《{战略管理}计算机及网络系统安全策略》由会员分享,可在线阅读,更多相关《{战略管理}计算机及网络系统安全策略(163页珍藏版)》请在金锄头文库上搜索。
1、第4章计算机及网络系统的安全性,4.1计算机系统的安全保护机制 4.2计算机系统的安全等级 4.3计算机的开机口令验证机制 4.4Windows 95/98/ME的安全保护机制 4.5利用注册表提高Windows 95/98/ME的安全性 4.6Windows 98系统安全策略编辑器 4.7Windows 95/98/ME的缺陷和防范措施 4.8计算机文档的保密问题 4.9本章小结 练习题,计算机和网络工作站是目前应用最广泛的设备,计算机网络的安全在很大程度上依赖于网络终端和客户工作站的安全。目前的计算机系统安全级别特别低,几乎没有进行特别有力的防范措施。在未联网的单机时代,安全问题造成的损失
2、较少,并未引起人们的注意。处于网络时代的今天,未加保护的计算机系统联入网络,由于非法用户的入侵、计算机数据的破坏和泄密,将会给人们造成无法估量的损失。因此,了解和掌握计算机及网络系统的安全保护机制,加强安全防范措施,使计算机系统变得更加安全,已变得非常必要。 本章主要讨论有关计算机系统安全方面的内容,包括:,计算机系统的安全保护机制; 评估计算机系统的安全等级; 计算机BIOS程序的安全设置和保护机制; 计算机BIOS程序密码的破解和防范措施; Windows 95/98/ME的有关安全保护机制; 非法用户入侵Windows 95/98/ME的方法和防范措施; Windows 95/98/ME
3、对等网络中权限和安全机制; 计算机Word文档的保密问题。,4.1 计算机系统的安全保护机制 随着计算机技术的发展,计算机系统的安全越来越被人们所关注。非授权用户常常对计算机系统进行非法访问,这种非法访问使系统中存储信息的完整性受到威胁,导致信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息泄密和被非法篡改、伪造、窃取或删除而不留任何痕迹。要保护计算机系统,必须从技术上了解计算机系统安全访问控制的保护机制。 为了防止非法用户使用计算机系统或者合法用户对系统资源的非法访问,需要对计算机实体进行访问控制。例如,银行信息系统的自动提款机为合法用户提供现款,但它必须对提款的用户身份进行识别
4、和验证,对提款的行为进行监督控制,以防止非法用户的欺诈行为。,存取控制主要包括授权、确定存取权限和实施权限3个内容。一个计算机系统的存取控制仅指本系统内的主体对客体的存取控制,不包括外界对系统的存取(其中主体指使用网络系统的用户和用户组,客体指网络系统中系统资源,如文件、打印机等资源)。因此,实施存取控制是维护系统运行安全、保护系统资源的重要技术手段。 存取控制是对处理状态下的信息进行保护,是保证对所有的直接存取活动进行授权的重要手段;同时,存取控制要对程序执行期间访问资源的合法性进行检查。它控制着对数据和程序的读、写、修改、删除、执行等操作,防止因事故和有意破坏对信息的威胁。存取控制必须对访
5、问者的身份和行为实施一定的限制,这是保证系统安全所必须的。,要解决上述问题,需要采取两种措施: 识别与验证访问系统的用户; 决定用户对某一系统资源可进行何种访问(读、写、修改、运行等)。 4.1.1 用户的识别和验证 要求用户在使用计算机以前,首先向计算机输入自己的用户名和身份鉴别数据(如口令、标识卡、指纹等),以便进行用户的识别与验证,防止冒名顶替和非法入侵。 所谓“识别”,就是要明确访问者是谁,即识别访问者的身份。必须对系统中的每个合法用户都有识别,能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。通过惟一标识符(1D),系统可以识别出访问系统的每一个用户。 所谓
