网络安全管理及实用技术第10章操作系统与站点安全管理PPT课件
合集下载
网络安全技术课件PPT课件
THANKS FOR WATCHING
感谢您的观看
《美国计算机欺诈和滥用法》
该法案旨在打击计算机和网络犯罪,保护个人和企业数据安全。
我国网络安全法律法规
要点一
《中华人民共和国网络安全法》
该法规定了网络基础设施、网络信息、网络安全的保护要 求,以及相关法律责任。
要点二
《中华人民共和国计算机信息网 络国际联网管理暂行规定》
该规定规范了计算机信息网络的国际联网行为,保障网络 安全。
定期对网络系统进行安全审计和监控,及时 发现和处置安全威胁。
安全培训与意识提升
加强员工的安全意识和操作技能,预防内部 威胁的发生。
02 网络安全技术基础
加密技术
加密技术概述
加密技术是网络安全的核心,通 过将明文数据转换为难以理解的 密文,保护数据的机密性和完整
性。
加密算法
加密算法分为对称加密和公钥加密 两种,对称加密使用相同的密钥进 行加密和解密,公钥加密使用不同 的密钥进行加密和解密。
防范网络钓鱼
警惕来自不明来源的邮件和链接,避免点击恶意链接或下载可疑附件。
保护个人信息
避免在公共场合透露个人信息,如家庭住址、电话号码等。
04 网络安全法律法规与道德 规范
国际网络安全法律法规
《欧盟网络和信息安全指令》
该指令要求欧盟成员国制定和实施国家网络安全战略,确保关键基础设施和重要信息系统的安全。
加密的应用
加密技术广泛应用于数据传输、存 储和身份认证等领域,如SSL/TLS 协议、WPA2加密等。
防火墙技术
防火墙概述
防火墙类型
防火墙是网络安全的重要组件, 用于隔离内部网络和外部网络, 防止未经授权的访问和数据泄露。
操作系统与网络安全讲义(PPT 40张)
netstat
显示所有连接和监听端口。 显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独 立组件,并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下,可执 行组件名在底部的 [] 中,顶部是其调用的组件,等等,直到 TCP/IP 部分。注意此选项可 能需要很长时间,如果没有足够权限可能失败。 -e 显示以太网统计信息。此选项可以与 -s选项组合使用。 -n 以数字形式显示地址和端口号。 -o 显示与每个连接相关的所属进程 ID。 -p proto 显示 proto 指定的协议的连接;proto 可以是下列协议之一: TCP、UDP、TCPv6 或 UDPv6。如果与 -s 选项一起使用以显示按协议统计信息,proto 可以是下列协议之一:IP 、IPv6 、ICMP、 ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 -r 显示路由表。 -s 显示按协议统计信息。默认地,显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息; -p 选项用于指定默认情况的子集。 -v 与 -b 选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。 Interval 重新显示选定统计信息,每次显示之间暂停时间间隔(以秒计)。按 CTRL+C 停止 重新显示统计信息。如果省略,netstat 显示当前配置信息(只显示一次) -a -b
NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。而Win 2000中的FAT32支持分区的大小最大为 32GB。 NTFS是一个可恢复的文件系统。在NTFS分区上用户很少需要运行磁盘修复程序。NTFS通过使用标准的事务处理日志和 恢复技术来保证分区的一致性。发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。 NTFS支持对分区、文件夹和文件的压缩。任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事 先由其他程序进行解压缩,当对文件进行读取时,文件将自动进行解压缩;文件关闭或保存时会自动对文件进行压缩 。 NTFS采用了更小的簇,可以更有效率地管理磁盘空间。在Win 2000的FAT32文件系统的情况下,分区大小在2GB~8GB时 簇的大小为4KB;分区大小在8GB~16GB时簇的大小为8KB;分区大小在16GB~32GB时,簇的大小则达到了16KB。而Win 2000的NTFS文件系统,当分区的大小在2GB以下时,簇的大小都比相应的FAT32簇小;当分区的大小在2GB以上时(2GB~ 2TB),簇的大小都为4KB。相比之下,NTFS可以比FAT32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费。 