windows系統(tǒng)安全(安全模型與體系結構)解析

平安模型與體系結構書目1平安威逼2信息平安特性3信息平安的目的4信息平安體系結構1網絡中存在的平安威逼信息丟失，篡改，銷毀內部，外部泄密緩沖區(qū)溢出后門，隱藏通道邏輯炸彈計算機病毒、木馬未授權訪問拒絕服務攻擊流量、流向分析平安威逼來源平安威逼來源分為：內部和外部。內部威逼：系統(tǒng)的合法用戶以非授權方式訪問系統(tǒng)。多數(shù)已知的計算機犯罪都和系統(tǒng)平安遭遇損害的內部攻擊有親密的關系。防止內部威逼的疼惜方法:a.對工作人員進行細致審查；b.細致檢查硬件、軟件、平安策略和系統(tǒng)配制，以便在確定程度上保證運行的正確性(稱為可信功能度)。c.審計跟蹤以提高檢測出這種攻擊的可能性。外部威逼：外部威逼的實施也稱遠程攻擊。a.搭線(主動的與被動的);b.截取輻射;c.冒充為系統(tǒng)的授權用戶,或冒充為系統(tǒng)的組成部分;d.為鑒別或訪問限制機制設置旁路等。外部入侵技術的發(fā)展外部入侵系統(tǒng)步驟攻擊的發(fā)展一攻擊組織嚴密化二攻擊行為趨利化三攻擊目標干脆化四僵尸網絡發(fā)展快速五針對網絡基礎設施的攻擊數(shù)量有明顯增多趨勢六新型網絡應用的發(fā)展帶來了新的平安問題和威逼（web閱讀器，E-Mail和DNS服務，eMule,clubox,迅雷等）書目1平安威逼2信息平安特性3信息平安的目的4信息平安體系信息平安的基本特征相對性只有相對的平安，沒有確定的平安系統(tǒng)。信息平安的基本特征

時效性新的漏洞與攻擊方法不斷發(fā)覺配置相關性日常管理中的不同配置會引入新的問題（平安測評只證明特定環(huán)境與特定配置下的平安）新的系統(tǒng)部件會引入新的問題(新的設備的引入、防火墻配置的修改)信息平安的基本特征攻擊的不確定性攻擊發(fā)起的時間、攻擊者、攻擊目標和攻擊發(fā)起的地點都具有不確定性困難性：信息平安是一項系統(tǒng)工程，須要技術的和非技術的手段，涉及到平安管理、教化、培訓、立法、國際合作與互不侵擾協(xié)定、應急反應等書目1平安威逼2信息平安特性3信息平安的目的4信息平安體系信息平安的目的平安工作的目的就是通過接受合適的平安技術與平安管理措施，完成以下任務：平安工作目的（一）運用認證機制，阻擋非授權用戶進入網絡，即“進不來”，從而保證網絡系統(tǒng)的可用性。運用授權機制，實現(xiàn)對用戶的權限限制，即不該拿走的“拿不走”，同時結合內容審計機制，實現(xiàn)對網絡資源及信息的可控性。運用加密機制，確保信息不暴漏給未授權的實體或進程，即“看不懂”，從而實現(xiàn)信息的保密性。平安工作目的（二）運用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，從而確保信息的完整性。運用審計、監(jiān)控、防抵賴等平安機制，使得攻擊者、破壞者、抵賴者“走不脫”，并進一步對網絡出現(xiàn)的平安問題供應調查依據(jù)和手段，實現(xiàn)信息平安的可審查性。書目1平安威逼2信息平安特性3信息平安的目的4信息平安體系架構信息平安的層次層次一：物理環(huán)境的平安性（物理層平安）層次二：操作系統(tǒng)的平安性（系統(tǒng)層平安）層次三：網絡的平安性（網絡層平安）層次四：應用的平安性（應用層平安）層次五：管理的平安性（管理層平安）平安層次整體平安技術因素平安體系結構平安策略（securitypolicy）是指在一個特定的環(huán)境里，為保證供應確定級別的平安疼惜所必需遵守的一系列條例、規(guī)則。平安策略具備普遍的指導意義，重要性在于指導作用。平安服務（securityservice）是由平安機構所供應的服務；它確保該系統(tǒng)的系統(tǒng)服務或數(shù)據(jù)傳送具有足夠的平安性。平安服務在計算機網絡中，主要的平安防護措施被稱作平安服務。網絡通信中目前主要有五種平安服務認證服務：供應實體的身份的保證訪問限制服務：防止對資源的非授權運用機密性服務：對數(shù)據(jù)供應疼惜使之不被非授權地泄露完整性服務：疼惜數(shù)據(jù)防止未授權的變更、刪除或替代非否認服務：供應憑證，防止發(fā)送者否認或接收者抵賴已接收到相關的信息現(xiàn)有TCP/IP網絡平安技術框架平安組件主機平安：主要考慮疼惜合法用戶對于授權資源的運用，防止非法入侵者對于系統(tǒng)資源的侵占與破壞.其最常用的方法是利用操作系統(tǒng)的功能，如用戶認證、訪問權限限制、掃描、防毒軟件、記帳審計、災難復原等。網絡平安：主要考慮網絡上主機之間的訪問限制，防止來自外部網絡的入侵，疼惜數(shù)據(jù)在網上傳輸時不被泄密和修改其最常用的方法是防火墻、加密、入侵檢測等。1防火墻防火墻通常被比方為網絡平安的大門，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內部網。