网络端口和节点的安全控制2．2网络操作系统的安全与管理2．2网络操作系统的安全与管理(1)入网访问控制•入网访问控制是为用户安全访问网络设置的第一道关口。入网访问控制主要就是对要进入系统的用户进行识别，

并验证其合法身份。系统可以采用用户账户和口令、账户锁定、安全标识符及其他一些身份验证等方法实现。•1)用户名和口令验证•2)账户锁定•3)用户账户的默认限制•入网时间限制•入网站点限制•入网次数限制•资源容量限制2．2网络操作系统的安全与管理(2)权限访问控制•一个用

户登录入网后，并不意味着他能够访问网络中的所有资源。用户访问网络资源的能力将受到访问权限的限制。访问权限控制一个用户能访问哪些资源（目录和文件），以及对这些资源能进行哪些操作。•在系统为用户指定用户账户后，系统根据该用户在网络系统中要做的工作及相关要求，可为用户访

问系统资源设定访问权限。用户要访问的系统资源包括目录、子目录、文件和设备；用户要对这些资源的访问操作可有读、写、建立、删除、更改等。2．2网络操作系统的安全与管理(3)属性访问控制•属性是文件、目录等资源的访问特性。系统可直接对目录、文件等

资源规定其访问属性。通过设置资源属性可以控制用户对资源的访问。属性是在权限安全性的基础上提供的进一步的安全性。•属性是系统直接设置给资源的，它对所有用户都具有约束权，一旦目录、文件等资源具有了某些属性，用户(包括超级用户)都不能进行超出这些属性规定的访问，即不论用户的访问权限如

何，只按照资源自身的属性实施访问控制。如某文件具有只读属性，对其有读写权限的用户也不能对该文件进行写操作。要修改目录或文件的属性，必须有对该目录或文件的修改权；要改变用户对目录或文件的权限，用户必须具有对

该目录或文件的访问控制权。属性可以控制访问权限不能控制的权限，如可以控制一个文件是否可以同时被多个用户使用等。2．2网络操作系统的安全与管理(4)身份验证•身份验证是证明某人是否为合法用户的过程，它是信息安全体系中的重要组成部分。•身份验证的方法有很多种，不同方法适合于不同的环境，网络组织可

以根据自己的情况加以选择。以下是几种常用的身份验证方法。•用户名和口令验证•数字证书验证•SecurityID验证•用户的生理特征验证•智能卡验证2．2网络操作系统的安全与管理(5)网络端口和节点的安全控制•网络中服务器的端口往往

使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行的攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、

安全密码发生器等），在对用户的身份进行验证合法之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。2．3WindowsNT系统安全2.3.1WindowsNT的安全基础1．WindowsNT中的对象•WindowsNT的安全机制是建立在对象的基础上的

，因此，对象的概念与安全问题密切相关。•对象是构成WindowsNT操作系统的基本元素，它可以是文件、目录、存储器、驱动器或系统程序等。2．WindowsNT中的网络模型WindowsNT系统中有两种基本的网络模型：工作组模型和域模型。(1)工作组模型工作组模型：是一个“对等”网结

构。•(2)域模型域是一个共享公共目录数据库和安全策略的计算机及用户的集合，它提供登录认证，并具有唯一的域名。2．3WindowsNT系统安全3.用户帐户、权力和权限•每个要登录WinNT的用户，都要有一个用户帐户，该帐户是由系统管理员创建的，用户帐户中包括用户的名称、密码

、用户权力、访问权限等信息。创建帐户后，WinNT再为帐户指定一个唯一的安全标识符SID。2．3WindowsNT系统安全•用户和组都有一定的权力，权力定义了用户在系统中能做什么。如：从网络中访问计算机、向域中添加工作站和成员服务

器、备份文件和目录、改变系统时间、强制从远程系统退出、装/卸设备驱动器、本地登录、恢复文件和目录等。这些权力大多数只指定给管理用户。2．3WindowsNT系统安全•用户和组要有权限才能使用对象。权限可由系统管理员赋予用户

