信息安全技術(shù)教程(全)課件

信息安全技術(shù)教程信息安全技術(shù)教程1培訓(xùn)目的通過《信息安全技術(shù)教程》課程的學(xué)習(xí)，使學(xué)員清晰了解信息安全技術(shù)的基本知識(shí)；掌握開放系統(tǒng)互連安全體系結(jié)構(gòu)與框架、安全服務(wù)與安全機(jī)制、物理安全、容災(zāi)與數(shù)據(jù)備份技術(shù)、基礎(chǔ)安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、應(yīng)用安全技術(shù)等內(nèi)容。從技術(shù)上確保本單位的信息系統(tǒng)的安全性、增強(qiáng)本單位對安全威脅的免疫能力和減少信息安全事件帶來的各種損失。培訓(xùn)目的通過《信息安全技術(shù)教程》課程的學(xué)習(xí)，使學(xué)員清晰了解信2第一章 概述本章學(xué)習(xí)目的 了解信息安全技術(shù)體系結(jié)構(gòu)、信息保障技術(shù)框架 了解安全服務(wù)與安全機(jī)制、信息安全技術(shù)發(fā)展趨勢第一章 概述本章學(xué)習(xí)目的3本章概覽本章重點(diǎn)對信息安全技術(shù)體系進(jìn)行一個(gè)概要闡述。 目前，被廣泛使用的對于信息技術(shù)體系的劃分方法包括： 開放系統(tǒng)互連（OpenSystemInterconnection，簡稱OSI）安全體系結(jié)構(gòu)與框架 美國信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，簡稱IATF） 前者針對OSI網(wǎng)絡(luò)模型將安全服務(wù)與安全機(jī)制在每個(gè)層次上進(jìn)行對應(yīng)；后者則從系統(tǒng)擴(kuò)展互聯(lián)的角度，將安全技術(shù)分散在端系統(tǒng)、邊界系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及支撐系統(tǒng)。 本章給出了本書中依據(jù)的信息安全技術(shù)體系，該結(jié)構(gòu)保留了IATF的劃分層次，即從單個(gè)系統(tǒng)到基于網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，同時(shí)又對應(yīng)了OSI的七層網(wǎng)絡(luò)結(jié)構(gòu)。 本章提出的信息安全技術(shù)體系將安全技術(shù)分成物理安全技術(shù)、基礎(chǔ)安全技術(shù)、系統(tǒng)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和應(yīng)用安全技術(shù)五個(gè)層次。本章闡述的體系結(jié)構(gòu)也是本書的主線，本書后續(xù)章節(jié)將按照它逐章展開，深入討論每個(gè)層次技術(shù)的概念、功能和應(yīng)用等。本章概覽本章重點(diǎn)對信息安全技術(shù)體系進(jìn)行一個(gè)概要闡述。4第一節(jié)信息安全技術(shù)體系發(fā)展一、開放系統(tǒng)互連安全體系結(jié)構(gòu)與框架

即：OpenSystemInterconnection，簡稱OSI（一）OSI安全體系結(jié)構(gòu) OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是能夠?qū)崿F(xiàn)的標(biāo)準(zhǔn)，而是描述如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。 OSI安全體系結(jié)構(gòu)認(rèn)為一個(gè)安全的信息系統(tǒng)結(jié)構(gòu)應(yīng)該包括： （1）五種安全服務(wù)； （2）八類安全技術(shù)和支持上述的安全服務(wù)的普遍安全技術(shù)； （3）三種安全管理方法，即系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。第一節(jié)信息安全技術(shù)體系發(fā)展一、開放系統(tǒng)互連安全體系結(jié)構(gòu)與框5 將OSI安全體系結(jié)構(gòu)要求的內(nèi)容與OSI網(wǎng)絡(luò)層次模型的關(guān)系畫在一個(gè)三維坐標(biāo)圖上，如下圖所示： 將OSI安全體系結(jié)構(gòu)要求的內(nèi)容與OSI網(wǎng)絡(luò)層次模型的關(guān)系畫6

（二）OSI安全框架 OSI安全框架與OSI安全體系結(jié)構(gòu)的關(guān)系是：OSI安全框架是對OSI安全體系結(jié)構(gòu)的擴(kuò)展，它的目標(biāo)是解決“開放系統(tǒng)”中的安全服務(wù)，此時(shí)“開放系統(tǒng)”已經(jīng)從原來的OSI擴(kuò)展為一個(gè)囊括了數(shù)據(jù)庫、分布式應(yīng)用、開放分布式處理和OSI的復(fù)雜系統(tǒng)。 （二）OSI安全框架7 OSI安全框架包括如下七個(gè)部分的內(nèi)容： （1）安全框架綜述：簡述了各個(gè)組成部分和一些重要的術(shù)語和概念，如封裝、單向函數(shù)、私鑰、公鑰等； （2）認(rèn)證框架：定義了有關(guān)認(rèn)證原理和認(rèn)證體系結(jié)構(gòu)的重要術(shù)語，同時(shí)提出了對認(rèn)證交換機(jī)制的分類方法； （3）訪問控制框架：定義了在網(wǎng)絡(luò)環(huán)境下提供訪問控制功能的術(shù)語和體系結(jié)構(gòu)模型； （4）非否認(rèn)框架：描述了開放系統(tǒng)互連中非否認(rèn)的相關(guān)概念； （5）機(jī)密性框架：描述了如何通過訪問控制等方法來保護(hù)敏感數(shù)據(jù)，提出了機(jī)密性機(jī)制的分類方法，并闡述了與其他安全服務(wù)和機(jī)制的相互關(guān)系； （6）完整性框架：描述了開放系統(tǒng)互連中完整性的相關(guān)概念； （7）安全審計(jì)框架：該框架的目的在于測試系統(tǒng)控制是否充分，確保系統(tǒng)符合安全策略和操作規(guī)范，檢測安全漏洞，并提出相應(yīng)的修改建議。 OSI安全框架包括如下七個(gè)部分的內(nèi)容：8

OSI安全體系結(jié)構(gòu)和框架標(biāo)準(zhǔn)作為“標(biāo)準(zhǔn)的標(biāo)準(zhǔn)”有兩個(gè)實(shí)際用途：一是指導(dǎo)可實(shí)現(xiàn)的安全標(biāo)準(zhǔn)的設(shè)計(jì)；二是提供一個(gè)通用的術(shù)語平臺(tái)。

實(shí)際上，隨著后續(xù)安全標(biāo)準(zhǔn)的制定和頒布，OSI安全體系結(jié)構(gòu)和框架的指導(dǎo)作用正在減弱，但是其重大意義在于為后續(xù)標(biāo)準(zhǔn)提供了通用的、可理解的概念和術(shù)語。

9第一節(jié)信息安全技術(shù)體系發(fā)展二、美國信息保障技術(shù)框架

即：InformationAssuranceTechnicalFramework，簡稱IATF IATF強(qiáng)調(diào)從邊界的角度來劃分信息系統(tǒng)，從而實(shí)現(xiàn)對信息系統(tǒng)的保護(hù)。邊界被確定在信息資源的物理和（或）邏輯位置之間，通過確立邊界，可以確定需要保護(hù)的信息系統(tǒng)的范圍。第一節(jié)信息安全技術(shù)體系發(fā)展二、美國信息保障技術(shù)框架10 IATF將信息系統(tǒng)的信息保障技術(shù)層面分為四個(gè)部分： 1.本地計(jì)算環(huán)境 2.區(qū)域邊界（本地計(jì)算機(jī)區(qū)域的外緣） 3.網(wǎng)絡(luò)與基礎(chǔ)設(shè)施 4.支持性基礎(chǔ)設(shè)施 IATF實(shí)際上是將安全技術(shù)分成了四個(gè)層次，其分類的依據(jù)是按照信息系統(tǒng)組織的特性確定的，從端系統(tǒng)、端系統(tǒng)邊界、邊界到互相連接的網(wǎng)絡(luò)，同時(shí)還考慮了每個(gè)層次共同需要的支撐技術(shù)。 IATF將信息系統(tǒng)的信息保障技術(shù)層面分為四個(gè)部分：11第二節(jié)信息安全技術(shù)體系結(jié)構(gòu)

體系發(fā)展信息安全技術(shù)體系結(jié)構(gòu)如下圖所示：第二節(jié)信息安全技術(shù)體系結(jié)構(gòu)

體系發(fā)展信息安全技術(shù)體系結(jié)構(gòu)如12我們提出的信息安全技術(shù)體系結(jié)構(gòu)是一種普適的劃分方法，依據(jù)了信息系統(tǒng)的自然組織方式：（1）物理基礎(chǔ)：一個(gè)信息系統(tǒng)依存的主體是構(gòu)成系統(tǒng)的設(shè)備以及系統(tǒng)存在的物理環(huán)境，這些是任何信息系統(tǒng)都具有的。（2）系統(tǒng)基礎(chǔ)：原始的硬件設(shè)備本身并不能運(yùn)轉(zhuǎn)起來，需要各種軟件的配合，如操作系統(tǒng)和數(shù)據(jù)庫，這些軟件也是一個(gè)信息系統(tǒng)的基本要求。（3）網(wǎng)絡(luò)基礎(chǔ)：具備了物理的和系統(tǒng)的條件，一個(gè)信息系統(tǒng)就可以運(yùn)轉(zhuǎn)起來，除此之外，系統(tǒng)還有相互通信的需求，此時(shí)就需要各種網(wǎng)絡(luò)技術(shù)的支持。（4）上層應(yīng)用：上述三個(gè)基礎(chǔ)對于各種系統(tǒng)或者同類系統(tǒng)都是相似的，是屬于共性的方面。信息系統(tǒng)的特性在于其實(shí)現(xiàn)的功能不同，即我們常說的上層應(yīng)用或者服務(wù)。（5）支撐基礎(chǔ)：除了上述四個(gè)層次的技術(shù)之外，還有一些技術(shù)是在這四個(gè)層次中都會(huì)使用的技術(shù)，很難說這些技術(shù)是屬于哪個(gè)層次的，如密鑰服務(wù)、PKI技術(shù)等。我們提出的信息安全技術(shù)體系結(jié)構(gòu)是一種普適的劃分方法，依據(jù)了信13一、物理安全技術(shù) 物理安全技術(shù)按照需要保護(hù)的對象可以分為：環(huán)境安全技術(shù)和設(shè)備安全技術(shù)。 （1）環(huán)境安全技術(shù)，是指保障信息網(wǎng)絡(luò)所處環(huán)境安全的技術(shù)。主要技術(shù)規(guī)范是對場地和機(jī)房的約束，強(qiáng)調(diào)對于地震、水災(zāi)、火災(zāi)等自然災(zāi)害的預(yù)防措施。 （2）設(shè)備安全技術(shù)，是指保障構(gòu)成信息網(wǎng)絡(luò)的各種設(shè)備、網(wǎng)絡(luò)線路、供電連接、各種媒體數(shù)據(jù)本身以及其存儲(chǔ)介質(zhì)等安全的技術(shù)。主要是對可用性的要求，如防盜、防電磁輻射。 物理安全技術(shù)的保護(hù)范圍僅僅限于物理層面，即所有具有物理形態(tài)的對象，從外界環(huán)境到構(gòu)成信息網(wǎng)絡(luò)所需的物理?xiàng)l件，以及信息網(wǎng)絡(luò)產(chǎn)生的各種數(shù)據(jù)對象。 物理安全是整個(gè)信息網(wǎng)絡(luò)安全的前提，如果破壞了物理安全，系統(tǒng)將會(huì)變得不可用或者不可信，而且，其他上層安全保護(hù)技術(shù)也將會(huì)變得形同虛設(shè)。一、物理安全技術(shù)14二、基礎(chǔ)安全技術(shù)

