版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
系統(tǒng)安全技術(shù)110/30/20242學(xué)習(xí)重點(diǎn):10/30/2024
操作系統(tǒng)安全技術(shù)
數(shù)據(jù)庫系統(tǒng)安全技術(shù)
網(wǎng)絡(luò)系統(tǒng)安全技術(shù)310.1操作系統(tǒng)安全技術(shù)10/30/202410.1.1操作系統(tǒng)安全的概念(1)操作系統(tǒng)及操作系統(tǒng)安全的概念如何確保在計(jì)算機(jī)系統(tǒng)中存儲和傳輸數(shù)據(jù)的保密性、完整性和可用性,已經(jīng)成為信息系統(tǒng)急待解決的重要問題。操作系統(tǒng)(OperatingSystem)是一組面向機(jī)器和用戶的程序,是用戶程序和計(jì)算機(jī)硬件之間的接口,其目的是最大限度地、高效地、合理地使用計(jì)算機(jī)資源,同時也對系統(tǒng)的所有資源(軟件和硬件資源)進(jìn)行有效的管理。操作系統(tǒng)安全包括了對系統(tǒng)重要資源(存儲器、文件系統(tǒng)等)的保護(hù)和控制,即只有經(jīng)過授權(quán)的用戶和代表該用戶運(yùn)行的進(jìn)程才能對計(jì)算機(jī)系統(tǒng)的信息進(jìn)行訪問。常見的操作系統(tǒng)有:MS-DOS,Windows系列圖形界面操作系統(tǒng),UNIX/Linux等。410/30/2024操作系統(tǒng)卻面臨各式各樣的威脅:510.1.2操作系統(tǒng)安全機(jī)制10/30/20241.存儲保護(hù)
多用戶虛擬存儲技術(shù):在主存中存放的有系統(tǒng)程序也有用戶程序,甚至是多個用戶的程序。為了防止各用戶程序之間訪問錯誤,保護(hù)系統(tǒng)程序免受破壞,就要設(shè)法使各用戶之間,用戶與系統(tǒng)程序之間隔離開。在虛擬存儲系統(tǒng)中,通常采用加界保護(hù)、鍵式保護(hù)、頁表保護(hù)和段表保護(hù)方法。(1)加界保護(hù)操作系統(tǒng)的段式管理方式中,程序段在內(nèi)存是連續(xù)存放的。因此需要在CPU中設(shè)置多個界限寄存器,每一個程序占用一對界限寄存器。當(dāng)調(diào)入時,可以將其上界、下界存入界限寄存器中。當(dāng)程序運(yùn)行過程中,每當(dāng)訪問主存時,首先將訪問地址與上下界寄存器進(jìn)行比較,如果在此區(qū)域內(nèi),則允許訪問,否則不允許訪問。這種保護(hù)方式是對存儲區(qū)的保護(hù),運(yùn)用于段式管理。610/30/2024在頁式或段頁式管理中,主存是按頁面管理的。將主存的每一頁都設(shè)置一個存儲鍵,分配一個鍵號,這個鍵號存放在快表的表目中。對于每個用戶程序的各頁,也設(shè)置一個程序鍵,分配一個鍵號。當(dāng)該頁由輔存調(diào)入主存時,就將其調(diào)入的實(shí)頁號及其鍵號登記在快表中,將程序鍵號送入程序狀態(tài)字中。每次訪問主存,首先進(jìn)行鍵號比較,如果鍵號相等才允許訪問。(2)鍵保護(hù)(3)頁表保護(hù)和段表保護(hù)
每個程序的段表和頁表本身都有自己的保護(hù)功能。每個程序的虛頁號是固定的,經(jīng)過虛地址向?qū)嵉刂纷儞Q后的實(shí)存頁號也就固定了。不論虛地址如何出錯,也只能影響到相對的幾個主存頁面,不會侵犯其他程序空間。此外,還有對主存信息的訪問方式的保護(hù):讀(R)、寫(W)和執(zhí)行(E)。710/30/20242.用戶認(rèn)證
WindowsNT采用的是NTLANManager(簡稱NTLM)安全技術(shù)進(jìn)行身份認(rèn)證。用戶記錄存儲在安全帳戶管理器(SAM)數(shù)據(jù)庫中或在ActiveDirectory數(shù)據(jù)庫中。每個用戶帳戶是與兩個密碼相關(guān)聯(lián):兼容LAN管理器的密碼和Windows密碼。每個密碼被加密并存儲在SAM數(shù)據(jù)庫中或在ActiveDirectory數(shù)據(jù)庫中。NTLM工作流程:在Linux下,通過終端登錄Linux的過程賬號/密碼的認(rèn)證方案普遍存在著安全的隱患和不足之處
Windows2000及以上版本對身份認(rèn)證機(jī)制做了重大的改進(jìn),引入了新的認(rèn)證協(xié)議:除了NTLM驗(yàn)證協(xié)議以外,還增加了KerberosV5和TLS作為分布式的安全性協(xié)議(支持對smartcards的使用)。810/30/20243.訪問控制