，也可由文件、目录等对象的所有者赋予用户。WinNT的权限有：列表、读取、添加、修改、添加并读取、完全控制等。2．3WindowsNT系统安全4.目录数据库•目录数据库是整个网络系统中不可缺少的重要组成部分。目录数据库用来存放域中所有的安全数据和用户帐户信息。用户登录时，用它来核对、检验用户输入

的数据是否符合其相应的身份和使用权限。该数据库被存放在主域控制器，在备份域控制器中也有它的备份。2．3WindowsNT系统安全5.注册表•注册表是包括应用程序、硬件设备、设备驱动程序配置、网络协议和网卡设置等信息的

数据库。它是一个具有容错功能的数据库，如果系统出现错误，日志文件使用WinNT能够恢复和修改数据库，以保证系统正常运行。2．3WindowsNT系统安全2.3.2WindowsNT的安全性机制和技术1

．安全性机制(1)账号规则(2)用户权限规则(3)审核规则(4)域管理机制2．3WindowsNT系统安全2．3WindowsNT系统安全•2．安全性技术•(1)Kerberos•(2)EFS•(3)IPSecuri

ty•1．账号和密码策略•WindowsNT域用户管理器通过为用户分配的账号和密码来验证用户身份，保证系统资源的安全。用户账号是系统根据用户的使用要求和网络所能给予的服务为用户分配的，账号名称通常是公

开的。用户账号密码在密码的选取、密码的维护等方面都要符合安全性要求和使用方便的原则，用户账号密码是保密的。2.3.3WindowsNT的安全管理措施•2．控制授权用户的访问•在WindowsNT域中配置适当的NTFS访问控制可增强网络安全。在系统默认情况下，每建立一个新的共享，Everyone用

户就享有“完全控制”的共享权限，因此在使用时要取消或更改默认情况下Everyone组的“完全控制”权限，要始终设置用户所能允许的最小目录和文件的访问权限。为安装后默认的Guest用户设置密码，以防被黑客利用。•为每个用

户指定一个工作组，为工作组指定文件和目录访问权限，这样，当某个用户角色变更时，只要把该用户从工作组中删除或指定他属于另一组，即可收回或更改该用户的访问权限。所以说，将用户以“组”的方式进行管理，是用户管理的一个有效方法。2.3.3WindowsNT的安全

管理措施•3．及时下载和更新补丁程序•经常光顾安全网站，下载最新补丁程序，或用最新的ServicePack升级WindowsNTServer，因为ServicePack中有所有补丁程序和新发表的诸多安全补丁程序。•4．控制远程访问服务•远程访问是入侵者攻击WindowsNT系统的常用手段，因此可以

采取控制远程服务的方法减少对系统的攻击。WindowsNT防止外来入侵最好的功能是认证系统。Windows95/98和WindowsNTWorkstation客户机不仅可以交换用户ID和口令数据，而且还使用Windows专用的响应协议，这可确保不会出现相同的认证数据，并可以有效地阻止内部黑客

捕捉网络信息包。如条件允许，可使用回叫安全机制，并尽量采用数据加密技术，以保证数据安全。2.3.3WindowsNT的安全管理措施•5．启动审查功能•为防止未经授权的访问，可以利用域用户管理器启用安全审查功能，以便在安全日志中记录未经授权的访问企图，以便尽

早发现安全漏洞并及时补救。但要结合工作实际，设置合理的审计规则。•6．应用系统的安全•在WindowsNT上运行的应用系统，应及时通过各种途径获得补丁程序，以解决其安全问题。把IIS中的sample、scripts、iisadmin和msadc等Web目录设置为禁止匿名访问并限制IP地址。把