IATF將KMI和檢測與響應(yīng)基礎(chǔ)設(shè)施稱為支持性基礎(chǔ)設(shè)施，前者重點(diǎn)包括了PKI技術(shù)。 本書中重點(diǎn)介紹加密技術(shù)和PKI技術(shù)。二、基礎(chǔ)安全技術(shù)15三、系統(tǒng)安全技術(shù) 1.操作系統(tǒng)安全 操作系統(tǒng)安全技術(shù)有兩方面的含義：一是操作系統(tǒng)的自身安全，即遵循什么樣的原則構(gòu)建操作系統(tǒng)才是安全的，包括硬件安全機(jī)制和軟件安全機(jī)制；二是操作系統(tǒng)提供給用戶和上層應(yīng)用的安全措施。 2.數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫系統(tǒng)的安全技術(shù)目的是保證數(shù)據(jù)庫能夠正確地操作數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)讀寫、存儲(chǔ)的安全。三、系統(tǒng)安全技術(shù)16四、網(wǎng)絡(luò)安全技術(shù) 信息網(wǎng)絡(luò)必然需要網(wǎng)絡(luò)環(huán)境的支持。網(wǎng)絡(luò)安全技術(shù)，是指保護(hù)信息網(wǎng)絡(luò)依存的網(wǎng)絡(luò)環(huán)境的安全保障技術(shù)，通過這些技術(shù)的部署和實(shí)施，確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)被增加、修改、丟失和泄露等。 最常用的網(wǎng)絡(luò)安全技術(shù)包括防火墻、入侵檢測、漏洞掃描、抗拒絕服務(wù)攻擊等。四、網(wǎng)絡(luò)安全技術(shù)17五、應(yīng)用安全技術(shù) 任何信息網(wǎng)絡(luò)存在的目的都是為某些對象提供服務(wù)，我們常常把它們稱為應(yīng)用。如電子郵件、FTP、HTTP等。 應(yīng)用安全技術(shù)，是指以保護(hù)特定應(yīng)用為目的的安全技術(shù)，如反垃圾郵件技術(shù)、網(wǎng)頁防篡改技術(shù)、內(nèi)容過濾技術(shù)等。五、應(yīng)用安全技術(shù)18第三節(jié)安全服務(wù)與安全機(jī)制一、安全服務(wù)

1.認(rèn)證（Authentication）：認(rèn)證提供了關(guān)于某個(gè)實(shí)體（如人、機(jī)器、程序、進(jìn)程等）身份的保證，為通信中的對等實(shí)體和數(shù)據(jù)來源提供證明 2.訪問控制（AccessControl）：訪問控制的作用是防止任何實(shí)體以任何形式對任何資源（如計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫、進(jìn)程等）進(jìn)行非授權(quán)的訪問。 3.數(shù)據(jù)機(jī)密性（DataSecrecy）：數(shù)據(jù)機(jī)密性就是保護(hù)信息不泄漏或者不暴露給那些未經(jīng)授權(quán)的實(shí)體。 4.數(shù)據(jù)完整性（DataIntegrity）：數(shù)據(jù)完整性，是指保證數(shù)據(jù)在傳輸過程中沒有被修改、插入或者刪除。 5.非否認(rèn)（Non-Reputation）：非否認(rèn)服務(wù)的目的是在一定程度上杜絕通信各方之間存在著相互欺騙行為，通過提供證據(jù)來防止這樣的行為第三節(jié)安全服務(wù)與安全機(jī)制一、安全服務(wù)19二、安全機(jī)制 安全服務(wù)必須依賴安全機(jī)制來實(shí)現(xiàn)。OSI安全體系結(jié)構(gòu)中提出了八種安全機(jī)制： （1）加密 （2）數(shù)字簽名 （3）訪問控制 （4）數(shù)據(jù)完整性 （5）認(rèn)證交換 （6）業(yè)務(wù)流填充 （7）路由控制 （8）公證二、安全機(jī)制20三、安全服務(wù)與安全機(jī)制的關(guān)系 八種安全機(jī)制與五大安全服務(wù)之間的關(guān)系如下表所示：三、安全服務(wù)與安全機(jī)制的關(guān)系21四、安全服務(wù)與網(wǎng)絡(luò)層次的關(guān)系 OSI安全體系結(jié)構(gòu)的一個(gè)非常重要的貢獻(xiàn)是，它將八種安全服務(wù)在OSI七層網(wǎng)絡(luò)參考模型中進(jìn)行了對號(hào)入座，實(shí)現(xiàn)了安全服務(wù)與網(wǎng)絡(luò)層次之間的對應(yīng)關(guān)系，如下表所示：四、安全服務(wù)與網(wǎng)絡(luò)層次的關(guān)系22第四節(jié)信息安全技術(shù)發(fā)展趨勢信息安全技術(shù)有著自身的發(fā)展軌跡和趨勢： （一）新興信息安全技術(shù)將稱為主流 1.IPv6安全 2.無線安全 3.嵌入式系統(tǒng)安全 （二）安全技術(shù)開始與其他技術(shù)進(jìn)行融合 （三）許多安全技術(shù)由獨(dú)立走向融合 （四）監(jiān)控技術(shù)成為互聯(lián)網(wǎng)安全的主流 （五）信息安全技術(shù)體系逐步形成并成熟起來第四節(jié)信息安全技術(shù)發(fā)展趨勢信息安全技術(shù)有著自身的發(fā)展軌跡和23第二章 物理安全本章學(xué)習(xí)目的 了解基本的環(huán)境安全、設(shè)備安全、物理安全管理 了解防靜電、電磁防護(hù)的基本要求第二章 物理安全本章學(xué)習(xí)目的24本章概覽本章對物理安全的基本概念進(jìn)行了闡述，并將物理安全分為環(huán)境安全和設(shè)備安全，前者強(qiáng)調(diào)一個(gè)系統(tǒng)所處的外界環(huán)境，后者則強(qiáng)調(diào)了構(gòu)成系統(tǒng)本身的各種部件。本章重點(diǎn)闡述了計(jì)算機(jī)機(jī)房的場地安全要求，各種防靜電、防雷擊措施、防電磁泄漏以及防電磁干擾標(biāo)準(zhǔn)及防范，物理安全的管理。本章概覽本章對物理安全的基本概念進(jìn)行了闡述，并將物理安全分為25第一節(jié)物理安全概述一、物理安全威脅 信息網(wǎng)絡(luò)的作用越來越大，已經(jīng)成為人們生活、工作中必不可少的一部分。信息網(wǎng)絡(luò)要求運(yùn)行在穩(wěn)定的環(huán)境之中，但是實(shí)際運(yùn)行中總會(huì)有各種意想不到的情況出現(xiàn)。比如，不可抗拒的自然災(zāi)害：地震、洪水、海嘯等；或者一些意外情況：火災(zāi)、停電等；或者一些人為的破壞：戰(zhàn)爭、恐怖分子爆炸活動(dòng)、竊賊偷盜行為等；都有可能導(dǎo)致信息網(wǎng)絡(luò)不能正常使用。 還有一些攻擊者可能采用一些物理手段來竊取信息網(wǎng)絡(luò)的信息，比如，在線路上進(jìn)行電磁竊聽；從報(bào)廢硬盤進(jìn)行磁信息恢復(fù)等方式來獲取一些機(jī)密信息。這種情況下，信息網(wǎng)絡(luò)雖然還可以使用，卻已經(jīng)是在別人的監(jiān)視之下，變得極其不安全了。 綜上所述，我們必須采取一些措施來保障我們的網(wǎng)絡(luò)在面臨這些威脅的時(shí)候，仍然能達(dá)到某種程度的安全。第一節(jié)物理安全概述一、物理安全威脅26二、物理安全的概念 物理安全，是指在物理介質(zhì)層次上對存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護(hù)，也就是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等事故以及人為行為導(dǎo)致的破壞的過程。物理安全是網(wǎng)絡(luò)信息安全的最基本保障，是整個(gè)安全系統(tǒng)不可缺少和忽視的組成部分，它主要涉及網(wǎng)絡(luò)與信息系統(tǒng)的機(jī)密性、可用性、完整性等。二、物理安全的概念27三、物理安全的分類 信息網(wǎng)絡(luò)的物理安全可以分成兩大類：環(huán)境安全和設(shè)備安全。其中，環(huán)境安全包括場地安全、防火、防水、防靜電、防雷擊、電磁防護(hù)、線路安全等；設(shè)備安全包括設(shè)備的防盜、防電磁泄露、防電磁干擾等。三、物理安全的分類28第二節(jié)環(huán)境安全環(huán)境安全，顧名思義，是對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)。對于環(huán)境安全的要求，分成場地安全和運(yùn)行環(huán)境安全兩部分來介紹。場地安全特指對電子設(shè)備工作所處的建筑環(huán)境的一些必要的基本要求，而運(yùn)行環(huán)境安全用來指對于電子設(shè)備安全運(yùn)行所特別需要考慮的一些方面。第二節(jié)環(huán)境安全環(huán)境安全，顧名思義，是對系統(tǒng)所在環(huán)境的安全保29一、場地安全 這里將討論場地選址，場地防火、防水、防潮，場地溫度控制，場地電源供應(yīng)五個(gè)方面。 （一）場地選址 （二）場地防火 （三）場地防水、防潮 （四）場地溫度控制 （五）場地電源供應(yīng) 以上五個(gè)方面均有國家標(biāo)準(zhǔn)參考。一、場地安全30二、運(yùn)行環(huán)境安全 （一）防靜電 （二）防雷擊 （三）電磁防護(hù) （四）線路安全 以上四個(gè)方面均有國家標(biāo)準(zhǔn)參考。二、運(yùn)行環(huán)境安全31第三節(jié)設(shè)備安全設(shè)備安全就是要確保設(shè)備運(yùn)行的時(shí)候是安全的。這就要求設(shè)備不容易被損壞而中斷工作，不容易被竊聽，存放信息的介質(zhì)也是妥善保管、不容易竊取的。本節(jié)以下部分將重點(diǎn)從設(shè)備的防盜、防毀、防水、防靜電、電磁防護(hù)等幾個(gè)方面來介紹關(guān)于設(shè)備的安全情況。第三節(jié)設(shè)備安全設(shè)備安全就是要確保設(shè)備運(yùn)行的時(shí)候是安全的。這32一、設(shè)備防盜、防毀 可以采取的措施有： （1）新增加設(shè)備時(shí)應(yīng)該先給設(shè)備或者部件做上明顯標(biāo)記，最好是明顯的、無法除去的標(biāo)記，以防更換和方便查找贓物； （2）機(jī)房有專門的門禁或者防盜系統(tǒng)，防止非授權(quán)人員進(jìn)入機(jī)房，應(yīng)利用閉路電視系統(tǒng)對計(jì)算機(jī)中心的各個(gè)重要部位進(jìn)行監(jiān)視，并有專人值守，防止夜間從門窗進(jìn)入的盜竊行為； （3）機(jī)房外部的網(wǎng)絡(luò)設(shè)備，應(yīng)采取加固防護(hù)等措施，必要時(shí)安排專人看管，以防止盜竊和破壞； （4）對于一些重要設(shè)備可以考慮使用一些加鎖或者特制的機(jī)箱，進(jìn)一步加強(qiáng)防盜保護(hù)。一、設(shè)備防盜、防毀33二、設(shè)備防水