6、“验证”,是指在访问者声明自己的身份(向系统输入它的标识符)后,系统必须对它所声明的身份进行验证,以防假冒,实际上就是证实用户的身份。验证过程总是需要用户出具能够证明他身份的特殊信息,这个信息是秘密的,任何其他用户都不能拥有它。识别与验证是涉及到系统和用户的一个全过程。只有识别与验证过程都正确后,系统才能允许用户访问系统资源。 利用物理锁可以对一些重要的资源实施控制。只要,把需要保护的系统资源用锁锁上,而钥匙由自己掌握,那么没有钥匙的人是不能访问受到保护的资源的。在这里,ID相当于钥匙,系统根据不同的ID可对其分配相应的不同的可使用资源。但拥有钥匙的用户不一定是合法拥有者,所以需采用验证技术证
7、实用户的合法身份,这种技术可以有效地防止由于ID的非法泄露所产生的安全问题。口令机制是一种简便的验证手段,但比较脆弱。生物技术,如利用指纹、视网膜技术等,是一种比较有前途的方法。 目前计算机系统最常用的验证手段仍是口令机制,它通过下述各种方法来加强其可靠性。 口令需加密后存放在系统数据库中,一般采用单向加密算法对口令进行加密。,要使输入口令的次数尽量减少,以防意外泄露。 当用户离开系统所属的组织时,要及时更换他的口令。 不要将口令存放在文件或程序中,以防其他用户读取该文件或程序时发现口令。 用户要经常更换口令,使自己的口令不易被猜测出来。 4.1.2 决定用户访问权限 对于一个已被系统识别与验
8、证了的用户,还要对其访问操作实施一定的限制。可以把用户分为具有如下几种属性的用户类。,特殊的用户: 这种用户是系统的管理员,具有最高级别的特权,可以对系统任何资源进行访问,并具有所有类型的访问、操作能力。 一般的用户: 即系统的一般用户,他们的访问操作要受到一定的限制,通常需要由系统管理员对这类用户分配不同的访问操作权力。 审计的用户: 这类用户负责整个系统范围的安全控制与资源使用情况的审计。 作废的用户: 这是一类被拒绝访问系统的用户,也可能是非法用户。,4.2 计算机系统的安全等级 为了对一个计算机系统进行安全评估,美国国防部按处理信息的等级和应采用的相应措施,将计算机安全分为:A、B、C
9、、D 4等8个级别,共27条评估准则。从最低等级D等开始,到A等。随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。 下面,对每个安全等级的内容和要求作简要说明。 4.2.1 非保护级 D等是最低保护等级,即非保护级。它是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级别。该等是指不符合要求的那些系统。因此,这种系统不能在多用户环境下处理敏感信息。D级并非没有安全保护功能,只是保护功能太弱。,4.2.2 自主保护级 C等为自主保护级,具有一定的保护功能,采用的措施是自主访问控制和审计跟踪。它一般只适用于具有一定等级的多用户环境,并具有对主体责任和对他们的初始动作审计的能
10、力。它的各级提供无条件的安全保护,并通过审计追踪,对主体及其产生的动作负责。这一等级分为Cl和C2两个级别。 1. 自主安全保护级(C1级) 其存取控制的基础是以指名道姓的方式,提供了各用户与数据的隔离,以符合自主安全要求。它包含了若干可信控制方式,能在个体基础上实施存取限制,即允许用户保护他自己的项目和隐私信息,防止他的数据被别的用户无意读取或破坏。,Cl级通过提供用户与数据隔离,就能够满足市场可信计算机(TCB,trusted computing base)自动安全要求。所谓可信计算机是一个安全计算机系统的参考校验机制。它包括所有负责实施安全策略,以及对保护系统所依赖的客体实施隔离操作的系
11、统单元,简单地说,即所有与系统安全有关的功能均包含在TCB中。 在这一级,TCB应在命名用户和命名的客体之间定义和进行访问控制。它用的机理(如个人组公共控制、访问控制表)应允许客体拥有者指定和控制客体是由自己使用,还是由用户组或公共使用。该级需要在进行任何活动之前,TCB去确认用户身份(如采用口令),并保护确认数据,以免未经授权,对确认数据的访问和修改。通过用户拥有者的自主定义和控制,可以防止自己的数据被别的用户有意或无意地读出、篡改、干涉和破坏。同时提供软件和硬件特性,并定期检查其运行的正确性。系统的完整性要求硬件和软件能提供保证TCB连续有效操作特性。 目前生产的大多数计算机系统都能达到这