FTP、Telnet的TCP端口改为非标准端口。Web目录、CGI目录、scripts目录和WinNT目录只允许管理员完全控制。凡是涉及到访问与系统有关的重要文件，除系统管理员账号Administrator外，其他账号均应设置为只读权限。2.3.3Wi

ndowsNT的安全管理措施•7．取消TCP/IP上的NetBIOS绑定•WindowsNT系统管理员可以通过构造目标站NetBIOS名与其IP地址之间的影像，对Internet或Intranet上的其他服务器进行管理，但非法用户也可从中找到可乘之机。

如果这种远程管理不是必需的，可立即取消（通过网络属性的绑定选项，取消NetBIOS与TCP/IP之间的绑定），如禁用NetBIOS端口。2.3.3WindowsNT的安全管理措施•8．数据保护•由于网络系统出现故障、数据丢失等原因致使系统不能可

靠运行或系统不能正常启动时，WindowsNT系统可为网络用户提供快速、准确的服务，如系统修复或数据恢复，使系统能正常工作。•WindowsNT系统可提供以下的数据保护方法：•(1)磁带备份•(2)UPS•(3)系统容

错2.3.3WindowsNT的安全管理措施•9．系统的恢复和修复•采用了容错技术的系统恢复的效果较好。但如果没有采用容错技术，由于各种原因使得WindowsNT系统无法正常启动时，无论采取什么方法修复系统，效果都是有限的。以下是常用的WindowsNT系统

修复或恢复方法。•(1)利用“系统配置”环境恢复WindowsNT系统•(2)利用“紧急修复磁盘”修复被损坏的WindowsNT系统•(3)利用“WindowsNT启动盘”修复被损坏的系统2.3.3WindowsNT

的安全管理措施2.4.1Windows2000的安全性措施1．及时备份系统2．设置系统格式为NTFS3．加密文件或文件夹4．取消共享目录的EveryOne组5．创建紧急修复磁盘6．使用好安全规则7．对系统进行跟踪记录2．4Windows2000系统安全2．4Windows2000

系统安全•2.4.2Windows2000的安全性技术•1．活动目录•2．身份验证•3．基于对象的访问控制•4．数据安全性技术•(1)认证服务•(2)证书服务•(3)加密功能•IPSecurity•EFS2．5Windows2003系

统安全•1．提高密码的破解难度•2．启用账户锁定策略•3．限制用户登录•4．限制外部连接•5．限制特权组成员•6．启用系统审核机制•7．监视开放的端口和连接•8．监视共享•9．监视进程和系统信息2．6Unix和Linux系统安全•2.6.1UNIX系统安全•1．UNIX系统的安全基础•2．

UNIX系统漏洞与防范•(1)RPC服务缓冲区溢出•(2)Sendmail漏洞•(3)BIND的脆弱性•(4)“R”命令缺陷•3．UNIX的主机安全性•(1)用户与口令安全性•(2)文件系统安全性•(3)系统配置安全性2．6Unix和Linux系统安全•2

.6.2Linux系统安全•1．身份验证机制•2．用户权限体系•3．文件加密机制•4．安全系统日志和审计机制•5．强制访问控制•6．Linux安全工具•(1)tcpserver•(2)xinetd•(3)sudo•

(4)安全检查工具nessus•(5)监听工具sniffit•(6)扫描工具nmap2．7网络操作系统安全实例•2.7.1网络操作系统漏洞与补丁程序安装•1．Windows系统的安全漏洞•(1)SAM数据库漏洞•(2)SMB协议漏洞•(3)Registry数据库权限漏洞•(4)

权限设置漏洞•(5)建立域别名漏洞•(6)登录验证机制漏洞•(7)NetBIOS漏洞•(8)Telnet漏洞•(9)奇怪的系统崩溃漏洞•(10)IIS服务泄漏文件内容•(11)ICMP漏洞2．7网络操作系统安全实例•2.7.1网络操作系

统漏洞与补丁程序安装•2．补丁程序•补丁程序是指对于大型软件系统(如微软操作系统)在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。就像发现衣服有破洞了就要打补丁一样，软件的补丁用来修补软件程序的“漏洞”。因为软件是人写