設(shè)備本身需要具有一定的防潮能力。一種情況是一些電子設(shè)備在出廠前就由廠家進(jìn)行過專門的防潮處理，能夠在較高的濕度環(huán)境下工作；另外一種情況是在設(shè)備無法變動(dòng)的情況下，針對設(shè)備的專門防護(hù)，如在設(shè)備周圍加干燥劑或者干燥機(jī)，或者使用專門的防潮機(jī)柜等。三、設(shè)備防靜電 防靜電主要是從環(huán)境上進(jìn)行防護(hù)，操作人員也要有防靜電意識(shí)，能按照規(guī)范操作。在設(shè)備上盡量采用防靜電材料。二、設(shè)備防水34四、設(shè)備電磁防護(hù) 對于設(shè)備的電磁防護(hù)，我們可以分成防電磁泄露和防電磁干擾兩個(gè)方面： 1.防電磁泄露 對于設(shè)備的防電磁泄漏來說，最主要的是TEMPEST技術(shù)和干擾技術(shù)。 2.防電磁干擾 電磁干擾（ElectroMagneticInterference，簡稱EMI）分為傳導(dǎo)干擾和輻射干擾兩種。 一般的干擾抑制方法有以下幾種： （1）加入濾波器； （2）采用帶屏蔽層的變壓器； （3）壓敏電阻、氣體放電管、瞬態(tài)電壓抑制器、固體放電管等吸波器件； （4）電路制作工藝。四、設(shè)備電磁防護(hù)35五、介質(zhì)安全 信息都是存儲(chǔ)在一定的介質(zhì)上的，如磁盤、磁帶、光盤等，這些介質(zhì)同樣存在泄漏問題。

五、介質(zhì)安全36第四節(jié)物理安全管理安全從來就不是只靠技術(shù)就可以實(shí)現(xiàn)的，它是一種把技術(shù)和管理結(jié)合在一起才能實(shí)現(xiàn)的目標(biāo)。在安全領(lǐng)域一直流傳著一種觀點(diǎn)：“三分技術(shù)，七分管理”。只有合適的管理才能實(shí)現(xiàn)目標(biāo)程度的安全，所有的安全技術(shù)都是輔助安全管理實(shí)現(xiàn)的手段。如果只有各種安全設(shè)備、安全技術(shù)，而沒有相應(yīng)的管理，那么這些手段都將形同虛設(shè)，就會(huì)給惡意破壞者以破壞的機(jī)會(huì)。所以，要達(dá)到預(yù)定的安全目的，一定要有相應(yīng)的管理措施。第四節(jié)物理安全管理安全從來就不是只靠技術(shù)就可以實(shí)現(xiàn)的，它是37一、人員管理 所有相關(guān)人員都必須進(jìn)行相應(yīng)的培訓(xùn)，明確個(gè)人工作職責(zé)，可以進(jìn)行的操作和禁止進(jìn)行的行為，各項(xiàng)操作的正確流程和規(guī)范，對于前面兩節(jié)提到的各種物理安全都要有相應(yīng)的培訓(xùn)教育。比如，在直接接觸設(shè)備前，工作人員要先進(jìn)行靜電消除處理；所有人員都必須清楚緊急情況發(fā)生時(shí)的處理辦法和滅火設(shè)施的正確使用方法。制定嚴(yán)格的值班和考勤制度，安排人員定期檢查各種設(shè)備的運(yùn)行情況。一、人員管理38二、監(jiān)視設(shè)備 在安全性要求比較高的地方，要安裝各種監(jiān)視設(shè)備。對重要場所的進(jìn)出口安裝監(jiān)視器，并對進(jìn)出情況進(jìn)行錄像，對錄像資料妥善存儲(chǔ)保管，以備事后追查取證。二、監(jiān)視設(shè)備39第五節(jié)相關(guān)標(biāo)準(zhǔn)對于物理安全的方方面面一般都有各自相關(guān)的標(biāo)準(zhǔn)，在規(guī)劃一個(gè)信息網(wǎng)絡(luò)的物理安全時(shí)，應(yīng)該參考這些標(biāo)準(zhǔn)，達(dá)到相應(yīng)的要求。主要的參考標(biāo)準(zhǔn)如下：（1）信息安全等級保護(hù)方面：GB17859—1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》 GA/T390—2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》。第五節(jié)相關(guān)標(biāo)準(zhǔn)對于物理安全的方方面面一般都有各自相關(guān)的標(biāo)準(zhǔn)40（2）建筑物方面： GB50174—93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》GB2887—89《計(jì)算站場地技術(shù)條件》GB9361—88《計(jì)算站場地安全要求》GB50045—95《高層民用建筑設(shè)計(jì)防火規(guī)范》GBJ16—87《建筑設(shè)計(jì)防火規(guī)范》YD/T5003—2005《電信專用房屋設(shè)計(jì)規(guī)范》GB50343—2004《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》（2）建筑物方面：41（3）電磁防護(hù)方面：GGBB1—1999《計(jì)算機(jī)信息系統(tǒng)設(shè)備電磁泄漏發(fā)射限值》GGBB2—1999《計(jì)算機(jī)信息系統(tǒng)設(shè)備電磁泄漏發(fā)射測試方法》BMB5—2000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求》GGB1—1999《信息設(shè)備電磁泄漏發(fā)射限值》（3）電磁防護(hù)方面：42第三章容災(zāi)與數(shù)據(jù)備份本章學(xué)習(xí)目的 了解容災(zāi)的含義與數(shù)據(jù)備份的關(guān)系 掌握信息安全容災(zāi)等級、容災(zāi)技術(shù) 掌握數(shù)據(jù)備份存儲(chǔ)介質(zhì)、策略、技術(shù)第三章容災(zāi)與數(shù)據(jù)備份本章學(xué)習(xí)目的43第一節(jié)容災(zāi)一、容災(zāi)概述 企業(yè)可以采取措施來提高從災(zāi)難中恢復(fù)的可能性。如果企業(yè)為可能的災(zāi)難制訂計(jì)劃、實(shí)施措施，避免可以預(yù)見的災(zāi)難事件，當(dāng)災(zāi)難事件不可避免時(shí)，實(shí)施恢復(fù)關(guān)鍵業(yè)務(wù)流程的策略，通常就可以從災(zāi)難中幸存下來。第一節(jié)容災(zāi)一、容災(zāi)概述44（一）容災(zāi)的目的 容災(zāi)，顧名思義，是指對災(zāi)難的容忍，在災(zāi)難發(fā)生后能恢復(fù)災(zāi)難前的業(yè)務(wù)。 實(shí)例證明有沒有良好的容災(zāi)計(jì)劃將會(huì)成為一個(gè)企業(yè)在災(zāi)難面前能否繼續(xù)生存的關(guān)鍵。做好容災(zāi)計(jì)劃，未雨綢繆，才能在災(zāi)難發(fā)生的時(shí)候沉著應(yīng)對，將損失降到最低。（一）容災(zāi)的目的45（二）容災(zāi)的含義 容災(zāi)，就是減少災(zāi)難事件發(fā)生的可能性以及限制災(zāi)難對關(guān)鍵業(yè)務(wù)流程所造成的影響的一整套行為。 為了在面對災(zāi)難時(shí)仍然能保持業(yè)務(wù)的持續(xù)性，容災(zāi)有很多方面的工作要做。 對于信息系統(tǒng)的容災(zāi)方案，通常應(yīng)考慮以下幾個(gè)要點(diǎn)：災(zāi)難的類型、恢復(fù)時(shí)間、恢復(fù)程度、實(shí)用技術(shù)、成本。 從技術(shù)上看，衡量容災(zāi)系統(tǒng)有幾個(gè)主要目標(biāo)：恢復(fù)點(diǎn)目標(biāo)、恢復(fù)時(shí)間目標(biāo)、網(wǎng)絡(luò)恢復(fù)目標(biāo)和服務(wù)降級目標(biāo)。 容災(zāi)是一項(xiàng)工程，它涉及到管理、流程、規(guī)范等方方面面，而不僅僅是技術(shù)。（二）容災(zāi)的含義46（三）容災(zāi)與災(zāi)難恢復(fù)、數(shù)據(jù)容災(zāi)等的關(guān)系 在講到容災(zāi)的時(shí)候，還經(jīng)常有一些相關(guān)的詞語出現(xiàn)，如災(zāi)難恢復(fù)、數(shù)據(jù)容災(zāi)、容災(zāi)備份等。這里災(zāi)難恢復(fù)和容災(zāi)是同一個(gè)意思，都是指在災(zāi)難發(fā)生時(shí)保持系統(tǒng)的業(yè)務(wù)持續(xù)性。 而數(shù)據(jù)容災(zāi)的側(cè)重點(diǎn)在于數(shù)據(jù)，因?yàn)槿轂?zāi)不光指簡單的數(shù)據(jù)備份和恢復(fù)，還包括系統(tǒng)的或者業(yè)務(wù)應(yīng)用上的恢復(fù)，而數(shù)據(jù)容災(zāi)僅僅是其中一個(gè)重要的組成部分。（三）容災(zāi)與災(zāi)難恢復(fù)、數(shù)據(jù)容災(zāi)等的關(guān)系47（四）容災(zāi)與數(shù)據(jù)備份的關(guān)系 容災(zāi)與數(shù)據(jù)備份之間是密切聯(lián)系、不可分割的。沒有了數(shù)據(jù)備份，容災(zāi)也就無從下手；而僅僅備份了數(shù)據(jù)，沒有考慮周密的容災(zāi)方案，也難以發(fā)揮數(shù)據(jù)備份的作用，無法保證系統(tǒng)業(yè)務(wù)的連續(xù)性。 1.數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)。 2.容災(zāi)是一個(gè)系統(tǒng)工程。（四）容災(zāi)與數(shù)據(jù)備份的關(guān)系48二、容災(zāi)等級 由于容災(zāi)系統(tǒng)的保護(hù)程度是和成本緊密關(guān)聯(lián)的。 在進(jìn)行容災(zāi)的風(fēng)險(xiǎn)分析時(shí)，會(huì)分析如果災(zāi)難發(fā)生、系統(tǒng)破壞將會(huì)帶來多大的損失，而災(zāi)難發(fā)生又有多大的概率，從而計(jì)算出其中的風(fēng)險(xiǎn)成本。 不同重要性的信息系統(tǒng)應(yīng)該制定不同層次的保護(hù)策略，所以，對容災(zāi)進(jìn)行分級就十分必要了。最好的容災(zāi)解決方案是綜合考慮不同層次的解決方案，以最少的投資換取最大的收益。只使用一種方法、一種技術(shù)是不可能滿足企業(yè)中所有應(yīng)用的需要的。二、容災(zāi)等級49容災(zāi)等級與數(shù)據(jù)重要性關(guān)系容災(zāi)等級與數(shù)據(jù)重要性關(guān)系50 目前，關(guān)于容災(zāi)等級通用的國際標(biāo)準(zhǔn)是SHARE組織于1992年在Anaheim提出的SHARE78。 SHARE78將容災(zāi)系統(tǒng)定義成七個(gè)層次，這七個(gè)層次對應(yīng)的容災(zāi)方案在功能、適用范圍等方面都有所不同，所以，用戶選型應(yīng)分清層次。 （1）第0級——本地冗余備份。 （2）第1級——數(shù)據(jù)介質(zhì)轉(zhuǎn)移。 （3）第2級——應(yīng)用系統(tǒng)冷備。 （4）第3級——數(shù)據(jù)電子傳送。 （5）第4級——應(yīng)用系統(tǒng)溫備。 （6）第5級——應(yīng)用系統(tǒng)熱備。 （7）第6級——數(shù)據(jù)零丟失。 目前，關(guān)于容災(zāi)等級通用的國際標(biāo)準(zhǔn)是SHARE組織于199251這七個(gè)不同層次的容災(zāi)等級，代表了不同的應(yīng)用對容災(zāi)的需求，容災(zāi)級別越高，數(shù)據(jù)損失越少，恢復(fù)時(shí)間越短，當(dāng)然所需要的成本也越高。下圖是這七個(gè)層次的恢復(fù)時(shí)間和投資之間的曲線關(guān)系：這七個(gè)不同層次的容災(zāi)等級，代表了不同的應(yīng)用對容災(zāi)的需求，容災(zāi)52三、容災(zāi)技術(shù) 容災(zāi)是一個(gè)覆蓋面很廣的內(nèi)容，具體實(shí)施中涉及到很多方面的技術(shù)，具體到每一種技術(shù)都有很多技術(shù)細(xì)節(jié)可以研究。但是總的來說，這些技術(shù)可以分成三大類：應(yīng)用恢復(fù)、網(wǎng)絡(luò)恢復(fù)、數(shù)據(jù)恢復(fù)。三、容災(zāi)技術(shù)53第二節(jié)數(shù)據(jù)備份一、數(shù)據(jù)備份的概念 顧名思義，備份就是將某種物質(zhì)以某種方式加以保留，以便在系統(tǒng)遭到破壞或其他特定情況下，重新加以利用的一個(gè)過程。 數(shù)據(jù)備份，是指為了防止出現(xiàn)因自然災(zāi)害、硬件故障、軟件錯(cuò)誤、人為誤操作等造成的數(shù)據(jù)丟失，而將全部或部分原數(shù)據(jù)集合復(fù)制到其他的存儲(chǔ)介質(zhì)中的過程。當(dāng)數(shù)據(jù)丟失或被破壞時(shí)，結(jié)合其他恢復(fù)工具，原數(shù)據(jù)可以從備份數(shù)據(jù)中恢復(fù)出來。第二節(jié)數(shù)據(jù)備份一、數(shù)據(jù)備份的概念54二、數(shù)據(jù)備份類型 分類往往是和分類標(biāo)準(zhǔn)緊密結(jié)合在一起的，同一個(gè)事情從不同的角度來看會(huì)得到不同的效果，分類標(biāo)準(zhǔn)的不同也會(huì)得到不同的分類。對于數(shù)據(jù)備份也可按照不同的標(biāo)準(zhǔn)來分類。 （一）按數(shù)據(jù)類型劃分 系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份。 （二）按數(shù)據(jù)備份系統(tǒng)結(jié)構(gòu)劃分 1.基于主機(jī)備份；2.基于局域網(wǎng)備份；3.基于存儲(chǔ)局域網(wǎng)備份；4.無服務(wù)器備份；5.零影響備份；6.基于廣域網(wǎng)備份；7.SAN和NAS結(jié)合備份二、數(shù)據(jù)備份類型55三、數(shù)據(jù)備份存儲(chǔ)介質(zhì) 數(shù)據(jù)存在于一定的介質(zhì)之上的，數(shù)據(jù)備份也就是把數(shù)據(jù)從一個(gè)介質(zhì)傳遞到另一個(gè)介質(zhì)上的過程。而不同的存儲(chǔ)介質(zhì)在容量、存取速度、價(jià)格上也各不相同。這里介紹幾種主要的存儲(chǔ)介質(zhì)： （一）軟磁盤 （二）磁帶 （三）磁盤 （四）光盤 內(nèi)容相對較老，關(guān)于其他先進(jìn)存儲(chǔ)介質(zhì)各學(xué)員可以在網(wǎng)絡(luò)上自行了解。三、數(shù)據(jù)備份存儲(chǔ)介質(zhì)56四、數(shù)據(jù)備份策略 在數(shù)據(jù)備份之前，需要選擇合適的備份策略用來決定何時(shí)需要備份、備份什么數(shù)據(jù)，以及出現(xiàn)故障時(shí)的恢復(fù)方式。備份策略主要有以下幾種形式： （一）完全備份（FullBackup） （二）增量備份（IncrementalBackup） （三）累計(jì)備份(CumulativeBackup） （四）混合應(yīng)用四、數(shù)據(jù)備份策略57五、數(shù)據(jù)備份技術(shù) 為了讓數(shù)據(jù)備份系統(tǒng)能更有效地工作起來，如使其存取速度更快、準(zhǔn)確率更高、花費(fèi)成本更低等，所有的這些要求都在給備份技術(shù)提出一個(gè)又一個(gè)新的挑戰(zhàn)，也正是這些問題推動(dòng)著備份技術(shù)不斷向前發(fā)展。數(shù)據(jù)備份系統(tǒng)涉及到多種技術(shù)，比如，SAN或NAS技術(shù)、遠(yuǎn)程鏡像技術(shù)、互連技術(shù)、快照技術(shù)等。這里將重點(diǎn)介紹其中幾種技術(shù)。 （一）NAS和SAN （二）遠(yuǎn)程鏡像技術(shù) （三）快照技術(shù) （四）基于IP的互連協(xié)議 （五）虛擬存儲(chǔ) （六）保持?jǐn)?shù)據(jù)一致性五、數(shù)據(jù)備份技術(shù)58第四章基礎(chǔ)安全技術(shù)本章學(xué)習(xí)目的 了解密碼體制，對稱密碼體制和公鑰密碼體制的基本概念 了解密碼技術(shù)、完整性校驗(yàn)與數(shù)字證書 了解數(shù)字證書的基本結(jié)構(gòu)第四章基礎(chǔ)安全技術(shù)本章學(xué)習(xí)目的59本章概覽基礎(chǔ)安全技術(shù)是一種基礎(chǔ)性的安全技術(shù)，這種技術(shù)并不能簡單地歸納到任何一個(gè)層次的安全技術(shù)中，它是所有層次的安全技術(shù)都會(huì)用到的、依賴的技術(shù)。理解基礎(chǔ)安全技術(shù)的原理，有助于我們學(xué)習(xí)上層更為復(fù)雜的安全技術(shù)。本章簡要闡述了密碼技術(shù)和PKI技術(shù)的基本概念和原理，并重點(diǎn)介紹了當(dāng)前常用的安全技術(shù)和方法。例如，完整性校驗(yàn)、數(shù)字簽名和數(shù)字證書。本章概覽基礎(chǔ)安全技術(shù)是一種基礎(chǔ)性的安全技術(shù)，這種技術(shù)并不能簡60第一節(jié)密碼技術(shù) 密碼學(xué)本身就是一門很深?yuàn)W的學(xué)科，本章并不會(huì)深入它的技術(shù)細(xì)節(jié)。本章將簡單地介紹密碼技術(shù)的基礎(chǔ)知識(shí)。 在密碼技術(shù)中，加密技術(shù)和數(shù)字簽名技術(shù)是實(shí)現(xiàn)所有安全服務(wù)的重要基礎(chǔ)。本章的目的就是介紹這些基礎(chǔ)技術(shù)的基本原理，包括對稱密碼體制、公鑰密碼體制、完整性檢驗(yàn)和數(shù)字簽名等。第一節(jié)密碼技術(shù) 密碼學(xué)本身就是一門很深?yuàn)W的學(xué)科，本章并不會(huì)61一、密碼體制 在介紹密碼體制的概念之前，我們來看一個(gè)保密通信過程是如何構(gòu)成的。假設(shè)Alice和Bob希望進(jìn)行安全的通信，并且希望Oscar無法知道他們之間傳輸?shù)男畔?，一個(gè)簡單的實(shí)現(xiàn)保密的方法如下圖所示：一、密碼體制62 通過上面的分析我們知道，一個(gè)密碼體制至少包括以下內(nèi)容： （1）明文：通信雙方包括第三方可以理解的消息形式。 （2）密文：明文經(jīng)過變換后的消息格式，它對于第三方來說是不能理解的。 （3）密鑰：又可分為加密密鑰和解密密鑰。加密密鑰用來將明文轉(zhuǎn)換為密文，而解密密鑰的作用正好相反，是將密文恢復(fù)為明文。 （4）加密變換：將明文變換成密文時(shí)使用的變換方法。一般而言，這種方法是公開的。 （5）解密變換：將密文變換成明文時(shí)使用的變換方法。一般而言，這種方法也是公開的。