在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些 组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权 限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文 件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采用NTFS格式的Win 2000中,应用审核策略可以对 文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文 件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这 种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。 在Win 2000的NTFS文件系统下可以进行磁盘配额管理。磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额 限制,每一用户只能使用最大配额范围内的磁盘空间。设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪 和控制,通过监测可以标识出超过配额报警阈值和配额限制的用户,从而采取相应的措施。磁盘配额管理功能的提供 ,使得管理员可以方便合理地为用户分配存储资源,避免由于磁盘空间使用的失控可能造成的系统崩溃,提高了系统 的安全性。
网络安全培训PPTPPT32页课件
另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统。
5. 盗用密码
计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序。
防火墙的主要功能如下: 过滤不安全服务和非法用户,禁止未授权的用户访问受保护网络。 控制对特殊站点的访问。 提供监视Internet安全和预警的端点。
图8-11
防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:(1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的软件或文件的传输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。
先天性安全漏洞
Internet的前身是APPANET,而APPNET最初是为军事机构服务的,对网络安全的关注较少。 在进行通信时,Internet用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。在Internet上,数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时,并未对其加密。换言之,在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息,则任何人都可轻易解读。
2. 窃取(Spoofing)
会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息。
3. 会话窃夺(Spoofing)
任何操作系统都难免存在漏洞,包括新一代操作系统。操作系统的漏洞大致可分为两部分: 一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。
5. 盗用密码
计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序。
防火墙的主要功能如下: 过滤不安全服务和非法用户,禁止未授权的用户访问受保护网络。 控制对特殊站点的访问。 提供监视Internet安全和预警的端点。
图8-11
防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:(1)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的软件或文件的传输。 (3)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。
先天性安全漏洞
Internet的前身是APPANET,而APPNET最初是为军事机构服务的,对网络安全的关注较少。 在进行通信时,Internet用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。在Internet上,数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时,并未对其加密。换言之,在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息,则任何人都可轻易解读。