在應對黑客入侵方面，可以阻擋基于IP包頭的攻擊和非信任地址的訪問。無法阻擋和檢測基于數(shù)據(jù)內容的黑客攻擊和病毒入侵，無法限制內部網絡之間的違規(guī)行為2加密對稱加密:運用同一個隱私密鑰加密和解密數(shù)據(jù)非對稱加密：運用一對密鑰加密解密數(shù)據(jù)HASH散列算法：用HASH函數(shù)把信息混雜，使其不行復原原狀3訪問限制強制訪問限制（Mandatoryaccesscontrol）系統(tǒng)獨立于用戶行為強制執(zhí)行訪問限制，用戶不能變更他們的平安級別或對象的平安屬性。這種訪問限制規(guī)則通常對數(shù)據(jù)和用戶依據(jù)平安等級劃分標簽，訪問限制機制通過比較平安標簽來確定授予還是拒絕用戶對資源的訪問。強制訪問限制進行了很強的等級劃分，所以經常用于軍事用途。自主訪問限制（Discretionaryaccesscontrol）自主訪問限制機制允許對象的屬主來制定針對該對象的疼惜策略。通常DAC通過授權列表（或訪問限制列表）來限定哪些主體針對哪些客體可以執(zhí)行什么操作。如此將可以特殊靈敏地對策略進行調整。由于其易用性與可擴展性，自主訪問限制機制常常被用于商業(yè)系統(tǒng)。主流操作系統(tǒng)(WindowsServer,UNIX系統(tǒng))，防火墻（ACLs）等都是基于自主訪問限制機制來實現(xiàn)訪問限制。基于角色的訪問限制（Rolebasedaccesscontrol）4認證密碼認證智能卡生物特征（指紋、面部掃描、視網膜掃描、語音分析）位置認證（IP，反向DNS）KerberosX.5095掃描器掃描器可以說是入侵檢測的一種，主要用來發(fā)覺網絡服務、網絡設備和主機的漏洞，通過定期的檢測與比較，發(fā)覺入侵或違規(guī)行為留下的痕跡。當然，掃描器無法發(fā)覺正在進行的入侵行為，而且它還有可能成為攻擊者的工具6防毒軟件防毒軟件是最為人熟悉的平安工具，可以檢測、清除各種文件型病毒、宏病毒和郵件病毒等。在應對黑客入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但對于基于網絡的攻擊行為（如掃描、針對漏洞的攻擊）卻無能為力考慮內部網絡系統(tǒng)運行環(huán)境困難，網上用戶數(shù)多，同Internet有連接等，需在網絡上建立多層次的病毒防護體系，對桌面、服務器和網關等潛在病毒進入點實行全面疼惜。（1)建立基于桌面的反病毒系統(tǒng)在內部網中的每臺桌面機上安裝單機版的反病毒軟件，實時監(jiān)測和捕獲桌面計算機系統(tǒng)的病毒，防止來自軟盤、光盤以及活動驅動器等的病毒來源。（2）建立基于服務器的反病毒系統(tǒng)在網絡系統(tǒng)的文件及應用服務器上安裝基于服務器的反病毒軟件，實時監(jiān)測和捕獲進出服務器的數(shù)據(jù)文件病毒，使病毒無法在網絡中傳播。網絡病毒防范（3）建立基于Internet網關的反病毒系統(tǒng)在代理服務器（Proxy）網關上安裝基于網關的反病毒軟件，堵住來自Internet通過Http或Ftp等方式進入內部網絡的病毒，而且可過濾惡意ActiveX,Java和JavaApplet程序。（4）建立病毒管理限制中心在中心限制臺（平安管理限制臺）實施策略配置和管理、統(tǒng)一事務和告警處理、保證整個網絡范圍內病毒防護體系的一致性和完整性。通過自動更新、分發(fā)和告警機制，使桌面PC和服務器等設備自動獲得最新的病毒特征庫，完成終端用戶軟件及病毒特征信息的自動更新和升級，以實現(xiàn)網絡病毒防范系統(tǒng)的集中管理。7平安審計系統(tǒng)平安審計系統(tǒng)通過獨立的、對網絡行為和主機操作供應全面與忠實的記錄，便利用戶分析與審查事故緣由，很像飛機上的黑匣子。由于數(shù)據(jù)量和分析量比較大，目前市場上鮮見特殊成熟的產品8入侵檢測與防衛(wèi)系統(tǒng)（IDS）IDS:intrusionDetectionSystemIDS的主要功能包括檢測并分析用戶在網絡中的活動，識別已知的攻擊行為，統(tǒng)計分析異樣行為，核查系統(tǒng)配置和漏洞，評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性，管理操作系統(tǒng)日志，識別違反平安策略的用戶活動等。IDS網絡型入侵檢測系統(tǒng)(NetworkIntrusionDetectionSystem，NIDS)的數(shù)據(jù)源來自網絡上的數(shù)據(jù)包。一般地，用戶可將某臺主機網卡設定為混雜模式，以監(jiān)聽本網段內全部數(shù)據(jù)包，推斷其是否合法。NIDS擔負著監(jiān)視整個網段的任務IDSNIDS的優(yōu)點主要