通過上面的分析我們知道，一個(gè)密碼體制至少包括以下內(nèi)容：63 由此，一個(gè)加密通信模型如下圖所示：密碼體制是密碼技術(shù)中最為核心的一個(gè)概念。密碼體制 被定義為一對數(shù)據(jù)變換：其中一個(gè)變換應(yīng)用于明文，產(chǎn)生相應(yīng)的密文；另一個(gè)變換應(yīng)用于密文，恢復(fù)出明文。這兩個(gè)變換分別被稱為加密變換和解密變換。習(xí)慣上，也使用加密和解密這兩個(gè)術(shù)語。

由此，一個(gè)加密通信模型如下圖所示：64 根據(jù)加密密鑰和解密密鑰是否相同或者本質(zhì)上等同，即從其中一個(gè)可以很容易地推導(dǎo)出另外一個(gè)，可將現(xiàn)有的加密體制分成兩類：一類是對稱密碼體制，也稱作秘密密鑰密碼體制，這種體制的加密密鑰和解密密鑰相同或者本質(zhì)上等同；另一類是非對稱密碼體制或公鑰密碼體制，這種加密體制的加密密鑰和解密密鑰不相同，并且從其中一個(gè)很難推出另一個(gè)。 根據(jù)加密密鑰和解密密鑰是否相同或者本質(zhì)上等同，即從其中一個(gè)65二、對稱密碼體制 對稱密碼體制的特征是：加密密鑰和解密密鑰完全相同，或者一個(gè)密鑰很容易從另一個(gè)密鑰中導(dǎo)出。滿足上面所說的一個(gè)特征，就稱為對稱密碼，其原理如下圖所示：

一個(gè)對稱密碼體制的工作流程如下：假定A和B是兩個(gè)系統(tǒng)，二者要進(jìn)行秘密通信。他們通過某種方式獲得一個(gè)共享的密鑰，該密鑰只有A和B知道，其他人都不知道。A或B通過使用該密鑰加密發(fā)送給對方消息以實(shí)現(xiàn)機(jī)密性，只有對方可以解密消息，而其他人都無法解密消息。二、對稱密碼體制 一個(gè)對稱密碼體制的工作流程如下：假定A和B66 盡管對稱密碼有一些很好的特性，如運(yùn)行占用空間小、加/解密速度能達(dá)到數(shù)十兆/秒或更多，但對稱密碼在某些情況下也有明顯的缺陷，包括：（1）密鑰交換。（2）規(guī)模復(fù)雜。（3）未知實(shí)體間通信困難。（4）對稱中心服務(wù)結(jié)構(gòu)。 盡管對稱密碼有一些很好的特性，如運(yùn)行占用空間小、加/解密速67三、公鑰密碼體制 公鑰密碼體制與以前的所有方法截然不同。一方面，公鑰密碼算法是基于數(shù)學(xué)函數(shù)而不是替代和置換；更重要的是，公鑰密碼體制是非對稱的，它用到兩個(gè)不同的密鑰，而對稱的常規(guī)加密則只使用一個(gè)密鑰。 公鑰密碼體制算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是有關(guān)的密鑰進(jìn)行解密。這些算法有以下特性：僅僅知道密碼算法和加密密鑰，要確定解密密鑰在計(jì)算上是不可能的。三、公鑰密碼體制68 公鑰密碼體制有兩種基本的模型：一種是加密模型；另一種是認(rèn)證模型。如下圖所示： 公鑰密碼體制有兩種基本的模型：一種是加密模型；另一種是認(rèn)證69 加密模型：通過一個(gè)包含各通信方的公鑰的公開目錄，任何一方都可以使用這些密鑰向另一方發(fā)送機(jī)密信息。其具體辦法是，發(fā)送者獲得接收者的公開密鑰并且使用該公開密鑰加密消息，擁有該公開密鑰對應(yīng)的私鑰的接收者解讀加密的消息。 認(rèn)證模型：通過將公開的密鑰用作解密密鑰，公鑰密碼技術(shù)可用于數(shù)據(jù)起源的認(rèn)證，并且可確保信息的完整性。在這種情況下，任何人均可以從目錄中獲得解密密鑰，從而可解讀消息。只有擁有相應(yīng)的私鑰的人才能產(chǎn)生該消息。 加密模型：通過一個(gè)包含各通信方的公鑰的公開目錄，任何一方都70公鑰密碼的優(yōu)勢包括： （1）密鑰交換。非對稱密碼不再需要一個(gè)安全的信道來初始發(fā)布密鑰，也不需要一個(gè)密鑰管理中心來協(xié)調(diào)管理密鑰的使用。 （2）未知實(shí)體間通信。正是由于非對稱的性質(zhì)，當(dāng)需要的時(shí)候，Bob可以將他的公開密鑰告訴許多人，這樣許多人都可以給Bob發(fā)送加密消息，而其他人都無法解密。同時(shí)，Bob也可以讓其他人驗(yàn)證自己而不必?fù)?dān)心驗(yàn)證者假冒自己，因?yàn)轵?yàn)證者只知道Bob的公開密鑰，無法得到Bob的私有密鑰。 （3）保密服務(wù)。公開密鑰密碼可以提供保密服務(wù)。利用自己的私有密鑰和對方的公開密鑰可以直接進(jìn)行保密通信，也可以進(jìn)行密鑰協(xié)商，然后用對稱密碼進(jìn)行通信，從而有效實(shí)現(xiàn)保密性。 （4）認(rèn)證服務(wù)。公開密鑰密碼可以提供認(rèn)證服務(wù)，這種認(rèn)證服務(wù)是任何其他技術(shù)都不能替代的。它使得驗(yàn)證者能夠正確地進(jìn)行驗(yàn)證而又不具備假冒的能力。這種方式的認(rèn)證正是大規(guī)模網(wǎng)絡(luò)上所需要的。公鑰密碼的優(yōu)勢包括：71第二節(jié)完整性校驗(yàn)與數(shù)字簽名 通信過程中除了對信息有加密性要求之外，還需要能夠了解信息在傳輸過程中是否被破壞了。 我們把對信息的這種防篡改、防刪除、防插入的特性稱為數(shù)據(jù)完整性保護(hù)。密碼技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)完整性保護(hù)，為了實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)通常需要在傳送的消息后面增加一些額外的數(shù)據(jù)，就像是消息的附件，這些數(shù)據(jù)能夠用來驗(yàn)證接收者收到的數(shù)據(jù)是否是發(fā)送者發(fā)出的數(shù)據(jù)。第二節(jié)完整性校驗(yàn)與數(shù)字簽名 通信過程中除了對信息有加密性要72 完整性校驗(yàn)的原理如下圖所示：

