返回
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt

网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt

ID:56960478

大小:494.00 KB

页数:88页

时间:2020-07-22

网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt_第1页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt_第2页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt_第3页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt_第4页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt_第5页
资源描述:

《网络的攻击与防范-理论与实践 第3篇 网络防御部分 第12章 操作系统安全防范课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第三篇网络防护篇第11章安全扫描技术的原理与应用第12章操作系统安全防范第13章密码及认证技术第14章防火墙的技术原理与应用第15章入侵检测技术的原理与应用第16章蜜罐与蜜网技术第17章数据备份与灾难恢复技术第18章网络安全综合防范平台第12章操作系统安全防范操作系统作为各种安全技术的底层,信息交换都是通过操作系统提供的服务来实现的。各种应用程序要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的高安全性都是不可能的。计算机网络信息系统中,系统的安全性依赖于其中

2、各主机系统的安全性,而各主机系统的安全性是由其操作系统的安全性决定的。操作系统的安全是计算机网络信息系统安全的基础。第12章操作系统安全防范12.1操作系统的安全机制12.2Windows2000的安全特性12.3实验:UNIX/Linux的安全性12.1操作系统的安全机制安全操作系统的研究历程可以划分为4个时期:1.开始时期2.发展时期3.多安全策略时期4.动态策略时期12.1操作系统的安全机制12.1.1安全模型12.1.2系统的认证12.1.3访问控制12.2.4远程访问12.2.5其他方面12.1.1安全模型下面通过Window

3、s和Unix的两种操作系统说明操作系统安全模型,并进行比较。Windows和Unix的安全模型尽管有很大的差别,但是二者的基本理念和关注的问题是一致的。NT和Unix都分为两个区域,一个是用户区域,另一个是操作系统内核。应用程序一般情况下在用户区域执行命令,但偶尔当它们需要特殊的服务时会像操作系统核心发出请求的,那么这些特殊服务被称为“在内核区域运行”。12.1.1安全模型内核的保护在通常情况下,内核区域内部是不存在安全性检测的。比如说,没有任何机制可以从核心区域的其他部分去保护其中的一个部分的,显然区域内的所有部分都是互相依赖的。这种

4、信赖不仅仅存在于操作系统中的一部分,而是在整个核心区域(例如,各种装置的驱动器)执行。通常情况下内核区域并不能实施自我保护。一旦操作系统中存在着一个安全缺陷,任何能利用这个缺陷的人都可以通过运用适当的应用软件来控制整个机器。建立可以自我保护的核心区域是很困难的,而且自我保护功能通常会给计算机的整体正常运行带来巨大的不良影响,所以核心区域很少这样构造。所以,加强对系统内核的保护非常重要。12.1.1安全模型12.1.2系统的认证安全系统的一项基本功能就是提供认证的功能。这项功能能够确认用户的登录信息是否有效,也就是说此用户是否是系统所允许

5、进入的正确人选。操作系统为保护用户的身份认证提供一些技术,但有别于网络认证。网络认证通过提供网络服务的程序(通过此程序可以平衡操作系统自带的认证机制)来执行安全功能。大多数Unix系统把认证建立在用户名和密码上。系统保留了一个密码数据库(通常保留在文件中或者/etc/passwd)。因为多个用户使用同一个密码进入多台机器是很常见的,所以没有必要让系统的管理员拥有进入用户密码的权限。事实上,数据库中并没有存储真正的密码而是由hash函数计算出的对应密码的暗文。一、Unix系统的认证(1)hashing密码简单地说,一个hash运算就是密码

6、向另一种语言的单项转化。当一个用户想进行密码认证进入一台机器时,用户所输入的密码进行一次与贮存密码时同样的hash运算,如果两个hash值相匹配,系统通过了该用户的认证并允许其进入。Unix系统传统上使用一个基于美国政府的DataEncryptionStandard(DES)的hash运算法则。结果,Unix的系统都执行这种运算法则,它只考虑密码中的前八位字符,而将其它字符遗弃了。这样,理论上攻击者可以在尝试一本包括所有的八个字符的密码的字典后对系统进行一次暴力破解攻击。一、Unix系统的认证这种曾经看似不可能的攻击,在如今硬件速度越来

7、越快并且计算过程分散的条件下,只要攻击者有足够的资源是非常可行的。也许用不上几年,仅仅使用一个普通的个人台式电脑就可以在几天内完成这样的攻击。这就表明我们需要一个不能忽视额外信息的密码保护方案。事实上,最近一些Unix的系统已经开始转向对MD5hash功能的研究了,这种功能允许使用任意长度的密码。一、Unix系统的认证(2)存储密码当然,一些安全问题是与存储密码的数据库有关的。当一种系统使用Unix的标准网络文件系统(NFS)来维持其密码数据库时,围绕认证而借此通过控制网络的准入而获得进入个人电脑的许可是困难的但也是可能的。这是由于当密

8、码信息经过网络时,NFS协议不能提供足够的保护。一个聪明的攻击者可以从NFS服务器中复制回应的信息,即使使用一个无效的密码也能够进入电脑。Unix的额外的安全措施避免攻击者取得通用密码的目录,使得他们不能查

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。