2. 窃取(Spoofing)
会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息。
3. 会话窃夺(Spoofing)
任何操作系统都难免存在漏洞,包括新一代操作系统。操作系统的漏洞大致可分为两部分: 一部分是由设计缺陷造成的。包括协议方面的、网络服务方面的、共用程序库方面的等等。
网络安全教育ppt课件图文
01网络安全概述Chapter定义与重要性定义重要性网络安全威胁类型网络攻击网络入侵网络钓鱼恶意软件网络安全法律法规《中华人民共和国网络安全法》《数据安全管理办法》《计算机信息网络国际联网安全保护管理办法》02个人信息安全防护Chapter社交工程攻击恶意软件攻击公共WiFi 风险030201个人信息泄露途径如何保护个人隐私强化密码安全保护个人设备谨慎处理个人信息预防网络诈骗和钓鱼攻击识别钓鱼网站提高警惕性注意检查网站域名、息,确保访问的是正规网站。
保护在线交易安全03密码安全与身份认证Chapter01密码长度至少8位,包含大小写字母、数字和特殊字符020304避免使用生日、姓名等容易被猜到的信息作为密码定期更换密码,避免长时间使用同一密码不要在多个账户上使用相同的密码密码设置原则及技巧多因素身份认证方法动态口令使用手机短信或APP生成动态口令,增加登录安全性生物特征识别利用指纹、面部识别等生物特征进行身份验证智能卡或USB Key通过硬件设备进行身份验证,提高安全性010204防范恶意软件和广告欺诈安装可靠的杀毒软件和防火墙,定期更新病毒库不要随意下载和安装未知来源的软件和插件对于弹出的广告窗口要保持警惕,不要轻易点击其中的链接或下载附件定期备份重要数据,以防万一受到恶意软件攻击导致数据丢失0304家庭网络安全防护Chapter家庭网络常见风险未经授权的设备连接01弱密码或默认密码02恶意软件感染031 2 3修改默认密码关闭不必要的端口和服务定期更新固件家庭路由器安全设置建议家长如何引导孩子正确使用网络制定家庭网络使用规则01引导孩子正确使用社交媒体02监督孩子的网络活动0305企业网络安全管理策略Chapter部署防火墙在企业网络的出入口部署防火墙,过滤非法访问和恶意攻击,保护企业内部网络的安全。
划分安全区域将企业内部网络划分为不同的安全区域,如核心数据区、应用服务区、用户接入区等,实现不同区域之间的访问控制和安全隔离。
网络安全学习PPT课件
对企业网络进行定期安全审计 和监控,及时发现和解决潜在 的安全风险。
应急响应计划
制定应急响应计划,以便在发 生网络安全事件时能够迅速应
对,降低损失。
个人网络安全实践
密码管理
使用强密码并定期更换密码,避免使 用过于简单或常见的密码。
保护个人信息
谨慎处理个人信息,避免在公共场合 透露敏感信息。
安全软件
DNS
DNS是域名系统(Domain Name System)的缩写,用于将域名转换为IP地址。DNS通过分布式数据库系统, 将域名和IP地址进行映射,使得用户可以通过域名访问互联网上的资源。
加密技术
对称加密
对称加密是指加密和解密使用相同密 钥的加密方式。常见的对称加密算法 有AES、DES等。
非对称加密
个人在网络安全方面的义务和责任。
网络道德规范
1 2
网络道德规范的定义与重要性
阐述网络道德规范的概念,强调其在维护网络秩 序、促进网络文明发展中的重要作用。
网络道德规范的主要内容
介绍网络道德规范的基本原则,如尊重他人、诚 实守信、不传播谣言等。
3
网络道德规范的实践与推广
探讨如何在日常生活中践行网络道德规范,以及 如何通过网络教育和宣传推广网络道德规范。
漏洞与补丁管理
漏洞
漏洞是指计算机系统、网络或应用程序 中存在的安全缺陷或弱点,可能导致未 经授权的访问、数据泄露或其他安全问 题。
VS
补丁管理
补丁管理是指对系统和应用程序中的漏洞 进行修复的过程。及时安装补丁可以减少 安全风险,保护计算机系统和数据安全。
03 网络安全应用技术
虚拟专用网络(VPN)
段来提高无线网络的安全性。
数据备份与恢复
应急响应计划
制定应急响应计划,以便在发 生网络安全事件时能够迅速应
对,降低损失。
个人网络安全实践
密码管理
使用强密码并定期更换密码,避免使 用过于简单或常见的密码。
保护个人信息
谨慎处理个人信息,避免在公共场合 透露敏感信息。
安全软件
DNS
DNS是域名系统(Domain Name System)的缩写,用于将域名转换为IP地址。DNS通过分布式数据库系统, 将域名和IP地址进行映射,使得用户可以通过域名访问互联网上的资源。
加密技术
对称加密