對消息的數(shù)據(jù)完整性或數(shù)據(jù)起源認(rèn)證可按以下方法進(jìn)行：

（1）消息的發(fā)送者對所要發(fā)送的消息產(chǎn)生一個(gè)附件，并將該附件和消息傳輸給接收者；

（2）消息的接收者在將消息作為真實(shí)消息接收之前，檢查接收到的消息內(nèi)容和附件是否是一致的；

（3）如果不對該附件進(jìn)行保護(hù)，攻擊者很容易進(jìn)行主動(dòng)攻擊，即先對數(shù)據(jù)內(nèi)容進(jìn)行修改，然后基于修改后的數(shù)據(jù)產(chǎn)生一個(gè)附件。為避免這種攻擊，需利用一個(gè)密鑰來產(chǎn)生一個(gè)附件。只有知道密鑰的人才能打開附件，從而驗(yàn)證其真實(shí)性。一旦攻擊者修改了消息，必將被檢測出來。

實(shí)現(xiàn)數(shù)據(jù)完整性必須滿足兩個(gè)要求：一是數(shù)據(jù)完整性應(yīng)該能被消息的接收者所驗(yàn)證；二是數(shù)據(jù)完整性應(yīng)該與消息相關(guān)，即消息不同，產(chǎn)生的附件數(shù)據(jù)也應(yīng)該不同。 完整性校驗(yàn)的原理如下圖所示： 對消息的數(shù)據(jù)完整性或數(shù)據(jù)起源73一、Hash函數(shù) Hash函數(shù)是將任意長度的輸入串變化成固定長度的輸出串的一種函數(shù)。 Hash函數(shù)有這樣一個(gè)性質(zhì)，如果改變了輸入消息中的任何內(nèi)容，甚至只有一位，輸出消息摘要將會(huì)發(fā)生不可預(yù)測的改變，也就是說輸入消息的每一位對輸出消息摘要都有影響。Hash函數(shù)可用于保證信息的完整性，防止在傳輸過程中有人改變信息的內(nèi)容。最常用的Hash函數(shù)有MD2、MD4、MD5以及SHA等。二、HMAC函數(shù) Hash函數(shù)的一個(gè)重要應(yīng)用就是產(chǎn)生消息的附件。我們把利用帶密鑰的Hash函數(shù)實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)的方法稱為HMAC。一、Hash函數(shù)74

