計算機安全技術概論課件

1、計算機安全技術概論,信息安全概論 主講人: 二0一0,計算機安全技術概論,第一章計算機安全概論 第二章實體及硬件安全技術 第三章計算機軟件安全技術 第四章操作系統(tǒng)安全基礎 第五章密碼技術 第六章數(shù)據庫系統(tǒng)安全 第七章計算機病毒及防范 第八章網絡安全技術 第九章防火墻技術 第十章黑客攻擊與防范,目 錄,計算機安全技術概論,第1章 計算機安全概論,1.1 計算機安全研究的重要性 1.2 計算機系統(tǒng)的安全技術 1.3 計算機系統(tǒng)安全評估 1.4 計算機安全法規(guī) 1.5 計算機安全技術的發(fā)展方向與市場分析,3,計算機安全技術概論,本章學習目標,1）掌握計算機系統(tǒng)安全的基本概念，明確計算機系統(tǒng)安全的重要

2、性和計算機系統(tǒng)所面臨的威脅及脆弱的根源。 （2）掌握計算機系統(tǒng)安全的主要技術。 （3）明確計算機系統(tǒng)安全評估的重要性，理解可信計算機系統(tǒng)評估標準。 （4）了解我國計算機信息系統(tǒng)的主要安全法規(guī)。 （5）了解計算機安全技術的發(fā)展趨勢,4,計算機安全技術概論,1.1 計算機安全研究的重要性,1.1.1計算機信息系統(tǒng)面臨的威脅 1.計算機信息系統(tǒng)概念 計算機信息系統(tǒng)安全保護等級劃分準則：計算機信息系統(tǒng)是指“由計算機及其相關的和配套設備、設施（含網絡）構成的，按照一定的應用和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng),計算機安全技術概論,2.計算機信息系統(tǒng)面臨的攻擊和威脅,1）對實體的攻

3、擊和威脅 計算機本身和外部設備乃至網絡和通信線路面臨各種風險，如各種自然災害、人為破壞、操作失誤、設備故障、電磁干擾、被盜和各種不同類型的不安全因素所致的物質財產損失、數(shù)據資料損失等,計算機安全技術概論,2）對信息的威脅與攻擊,信息泄露 即故意或偶然地偵收、截獲、竊取、分析和收到系統(tǒng)中的信息，特別是機密或敏感的信息，造成泄密事件。 信息破壞 信息破壞是指由于偶然或人為因素破壞信息的機密性、完整性、可用性及真實性,計算機安全技術概論,1）計算機犯罪種類,3.計算機犯罪,網上金融盜竊。 竊用計算機系統(tǒng)，散布破壞性病毒、邏輯炸彈或者放置后門程序犯罪，蓄意破壞。 入侵、偷窺、復制、更改或者刪除計算機信

4、息犯罪。 網絡詐騙、教唆犯罪。 網絡侮辱、誹謗與恐嚇犯罪。 網絡色情傳播犯罪,計算機安全技術概論,2）計算機犯罪特點 作案手段智能化、隱蔽性強 犯罪侵害的目標較集中 偵查取證困難，破案難度大 犯罪后果嚴重，社會危害性大,計算機安全技術概論,4.計算機病毒 1984年，美國人Thompson開發(fā)出了針對UNIX操作系統(tǒng)的病毒程序。 1988年11月2日晚，美國康爾大學研究生羅特莫里斯將計算機病毒蠕蟲投放到網絡中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯(lián)網的計算機都受到影響，直接經濟損失近億美元。 在我國，80年代開始，有關計算機病毒問題的研究和防范已成為計算機安全方面的重大課題,計算

5、機安全技術概論,1.1.2 計算機系統(tǒng)的脆弱性,1.操作系統(tǒng)的脆弱性 （1）體系結構不安全 （2）進程管理機制中的缺陷 （3）操作系統(tǒng)提供的RPC服務和安排的漏洞 （4）常用操作系統(tǒng)的不穩(wěn)定性和不安全性 （5）為操作系統(tǒng)開發(fā)人員提供的無口令入口 （5）操作系統(tǒng)提供Debug與Wizard給黑客可乘之機,計算機安全技術概論,2.網絡安全的脆弱性,1）漏洞和后門 （2）電磁輻射 （3）線路竊聽 （4）串音干擾 （5）硬件故障 （6）軟件故障 （7）網絡規(guī)模 （8）通信系統(tǒng),計算機安全技術概論,3.數(shù)據庫安全的脆弱性,1）用戶權限 （2）數(shù)據共享 （3）數(shù)據更新 （4）數(shù)據庫完整性 （5）數(shù)據庫管理

6、系統(tǒng)的安全等級,4.防火墻的脆弱性 （1）不能防范來自網絡內部的攻擊和威脅 （2）不能防范繞過防火墻的攻擊和威脅 （3）不能阻止感染病毒文件的傳輸,計算機安全技術概論,5. 研究信息安全的社會意義,1）信息安全與政治 （2）信息安全與經濟 （3）信息安全與軍事 （4）信息安全與國家安全,美國著名未來學家阿爾溫托爾勒說過“誰掌握了信息，控制了網絡，誰將擁有整個世界,計算機安全技術概論,1.2 計算機系統(tǒng)的安全技術,國際標準化組織（ISO）將“計算機安全”定義為：“為數(shù)據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的

7、定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護,1.2.1 計算機系統(tǒng)安全,1.計算機安全定義,計算機安全技術概論,2.計算機安全涉及的方面 （1）物理安全（Physical Security）：保護計算機設備、設施（含網絡）以及其他媒免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施、過程。 （2）運行安全（Operation Security）：為了保證系統(tǒng)功能，提供一套安全措施（如：風險分析、審計跟蹤、備份與恢復、應急等）來保護信息處理過程的安全。 （3）信息安全（Information S

