网络安全技术05.ppt

第5章系统平台安全,5.1系统平台概述5.2Unix系统安全5.3WindowsNT安全5.4网络应用安全平台,5.1系统平台安全概述,系统平台网络操作系统屏蔽本地资源与网络资源的差异，提供基本网络服务，完成共享资源管理，提供安全性；控制网络资源存取，身份标识与验证，监督运行安全，保护自身安全和完整。威胁计算机病毒传染、潜伏、触发、破坏特洛伊木马全面控制驻留计算机隐蔽通道共享资源带来的违反安全策略的信息传递天窗后门安全机制硬件安全机制存储保护、运行保护、IO保护软件安全机制标识与验证、存取控制、最小特权管理、安全审计,5.2Unix系统安全,Unix系统简介历史1970产生，运行在PDP/7上的精干分时多用户操作系统类Unix操作系统Unix（HP-UX、AIX、IRIX、Solaris、SCOUnix）和LinuxUnix安全体系结构策略层用户层主机层包过滤层物理连接层Unix系统的安全机制标识与验证UID/GID/passwd口令安全设置（口令强度）和存储（shadow文件）存取控制所有资源都是文件，对文件分别设置针对所有者、同组用户、其他用户的权限安全审计可配置（审计规则）的安全审计守护进程,5.2Unix系统安全（1）,Unix的安全管理系统管理员防止未授权访问保证帐户安全防止用户拒绝系统的管理限制用户对资源的使用防止泄密保持系统完整性及时补丁关闭无用端口网络分段保证重要文件的安全制订应急方案用户安全管理保证口令安全保证文件安全,5.3WindowsNT安全,Windows安全性简介Windows安全模型Windows安全机制,Windows安全性简介,支持多进程、多线程、均衡处理、分布式计算，实现C2级安全支持多种安协议普适安全框架，提出了CryptoAPI，可集成第三方安全协议；支持NTLM（WindowsNTLanManager）；支持Kerberos；支持SSL。安全策略设计原则适用性；动态性；简单性；系统性。,Windows安全模型,本地安全权威（LocalSecurityAuthority,LSA）处理各种用户的本地和远程登录，确认用户对本系统的访问权限，生成已经登录用户的访问令牌，管理本地安全策略，提供用户的有效身份证明，控制审查策略，记录安驱谴内参考器生成的审查信息。安全帐号管理器（SecurityAccountManager,SAM）管理SAM数据库，验证登录时所输入的信息、返回用户及其所属于组的标识。安全参考监督器（SecurityReferenceMonitor,SRM）以核心模式运行，检查用户是否可以访问对象。交互式登录过程本地登录本地或域服务器检查登录信息；远程登录远程计算机检查登录信息。,Windows安全机制,Windows标识与验证Windows资源访问控制Windows审计WindowsNTFS,Windows标识与验证,帐户管理用户帐户，以用户SID进行内部表示组帐户，用组SID进行内部表示提供本地用户管理和域用户管理功能验证服务GINAGraphicalIdentificationandAuthentication）SSPISecurityServicesProviderInterfaceCAPICryptographicApplicationProgrammingInterface,Windows标识与验证（1）,,Windows资源访问控制,对象许可所有资源（文件、进程、注册表、外设）用对象来表示；每个对象都有安全描述符（USID,GSID,ACL）；自主访问控制（对象的创建者可以自由决定对象的访问权限）。系统范围用户权限赋予用户执行特定系统动作的权限。,Windows审计,日志类型系统日志保存系统组件记录的事件。应用程序日志应用程序记录的事件。安全日志记录安全事件。日志信息类型系统与应用日志信息警告错误安全日志成功审核失败审核管理工具事件查看器,WindowsNTFS,专门针对网络、磁盘配额、加密等需求设计。优点高磁盘利用率簇是FS可分配的最小存储单位，FAT簇大小随卷大小增加，而NFTF簇大小与卷大小无关。支持文件级的权限设置每一文件、目录可单独设计访问权限。文件访问权限包括读、写、运行、修改、完全控制；目录访问权限包括读、写、运行、修改、完全控制、列出内容。支持磁盘配额设置用户可用的磁盘空间。支持磁盘压缩支持透明的文件、目录、卷压缩。支持数据加密通过EFS透明支持文件加密。,WindowsNTFS（1）,,WindowsNTFS（2）,,WindowsNTFS（3）,,WindowsNTFS（4）,,WindowsNTFS（5）,,5.4网络应用安全平台,概述为网络应用提供安全支持的基础系统。功能网络层安全系统的安全用户安全应用程序安全数据安全,问题与讨论,操作系统安全性的地位和作用和硬件及应用软件有什么联系操作系统级安全需要考虑的内容有哪些可以采取哪些技术和方法,问题与讨论（1）,身份认证多因子认证预引导认证主机认证访问控制文件粉碎文件加密文件拷贝控制移动存储保密端口控制外设控制网络控制,问题与讨论（2）,审计文件移动存储网络端口外设其它漏洞扫描补丁分发反病毒入侵检测,