的，编程人员在编程时也有考虑不周、不完善的地方，软件会出现BUG，而补丁是专门修复这些BUG的。原来发布的软件存在缺陷，发现之后另外编制一个小程序对其缺陷进行弥补，使其完善，这种小程序就称为“补丁”。补丁是由软件的原作者制作的。•补丁程序主要有系统补丁和软件补丁。系统补丁顾名思

义就是操作系统的不定期错误漏洞修复程序，如微软的、Unix的、Linux的等操作系统补丁。软件补丁通常是因为发现了软件的小错误，为了修复个别小错误而推出的，或者为了增强某些小功能而发布的，或者是为了增强文件抵抗电脑病毒感染而发布的补丁，如微软的Office为了抵抗宏病毒而打补丁。2．7网络操作

系统安全实例•2.7.1网络操作系统漏洞与补丁程序安装•3．补丁程序的安装•利用系统的Update功能打补丁如果软件提供了Update(自动更新)功能，打补丁就是一件非常简单的事情，只需要在“开始”菜单中找到Update命令，单击后即可自动上网搜索官方网站，检查有无最新版本或者补丁程序。

•手工打补丁多数补丁需要先在开发商网站或软件下载网站下载，然后再在本机上运行相应命令来完成。有些补丁需要按照一定操作步骤来完成，因此在打补丁之前要先仔细阅读其说明文档，以免产生错误，造成不可挽回的损失。2．7网络操作系统安全实

例•2.7.2Windows2003系统的安全操作与设置•1．清除默认共享隐患•2．杜绝非法访问应用程序•3．禁用IPC连接•4．清空远程可访问的注册表路径•5．关闭不必要的端口和服务•(1)关闭139端口

•(2)关闭445端口•(3)关闭135端口•(4)关闭自动播放服务•6．删除不安全的组件•7．账户锁定设置2．7网络操作系统安全实例•2.7.3Linux操作系统安全及服务器配置•1．BIOS的安全设置•2．GRUB安全设置•(1)设置全局口令锁定启动菜单•(2)使用全局口令锁定启动菜单•(

3)使用MD5加密口令•(4)口令安全•(5)自动注销账号•(6)取消普通用户的控制台访问权限•(7)取消并反安装所有不用的服务•(8)TCP_WRAPPERS•(9)修改“/etc/host.conf”文件•(1

0)禁止从不同的设备进行root登录•(11)ShellloggingBash•(12)给“/etc/rc.d/init.d”下的script文件设置权限•(13)隐藏系统信息•习题和思考题思考与答疑第3章计算机网络实体安全本章要点网络机房及环境

安全网络实体的自然与人为灾害的防护系统存储介质的保护路由器的安全与配置交换机的安全与配置3．1计算机网络机房设施及环境安全•3.1.1机房的安全保护•按计算机系统的安全要求，计算机机房的安全可分为A级、

B级和C级三个基本级别。•对A级机房的安全有严格的要求，有完善的机房安全措施，有最高的安全性和可靠性等。A级机房对场地选择、防火、防电磁泄漏、内部装修、供配电系统、空调系统、火灾报警和消防设施、防水、防静电、防雷击、防鼠害等均有要

求。•对B级机房的安全有较严格的要求，有较完善的机房安全措施。•对C级机房的安全有基本的要求，有基本的机房安全措施。C级要求机房确保系统一般运行时的最低安全性和可靠性。C级机房仅对防火、供配电系统、空调系统、火灾报警和消防设施有基本的要求

。3．1计算机网络机房设施及环境安全•3.1.1机房的安全保护•1．机房场地的安全•2．机房装饰装修•3．机房的出入管理•4．机房的内部管理与维护•5．机房的环境设备监控3．1计算机网络机房设施及环境安全•3.1.2机房的温度、湿度和

洁净度•1．温度•2．湿度•3．洁净度3．1计算机网络机房设施及环境安全•3.1.3机房的空调系统与电源保护•1．隔离和自动稳压•2．稳压稳频器•3．不间断电源（UPS）3．1计算机网络机房设施及环境