8、ecurity）：防止信息財產被故意地或偶然地非授權泄露、更改、破壞或使信息被非法的系統(tǒng)辨識、控制,計算機安全技術概論,1.2.2 計算機系統(tǒng)的安全技術,1. 實體硬件安全：主要是指為保證計算機設備和通信線路及設施（建筑物等）的安全,3. 數(shù)據安全 ：指為保證計算機系統(tǒng)中數(shù)據庫（或數(shù)據文件）免遭破壞、修改、泄露和竊取等威脅和攻擊而采用的技術方法,2. 軟件安全：主要是指保證計算機系統(tǒng)中的軟件（如操作系統(tǒng)、數(shù)據庫系統(tǒng)或應用程序）免遭破壞、非法拷貝、非法使用而采用的技術和方法,計算機安全技術概論,4. 網絡安全：指為保證網絡及其節(jié)點安全而采用的技術和方法,5. 病毒防治：包括計算機病毒預防、計算機

9、病毒檢測、計算機病毒清除、計算機病毒免疫,6. 防范計算機犯罪：通過一定的社會規(guī)范、法律和技術方法等，杜絕計算機犯罪的發(fā)生，并在計算機犯罪發(fā)生以后，跟蹤或偵查犯罪行為，及時制裁和打擊犯罪分子,本學期課程涉及到的主要信息安全技術如圖1-1所示,計算機安全技術概論,圖1-1 計算機信息系統(tǒng)安全技術,計算機安全技術概論,1.3 計算機安全評估,安全評估服務：是指依據國家有關信息安全技術標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程，它主要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響，估計每種攻擊的代價，估算出可

10、能的應付措施的費用，選擇恰當?shù)陌踩珯C制,1.3.1 計算機安全評估的重要性,計算機安全技術概論,20世紀70年代，美國國防部就已經發(fā)布了諸如“自動數(shù)據處理系統(tǒng)安全要求”等一系列的安全評估標準。1983年又發(fā)布了“可信計算機評價標準”，即所謂的桔皮書、黃皮書、紅皮書和綠皮書。并于1985年對此標準進行了修訂。 我國從20世紀80年代開始，本著積極采用國際標準的原則，轉化了一批國際信息安全基礎技術標準，有關的信息安全標準如：計算機信息系統(tǒng)安全專用產品分類原則、計算機信息系統(tǒng)安全保護等級劃分準則、商用密碼管理條理、中華人民共和國計算機信息系統(tǒng)安全保護條理等,1.3.2 計算機系統(tǒng)的安全標準,計算機安

11、全技術概論,常見的計算機系統(tǒng)安全等級的劃分有兩種： 一種是依據美國國防部發(fā)表的評估計算機系統(tǒng)安全等級的橙皮書，將計算機安全等級劃分為四類八級，即A2、A1、B3、B2、B1、C2、C1、D級。等級劃分內容如表1-1所示。 另一種是依據我國頒布的計算機信息系統(tǒng)安全保護等級劃分準則(GB17859_1999)，將計算機安全等級劃分為五級,1.3.3 計算機系統(tǒng)的安全等級,計算機安全技術概論,表1.1可信計算機系統(tǒng)評價準則及等級,計算機安全技術概論,中華人民共和國計算機信息系統(tǒng)安全保護條例第六條規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全保護工作?！辈⒁缘谑邨l、第十八條和第十九條規(guī)定了公安機關行使計算

12、機安全監(jiān)察的職權。明確了計算機信息系統(tǒng)安全監(jiān)督檢查的總體目標。了解中華人民共和國計算機信息系統(tǒng)安全保護條例 可單擊鏈接,1.4 計算機安全法規(guī),計算機安全技術概論,我國計算機安全法規(guī)主要有： 計算機軟件保護條例、中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定、中華人民共和國計算機信息網絡國際聯(lián)網管理暫行規(guī)定實施辦法、中國公用計算機Internet國際聯(lián)網管理辦法、計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定、商用密碼管理條例、計算機病毒防治管理辦法、計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法、電子出版物管理規(guī)定等,計算機安全技術概論,1.5 計算機安全技

13、術的發(fā)展方向,1.密碼技術 2.安全操作系統(tǒng)技術現(xiàn)狀及發(fā)展趨勢 3.網絡隔離技術現(xiàn)狀和發(fā)展趨勢 4.網絡行為安全監(jiān)管技術現(xiàn)狀和發(fā)展趨勢 5.容災與應急處理技術現(xiàn)狀和發(fā)展趨勢 6.身份認證技術現(xiàn)狀和發(fā)展趨勢7.可信計算技術現(xiàn)狀和發(fā)展趨勢,計算機安全技術概論,作業(yè),1.簡述計算機系統(tǒng)面臨的安全威脅。 2.試歸納網絡本身存在的安全缺陷。 3.計算機系統(tǒng)安全的重要性體現(xiàn)在哪些方面。 4.試分析計算機安全技術研究的6大內容。 5.計算機安全技術有哪些發(fā)展方向,計算機安全技術概論,第2章實體安全與硬件防護技術,2.1 計算機房安全的環(huán)境條件 2.2 實體及硬件的安全防護 2.3 計算機硬件的檢測與維修,計

14、算機安全技術概論,本章學習目標,1）了解實體安全的定義、目的和內容。 （2）掌握計算機房場地環(huán)境的安全要求。包括機房建筑和結構要求、三度要求、防靜電措施、供電要求、接地與防雷、防火、防水等的技術、方法與措施。 （3）理解電磁防護和硬件防護的基本方法。 （4）掌握硬件故障診斷和排除的方法,計算機安全技術概論,2.1實體安全技術概述,1.實體安全概念 實體安全（Physical Security）又叫物理安全，是保護計算機設備、設施（含網絡）免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程,2.影響實體安全的主要因素,1）計算機及其網絡系統(tǒng)自身存在的脆弱性因素。 （2）

15、各種自然災害導致的安全問題。 （3）由于人為的錯誤操作及各種計算機犯罪導致的安全問題,計算機安全技術概論,3.實體安全的內容,1）環(huán)境安全 （2）物理隔離 （3）電磁防護 （4）安全管理,計算機安全技術概論,2.2計算機房安全的環(huán)境條件,2.2.1計算機房場地環(huán)境選擇 2.2.2 計算機房內的環(huán)境條件要求,計算機安全技術概論,2.2.1計算機房場地的安全要求,機房建筑和結構從安全的角度，還應該考慮： （1）電梯和樓梯不能直接進入機房。 （2）建筑物周圍應有足夠亮度的照明設施和防止非法進入的設施。 （3）外部容易接近的進出口，而周邊應有物理屏障和監(jiān)視報警系統(tǒng)，窗口應采取防范措施，必要時安裝自動報