对称加密是指加密和解密使用相同密 钥的加密方式。常见的对称加密算法 有AES、DES等。
非对称加密
个人在网络安全方面的义务和责任。
网络道德规范
1 2
网络道德规范的定义与重要性
阐述网络道德规范的概念,强调其在维护网络秩 序、促进网络文明发展中的重要作用。
网络道德规范的主要内容
介绍网络道德规范的基本原则,如尊重他人、诚 实守信、不传播谣言等。
3
网络道德规范的实践与推广
探讨如何在日常生活中践行网络道德规范,以及 如何通过网络教育和宣传推广网络道德规范。
漏洞与补丁管理
漏洞
漏洞是指计算机系统、网络或应用程序 中存在的安全缺陷或弱点,可能导致未 经授权的访问、数据泄露或其他安全问 题。
VS
补丁管理
补丁管理是指对系统和应用程序中的漏洞 进行修复的过程。及时安装补丁可以减少 安全风险,保护计算机系统和数据安全。
03 网络安全应用技术
虚拟专用网络(VPN)
段来提高无线网络的安全性。
数据备份与恢复
网络安全PPT课件演示
07
CATALOGUE
数据安全与隐私保护
数据加密存储和传输技术
01
对称加密技术
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和
解密。
02
非对称加密技术
又称公钥加密技术,使用一对密钥来分别完成加密和解密操作,其中一
个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。
03
混合加密技术
应急响应计划和演练实施
01
02
03
04
制定应急响应计划
明确应急响应组织、通讯方式 、处置流程等。
资源准备
准备必要的应急响应资源,如 备份数据、安全专家团队等。
演练实施
定期组织应急响应演练,提高 团队应对突发事件的能力。
持续改进
根据演练结果和实际情况,不 断完善应急响应计划,提高应
对效率。
THANKS
密码等。
拒绝服务攻击
通过大量无用的请求拥 塞目标服务器,使其无
法提供正常服务。
漏洞攻击
利用系统或应用程序中 的漏洞,实施非法访问
和数据窃取。
网络安全法律法规
1 2
《中华人民共和国网络安全法》
我国首部全面规范网络空间安全管理的基础性法 律,明确规定了网络运营者、网络产品和服务提 供者等的法律责任和义务。
结合对称加密和非对称加密的优点,先用非对称加密技术对对称密钥进
行加密,再用对称加密技术对明文进行加密。
数据备份和恢复策略
完全备份
备份所有数据,包括操作系统、应用程 序和所有数据文件。
差分备份
备份自上次完全备份以来有变化的数 据。
增量备份
只备份自上次备份以来有变化的数据 。
《网络安全技术资料》第10章 操作系统和站点安全-PPT课件
7
目
录
教学目标
●理解网络操作系统安全面临的威胁及脆弱性 ●掌握网络操作系统安全的概念和措施 ●掌握网络站点安全技术相关概念
重点
重点
●掌握Windows Server2019安全配置实验
10.1 Windows操作系统的安全
10.1.1 Windows系统的安全性
中国自主研发操作系统解决安全问题。中国科学院软件研究所与 上海联彤网络通讯技术有限公司在北京钓鱼台国宾馆联合发布了具有自主知识产 权的操作系统COS(China Operating System)。意在打破国外在基础软件领域的 垄断地位,引领并开发具有中国自主知识产权和中国特色的操作系统,更好地解 决有关的安全问题。
4)用户和用户组-账号-安全账号管理器SAM-安全标识符SID 5)身份验证-2种:交互式登录过程,网络身份验证 6)访问控制-2种:自主访问控制,强制访问控制 7)组策略-注册表,组策略
10.1 Windows操作系统的安全
10.1.2 Windows 安全配置
1.设置和管理账户— 运行gpedit.msc
10.1 Windows操作系统的安全
2. Windows 系统安全
1)Windows NT文件系统
NTFS,保护文件和目录数据基础上,安全存取控制及容错.
2)工作组(Workgroup)对等网
数据
3)域(Domain)由网络连接的计算机组群,Win安全-集中管理基本单位.
用户权限 身份验证 访问控制
1.UNIX安全基础
UNIX系统不仅因为其精炼、高效的内核和丰富的核外 程序而著称,而且在防止非授权访问和防止信息泄密方面也 很成功。UNIX系统设置了3道安全屏障用于防止非授权访问 。首先,必须通过口令认证,确认用户身份合法后才能允许 访问系统;但是,对系统内任何资源的访问还必须越过第2 道屏障,即必须获得相应访问权限;对系统中的重要信息, UNIX系统提供第3道屏障:
网络安全技术培训教程PPT(50页)
统的数据进行完全的备份。 2.增量备份
增量备份是针对完全备份,在进行增量备份, 只有那些在上次完全或者增量备份后被修改了的 文件才会被备份。 3.差异备份