安全•3.1.4机房的防火与防水•1．机房的防火•(1)建筑物防火•(2)设置火灾报警系统及灭火装置•(3)加强防火安全管理•2．机房的防水3．1计算机网络机房设施及环境安全•3.1.5机房的电磁干扰防护•电磁干扰主要来自计算机系统

外部和自身。•通常可采取以下措施来防止和减少电磁干扰的影响：•机房选择在远离电磁干扰源的地方，如离无线电广播发射塔、雷达站、工业电气设备、高压电力线和变电站等设施较远的地方。•建造机房时采用接地和屏蔽

措施。良好的接地可防止外界电磁场干扰和设备间寄生电容的耦合干扰；良好的屏蔽（电屏蔽、磁屏蔽和电磁屏蔽）可减少外界的电磁干扰。3．1计算机网络机房设施及环境安全•3.1.6机房的雷电保护与接地系统•1．机房的

接地系统•(1)交流工作地•(2)直流工作地•(3)安全保护地•(4)防雷保护地3．1计算机网络机房设施及环境安全•3.1.6机房的雷电保护与接地系统•2．机房的雷电保护•(1)外部无源保护•(2)内部保护•电源部分保护•信号部分保护•内部接地处理3．1计算机网络机房设施及环

境安全•3.1.7机房的静电防护•1．静电产生的特点及危害•(1)静电的故障特点•(2)静电的危害•2．静电的防护•机房建设时，在机房地面铺设防静电地板。•工作人员在工作时穿戴防静电衣服和鞋帽。•工作人员在拆装和检修机器时应在手腕上戴防静

电手环（该手环可通过柔软的接地导线放电）。•保持机房内相应的温度和湿度等。3．1计算机网络机房设施及环境安全•3.1.8机房的电磁辐射保护•1．电磁辐射的形成与危害•2．电磁辐射的保护措施•具体对电磁辐射的保护可按以下层次进行：•设备保护•建筑保护

•区域保护•通信线路保护•TEMPEST技术防护3．2计算机网络设备的安全保护•3.2.1路由器的安全与配置实践•1．路由器的自身安全•(1)用户口令安全•(2)配置登录安全•2．路由器访问控制的安全策略3

．2计算机网络设备的安全保护•3.2.1路由器的安全与配置实践•3．路由协议的安全配置•(1)RIP路由协议验证•(2)OSPF路由协议验证•(3)EIGRP路由协议的验证•(4)简单网管协议SNMP的安全3．2计算机网络设备的安全保护•3.2.1路由器的安全与配

置实践•4．路由器的网络安全配置•(1)物理结构的布局•(2)路由器的简单防火墙功能3．2计算机网络设备的安全保护•3.2.1路由器的安全与配置实践•5．禁止路由器的部分网络服务的安全配置•(1)禁止Finger服务•(2)禁止TCP、UDPSm

all服务•(3)建议禁止HTTP服务•(4)禁止BOOTp服务•(5)禁止IPSourceRouting•(6)禁止ARP-Proxy服务•(7)禁止IPDirectedBroadcast•(8)禁

止IPClassless•(9)禁止ICMP协议的IPUnreachables、IPRedirects和IPMaskReplies3．2计算机网络设备的安全保护•3.2.1路由器的安全与配置实践•6．路由器的其他安全配置•(1)IP欺骗的简单防护•(2)TCPS

YN的防范•(3)Smurf进攻的防范•(4)DDoS攻击的防范。3．2计算机网络设备的安全保护•3.2.2交换机的安全与配置实践•1．交换机安全。•(1)安全交换机三层含义•(2)安全交换机的新功能•1）802.1x安全

认证•2）流量控制•3）防范DDoS攻击•4）虚拟局域网VLAN•5）基于ACL的防火墙功能•6）IDS功能•(3)安全交换机的配署•2．Cisco交换机安全配置(实例演示)•习题和思考题思考与答疑