16、警設備。 （4）機房進出口須設置應急電話。 （5）機房供電系統(tǒng)應將動力照明用電與計算機系統(tǒng)供電線路分開，機房及疏散通道應配備應急照明裝置。 （6）計算機中心周圍100m內不能有危險建筑物。 （7）進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。 （8）照明應達到規(guī)定標準等,計算機安全技術概論,2.2.2計算機房內環(huán)境條件要求,1.溫度 2.濕度 3.潔凈度 4.腐蝕性氣體 5.靜電 6.振動與噪聲 7.電源 8.照明,計算機安全技術概論,溫度：機房溫度一般應控制在1822，即（202）。溫度過低會導致硬盤無法啟動，過高會使元器件性能發(fā)生變化，耐壓降低，導致不能工作。 濕度：相對濕度過

17、高會使電氣部分絕緣性降低，加速金屬器件的腐蝕，引起絕緣性能下降；而相對濕度過低、過于干燥會導致計算機中某些器件龜裂，印刷電路板變形，特別是靜電感應增加，使計算機內信息丟失、損壞芯片，對計算機帶來嚴重危害。機房內的相對濕度一般控制在40%60為好，即（5010,計算機安全技術概論,潔凈度：清潔度要求機房塵埃顆粒直徑小于0.5，平均每升空氣含塵量小于1萬顆。灰塵會造成接插件的接觸不良、發(fā)熱元件的散熱效率降低、絕緣破壞，甚至造成擊穿；灰塵還會增加機械磨損，尤其對驅動器和盤片。 靜電：是由物體間的相互磨擦、接觸而產生的。靜電放電時發(fā)生火花，造成火災或損壞芯片。機房內避免使用掛毯、地毯等吸塵、容易產生靜

18、電的材料。 電源：有六類電源線干擾：中斷、異常中斷、電壓瞬變、沖擊、噪聲、突然失效事件。電源保護裝置有濾波器、電壓調整變壓器（VRT）和不間斷電源（UPS）等,計算機安全技術概論,防雷措施：機房的外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條通道。 照明：計算機機房照明的好壞不僅會影響計算機操作人員和軟、硬件維修人員的工作效率和身心健康，而且還會影響到電子機房的可靠運行。機房照明分為自然采光和人工采光2種形式。主機房內在離地面0.8m處，照度不應低于3001x；輔助機房內照度不應低于1501x；應急照明應大于301x；緊急出口標志燈、疏散指示燈照度應大于5lx,計算機安

19、全技術概論,2.3實體及硬件的安全防護,2.3.1 三防措施 2.3.2 電磁防護 2.3.3 存儲媒體的訪問控制,計算機安全技術概論,2.3.1 三防措施,1.防火 2.防水 3.防盜,計算機安全技術概論,隔離：建筑內的計算機房四周應設計一個隔離帶，以使外部的火災至少可隔離一個小時。 火災報警系統(tǒng)：在火災初期就能檢測到并及時發(fā)出警報?；馂膱缶到y(tǒng)按傳感器的不同，分為煙報警和溫度報警兩種類型。 滅火設施 ：滅火工具及輔助設備。 管理措施：機房應有防盜管理制度、應急計劃及相關制度，要嚴格執(zhí)行計算機房環(huán)境和設備維護的各項規(guī)章制度，加強對隱患部位的檢查,計算機安全技術概論,電磁輻射越來越強，其主要危

20、害有：干擾廣播、電視、通信信號的接收； 干擾電子儀器、設備的正常工作，可能造成信息失誤、控制失靈等事故；可能引燃一些易燃易爆物質，引起爆炸和火災；較強的電磁輻射對人體的健康有很大的影響,2.3.2電磁防護,計算機安全技術概論,1電磁干擾和電磁兼容 電磁干擾(EMI) 是干擾電纜信號并降低信號完好性的電子噪音。 電磁干擾可通過電磁輻射和傳導兩條途徑影響設備的工作。 電磁兼容設計的目的是解決電路之間的相互干擾，防止電子設備產生過強的電磁發(fā)射，防止電子設備對外界干擾過度敏感。 我國電子兼容標準包括兩個方面：一時限制設備對外界產生的電磁干擾；而是要求設備不能對來自外界的電磁干擾過度敏感,計算機安全技術

21、概論,2.電磁泄漏,主要有輻射泄漏和傳導泄漏2中方式： 輻射泄漏：以電磁波的形式輻射出去。由計算機內部的各種傳輸線、設備外殼、外殼上的孔縫。 傳導泄漏：通過各種線路和金屬管傳導出去。例如，電源線，機房內的電話線，上、下水管道和暖氣管道，地線等媒介,計算機安全技術概論,3電磁防護的措施 目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護 ，為提高電子設備的抗干擾能力，除在芯片、部件上提高抗干擾能力外，主要的措施有屏蔽、隔離、濾波、隔離、接地、干擾等。其中屏蔽是應用最多的方法,計算機安全技術概論,2.3

22、.3 存儲媒體的訪問控制 計算機系統(tǒng)中的大量信息都存儲在某種媒體上，如磁盤、磁帶、半導體、光盤、打印紙等。為了防止對信息的破壞、篡改、盜竊等事件的發(fā)生，就必須對存儲媒體進行保護和管理，嚴格其訪問控制。 1.身份識別 ：身份識別的目的是確定系統(tǒng)的訪問者是否是合法用戶，一般包含“識別”和“驗證”兩個方面,圖2-1 建立計算機賬戶,計算機安全技術概論,2.控制訪問權限 ：系統(tǒng)要確定用戶對資源(比如 CPU 、內存、 I/O 設備、計算機終端等)的訪問權限，并賦予用戶不同的權限等級，如工作站用戶、超級用戶、系統(tǒng)管理員等。一般來說，用戶的權限等級是在注冊時賦予的,圖2-2 用戶權限設置,計算機安全技術概