差异备份是将最近一次完全备份后产生的所有 数据更新进行备份。差异备份将完全恢复时所涉 及到的备份文件数量限制为2 个。
表10-1 三种备份策略的比较
1.基本模型
在网络信息传输中,为了保证信息传输的安全 性,一般需要一个值得信任的第三方,负责向源 结点和目的结点进行秘密信息分发,同时在双方 发生争执时,也要起到仲裁的作用。在基本的安 全模型中,通信的双方在进行信息传输前,先建 立起一条逻辑通道,并提供安全的机制和服务, 来实现在开放网络环境中信息的安全传输。
3.伪造 没有任何信息从源信息结点发出,但攻击者伪
造出信息并冒充源信息结点发出信息,目的结点 将收到这个伪造信息。
4.篡改 信息在传输过程中被截获,攻击者修改其截获
的特定数据包,从而破坏了数据的数据的完整性, 然后再将篡改后的数据包发送到目的结点。在目 的结点的接收者看来,数据似乎是完整没有丢失 的,但其实已经被恶意篡改过。
10.2 数据备份
10.2.1 数据备份模型 B2级是结构化安全保护级。
(2)基于网络的入侵检测系统 与普通病毒相比,而蠕虫不使用驻留文件即可在系统之间进行自我复制,它的传染目标是互联网内的所有计算机。
1.物理备份 表10-2 密钥位数与尝试密钥的个数
计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快蔓延开来,很难根除。 对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的,或者是有些不同,但同其中一个可以很容易地推导出另一个。
(4)响应(Response)
10.3 加密技术
增量备份是针对完全备份,在进行增量备份, 只有那些在上次完全或者增量备份后被修改了的 文件才会被备份。 3.差异备份
差异备份是将最近一次完全备份后产生的所有 数据更新进行备份。差异备份将完全恢复时所涉 及到的备份文件数量限制为2 个。
表10-1 三种备份策略的比较
1.基本模型
在网络信息传输中,为了保证信息传输的安全 性,一般需要一个值得信任的第三方,负责向源 结点和目的结点进行秘密信息分发,同时在双方 发生争执时,也要起到仲裁的作用。在基本的安 全模型中,通信的双方在进行信息传输前,先建 立起一条逻辑通道,并提供安全的机制和服务, 来实现在开放网络环境中信息的安全传输。
3.伪造 没有任何信息从源信息结点发出,但攻击者伪
造出信息并冒充源信息结点发出信息,目的结点 将收到这个伪造信息。
4.篡改 信息在传输过程中被截获,攻击者修改其截获
的特定数据包,从而破坏了数据的数据的完整性, 然后再将篡改后的数据包发送到目的结点。在目 的结点的接收者看来,数据似乎是完整没有丢失 的,但其实已经被恶意篡改过。
10.2 数据备份
10.2.1 数据备份模型 B2级是结构化安全保护级。
(2)基于网络的入侵检测系统 与普通病毒相比,而蠕虫不使用驻留文件即可在系统之间进行自我复制,它的传染目标是互联网内的所有计算机。
1.物理备份 表10-2 密钥位数与尝试密钥的个数
计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快蔓延开来,很难根除。 对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的,或者是有些不同,但同其中一个可以很容易地推导出另一个。
(4)响应(Response)
10.3 加密技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10.1 Windows操作系统的安全管理
(2)基于对象的访问控制
访问控制是在身份认证的基础上,按照授权对用户、组等提出
访问计算机或网络对象等资源的请求加以控制,包括三方面因素:
权限、用户权利和对象审查。
1)权限:规定用户或组对某个对象的访问类型,包括文件权限
、共享权限、服务权限、管理连接权限等。
2)用户权利:定义了计算环境中用户和组特定的权利。
3)对象审查:审核用户访问对象的情况。
Windows Server 2003默认权限比以前版本更符合最小特权原则, 并在内置Everyone组中不再包括Anonymous组成员。管理员可以根 据需要设置权限和用户权利,使用访问控制列表来有效地限制、分 割用户访问对象的权限。
Windows Server 2003对许多组件进行了重新设计,改善了原有
系统中的漏洞,而且形成Windows Server 2003中的安全特色。
(1)Internet Information Services(IIS)6.0
允许应用程序或Web Services的工作程序以较低权限的使用者账 户来执行,以此限制网络存取方法,降低潜在的攻击。
目录
本章要点
● Windows系统的安全性和安全配置
● UNIX/Linux系统的安全性和安全配置