三、數(shù)字簽名

在通信過程中我們還常常需要知道信息來自誰？還是舉打仗的例子，將軍可以發(fā)號(hào)施令，但是如何確認(rèn)命令來自于將軍呢？可以采用一些特殊的東西來標(biāo)識(shí)，如令牌、印章、個(gè)人簽名等。對應(yīng)到數(shù)字世界，我們稱之為數(shù)字簽名。數(shù)字簽名是一段附加數(shù)據(jù)，它主要用來證實(shí)消息的真實(shí)來源。數(shù)字簽名與數(shù)據(jù)完整性校驗(yàn)很類似，不同點(diǎn)在于數(shù)據(jù)完整性校驗(yàn)強(qiáng)調(diào)數(shù)據(jù)本身是否被破壞，而數(shù)字簽名強(qiáng)調(diào)數(shù)據(jù)來源。對稱密碼體制和公鑰密碼體制都可以用來實(shí)現(xiàn)數(shù)字簽名。 數(shù)字簽名可以用對稱密碼體制實(shí)現(xiàn)，但除了文件簽字者和文件接收者雙方，還需要第三方認(rèn)證但是這種方法太復(fù)雜，安全性難以保證。 三、數(shù)字簽名75 公鑰密碼體制實(shí)現(xiàn)數(shù)字簽名的基本原理很簡單，假設(shè)A要發(fā)送一個(gè)電子文件給B，A、B雙方只需經(jīng)過下面三個(gè)步驟即可，如下圖所示： （1）A用其私鑰加密文件，這便是簽名過程； （2）A將加密的文件和未加密的文件都發(fā)送到B； （3）B用A的公鑰解開A傳送來的文件，將解密得到的文件與明文文件進(jìn)行比較，如果二者相同就可以認(rèn)為文件的確來自A，否則認(rèn)為文件并非來自A，這就是簽名驗(yàn)證過程。 上述的簽名方法是符合可靠性原則的，即簽名是可以被確認(rèn)的，無法被偽造、無法重復(fù)使用，文件被簽名以后無法被篡改，簽名具有非否認(rèn)性。 公鑰密碼體制實(shí)現(xiàn)數(shù)字簽名的基本原理很簡單，假設(shè)A要發(fā)送一個(gè)76 我們注意到，上述的基本數(shù)字簽名產(chǎn)生方法是對原始的消息進(jìn)行加密，如果不是直接加密消息而是加密對消息Hash運(yùn)算后的值，即消息摘要，就可以大大減小附件的大小。實(shí)際上，基于Hash的數(shù)字簽名方法是目前最常用的，如下圖所示： 我們注意到，上述的基本數(shù)字簽名產(chǎn)生方法是對原始的消息進(jìn)行加77第三節(jié)PKI技術(shù)一、PKI的概念 20世紀(jì)80年代，美國學(xué)者提出了公開密鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，簡稱PKI）的概念。 （一）PKI的定義 PKI是利用公開密鑰技術(shù)所構(gòu)建的、解決網(wǎng)絡(luò)安全問題的、普遍適用的一種基礎(chǔ)設(shè)施。美國的部分學(xué)者也把提供全面安全服務(wù)的基礎(chǔ)設(shè)施，包括軟件、硬件、人和策略的集合稱作PKI。但我們的理解更偏重于公開密鑰技術(shù)，公開密鑰技術(shù)即利用非對稱算法的技術(shù)。第三節(jié)PKI技術(shù)一、PKI的概念78（二）PKI的組成 簡單地講，PKI就是一個(gè)為實(shí)體發(fā)證的系統(tǒng)，它的核心是將實(shí)體的身份信息和公鑰信息綁定在一起，并且利用認(rèn)證機(jī)構(gòu)（CertificationAuthority，簡稱CA）的簽名來保證這種綁定關(guān)系不被破壞，從而形成一種數(shù)據(jù)結(jié)構(gòu)，即數(shù)字證書（簡稱證書）。 可以說PKI中最活躍的元素就是數(shù)字證書，所有安全的操作主要通過它來實(shí)現(xiàn)。PKI的部件包括簽發(fā)這些證書的CA、登記和批準(zhǔn)證書簽署的注冊機(jī)構(gòu)（RegistrationAuthority，簡稱RA）以及存儲(chǔ)和發(fā)布這些證書的數(shù)據(jù)庫（CertificateRepository）。 PKI中還包括證書策略（CertificatePolicy，簡稱CP）、證書路徑等元素以及證書的使用者。所有這些都是PKI的基本組件，許多這樣的基本組件有機(jī)地結(jié)合在一起就構(gòu)成了PKI。（二）PKI的組成79 典型的PKI系統(tǒng)的結(jié)構(gòu)圖： 典型的PKI系統(tǒng)的結(jié)構(gòu)圖：80 1.終端實(shí)體（Entity） 終端實(shí)體常常被認(rèn)為就是終端用戶，雖然大多數(shù)的情況如此，但實(shí)際上終端實(shí)體這一術(shù)語包括的對象很廣泛。 終端實(shí)體可以分為： （1）PKI證書的使用者； （2）終端用戶或者系統(tǒng)，它們是PKI證書的主體。 2.認(rèn)證機(jī)構(gòu)（CA） 證書和證書撤銷列表的簽發(fā)者，是PKI系統(tǒng)安全的核心。 3.注冊機(jī)構(gòu)（RA） RA在PKI系統(tǒng)中是一個(gè)可選的組件，主要是完成CA的一些管理功能。 4.證書撤銷列表發(fā)布者（CertificateRevocationListIssuer，簡稱CRLIssuer）證書撤銷列表發(fā)布者在PKI系統(tǒng)中也是一個(gè)可選的組件，它接受CA的授權(quán)發(fā)布CRL。 5.證書資料庫（CertificateRepository） 證書資料庫是一個(gè)通用的術(shù)語，用來指代存儲(chǔ)證書和CRL的任何方法。 6.數(shù)字證書與密鑰對 數(shù)字證書就是一個(gè)公開密鑰和身份信息綁在一起、用CA的私鑰簽名后得到的數(shù)據(jù)結(jié)構(gòu)。 7.密鑰管理中心（KeyManagementCenter，簡稱KMC） PKI系統(tǒng)的一個(gè)重要功能就是管理密鑰對。 1.終端實(shí)體（Entity）81（三）數(shù)字證書 數(shù)字證書是將主體信息和主體的公開密鑰通過CA的數(shù)字簽名綁定在一起的一種數(shù)據(jù)結(jié)構(gòu)。數(shù)字證書本身是可驗(yàn)證的，而且數(shù)字證書具有標(biāo)準(zhǔn)的格式。（三）數(shù)字證書82二、PKI部署與應(yīng)用 （一）PKI提供的服務(wù) PKI提供的服務(wù)包括兩個(gè)部分：一部分為PKI提供的核心服務(wù)，或稱為基本服務(wù)；另一部分為PKI支持的安全服務(wù)，屬于簡單的PKI應(yīng)用所能提供的。 PKI提供的核心服務(wù)包括認(rèn)證、完整性、密鑰管理、簡單機(jī)密性和非否認(rèn)。這幾項(xiàng)核心服務(wù)囊括了信息安全中的四個(gè)重要的要求，即真實(shí)性、完整性、保密性和不可否認(rèn)性。 認(rèn)證是PKI提供的最基本的服務(wù)，這種服務(wù)可以在未曾謀面的雙方之間進(jìn)行。 PKI提供的完整性可以通過數(shù)字簽名來完成，而這種完整性還提供了對稱密碼方法等不能提供的不可否認(rèn)保障。 PKI提供的服務(wù)包括了由加密設(shè)備提供的更強(qiáng)更快的加密服務(wù)，在這種加密服務(wù)中利用了PKI提供的密鑰交換和密鑰恢復(fù)服務(wù)。二、PKI部署與應(yīng)用83（二）PKI的應(yīng)用 這里主要介紹當(dāng)前使用PKI技術(shù)的幾個(gè)比較典型的應(yīng)用實(shí)例，以下都是目前已經(jīng)成熟并得到普及的應(yīng)用。 1.安全電子郵件 2.安全Web服務(wù) 3.VPN應(yīng)用 4.其他應(yīng)用（二）PKI的應(yīng)用84（三）PKI在組織中的部署 PKI部署是一個(gè)復(fù)雜的問題，一般而言，證書認(rèn)證系統(tǒng)通常會(huì)采用兩種方式為組織提供服務(wù)：一是為組織中的資源（人、設(shè)備等）發(fā)放數(shù)字證書；二是提供技術(shù)為組織建立專用的PKI系統(tǒng)。究竟采用何種方式部署自身需要的PKI系統(tǒng)，需要重點(diǎn)考慮以下因素： 1.組織信任體系的目標(biāo) 2.資源引進(jìn)和資源外包 3.安全應(yīng)用 4.資金和技術(shù)投入（三）PKI在組織中的部署85第五章系統(tǒng)安全本章學(xué)習(xí)目的 了解通用操作系統(tǒng)的安全要素、操作系統(tǒng)的安全等級 掌握Windows系統(tǒng)帳號(hào)、資源和網(wǎng)絡(luò)安全管理 掌握UNIX/linux帳號(hào)、訪問機(jī)制、資源和網(wǎng)絡(luò)安全管理 了解數(shù)據(jù)庫的基本安全機(jī)制、安全管理 掌握主流數(shù)據(jù)庫安全基本知識(shí)第五章系統(tǒng)安全本章學(xué)習(xí)目的86本章概覽本章我們將重點(diǎn)討論兩類系統(tǒng)的安全：操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)安全部分：首先，介紹了操作系統(tǒng)安全的原理。然后，分別闡述了Windows操作系統(tǒng)和UNIX/Linux操作系統(tǒng)提供的各類安全機(jī)制和功能。作為兩類流行的操作系統(tǒng)，它們都提供了許多類似的安全功能，如帳號(hào)管理、資源管理、網(wǎng)絡(luò)管理等。最后，簡要介紹了安全操作系統(tǒng)的概念。數(shù)據(jù)庫系統(tǒng)安全部分：首先，概括介紹了數(shù)據(jù)庫系統(tǒng)安全的原理和機(jī)制。然后，重點(diǎn)闡述了當(dāng)前主流數(shù)據(jù)庫系統(tǒng)的安全，包括Oracle、MSSQLServer、Sybase、MySQL；介紹了國內(nèi)安全數(shù)據(jù)庫研究的現(xiàn)狀；介紹了常見的數(shù)據(jù)庫攻擊與防范技術(shù)。最后，闡述了數(shù)據(jù)庫恢復(fù)的概念和原理，并列舉了Oracle數(shù)據(jù)庫中的安全恢復(fù)機(jī)制。本章概覽本章我們將重點(diǎn)討論兩類系統(tǒng)的安全：操作系統(tǒng)和數(shù)據(jù)庫系87第一節(jié)操作系統(tǒng)安全基礎(chǔ)一、操作系統(tǒng)概述 用戶使用計(jì)算機(jī)時(shí)，直接操作計(jì)算機(jī)系統(tǒng)硬件是不方便也不現(xiàn)實(shí)的，這就需要一種計(jì)算機(jī)使用者和計(jì)算機(jī)硬件間的中間媒介，操作系統(tǒng)就是這一媒介。操作系統(tǒng)一方面管理著所有的計(jì)算機(jī)系統(tǒng)資源；另一方面，為用戶提供了一個(gè)抽象概念上的計(jì)算機(jī)。第一節(jié)操作系統(tǒng)安全基礎(chǔ)一、操作系統(tǒng)概述88 操作系統(tǒng)的功能一般包括處理器管理、存儲(chǔ)管理、文件管理、設(shè)備管理和作業(yè)管理等。當(dāng)多個(gè)程序同時(shí)運(yùn)行時(shí)，操作系統(tǒng)負(fù)責(zé)規(guī)劃以優(yōu)化每個(gè)程序的處理時(shí)間。 （1）處理器管理功能是根據(jù)一定的策略將處理器交替地分配給系統(tǒng)內(nèi)等待運(yùn)行的程序； （2）存儲(chǔ)管理功能是管理內(nèi)存資源，主要實(shí)現(xiàn)內(nèi)存的分配與回收、存儲(chǔ)保護(hù)以及內(nèi)存擴(kuò)充； （3）文件管理功能是向用戶提供創(chuàng)建文件、撤銷文件、讀寫文件、打開和關(guān)閉文件等； （4）設(shè)備管理功能負(fù)責(zé)分配和回收外部設(shè)備，以及控制外部設(shè)備按用戶程序的要求進(jìn)行操作； （5）作業(yè)管理功能為用戶提供一個(gè)使用系統(tǒng)的良好環(huán)境，使用戶能有效地組織自己的工作流程，并使整個(gè)系統(tǒng)高效地運(yùn)行。 操作系統(tǒng)的功能一般包括處理器管理、存儲(chǔ)管理、文件管理、設(shè)備89二、操作系統(tǒng)的安全要素 計(jì)算機(jī)系統(tǒng)安全是備受研究領(lǐng)域關(guān)注的課題，而操作系統(tǒng)的安全是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。高安全性操作系統(tǒng)要求自身在任何環(huán)境下都能安全可靠地運(yùn)行，對安全性的要求非常嚴(yán)格。實(shí)際上，操作系統(tǒng)也有很多必需的安全性功能，主要有： （1）用戶認(rèn)證（AuthenticationofUsers） （2）存儲(chǔ)器保護(hù)（ProtectionofMemory） （3）文件和I/O設(shè)備的訪問控制（FileandI/ODeviceAccessControl） （4）對一般目標(biāo)的定位和訪問控制（AllocationandAccessControltoGeneralObjects） （5）共享的實(shí)現(xiàn)（EnforcementofSharing） （6）保證公平服務(wù)（GuaranteeofFairService） （7）內(nèi)部進(jìn)程間通信的同步（InterprocessCommunicationandSynchronization）二、操作系統(tǒng)的安全要素90二、操作系統(tǒng)的安全要素 計(jì)算機(jī)系統(tǒng)安全是備受研究領(lǐng)域關(guān)注的課題，而操作系統(tǒng)的安全是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。高安全性操作系統(tǒng)要求自身在任何環(huán)境下都能安全可靠地運(yùn)行，對安全性的要求非常嚴(yán)格。實(shí)際上，操作系統(tǒng)也有很多必需的安全性功能，主要有： （1）用戶認(rèn)證（AuthenticationofUsers） （2）存儲(chǔ)器保護(hù)（ProtectionofMemory） （3）文件和I/O設(shè)備的訪問控制（FileandI/ODeviceAccessControl） （4）對一般目標(biāo)的定位和訪問控制（AllocationandAccessControltoGeneralObjects） （5）共享的實(shí)現(xiàn)（EnforcementofSharing） （6）保證公平服務(wù)（GuaranteeofFairService） （7）內(nèi)部進(jìn)程間通信的同步（InterprocessCommunicationandSynchronization）二、操作系統(tǒng)的安全要素91三、安全操作系統(tǒng) 設(shè)計(jì)安全操作系統(tǒng)應(yīng)該遵循以下一些原則（由SaltzerJ.H、SchroederM.D提出）： （1）最小特權(quán) （2）保護(hù)機(jī)制的經(jīng)濟(jì)性 （3）開放設(shè)計(jì) （4）嚴(yán)密完整的檢查 （5）基于許可的模式 （6）特權(quán)分離 （7）最少的通用機(jī)制 （8）便于使用三、安全操作系統(tǒng)92四、操作系統(tǒng)安全等級 信息技術(shù)安全測評標(biāo)準(zhǔn)可以引入到對操作系統(tǒng)的安全等級評估中，最為著名的是美國國防部發(fā)布的可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（TCSEC），TCSEC定義了七個(gè)等級（D1,C1,C2,B1,B2,B3,A1），分為四個(gè)類別。 我國也于近年制定了強(qiáng)制性國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859—1999），在參考國外相應(yīng)標(biāo)準(zhǔn)的基礎(chǔ)上，從自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身份鑒別、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑和可信恢復(fù)等十個(gè)方面將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為五個(gè)安全等級：第一級，用戶自主保護(hù)級；第二級，系統(tǒng)審計(jì)保護(hù)級；第三級，安全標(biāo)記保護(hù)級；第四級，結(jié)構(gòu)化保護(hù)級；第五級，訪問驗(yàn)證保護(hù)級。四、操作系統(tǒng)安全等級93第二節(jié)Windows系統(tǒng)安全 WindowsNT/2000/XP的操作系統(tǒng)結(jié)構(gòu)如下圖所示： 操作系統(tǒng)核心模式的最底層是硬件抽象層，它為上層提供硬件結(jié)構(gòu)的接口；硬件抽象層上是微內(nèi)核，它為下層提供執(zhí)行、中斷、異常處理和同步的支持；最高層是由一系列實(shí)現(xiàn)基本操作系統(tǒng)服務(wù)的模塊。第二節(jié)Windows系統(tǒng)安全 WindowsNT/200094 操作系統(tǒng)用戶模式中提供了應(yīng)用程序接口（API），內(nèi)置有會(huì)話管理、NT注冊（winlogon）、Win32、本地安全認(rèn)證（LocalSecurityAuthority，簡稱LSA）、安全帳號(hào)管理（SecurityAccountManager，簡稱SAM）等模塊，這些模塊中已經(jīng)能夠支持一些基本的系統(tǒng)安全功能，包括： （1）訪問控制的判斷（DiscretionAccessControl）：允許對象所有者控制被允許訪問該對象的用戶以及訪問的方式； （2）對象重用（ObjectReuse）：當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時(shí)，Windows禁止所有的系統(tǒng)應(yīng)用訪問該資源； （3）強(qiáng)制登錄（MandatoryLogOn）：要求所有的用戶必須登錄，通過認(rèn)證后才可以訪問資源； （4）審核（Auditing）：在控制用戶訪問資源的同時(shí)，對這些訪問作相應(yīng)地記錄； （5）對象的訪問控制（ControlofAccesstoObject）：系統(tǒng)的某些資源不允許被直接訪問，即使是允許被訪問的資源，用戶或應(yīng)用也需要首先通過認(rèn)證以后才能訪問。