23、論,3.管理措施 ：存儲媒體安全管理的目標是：保證系統(tǒng)在有充分保護的安全環(huán)境中運行，由可靠的操作人員按規(guī)范使用計算機系統(tǒng)，系統(tǒng)符合安全標準。管理應緊緊圍繞信息的輸入、存儲、處理和交換這個過程來進行。 除此之外，還應該健全機構和崗位責任制，完善安全管理的規(guī)章制度，加強對技術、業(yè)務、管理人員的法制教育、職業(yè)道德教育，增加安全保密和風險防范意識，以實現(xiàn)科學化、規(guī)范化的安全管理,計算機安全技術概論,2.4 計算機硬件的檢測與維修,在計算機系統(tǒng)的故障現(xiàn)象中，硬件的故障占到了很大的比例。正確的分析故障原因，快速的排除故障，可以避免不必要的故障檢索工作，使系統(tǒng)得以正常運行。 計算機硬件故障是指由于計算機硬件

24、損壞、品質不良、安裝、設置不正確或接觸不良等而引起的故障。其原因多種多樣 ： （1）工藝問題引起的故障 （2）元器件損壞引起的故障 （3）干擾或噪聲引起的故障 （4）設計上造成的故障 （5）人為故障（計算機假故障,計算機安全技術概論,1.硬件故障的檢測步驟及原則 （1）檢測的基本步驟通常是由大到小、由粗到細。 （2）檢測的原則 ： 先靜后動 先外后內 先輔后主 先電源后負載 先一般后特殊 先簡單后復雜 先主要后次要,顯示器無信號,計算機安全技術概論,2.硬件故障的診斷和排除 要排除硬件故障，最主要的是要設法找到產生故障的原因。一旦找到原因，排除故障就很容易了。一些尋找故障原因常用的方法： （1

25、）清潔法 （2）直接觀察法 （3）拔插法 （4）交換法 （5）比較法 （6）振動敲擊法 （7）升溫降溫法 （8）程序測試法,計算機安全技術概論,故障部件：Cpu: 故障原因,藍色警告窗口，死機,硬件故障的診斷實例,散熱不良 參數(shù)設置錯誤 引腳脫落或失誤 風扇安裝不當,計算機安全技術概論,故障部件：主板 故障原因： 主板組件接觸不良、短路 CMOS電池電量不足 主板電路元件損壞 BIOS受損 設置不當 驅動等,一看，二聽，三聞，四摸,清潔法，觀察法，交換法,顯示器燈亮，但是沒有信號輸出，沒有自檢聲，鍵盤燈亮就滅了，硬盤不能啟動運行,計算機安全技術概論,故障部件：內存 故障原因： 與內存插槽接觸不

26、良 內存條損壞 質量問題 內存與其他器件不兼容,計算機清潔灰塵后，揚聲器出現(xiàn)急促的嘩嘩的聲音，無法啟動,清潔法，金手指，插槽，替換法,計算機安全技術概論,作業(yè),1.簡述計算機實體安全的重要性。 2.實體及硬件的安全防護包括哪幾個方面？ 3.什么叫電磁防護？它有哪些方面的危害？ 4.列舉一些你所知道的身份識別技術。 5.計算機硬件產生故障的原因有哪些？ 6.根據實例，談談你對硬件故障診斷和排除方法的理解和應用,計算機安全技術概論,第三章計算機軟件安全技術,3.1計算機軟件安全技術概述 3.2軟件分析技術 3.3 常用的軟件保護技術 3.4軟件加殼與脫殼 3.5軟件安全保護建議,計算機安全技術概論

27、,本章學習目標,1）掌握計算機軟件安全的基本概念、內容和軟件安全保護的指導思想。 （2）了解一般采用哪些技術措施來保證計算機軟件的安全。 （3）掌握可執(zhí)行文件的加密方式和加密原理；軟件運行中的反跟蹤技術；常用的防止非法復制軟件的技術；能夠編制具有反跟蹤功能的加密盤,計算機安全技術概論,3.1計算機軟件安全技術概述,1計算機軟件安全概念 2計算機軟件安全的內容 3計算機軟件安全的技術措施 4軟件的本質及特征 5軟件安全保護的指導思想,計算機安全技術概論,1計算機軟件安全的定義,軟件的安全就是為計算機軟件系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機軟件、數(shù)據不因偶然或惡意的原因而遭破壞、更改、

28、顯露、盜版、非法復制，保證軟件系統(tǒng)能正常連續(xù)的運行,計算機安全技術概論,2計算機軟件安全的內容,1）軟件的自身安全 （2）軟件的存儲安全 （3）軟件的通信安全 （4）軟件的使用安全 （5）軟件的運行安全,計算機安全技術概論,3計算機軟件安全的技術措施,必須采取兩個方面的措施： （1）非技術性措施，如制定有關法律、法規(guī)，加強各方面的管理。 （2）技術性措施，如軟件安全的各種防拷貝加密技術、防靜態(tài)分析、防動態(tài)跟蹤技術等,計算機安全技術概論,4軟件的本質及特征,1）軟件是用戶使用計算機的工具 （2）軟件是一種知識產品 （3）軟件是人類社會的財富 （4）軟件可以存儲和移植 （5）軟件是具有巨大威懾力量

29、的武器 （6）軟件具有寄生性,計算機安全技術概論,5軟件安全保護的指導思想,軟件安全保護的指導思想是采用加密、反跟蹤、防非法復制等技術。在軟件系統(tǒng)上或原盤上產生一種信息，這種信息既是軟件系統(tǒng)中各可執(zhí)行文件在運行中必須引用的，又是各種文件復制命令或軟盤復制軟件所無法正確復制、無法正確安裝或無法正確運行的,計算機安全技術概論,3.2 軟件分析技術,3.2.1 靜態(tài)分析技術 從反匯編出來的程序清單上分析，從提示信息入手分析。常用的靜態(tài)分析工具有IDA、W32Dasm和HEW等,圖3-1 反匯編窗口,計算機安全技術概論,3.2.2 動態(tài)分析 在進行軟件的破解、解密以及計算機病毒分析工作中，一個首要的問