● Web站点的安全和安全策略
● 系统和信息恢复
● Windows Server2008安全配置与恢复
教学目标
重点
● 掌握Windows操作系统的安全,熟悉其安全配置
● 了解UNIX操作系统的安全性和安全配置
通常,在讨论操作系统的安全性时,从具体操作系统的版 本出发或从某类操作系统的共性出发。
为了保证通用性和易用性,Windows操作系统很多默认设置 都不够安全。同时,不管多安全的操作系统,都可能由于改变设 置或者错误的使用习惯而导致系统不再安全。
1.安全机制
(1)身份验证 当前主流Windows服务器操作系统一般都支持用户名/口令、智能卡 身份验证以及单点登录等多种身份验证方式。
(8)Internet协议安全性
Internet协议安全性(如IPSec)是一种开放标准框架结构,通
过使用加密的安全服务确保在IP网络上进行保密而安全的通讯。
10.1 Windows操作系统的安全管理
2.安全性改进
从技术角度来看, Windows Server 2003在安全方面进行了许多
创新设计,增加新的安全认证,改进安全算法。
10.1 Windows操作系统的安全管理
智能卡在用户登录中提供双因子身份验证功能,增强系统安全性。 单点登录是一种身份验证方式,当用户使用口令或智能卡登录到域
后,同时完成向域中所有计算机的身份验证。
Windows Server 2003在身份验证方面支持智能卡登录和单点 登录,并且支持多种身份验证协议。
10.1 Windows操作系统的安全管理
(3)审核策略
审核跟踪是一种事后安全机制,通过审核对象的行为状况来追
查潜在安全问题,并在出现攻击事件后提供相关证据。
基于操作的审核是Windows Server 2003开始才有的功能。之前 版本可以从对象访问审核中获得相关信息,但是不够详细。而 Windows Server 2003可以审核特定的操作,例如“写”以及对象访 问。当在文件上启动访问审核时,基于对象和操作的审核同时启动 ,对象访问事件和“写”操作被一起记录到日志中。
(4)软件限制策略
软件限制策略可以对未知或不被信任的软件进行控制。
软件限制策略是在默认安全级别之外做出一些特殊规定,即通
过为特定软件创建规则做出例外安排。
10.1 Windows操作系统的安全管理
(5)加密文件系统
提供一种核心文件加密技术,并在NTFS(New Technology )文
件系统中存储已加密的文件。
1)Kerberos V5,与口令或智能卡一起使用的用于交互式登录 的协议,也是网络身份验证的默认方法;
2)SSL/TLS,用户尝试访问安全Web服务器时使用的协议; 3)NTLM,客户端或服务器使用早期Windows版本时使用的协 议; 4)摘要式身份验证,将凭据作为哈希或摘要在网络上传递; 5)Passport身份验证,提供单点登录服务的身份验证服务。
(6)安全策略
Windows为了建立安全防护体系,提供多种安全策略,如控制
密码策略、账户锁定策略、Kerberos策略、审核策略、用户权限策
略以及其它策略。
(7)公钥基础设施
公钥基础设施是综合数字证书、证书颁发机构、注册机构以及
相关支撑设施的系统,用于验证使用公钥加密进行信息交换时各交
互方的有效性。
全国高校管理与工程类 学科系列规划教材
教育部高校管理与工程教学指导委 员会、机械工业出版社
第10章 操作系统与站点安全管理
目录
1 10.1 Windows操作系统的安全管理 2 10.2 UNIX操作系统的安全管理 3 10.3 Linux操作系统的安全管理 4 10.4 Web站点的安全管理 5 10.5 系统的恢复 6 10.6 Windows Server 2008安全配置与恢复 7 10.7 本章小结
(2)Common Language Runtime(CLR)
CLR提高了可靠性并有助于保证计算环境的安全,降低错误数 量,并减少由常见编程错误引起的安全漏洞。
此外,Windows Server 2003还有其它安全特性,如内置Internet
连接防火墙(Internet Connection Firewall,ICF),为网络服务器
提供了基本的端口安全性。
10.1 Windows操作系统的安全管理
3.不安全因素
(1)漏洞的安全问题
Windows Server 2003系统存在安全漏洞。例如,系统提供的 RPC服务在通过TCP/IP处理信息交换时,存在远程堆缓冲区溢出问 题。
ห้องสมุดไป่ตู้
● 掌握Linux操作系统的安全性和安全重配点置
● 掌握Web站点的安全和安全策略
● 了解系统和信息恢复,掌握系统恢复的过程
10.1 Windows操作系统的安全管理
10.1.1 Windows系统的安全性
操作系统的安全性包括多方面:基本安全、网络安全和协 议、应用协议、发布与操作、确信度、可信计算、开放标准等。