目前,主流操作系統(tǒng)(Linux,Windows)均采用ACL機(jī)制保護(hù)系統(tǒng)對象。
如果系統(tǒng)用戶成功登錄,則安全性子系統(tǒng)將建立一個初始進(jìn)程,并創(chuàng)建一個訪問令牌(WindowsNT的進(jìn)程均有一個自己的訪問令牌),其中包含有安全性標(biāo)識符(SID),該標(biāo)識符可在系統(tǒng)中唯一標(biāo)識一個用戶。
初始進(jìn)程建立了其他進(jìn)程之后,這些進(jìn)程將繼承初始進(jìn)程的訪問令牌。為了實(shí)現(xiàn)進(jìn)程間的安全性訪問,WindowsNT采用了安全性描述符。安全性描述符的主要組成部分是訪問控制列表,ACL指定了不同的用戶和用戶組對某個對象的訪問權(quán)限。當(dāng)某個進(jìn)程要訪問一個對象時,進(jìn)程的SID將和對象的訪問控制列表比較,決定是否運(yùn)行訪問該對象。910/30/2024下圖給出了訪問令牌、安全標(biāo)識符、安全性描述符以及訪問控制列表之間的關(guān)系。當(dāng)WindowsNT根據(jù)進(jìn)程的存取令牌確定訪問許可時,依據(jù)如下規(guī)則:P2001010/30/20244.文件保護(hù)
Windows2000、XP和Server2003應(yīng)用了一個稱作Windows文件保護(hù)(WindowsFileProtection,WFP)機(jī)制,它可以防止關(guān)鍵的系統(tǒng)文件被改寫。WFP被設(shè)計(jì)用來保護(hù)Windows文件夾的內(nèi)容。WFP保護(hù)特定的文件類型,比如SYS、EXE、DLL、OCX、FON和TTF,而不是阻止對整個文件夾的任何修改。注冊表鍵值決定WFP保護(hù)的文件類型。
Windows文件保護(hù)并不僅僅通過拒絕修改來保護(hù)文件,它還可以拒絕刪除。如下頁圖所示,對于windows系統(tǒng)可以在“策略編輯器”中設(shè)置對文件的保護(hù),只要在組策略中進(jìn)行一下設(shè)置即可:單擊“開始→運(yùn)行”,輸入“gpedit.msc”,然后依次展開“計(jì)算機(jī)配置→管理模板→系統(tǒng)→Windows文件保護(hù)”。1110/30/20241210/30/2024
在Unix/Linux系統(tǒng)中,文件的保護(hù)主要是通過對文件賦予不同的操作權(quán)限或?qū)傩詠韺?shí)現(xiàn)的。
Linux中,每一個文件都具有特定的屬性:文件類型和文件權(quán)限。
有5種不同的文件類型:普通文件、目錄文件、鏈接文件、設(shè)備文件和管道文件。
所謂的文件權(quán)限,是指對文件的訪問權(quán)限,包括對文件的讀、寫、刪除、執(zhí)行,分別用r、w和x表示。不同的用戶具有不同的讀、寫和執(zhí)行的權(quán)限。由于在Linux系統(tǒng)中,用戶是按組分類的,一個用戶屬于一個或多個組。文件所有者以外的用戶又可以分為文件所有者的同組用戶和其它用戶。因此,Linux系統(tǒng)按文件所有者、文件所有者同組用戶和其它用戶三類規(guī)定不同的文件訪問權(quán)限。1310/30/20245.內(nèi)核安全技術(shù)
操作系統(tǒng)經(jīng)常在內(nèi)核設(shè)置安全模塊來實(shí)施基本的安全操作。一方面可以將安全模塊與操作系統(tǒng)的其他部分以及用戶程序分割開來,減輕安全機(jī)制遭受攻擊的威脅;另一方面,任何系統(tǒng)操作、調(diào)用的執(zhí)行都需要通過內(nèi)核,這就避免繞過檢查的可能。再者,內(nèi)核調(diào)用可以以更一致的方法實(shí)施檢查。最典型的內(nèi)核安全模塊是引用監(jiān)控器(ReferenceMonitor)。這個模塊是與引用驗(yàn)證機(jī)一起在1972年被提出的,可以實(shí)現(xiàn)對運(yùn)行程序的安全控制,在用戶程序與系統(tǒng)資源之間實(shí)施授權(quán)訪問的機(jī)制。因?yàn)橐抿?yàn)證機(jī)制需要滿足三個原則:必須有自我保護(hù)能力;必須總是處于活躍狀態(tài);必須不能過于復(fù)雜,以便于驗(yàn)證正確性。由于以上三個原因,當(dāng)前多數(shù)操作系統(tǒng)在內(nèi)核實(shí)現(xiàn)這類功能。1410/30/20246.安全審計(jì)操作系統(tǒng)的安全審計(jì)是指對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查和審核。
主要目的就是檢測和阻止非法用戶對計(jì)算機(jī)的入侵。