30、題是對軟件及病毒進行分析。這些軟件都是機器代碼程序，對于它們分析必須使用靜態(tài)或動態(tài)調試工具，分析跟蹤其匯編代碼,計算機安全技術概論,如靜態(tài)分析找不出線索，就要動態(tài)分析程序，主要原因： （1）許多軟件在整體上完成的功能，一般要分解成若干模塊來完成，而且后一模塊在執(zhí)行時，往往需要使用其前一模塊處理的結果，這一結果我們把它叫中間結果。如果我們只對軟件本身進行靜態(tài)地分析，一般是很難分析出這些中間結果的。另外，在程序的運行過程中，往往會在某一地方出現(xiàn)許多分支和轉移，不同的分支和轉移往往需要不同的條件，而這些條件一般是由運行該分支之前的程序來產生的,計算機安全技術概論,2）有許多軟件在運行時最初執(zhí)行的一段

31、程序需要對該軟件的后面各個模塊進行初始始化工作，而沒有依賴系統(tǒng)的重定位。 （3）有許多加密程序為了阻止非法跟蹤和閱讀，對執(zhí)行代碼的大部分內容進行了加密變換，而只有很短的一段程序是明文。加密程序運行時，采用了逐塊解密，逐塊執(zhí)行和方法，首先運行最初的一段明文程序，該程序在運行過程中，不僅要完成阻止跟蹤的任務，而且還要負責對下一塊密碼進行解密。顯然僅對該軟件的密碼部分進行反匯編，不對該軟件動態(tài)跟蹤分析，是根本不可能進行解密的,計算機安全技術概論,動態(tài)分析步驟,1）對軟件進行粗跟蹤 所謂粗跟蹤，即在跟蹤時要大塊大塊地跟蹤，也就是說每次遇到調用CALL指令、重復操作指令REP.循環(huán)操作LOOP指令以及中

32、斷調用INT指令等，一般不要跟蹤進去，而是根據執(zhí)行結果分析該段程序的功能。 （2）對關鍵部分進行細跟蹤 對軟件進行了一定程度的粗跟蹤之后，便可以獲取軟件中我們所關心的模塊或程序段，這樣就可以針對性地對該模塊進行具體而詳細地跟蹤分析,計算機安全技術概論,3.3常用的軟件保護技術,3.3.1 序列號方式 3.3.2 時間限制 3.3.3 NAG窗口 3.3.4 KeyFile保護 3.3.5 功能限制的程序 3.3.6 CD-check,計算機安全技術概論,軟件驗證序列號的合法性過程就是驗證用戶名和序列號之間的換算關系，即數(shù)學映射關系是否正確的過程。 1以用戶名生成序列號 序列號 = F（用戶名）

33、 2通過注冊碼來驗證用戶名的正確性 序列號F（用戶名） 用戶名F（序列號,3.3.1 序列號保護機制,計算機安全技術概論,3.3.2 時間限制 時間限制程序有兩類，一類是對每次運行程序的時間進行限制，另一類是每次運行時間不限。 要實現(xiàn)時間限制，應用程序中必須有計時器來統(tǒng)計程序運行的時間，在Windows下使用計時器有SetTimer（）、TimeSetEvent（）、 GetTickCount（）、 TimeGetTime（,圖3-2 時光倒流窗口,計算機安全技術概論,3.3.3 警告（NAG）窗口 Nag窗口是軟件設計者用來不斷提醒用戶購買正式版本的窗口。 去除警告窗口最常用的方法是利用資源

34、修改工具來修改程序的資源，將可執(zhí)行文件中的警告窗口的屬性改成透明、不可見，這樣就可以變相去除警告窗口了。 若要完全去除警告窗口，只要找到創(chuàng)建此窗口的代碼，并跳過該代碼的執(zhí)行,計算機安全技術概論,3.3.4 注冊保護 注冊文件（Key File）是一種利用文件來注冊軟件的保護方式。Key File內容是一些加密過或未加密的數(shù)據，其中可能有用戶名、注冊碼等信息。 當用戶向軟件作者付費注冊之后，會收到注冊文件，用戶只要將該文件存入到指定的目錄中，就可以讓軟件成為正式版。 為增加破解難度，可以在KeyFile中加入一些垃圾信息；對于注冊文件的合法性檢查可分散在軟件的不同模塊中進行判斷；對注冊文件內的數(shù)

35、據處理也盡可能采用復雜的算法,計算機安全技術概論,3.3.5 功能限制 這類程序一般是Demo（演示）版： 這類程序一般是Demo（演示）版，功能限制的程序一般分為兩種： 1一種是試用版和正式版的軟件完全分開的兩個版本，正式版只有向軟件作者購買。 2另一種是試用版和注冊版為同一個文件，一旦注冊之后就，用戶可以使用全部功能,計算機安全技術概論,3.3.6 光盤軟件保護 為了能有效地防止光盤盜版，從技術來說要解決三個問題： （1）要防止光盤之間的拷貝； （2）要防止破解和跟蹤加密光盤； （3）要防止光盤與硬盤的拷貝。 目前防止光盤盜版技術有： 1特征碼技術 特征碼技術是通過識別光盤上的特征碼，如S

36、ID（Source Ident-ification Code）來區(qū)分是正版光盤還是盜版光盤,計算機安全技術概論,該特征碼是在光盤壓制生產時自然產生的，而不同的母盤壓制出的特征碼不一樣，光盤上的軟件運行時必須先使用該特征碼。 2非正常導入區(qū) 光盤的導入區(qū)TOC（Track On CD）是用來記錄有關于光盤類型等信息，是由光盤自動產生的，并且光盤無法復制非正常的導入區(qū)。因此，在導入區(qū)內添加重要數(shù)據以供讀盤使用，便能有效地防止光盤之間的非法復制,計算機安全技術概論,3非正常扇區(qū) 對于一般的應用軟件來說，在讀取光盤非正常扇區(qū)數(shù)據的時候，會出現(xiàn)錯誤，無法讀出非正常扇區(qū)數(shù)據。但我們可以通過特定的方法在光盤