操作系統(tǒng)用戶模式中提供了應(yīng)用程序接口（API），內(nèi)置有會(huì)話95 Windows中的很多簡單的系統(tǒng)行為其實(shí)就是上面提到的若干安全功能子模塊默契配合的過程。以Windows系統(tǒng)的登錄流程為例來說明，Windows系統(tǒng)登錄流程如下圖所示： Windows中的很多簡單的系統(tǒng)行為其實(shí)就是上面提到的若干96 上面提到了一些登錄過程中應(yīng)用的安全組件，下面具體解釋幾個(gè)組件的概念： （1）安全標(biāo)識(shí)符（SecurityIdentifiers，簡稱SID）：當(dāng)每次創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給該用戶或組一個(gè)唯一的SID；當(dāng)重新安裝系統(tǒng)后，也會(huì)得到一個(gè)唯一的SID。SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定，以保證它的唯一性。 （2）訪問令牌（AccessTokens）：用戶通過驗(yàn)證后，登錄進(jìn)程會(huì)給用戶一個(gè)訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證，當(dāng)用戶試圖訪問系統(tǒng)資源時(shí)，將訪問令牌提供給Windows系統(tǒng)，然后Windows系統(tǒng)檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，Windows系統(tǒng)將會(huì)分配給用戶適當(dāng)?shù)脑L問權(quán)限。訪問令牌是用戶在通過驗(yàn)證的時(shí)候由登錄進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登錄，重新獲取訪問令牌。 （3）安全描述符（SecurityDescriptors）：Windows系統(tǒng)中的任何對象的屬性都具有安全描述符這部分，它保存對象的安全配置。 （4）訪問控制列表（AccessControlLists，簡稱ACL）：訪問控制列表有兩種：任意訪問控制列表（DiscretionaryACL）和系統(tǒng)訪問控制列表（SystemACL）。任意訪問控制列表包含了用戶或組的列表以及相應(yīng)的權(quán)限——允許或拒絕。每一個(gè)用戶或組在任意訪問控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時(shí)間。 （5）訪問控制項(xiàng)（AccessControlEntries）：訪問控制項(xiàng)包含了用戶或組的SID以及對對象的訪問權(quán)限。訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。 上面提到了一些登錄過程中應(yīng)用的安全組件，下面具體解釋幾個(gè)組97一、Windows系統(tǒng)帳號(hào)管理 Windows系統(tǒng)的用戶帳號(hào)（UserAccounts）安全是Windows系統(tǒng)安全的核心。 用戶帳號(hào)通過用戶名和密碼來標(biāo)識(shí)。 Windows系統(tǒng)中，用戶帳號(hào)中包含著用戶的名稱與密碼、用戶所屬的組和用戶的權(quán)限等相關(guān)數(shù)據(jù)。一般認(rèn)為，Windows系統(tǒng)的用戶帳號(hào)有兩種基本類型：全局帳號(hào)（GlobalAccounts）和本地帳號(hào)（LocalAccounts）。 （一）本地用戶帳號(hào)與本地用戶組 （二）域帳號(hào)與域用戶組 （三）系統(tǒng)管理員帳號(hào) （四）帳號(hào)密碼策略 （五）用戶權(quán)限安全一、Windows系統(tǒng)帳號(hào)管理98二、WindowsNT資源安全管理 Windows系統(tǒng)為本地及網(wǎng)絡(luò)用戶提供了良好的應(yīng)用服務(wù)和資源，保障這些應(yīng)用服務(wù)和資源有效地、安全地應(yīng)用極其重要。 （一）文件系統(tǒng)資源的安全設(shè)置 （二）應(yīng)用程序和用戶主目錄安全 （三）打印機(jī)安全 （四）注冊表安全 （五）審計(jì)日志 （六）磁盤空間管理和數(shù)據(jù)備份二、WindowsNT資源安全管理99三、Windows網(wǎng)絡(luò)安全管理 隨著互聯(lián)網(wǎng)的高速發(fā)展，操作系統(tǒng)早已成為了“網(wǎng)絡(luò)操作系統(tǒng)”，如何在紛繁復(fù)雜的網(wǎng)絡(luò)世界里保護(hù)我們的操作系統(tǒng)、保護(hù)我們的重要數(shù)據(jù)是一個(gè)值得關(guān)注的問題。 （一）網(wǎng)絡(luò)連接安全 （二）Windows防火墻 （三）遠(yuǎn)程訪問 （四）設(shè)置/關(guān)閉不必要的服務(wù)/端口 （五）IIS的安全管理三、Windows網(wǎng)絡(luò)安全管理100第三節(jié)UNIX/Linux系統(tǒng)安全 下圖所示的是一般UNIX系統(tǒng)的架構(gòu)，可以看出UNIX的系統(tǒng)結(jié)構(gòu)由用戶層、內(nèi)核層和硬件層三個(gè)層次組成。第三節(jié)UNIX/Linux系統(tǒng)安全 下圖所示的是一般UNI101 UNIX系統(tǒng)具有兩個(gè)執(zhí)行態(tài)：核心態(tài)和用戶態(tài)。運(yùn)行內(nèi)核程序的進(jìn)程處于核心態(tài)，運(yùn)行核外程序的進(jìn)程處于用戶態(tài)。系統(tǒng)保證用戶態(tài)下的進(jìn)程只能存取它自己的指令和數(shù)據(jù)，而不能存取內(nèi)核和其他進(jìn)程的指令和數(shù)據(jù)，保證特權(quán)指令只能在核心態(tài)執(zhí)行，像中斷、異常等在用戶態(tài)下不能使用。用戶程序可以通過系統(tǒng)調(diào)用進(jìn)入核心，運(yùn)行系統(tǒng)調(diào)用后，又返回用戶態(tài)。系統(tǒng)調(diào)用是用戶在編寫程序時(shí)可以使用的接口，是用戶程序進(jìn)入U(xiǎn)NIX內(nèi)核的唯一入口。 UNIX系統(tǒng)具有兩個(gè)執(zhí)行態(tài)：核心態(tài)和用戶態(tài)。運(yùn)行內(nèi)核程序的102 Linux系統(tǒng)與Windows系統(tǒng)相比，安全方面存在這種優(yōu)勢的主要原因有以下幾個(gè)方面： （1）Linux的開源軟件開發(fā)方式更容易暴露錯(cuò)誤，這是Windows不具備的優(yōu)勢。 （2）Windows的許多應(yīng)用程序依靠遠(yuǎn)程程序調(diào)用。遠(yuǎn)程程序調(diào)用是計(jì)算機(jī)內(nèi)部通信的一種方式，無法預(yù)知地和主動(dòng)地分配通信通路。與限制使用遠(yuǎn)程程序調(diào)用的Linux相比，這種方式使得Windows的防火墻沒有Linux那樣嚴(yán)格。 （3）使用管理員權(quán)限和普通的用戶帳號(hào)都可以操作Windows系統(tǒng)和Linux系統(tǒng)。但是某些第三方Windows應(yīng)用軟件中經(jīng)常需要管理員的權(quán)限才能正確運(yùn)行軟件。因此，這些軟件發(fā)起的病毒攻擊的破壞性極大。而Linux應(yīng)用軟件通常都遵守這個(gè)安全要求，因此，很少被攻擊者利用。 （4）Windows具有易學(xué)易用性，同時(shí)需要兼容不安全的老版本的軟件。這些對于系統(tǒng)安全也是一個(gè)不利的因素。而這個(gè)缺點(diǎn)是Linux所沒有的。 但并不能說UNIX/Linux就沒有安全隱患了，在這一節(jié)中，對應(yīng)于前一節(jié)Windows系統(tǒng)的內(nèi)容，我們也將從UNIX/Linux的帳號(hào)安全管理、訪問控制、資源安全管理、網(wǎng)絡(luò)服務(wù)安全等幾個(gè)方面完整闡述UNIX/Linux的系統(tǒng)安全。 Linux系統(tǒng)與Windows系統(tǒng)相比，安全方面存在這種優(yōu)103一、UNIX/Linux帳號(hào)安全管理 與Windows系統(tǒng)相似，UNIX通過用戶名識(shí)別用戶，通過密碼進(jìn)行驗(yàn)證。UNIX中的用戶帳號(hào)安全也同樣是系統(tǒng)安全的核心。與Windows系統(tǒng)不同的是，UNIX/Linux中沒有工作組/域的概念，但是有用戶帳號(hào)/用戶組。下面的內(nèi)容中將分別介紹特權(quán)帳號(hào)（Root帳號(hào)）、禁止預(yù)置帳號(hào)、組管理策略、用戶密碼安全。一、UNIX/Linux帳號(hào)安全管理104（一）Root帳號(hào) UNIX用一個(gè)用戶名代表用戶，用戶名最多有8個(gè)字符，內(nèi)部表示為一個(gè)16位的數(shù)字，即用戶ID（UID）。UID和用戶名通過/etc/passwd映射。UNIX不區(qū)分擁有相同UID的用戶。一些UID有特殊的意義，其中最特殊的是特權(quán)用戶，每個(gè)UNIX系統(tǒng)中都有一個(gè)特權(quán)用戶，這個(gè)特權(quán)用戶的UID為0，用戶名通常為Root。幾乎所有的安全檢查都對特權(quán)用戶關(guān)閉，在執(zhí)行某些系統(tǒng)管理任務(wù)時(shí)Root帳號(hào)也是必要的。 系統(tǒng)管理員不應(yīng)該把Root帳號(hào)當(dāng)成他的個(gè)人帳號(hào)。需要使用特權(quán)用戶時(shí)可以通過不指定用戶名的/bin/su命令變普通帳號(hào)為Root帳號(hào)。如果需要使用多重特權(quán)用戶帳號(hào)，則需要按照下列步驟設(shè)置： （1）創(chuàng)建多重特權(quán)用戶帳號(hào)； （2）為每個(gè)特權(quán)用戶創(chuàng)建一個(gè)普通用戶帳號(hào)； （3）指導(dǎo)每一位特權(quán)用戶以普通用戶身份登錄到系統(tǒng)，然后使用su命令變成特權(quán)用戶帳號(hào)。 從上面的敘述可以看出，特權(quán)用戶幾乎可以做任何事情。特權(quán)用戶可以變?yōu)槿魏蝿e的用戶，可以改變系統(tǒng)時(shí)鐘，可以繞過施加于他的某些限制。正是由于特權(quán)用戶如此強(qiáng)大，它也成為UNIX的一個(gè)主要弱點(diǎn)。處于特權(quán)用戶狀態(tài)的攻擊者實(shí)際上接管了整個(gè)系統(tǒng)，必須采取每一個(gè)可能的防范措施來控制普通用戶獲得特權(quán)用戶狀態(tài)。（一）Root帳號(hào)105（二）禁止預(yù)置帳號(hào) 如同Windows系統(tǒng)中的Guest帳號(hào)一樣，Linux操作系統(tǒng)中也存在一些不必要的預(yù)置帳號(hào)。如果不需要這些帳號(hào)，就把它們刪除。系統(tǒng)中有越多這樣的帳號(hào)，就越容易受到攻擊。 1.在系統(tǒng)中刪除一個(gè)用戶可以用這個(gè)命令：userdel [root@cnns]#userdelusername 2.在系統(tǒng)中刪除一個(gè)組可以用這個(gè)命令： [root@cnns]#groupdelusername 3.在系統(tǒng)中加入必要的用戶： 在系統(tǒng)中添加用戶，用這個(gè)命令： [root@cnns]#useraddusername 給系統(tǒng)中的用戶添加或改變密碼，用這個(gè)命令： [root@cnns]#passwdusername 4.“不許改變”位可以用來保護(hù)文件使其不被意外地刪除或重寫，也可以防止別人創(chuàng)建這個(gè)文件的符號(hào)連接。刪除“/etc/passwd”、“/etc/shadow”、“/etc/group”或“/etc/gshadow”都是黑客常用的攻擊方法。 給密碼文件和組文件設(shè)置不可改變位，可以用下面的命令：chattr [root@cnns]#chattr+i/etc/passwd [root@cnns]#chattr+i/etc/shadow [root@cnns]#chattr+i/etc/group [root@cnns]#chattr+i/etc/gshadow（二）禁止預(yù)置帳號(hào)106（三）組管理策略 將用戶分組是UNIX/Linux系統(tǒng)對權(quán)限進(jìn)行管理的一種方式。例如，要給用戶某些訪問權(quán)限，則可以對組進(jìn)行權(quán)限分配，這樣會(huì)帶來很大的方便。每個(gè)用戶應(yīng)該屬于某一個(gè)組，早期的系統(tǒng)中一個(gè)用戶只能屬于某一個(gè)組，后來的系統(tǒng)中，一個(gè)用戶可以同時(shí)屬于多個(gè)用戶組。 用戶隸屬于一個(gè)或多個(gè)組。以組的方式來組織用戶為訪問控制決策提供方便。 如果一個(gè)用戶同時(shí)屬于多個(gè)用戶組，那么用戶可以在用戶組之間切換，以便具有其他用戶組的權(quán)限。用戶可在登錄后，使用命令newgrp切換到其他用戶組，這個(gè)命令的參數(shù)就是目的用戶組。（三）組管理策略107（三）組管理策略 將用戶分組是UNIX/Linux系統(tǒng)對權(quán)限進(jìn)行管理的一種方式。例如，要給用戶某些訪問權(quán)限，則可以對組進(jìn)行權(quán)限分配，這樣會(huì)帶來很大的方便。每個(gè)用戶應(yīng)該屬于某一個(gè)組，早期的系統(tǒng)中一個(gè)用戶只能屬于某一個(gè)組，后來的系統(tǒng)中，一個(gè)用戶可以同時(shí)屬于多個(gè)用戶組。 用戶隸屬于一個(gè)或多個(gè)組。以組的方式來組織用戶為訪問控制決策提供方便。 如果一個(gè)用戶同時(shí)屬于多個(gè)用戶組，那么用戶可以在用戶組之間切換，以便具有其他用戶組的權(quán)限。用戶可在登錄后，使用命令newgrp切換到其他用戶組，這個(gè)命令的參數(shù)就是目的用戶組。（三）組管理策略108（四）用戶密碼安全 這里的用戶密碼，主要是指UNIX/Linux的系統(tǒng)用戶密碼。 而UNIX/Linux系統(tǒng)用戶密碼的安全則取決于兩個(gè)方面：一是操作系統(tǒng)對用戶密碼文件的保護(hù)；二是用戶對密碼的設(shè)置。（四）用戶密碼安全109 一般認(rèn)為密碼設(shè)置的原則有： （1）選擇長的密碼，大多數(shù)UNIX/Linux接受5~8個(gè)字符串長度的密碼； （2）密碼最好是英文字母、數(shù)字、標(biāo)點(diǎn)符號(hào)、控制字符等的結(jié)合； （3）不要使用英文單詞，容易遭到字典攻擊； （4）用戶若可以訪問多個(gè)系統(tǒng)，則不要使用相同的密碼； （5）不要使用自己、家人、寵物的名字； （6）不要選擇自己也記不住的密碼； （7）使用UNIX安全程序，如passwd+和npasswd程序來測試密碼的安全性，passwd+是一個(gè)密碼分析程序。npasswd程序是passwd+命令的替代品，它合并了一個(gè)不允許簡單密碼的檢查系統(tǒng)。 用戶應(yīng)該定期改變自己的密碼，如一個(gè)月?lián)Q一次。 一般認(rèn)為密碼設(shè)置的原則有：110二、UNIX/Linux訪問控制 訪問控制是基于用戶屬性和資源（亦即文件、I/O設(shè)備、內(nèi)存等）屬性之上的。標(biāo)準(zhǔn)的UNIX系統(tǒng)以屬主（owner）、屬組（group）、其他人（world）三個(gè)粒度進(jìn)行控制。特權(quán)用戶不受這種訪問控制的限制。UNIX以統(tǒng)一的方式處理所有的資源，它并不區(qū)分文件和設(shè)備。二、UNIX/Linux訪問控制111（一）UNIX文件結(jié)構(gòu) UNIX以樹型結(jié)構(gòu)組織文件系統(tǒng)，這個(gè)系統(tǒng)包括文件和目錄。目錄里的每個(gè)文件條目是一個(gè)指針，指向一個(gè)叫做i-結(jié)點(diǎn)（inode）的數(shù)據(jù)結(jié)構(gòu)。下表給出了i-結(jié)點(diǎn)中與訪問控制有關(guān)的字段。每個(gè)目錄有一個(gè)指向自身的文件“.”，還有一個(gè)指向它的父目錄的文件“..”。每個(gè)文件有一個(gè)屬主，通常這個(gè)屬主是建立文件的用戶。每個(gè)文件都屬于某個(gè)組。新建文件有可能屬于它的建立者的屬組，也有可能屬于它的目錄的屬組，取決于不同的UNIX版本。（一）UNIX文件結(jié)構(gòu)112（二）改變許可 文件的許可位可以用chmod命令修改，這個(gè)修改的執(zhí)行者只能是文件的屬主或者特權(quán)用戶。這個(gè)命令有如下的格式： chmod[-fR]absolutefile指定所有許可位的值 chmod[-fR][who]+permissionfile添加許可 chmod[-fR][who]-permissionfile刪除許可 chmod[-fR][who]=permissionfile重置許可