12、一等级,但这级系统不一定要经过严格的评价。评价为Cl级多是依据系统的某些特点。 2. 可控安全保护级(C2级) 在C2级,计算机系统比C1级有更具体的自主访问控制。通过注册过程,同与安全有关的事件和资源隔离,使得用户的操作有可查性。在安全方面,除,具备Cl级所有功能外,还提供授权服务。并且可提供控制,以防止存取权力的扩散。应确定用户的动作或默认客体提供的保护,避免非授权存取。它可指定哪些用户可以访问哪些客体,未经授权用户不得访问已指定访问权的客体。同时还提供了客体再用功能,即对于一个未使用的存储客体,TCB应该能够保证该客体不包含未授权主体的数据。 在这一方面,除具有Cl级全部功能外,还提供惟
13、一的识别自动数据处理系统中各个用户的能力;提供将这种身份与该客体用户发生的所有审计动作相联系的能力。C2级系统能与该识别符合,可审计所有主体进行的各种活动;能对可信计算机(TCB)进行建立和维护,对客体存取的审计进行跟踪,并保护审计信息,防止被修改、毁坏或未经授权访问。,TCB还能记录下列类型的事件:确认和识别安全机理的使用,将客体引入一用户地址空间,客体的删除,操作人员、系统管理人员和安全管理人员进行的各种与安全相关的活动。 对每个审计事件,审计记录应包括:用户名、事件发生时间、事件类型、事件的成功或失败等。 对于确认事件,请求源(如终端ID)也应包括在审计记录中。 对于客体进行访问的事件,
14、审计记录应包括客体名。 自动数据处理系统管理人员应能通过识别符,有选择地审计任一用户或多个用户的活动。 除Cl级的要求外,TCB还必须保留一特定区域,以防外部人员的篡改。由于TCB控制的资源是以主体,和客体定义的子集,TCB应与被保护的资源隔离,以使存取控制更容易,从而达到审计的目的。DEC公司的VAXVMS操作系统、Novell公司的NetWare系统和Microsoft公司的Windows NT/2000都被确认为C2级。 4.2.3 强制安全保护级 B等为强制保护级,这一等级比C等级的安全功能有很大增强。它要求对客体实施强制访问控制,并要求客体必须带有敏感标志,可信计算机利用它去施加强制
15、访问控制。这一部分可分为Bl、B2、B3共3级。,1. 标记安全保护级(B1) 从本级开始,不但有自主存取控制,还增加了强制存取控制,组织统一干预每个用户的存取权限。本级具有C2级的全部安全特性,并增加了数据标记,以标记决定已命名主体对该客体的存取控制。本级还规定在测试过程中发现的缺陷应当已全部排除。 2. 结构化保护级(B2) 从本级开始,按最小特权原则取消权力无限大的“特权用户”。任何一个人都不能享有操纵和管理计算机的全部权力。本级将系统管理员与系统操作员的职能隔离,系统管理员对系统的配置和可信设施进行强有力的管理,系统操作员操纵计算机正常运行。本级将强制存取控制扩展到计算机的全部主体,和
16、全部客体,并且要发现和消除能造成信息泄漏的隐蔽存储信道。为此,本级计算机安全级的结构,将被自行划分为与安全保护有关的关键部分和非关键部分。 3. 安全域级(B3) 本级在计算机安全方面已达到目前能达到的最完备等级。按照最小特权的原则,本级增加了安全管理员,将系统管理员、系统操作员和安全管理员的职能隔离,使其各司其职,将人为因素对计算机安全的威胁减至最小。本级要求在计算机安全级的结构中,没有为实现安全策略所不必要的代码。它的所有部分都是与保护有关的关键部件,并且它是用系统工程方法实现的,其结构的复杂性最小,易于分,析和测试。本级的审计功能有很大的增加,不但能记录违反安全的事件,而且能发出报警信号。本级还要求具有使系统恢复运行的程序。 4.2.4 验证安全保护级 A等是验证保护级。它的显著特征是从形式设计规范说明和验证技术导出分析,并高度地保证正确地实现TCB。其特点是使用形式化验证方法,以保证系统的自主访问和强制访问,控制机理能有效地使该系统存储和处理秘密信息或其他敏感信息。该等级分为A1和超A1两个级别。 1. 验证设计级(A1级) 本级的安全功能与B3级基本相同,但最明显的不,同是本