37、上制造一個特殊的扇區(qū)，并在光盤上編寫一個程序專門讀取該扇區(qū)的數(shù)據,4使用光盤保護軟件 還可以使用一些商業(yè)光盤保護軟件，“光盤加密大師”能對光盤多種格式鏡像文件（ISO）系統(tǒng)進行可視化修改，將光盤鏡像文件中的目錄和文件進行特別隱藏，將普通文件變?yōu)槌笪募瑢⑵胀夸涀優(yōu)槲募夸浀?計算機安全技術概論,3.4 軟件加殼與脫殼,3.4.1 “殼”的概念 3.4.2 軟件加殼工具介紹 3.4.3 軟件脫殼,計算機安全技術概論,3.4.1 “殼”的概念 “加殼”，就是用專門的工具或方法，在應用程序中加入一段如同保護層的代碼，使原程序代碼失去本來的面目，從而防止程序被非法修改和編譯。 用戶在執(zhí)行被加殼的程

38、序時，實際上是先執(zhí)行“外殼”程序，而由這個“外殼”程序負責把原程序在內存中解開，并把控制權交還給解開后原程序,計算機安全技術概論,加殼軟件按照其加殼目的和作用，可分為兩類：一是保護，二是壓縮。 1保護程序 這是給程序加殼的主要目的，就是通過給程序加上一段如同保護層的代碼，使原程序文件代碼失去本來的面目。它的主要目的在于反跟蹤，保護代碼和數(shù)據，保護程序數(shù)據的完整性，防止程序被調試、脫殼等。 2壓縮程序 這項功能應該是加殼程序的附加功能。類似WINZIP 的效果，只不過這個壓縮之后的文件，可以獨立運行，解壓過程完全隱蔽，都在內存中完成,一般軟件都加“殼”這樣不但可以保護自己的軟件不被破解、修改還可

39、以增加運行時啟動速度,計算機安全技術概論,3.4.2 軟件加殼工具介紹 現(xiàn)在用于壓縮程序為主要目的的常見加殼軟件有ASPacK、UPX和PECompact等，用于保護程序為主要目的的常見加殼軟件有AsProtect、 tElock和幻影等。下面簡單介紹一些常用的加殼軟件。 1ASPack ASPack是一款Win32高效保護性的壓縮軟件，文件壓縮比率高達40%70 % 。ASPack無內置解壓縮，不能自解壓自己壓縮過的程序,計算機安全技術概論,2ASProtect ASProtect具有壓縮、加密、反跟蹤代碼、反-反匯編代碼、CRC校驗和花指令等保護措施。它使用RSA 1024作為注冊密鑰生成

40、器。它還通過API鉤子與加殼的程序進行通信,圖3-3 PEiD查殼窗口,計算機安全技術概論,3.4.3 軟件脫殼 對一個加了殼的程序，就要去除其中的無關干擾信息和保護限制，把它的殼脫去，解除偽裝，還原軟件的本來面目，這一過程就稱為脫殼,對軟件進行脫殼時，可以使用手動脫殼，也可軟件脫殼,計算機安全技術概論,手動脫殼前，需要熟悉Win32下的可執(zhí)行文件標準格式，可以使用一些輔助工具，如沖擊波、W32Dasm等。 手動脫殼主要步驟有：查找程序入口點，獲取內存映像文件，重建輸入表等,1.手動脫殼,計算機安全技術概論,脫殼軟件主要分為兩大類，即專用脫殼軟件和通用脫殼軟件。 常用的偵殼軟件有Languag

41、e 2000、PEiDentifer 等。 脫殼成功的標志是脫殼后的文件能正常運行，并且功能沒有減少。一般來說，脫殼后的文件長度大于原文件長度。即使同一個文件，當采用不同脫殼軟件進行脫殼的時候，由于脫殼軟件機理不同，脫出來的文件大小也不盡相同,2.軟件脫殼,計算機安全技術概論,3.5 設計軟件的一般性建議 1軟件發(fā)行之前一定要將可執(zhí)行程序進行加殼。 2要在自己寫的軟件中嵌入反跟蹤的代碼。 3增加對軟件自身的完整性檢查。 4不要采用一目了然的名字來命名與軟件保護相關的函數(shù)和文件。 5過一段時間后使軟件停止工作。 6可以通過讀取關鍵的系統(tǒng)文件的修改時間來得到系統(tǒng)時間的信息,計算機安全技術概論,7給

42、軟件保護加入一定的隨機性。 8如果試用版與正式版是分開的兩個版本，而是徹底刪除相關的代碼。 9如果軟件中包含驅動程序，則最好將保護判斷加在驅動程序中。 10將注冊碼、安裝時間記錄在多個不同的地方。 11采用一機一碼，可以防止注冊碼傳播。 12最好是采用成熟的密碼學算法。 13可以采用在線注冊的方法。 14keyfile的尺寸不能太小,計算機安全技術概論,作業(yè),1.軟件安全的內容包括哪幾個方面？ 2.軟件靜態(tài)分析的含義是什么？有哪些常用的工具？ 3.常見的軟件保護技術有哪些？ 4.計算機軟件中的“殼”是指什么？ 5.簡述脫殼的2種方法。 6.應如何做好軟件安全保護工作,計算機安全技術概論,第四章

43、 操作系統(tǒng)安全基礎,4.1 Windows系統(tǒng) 4.2 Unix系統(tǒng) 4.3 Linux系統(tǒng),計算機安全技術概論,學習目標,掌握操作系統(tǒng)安全定義與架構 掌握WINDOWS系統(tǒng)的安全策略 掌握Unix系統(tǒng)基礎知識與安全策略 掌握Linux系統(tǒng)基礎知識與安全漏洞的解決方案,計算機安全技術概論,4.1 Windows系統(tǒng),4.1.1 Windows NT/2000/XP的安全策略 1.windows安全基礎概念,1）用戶賬戶管理 在Windows2000(XP)中，訪問控制依賴于系統(tǒng)能夠惟一地識別出每個用戶。用戶賬戶(User Account)提供了這種惟一性。 （2）計算機賬號 運行Windows

44、 2000和Windows NT的計算機加入域時都需要一個賬號登陸、訪問域資源。 （3）組,計算機安全技術概論,除用戶帳戶外，Windows 2000(XP)還提供組帳戶。可使用組帳戶對同類用戶授予權限以簡化帳戶管理。如果用戶是可訪問某個資源的一個組中的成員，則該特定用戶也可訪問這一資源。因此，若要使某個用戶能訪問各種工作相關的資源，只需將該用戶加入正確的組,圖4-1 工作組建立和加入,計算機安全技術概論,用戶和組都有一定的權力，權力定義了用戶在系統(tǒng)中能做什么。如：從網絡中訪問計算機、向域中添加工作站和成員服務器、備份文件和目錄、改變系統(tǒng)時間、強制從遠程系統(tǒng)退出、裝/卸設備驅動器、本地登錄、恢

