《网络操作系统中的安全体系.docx》由会员分享,可在线阅读,更多相关《网络操作系统中的安全体系.docx(6页珍藏版)》请在三一文库上搜索。
1、网络操作系统中的安全体系12020 年 5 月 29 日文档仅供参考15.1网络操作系统中的安全体系为了实现网络安全特性的要求,计算机网络中常见的安全技术有 :主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。在实现网络安全系统时 ,一般需要先对保护的网络进行深入的分析 ,然后 ,选择和使用适合该网络的一种或几种安全技术。每一种网络操作系统 ,一般是按一定的安全目标进行设计,因此 ,都采用了一些安全策略,并使用了一些常见的安全技术。下面以Windows NT 为例进行简单地讨论,由于 ,这些讨论具有普遍性,因此 ,也适用于其它的网络操作系统。15.1.
2、1Windows NT 4.0的安全概述1. Windows NT 中的对象对象是NT 操作系统中的基本元素。对象能够是文件、目录、存储器、驱动器、系统程序或Windows 中的桌面等。2. Windows NT 4.0 的安全性设计目标在设计Windows NT 结构的时候 ,微软把目标定位于一个具有各种内在安全功能的强大而坚实的网络操作系统。3. 使用 Windows NT 的实现网络安全策略Windows NT 4.0 的安全结构由3 个基本安全子系统的模块组成,即身份认证、信任确定和审计跟踪。对于每一个机构,任何操作22020 年 5 月 29 日文档仅供参考系统的安全机制都不是自动生
3、成的,因此 ,在使用Windows NT 之前必须先制定它们的安全策略。这些策略需要进行详细地说明,在明确了该机构对访问控制信息的保护及审核方面的具体要求之后,还需要对所制定的安全策略进行正确地配置,并实现了对象的访问控制之后 ,才能说用 NT 构建一个高度安全地系统。由此可见 ,只有将企业的安全策略和 Windows NT 底层的安全机制有机地结合起来 , 才能充分发挥 Windows NT 的各项安全特性。4. Windows NT 的安全机制微软的Windows NT Server 提供了安全管理的功能,以及在企业级网络中实现和管理这些功能的工具。 Windows NT 的安全子系统有
4、: 本地安全权威、安全账户管理、安全访问监督等。 Windows NT 提供的安全机制有 :登录过程控制、存取控制、存取标识和存取控制列表等。5. Windows NT 的安全模型Windows NT 的安全模型影响着整个操作系统,由于 ,对象的访问必须经过一个核心区域的验证,因此 ,在 NT 中未经授权的申请者和用户是不能访问对象的。Windows NT 的安全模型由本地安全权限、安全账户管理器和安全参考监视器等几个主要部分组成,而且包括登录入网处理、访问控制和对象安全服务等部分。上述这些部分构成了NT 的安全基础 ,也称为安全层次。32020 年 5 月 29 日文档仅供参考15.1.2W
5、indows NT网络安全子系统的实现Windows NT 的安全系统应当由3 个策略环节构成:即身份识别系统、资源访问权限控制系统和安全审计系统。( 1) 满足 C2 安全等级的 NT 必须做到的几项工作 拥有对系统的非网络访问权限。去除或禁止使用软盘驱动器。更加严格地控制对标准系统文件的访问。( 2) Windows NT 中 C2 安全等级的标准特征 可自由决定的访问控制。允许管理员或用户定义自己所拥有的对象的访问控制。 禁止对象的重用。主要表现在两个方面。第一,当内存被一个程序释放后 ,不再允许对它的读访问。第二,当对象被删除 ,即对象所在的磁盘空间已被重新分配时,也不允许用户对对象进
6、行再次的访问。 身份的确认和验证。在系统进行任何访问之前,用户必须先确认自己的身份,包括输入用户名、口令、域和组等信息的验证。 审核。应当创立并维护用户对对象的访问记录,并防止她人更改此记录。必须严格地规定,只有管理员才能够访问系统的审核信息。42020 年 5 月 29 日文档仅供参考15.1.2.1Windows NT网络的登录和身份认证机制Windows NT 处理各种服务请求,是建立在授权许可的基础上,因此 ,必须先经过用户的登录和访问权限的验证 ,此后还需要对用户的访问权限进行限制。其验证过程分为以下几个部分。1. Windows NT 网络的登录机制和账户管理Windows NT
7、网络登录时 ,要求用户使用唯一的用户名和口令登录到计算机上 ,这种登录过程是不能关闭的 ,因此 ,称为强制性的登录。( 1) 登录机制登录过程任何一台NT 计算机都使用”Ctrl+Alt+Del ”三个健的组合进行强制登录 ,登录过程包括输入的用户名和密码的登录验证过程。登录的类型登录的类型分为交互登录和远程登录两种。交互登录 :使用本地的安全账户管理(SAM,SecurityReferenceMonitor) 进行身份认证。当用户选择了本地SAM, 则登录时 ,不会发生域内的身份验证,所有的身份认证均在本地,并能够针对本地资源进行访问。远程登录 : 当用户在一个域中的计算机上登录到一个服务器时 ,就会发生远程登录 ,也叫做”域 SAM ”,此时 ,用户的身份认证会传递到”域”的控制器上去完成。52020 年 5 月 29 日