（二）改變許可113（三）缺省許可位 UNIX工具（實(shí)用程序，utilities），如編輯器或者編譯器。在新建文件的時(shí)候，通常使用666作為缺省許可位，而在新建程序的時(shí)候，通常使用777作為缺省許可位。這些缺省許可位可以用umask調(diào)整。umask是一個(gè)三個(gè)數(shù)字的八進(jìn)制數(shù)，它指定了應(yīng)該被保留（抑制）的權(quán)限。所以，umask777拒絕所有訪問，umask000就不作任何限制。敏感的缺省設(shè)置有： （1）屬主的所有許可，屬組和其他人的讀和執(zhí)行許可； （2）屬主的所有許可，屬組的讀許可，其他人沒有許可； （3）屬主的所有許可，屬組和其他人沒有許可。（三）缺省許可位114（三）缺省許可位 UNIX工具（實(shí)用程序，utilities），如編輯器或者編譯器。在新建文件的時(shí)候，通常使用666作為缺省許可位，而在新建程序的時(shí)候，通常使用777作為缺省許可位。這些缺省許可位可以用umask調(diào)整。umask是一個(gè)三個(gè)數(shù)字的八進(jìn)制數(shù)，它指定了應(yīng)該被保留（抑制）的權(quán)限。所以，umask777拒絕所有訪問，umask000就不作任何限制。敏感的缺省設(shè)置有： （1）屬主的所有許可，屬組和其他人的讀和執(zhí)行許可； （2）屬主的所有許可，屬組的讀許可，其他人沒有許可； （3）屬主的所有許可，屬組和其他人沒有許可。（三）缺省許可位115（四）目錄的許可 與Windows系統(tǒng)類似，每一個(gè)用戶都有一個(gè)主目錄?？梢杂胢kdir建立子目錄。在一個(gè)目錄里存放文件和目錄，用戶必須擁有正確的文件許可位。讀許可允許查找哪些文件在目錄中，如用ls或者別的類似的命令。寫許可允許從目錄中添加或者刪除文件。執(zhí)行許可也是必要的，在打開當(dāng)前目錄文件時(shí)使用。所以，為了訪問自己的文件，用戶需要在目錄中有執(zhí)行許可。為了防止別的用戶讀取文件，用戶既可以設(shè)置相應(yīng)文件的訪問許可位，也可以阻止對目錄的訪問。為了刪除文件，用戶需要有目錄的寫和執(zhí)行許可。（四）目錄的許可116三、UNIX/Linux資源安全管理 UNIX/Linux資源安全管理主要包括文件系統(tǒng)安全管理、進(jìn)程管理、數(shù)據(jù)備份、審計(jì)等幾大部分，其中文件系統(tǒng)的安全管理最為重要。 （一）文件共享安全和NFS安全。 在這一部分中，將討論最常見的UNIX網(wǎng)絡(luò)文件系統(tǒng)—NFS安全問題。分為選擇NFS服務(wù)器、配置/etc/exports文件、NFS包過濾等三方面。三、UNIX/Linux資源安全管理117（二）文件系統(tǒng)的安全加載 在UNIX系統(tǒng)中，若想使用一個(gè)文件系統(tǒng)，就必須遵循先加載、再使用的原則。系統(tǒng)管理員可以使用mount命令或特定的系統(tǒng)管理程序?qū)ξ募到y(tǒng)進(jìn)行管理。建立一個(gè)文件系統(tǒng)后，還需將此文件系統(tǒng)加載到系統(tǒng)中，然后才能使用。這里的文件系統(tǒng)可以是硬盤、光盤、軟盤、NFS共享目錄的文件系統(tǒng)。加載文件系統(tǒng)的命令是mount，只有特權(quán)用戶才能使用一條命令。 加載文件系統(tǒng)的命令格式為： #mount-t類型設(shè)備名安裝點(diǎn) 其中，類型是UNIX系統(tǒng)支持的文件系統(tǒng)類型。設(shè)備名是文件系統(tǒng)所在的存儲(chǔ)設(shè)備，如硬盤分區(qū)、光盤、軟盤等。安裝點(diǎn)是一個(gè)目錄，把存儲(chǔ)設(shè)備上的文件系統(tǒng)加載到這個(gè)目錄中，就可以通過這個(gè)目錄來使用文件系統(tǒng)。（二）文件系統(tǒng)的安全加載118（三）文件完整性檢查/數(shù)據(jù)備份 UNIX權(quán)限方案的主要目標(biāo)及所有系統(tǒng)文件保護(hù)措施是維護(hù)系統(tǒng)和用戶文件的完整性。完整性是安全系統(tǒng)的核心屬性。 RPM校驗(yàn)是由RedHatSoftware開發(fā)并包含在其Linux產(chǎn)品之中的多功能軟件安裝管理器。當(dāng)使用RPM安裝軟件包時(shí)，RPM為每個(gè)被安裝文件向數(shù)據(jù)庫中添加信息，包括： （1）MD5校驗(yàn)和； （2）文件大??； （3）文件類型； （4）擁有者； （5）分組； （6）權(quán)限模式。（三）文件完整性檢查/數(shù)據(jù)備份119（四）進(jìn)程安全管理 進(jìn)程是Linux系統(tǒng)用來表示正在運(yùn)行的程序的一種抽象概念。程序的內(nèi)存使用、處理器時(shí)間和I/O資源就是通過這個(gè)對象進(jìn)行管理和監(jiān)視的。Linux和UNIX設(shè)計(jì)思想的一部分內(nèi)容就是讓盡可能多的工作在進(jìn)程的上下文（content）中完成，而不是由內(nèi)核專門來進(jìn)行處理。 Linux系統(tǒng)提供了who、w、ps和top等查看進(jìn)程信息的系統(tǒng)調(diào)用，結(jié)合使用這些系統(tǒng)調(diào)用，用戶可以清晰地了解進(jìn)程的運(yùn)行狀態(tài)以及存活情況，從而采取相應(yīng)的措施來確保Linux系統(tǒng)的安全。（四）進(jìn)程安全管理120 下面逐一介紹以上這幾種命令： （1）who命令：該命令主要用于查看當(dāng)前在線上的用戶情況，系統(tǒng)管理員可以使用who命令監(jiān)視每個(gè)登錄的用戶此時(shí)此刻的所作所為。 （2）w命令：該命令也用于顯示登錄到系統(tǒng)的用戶情況，但是與who命令不同的是，w命令功能更加強(qiáng)大，它不但可以顯示有誰登錄到系統(tǒng)，還可以顯示出這些用戶當(dāng)前正在進(jìn)行的工作，w命令是who命令的一個(gè)增強(qiáng)版。 （3）ps命令：該命令是最基本的同時(shí)也是非常強(qiáng)大的進(jìn)程查看命令。利用它可以確定有哪些進(jìn)程正在運(yùn)行及運(yùn)行的狀態(tài)、進(jìn)程是否結(jié)束、進(jìn)程有沒有僵死、哪些進(jìn)程占用了過多的資源等。ps命令可以監(jiān)控后臺(tái)進(jìn)程的工作情況，因?yàn)楹笈_(tái)進(jìn)程是不和屏幕鍵盤這些標(biāo)準(zhǔn)輸入/輸出設(shè)備進(jìn)行通信的。如果