45、復文件和目錄等。這些權力大多數(shù)只指定給管理用戶,計算機安全技術概論,4）域 組是專門用于客戶機/服務器網絡中的一個概念,他是域的組成部分,使用組的目的是便于對用戶進行管理,減少系統(tǒng)設置和維護的工作量. 域是網絡中許多服務器和客戶機的集合,它們使用 同一個名字(域名),享用自己的帳號和安全機制. 域最大的好處是單一網絡登錄能力,用戶只要在域中有一個合法的帳號,登錄到域后就可以訪問域中對該用戶授權許可的共享資源. 要創(chuàng)建域,必須將一臺運行Window Server 2003 的計算機設置為域控制器. 域控制器為網絡用戶和計算機提供Active Directory 服務并管理用戶,包括用戶登錄過程,

46、驗證和目錄搜索等,計算機安全技術概論,為保證數(shù)據的同步，包含安全信息的Active Directory會定期復制到域中每個域控制器。 Active Directory中的對象可以按組織單位的不同級別進行組織和管理。 可轉移的信任關系可以建立在域樹種的域之間,圖4-2 Windows server2003域中對象,計算機安全技術概論,5）身份驗證 負責確認試圖登陸域或訪問網絡資源的任何用戶的身份。 在Windows 2000計算環(huán)境中成功的用戶身份驗證包括2 個獨立的過程。 交互式登陸向域賬戶或本地計算機確定用戶的身份。 網絡身份驗證對給用戶試圖訪問的任何網絡服務確定用戶身份。 在用戶試圖訪問安

47、全的Web服務器時使用。 （6）授權,計算機安全技術概論,Windows2000的安全性建立在身份驗證和授權之上。管理員可以派特定權力組賬戶或單個用戶賬戶。用戶權力有2種： 特權：如備份文件和目錄的權力。 登陸權力：如登陸本地系統(tǒng)的權力,圖4-3 用戶賬號建立,計算機安全技術概論,7）審核 安全審核是Windows系統(tǒng)的一項功能，負責監(jiān)視各種與安全性有關的事件,圖4-4 windows安全審核,計算機安全技術概論,利用安全設置，可以從任一臺已經加入到域中的計算機修改組織單位、域或站點的安全策略。 安全設置允許安全管理員修改已分配給組策略對象的安全設置,8）安全設置,計算機安全技術概論,2.用戶

48、賬戶的管理 （1）添加用戶賬戶,域用戶賬戶 域用戶賬戶建立在域控制器的Active Directory數(shù)據庫內。用戶可以利用域用戶賬戶來登錄域，并利用它來訪問網絡上的資源，例如訪問其他計算機內的文件、打印機等資源。 本地用戶賬戶 本地用戶賬戶建立在Windows 2000獨立服務器、Windows 2000成員服務器或Windows 2000 Professional的本地安全數(shù)據庫內，而不是域控制器內。用戶可以利用本地用戶賬戶來登錄此計算機，但是只能夠訪問這臺計算機內的資源，無法訪問網絡上的資源,計算機安全技術概論,圖4-5 新建用戶,圖4-6 設置密碼,計算機安全技術概論,2）用戶個人信息

49、的設置 “用戶個人信息”，就是指姓名、地址、電話、傳真、移動電話、公司、部門、職稱、電子郵件、Web頁等。如圖所示,圖4-7 用戶個人信息,計算機安全技術概論,3）賬戶信息的設置 選擇“賬戶”選項卡，如圖所示： 賬戶過期 登錄時間的設置 限制用戶只能夠從某些工作站登錄,圖4-8 賬號信息設置,計算機安全技術概論,圖4-9 登陸時間設置,圖4-10 設置允許登錄的工作站,計算機安全技術概論,3.組的管理 Windows 2000所支持的組分為以下兩種類型：安全式和分布式。 安全組：安全組可以用來設置權限，簡化網絡的維護和管理。 分布式組：分布式組只能用在與安全（權限的設置等）無關的任務上，例如，

50、可以將電子郵件發(fā)送給某個分布式組。分布式組不能進行權限設置。 可以依次選擇“開始”菜單中的“程序”，單擊“管理工具”選擇“Active Directory用戶和計算機”選項，打開“Active Directory用戶和計算機”對話框，來添加、刪除與管理域組,計算機安全技術概論,1）添加組 依次選擇“開始”菜單中的“程序”，單擊“管理工具”選擇“Active Directory用戶和計算機”選項。 在控制臺樹種，雙擊域結點。 右鍵單擊要添加組的文件夾，指向“新建”，然后單擊“組”。 鍵入新組的名稱，單擊所需的“組作用域”。 單擊所需的“組類型,計算機安全技術概論,全局組 全局組主要是用來組織用戶

51、，可以將多個權限相似的用戶賬戶加入到同一個全局組內。 本地域組 本地域組主要用來指派其在所屬域內的訪問權限，以便可以訪問該域內的資源。 通用組 通用組主要用來指派在所有域內的訪問權限，以便可以訪問每一個域內的資源,組的作用域,計算機安全技術概論,2）為用戶添加組 在控制臺目錄樹中， 展開域節(jié)點， 接著單擊Computers或者要加入組的計算機所在的其他組織單元及容器，在詳細資料窗格中，右擊要加入組的用戶帳戶，從彈出的快捷菜單中選擇“將成員添加到組”命令,圖4-11 添加工作組,計算機安全技術概論,3）管理組 更改組類型 更改組的作用域 刪除組 依次選擇“開始”菜單中的“程序”，單擊“管理工具”

52、選擇“Active Directory用戶和計算機”選項，雙擊域結點，右鍵單擊組，選擇“屬性”，單擊“常規(guī)”選項卡中的“組類型”中，單擊“分布式”或“安全式”。選擇“組作用域”為“本地域”或“通用”?；蛘哂益I單擊組，選擇“刪除”命令,計算機安全技術概論,4.Windows 2000安全模型 Windows 2000 安全模型的主要功能是用戶身份驗證和訪問控制。 （1）用戶身份驗證 Windows 2000 安全模型包括用戶身份驗證的概念，這種身份驗證賦予用戶登錄系統(tǒng)訪問網絡資源的能力。在這種身份驗證模型中，安全性系統(tǒng)提供了兩種類型的身份驗證：交互式登錄(根據用戶的本地計算機或 Active D

53、irectory 帳戶確認用戶的身份)和網絡身份驗證（根據此用戶試圖訪問的任何網絡服務確認用戶的身份）。為提供這種類型的身份驗證，Windows 2000 安全系統(tǒng)包括了三種不同的身份驗證機制：Kerberos V5、公鑰證書和 NTLM（與 Windows NT 4.0 系統(tǒng)兼容,計算機安全技術概論,2）基于對象的訪問控制 通過用戶身份驗證，Windows 2000 允許管理員控制對網上資源或對象的訪問。Windows 2000 通過允許管理員為存儲在 Active Directory 中的對象分配安全描述符實現(xiàn)訪問控制。安全描述符列出了允許訪問對象的用戶和組，以及分配給這些用戶和組的特殊權

54、限。安全描述符還指定了需要為對象審核的不同訪問事件。文件、打印機和服務都是對象的實例。通過管理對象的屬性，管理員可以設置權限，分配所有權以及監(jiān)視用戶訪問,計算機安全技術概論,5.Active Directory安全性 安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網絡登錄，管理員可以管理分散在網絡各處的目錄數(shù)據和組織單位，經過授權的網絡用戶可以訪問網絡任意位置的資源。 Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據，而且可以保存訪問控制信息，

55、所以登錄到網絡上的用戶既能夠獲得身份驗證，也可以獲得訪問系統(tǒng)資源所需的權限。例如，在用戶登錄到網絡上的時候，安全系統(tǒng)首先利用存儲在Active Directory中的信息驗證用戶的身份。然后，在用戶試圖訪問網絡服務的時候，系統(tǒng)會檢查在服務的自由訪問控制列表（DCAL）中所定義的屬性,計算機安全技術概論,1）用戶登錄管理 用戶登錄時，輸入登錄的用戶名和秘密，經過安全賬戶數(shù)據庫驗證，如果正確，安全賬戶數(shù)據庫將用戶信息集中在一起，形成一個存取標示：用戶名及SID；用戶所屬的組及組SID；用戶所具有的系統(tǒng)權力。 （2）資源訪問管理 用戶存取標示中的用戶名與ACL中有對應關系且所要求的權限合法，則訪問獲

56、得允許，否則訪問被拒絕,計算機安全技術概論,6.Windows 2000的安全機制 Windows2000安全機制的建立主要從域、組合和文件系統(tǒng)等方面來考慮。 (1)域安全策略 域安全設置分為賬戶策略、本地策略、事件日志、受限制的組、系統(tǒng)服務、注冊表、文件系統(tǒng)、公鑰策略和IP安全策略,計算機安全技術概論,域安全策略：是由用戶名+密碼組成，可以利用賬戶策略設置密碼策略、賬戶鎖定和Kerberos策略。 本地策略：對本地計算機起作用，包括審核策略、授予用戶權限，設置各種安全機制。 事件日志：對域（包括本地）的各種事件進行記錄。為應用程序日志、系統(tǒng)日志等配置大小、訪問方式和保留時間等。 受限制的組：

57、管理內置組的成員資格。 系統(tǒng)服務：運行在計算機上的服務配置安全性和啟動設置。 注冊表：存儲Windows所需要的必要信息。 文件系統(tǒng)：指定文件路徑配置安全性。 公鑰策略：配置加密的數(shù)據恢復代理和信任認證中心證書。 IP安全性策略：配置IPSec,計算機安全技術概論,2）控制工作站的桌面不被修改 以管理員的身份登錄到服務器，從“管理工具”中打開“Active Directory用戶和計算機管理器”；在控制臺目錄樹種展開域，右擊“Domain Control”并選擇“屬性”命令，在“Domain Control屬性”中選擇“組策略”選項卡。 單擊“新建”，在主窗口中選擇“新建組策略對象”，將其改名

58、。雙擊組策略對象名，選擇“組策略”窗口中的 “用戶配置” “Windows設置” “桌面”，右擊，選擇屬性，進行設置,計算機安全技術概論,3）對象的審核 右鍵單擊該文件夾，選擇“屬性”，在對話框中選擇“安全” ，在彈出的對話框中進行設置,圖4-12 對象的審核,計算機安全技術概論,7.Windows NT/2000/XP的安全性 （1） Windows NT的安全性 權力:在系統(tǒng)上完成特定動作的授權，一般由系統(tǒng)指定給內置組，但也可以由管理員將其擴大到組和用戶上。 共享:用戶可以通過網絡使用的文件夾。 權限:可以授予用戶或組的文件系統(tǒng)能力,計算機安全技術概論,權力：權力適用于對整個系統(tǒng)范圍內的對

59、象和任務的操作，通常是用來授權用戶執(zhí)行某些系統(tǒng)任務。當用戶登錄到一個具有某種權力的帳號時，該用戶就可以執(zhí)行與該權力相關的任務。 下面列出了用戶的特定權力，如表4-1所示,表4-1 用戶的特定權力,計算機安全技術概論,共享：共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網絡上就不會有用戶看到它，也就更不能訪問，如表4-2所示,表4-2 用戶的共享權限,計算機安全技術概論,權限：權限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權限授予指定的用戶）。權限分為目錄權限和文件權限，每一個權限級別都確定了一個執(zhí)行特定

60、的任務組合的能力，這些任務是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表4-3和表4-4顯示了這些任務是如何與各種權限級別相關聯(lián)的,計算機安全技術概論,表4-3 目錄權限,表4-4 文件權限,計算機安全技術概論,2）Windows 2000的安全性 Windows 2000安全系統(tǒng)提供了2種類型的身份驗證。交互式登陸和網絡身份驗證。 Active Directory使用對象和用戶憑據的訪問控制提供了對用戶賬戶和組信息的保護存儲。Active Directory還提供了對Kerberos