安全審計(jì)是評測系統(tǒng)安全性的一個很重要的環(huán)節(jié),能幫助安全人員審計(jì)系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng)運(yùn)行的明顯企圖及時報(bào)告給安全控制臺,及時采取措施。
對于windows系統(tǒng)而言具有日志記錄的功能,其它常見的操作也具有系統(tǒng)日志功能進(jìn)行記錄,便于發(fā)現(xiàn)系統(tǒng)存在的問題以及跟蹤。對于Linux系統(tǒng)它的現(xiàn)有的審計(jì)機(jī)制是通過三個日志系統(tǒng)來實(shí)現(xiàn)的:系統(tǒng)日志、記賬日志和應(yīng)用程序日志。
Linux系統(tǒng)的審計(jì)機(jī)制只提供了一些必要的日志信息,用戶登錄退出信息以及進(jìn)程統(tǒng)計(jì)日志信息等。常用的日志文件,見P203
1510.2數(shù)據(jù)庫系統(tǒng)安全技術(shù)10/30/2024計(jì)算機(jī)系統(tǒng)內(nèi)數(shù)據(jù)的組織形式主要有2種:一種為文件的形式;另一種為數(shù)據(jù)庫的形式。文件形式的數(shù)據(jù)缺乏數(shù)據(jù)的共享性,這種形式的數(shù)據(jù)組織方式在數(shù)據(jù)庫系統(tǒng)內(nèi)很少被使用。數(shù)據(jù)庫組織形式的這種數(shù)據(jù)組織方式以其數(shù)據(jù)具有共享性、獨(dú)立性、一致性、完整性和可控性的優(yōu)點(diǎn),這種形式的數(shù)據(jù)組織方式在數(shù)據(jù)庫系統(tǒng)內(nèi)被廣泛應(yīng)用,成為了目前計(jì)算機(jī)系統(tǒng)存儲數(shù)據(jù)的主要形式。就目前的操作系統(tǒng)(OS)而言,操作系統(tǒng)對數(shù)據(jù)庫系統(tǒng)內(nèi)的數(shù)據(jù)文件沒有特殊的安全保護(hù)措施,數(shù)據(jù)庫文件的安全就只有通過數(shù)據(jù)庫管理系統(tǒng)自身來實(shí)現(xiàn)。1610/30/2024
數(shù)據(jù)庫系統(tǒng)擔(dān)負(fù)著存儲和管理數(shù)據(jù)信息的任務(wù)數(shù)據(jù)庫的安全性,就是防止非法用戶使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞,以達(dá)到保護(hù)數(shù)據(jù)庫的目的。數(shù)據(jù)庫中數(shù)據(jù)必須在數(shù)據(jù)庫管理系統(tǒng)(DBMS)統(tǒng)一的嚴(yán)格的控制之下,只允許有合法使用權(quán)限的用戶訪問,盡可能杜絕所有可能對數(shù)據(jù)庫的非法訪問。一個DBMS能否有效地保證數(shù)據(jù)庫的安全性是它的主要性能指標(biāo)之一。1.數(shù)據(jù)庫安全面臨的威脅
數(shù)據(jù)庫面臨的安全威脅大致主要有兩個方面:一種為人為因素。另一種為自然因素。人為因素主要有六種:(1)非授權(quán)用戶的非法存取數(shù)據(jù)或篡改數(shù)據(jù);(2)授權(quán)用戶在輸入或處理數(shù)據(jù)過程中對發(fā)生了變動的數(shù)據(jù)進(jìn)行了輸入或處理導(dǎo)致了數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)不正確;(3)授權(quán)用戶的故意破壞數(shù)據(jù)或泄露機(jī)密、敏感的數(shù)據(jù)資料;1710/30/2024(4)程序員設(shè)計(jì)安裝了木馬程序在裝有數(shù)據(jù)庫文件的計(jì)算機(jī)內(nèi)部導(dǎo)致數(shù)據(jù)庫內(nèi)的數(shù)據(jù)資料被竊?。?5)系統(tǒng)設(shè)計(jì)人員為了回避系統(tǒng)的安全功能安裝了不安全的系統(tǒng)在系統(tǒng)內(nèi)部;(6)存儲介質(zhì)的丟失。自然因素主要有三種:
(1)計(jì)算機(jī)硬件故障引起數(shù)據(jù)庫內(nèi)數(shù)據(jù)的丟失或破壞(例如,存儲設(shè)備故障造成數(shù)據(jù)信息的丟失或破壞);(2)軟件保護(hù)功能失效造成的數(shù)據(jù)信息的泄露(例如,系統(tǒng)本身在設(shè)計(jì)上的缺陷,如缺少或破壞了存取控制機(jī)制,造成了數(shù)據(jù)信息的泄露);(3)計(jì)算機(jī)病毒入侵?jǐn)?shù)據(jù)庫系統(tǒng)破壞和修改數(shù)據(jù)庫軟件或數(shù)據(jù)。1810/30/20242.數(shù)據(jù)庫系統(tǒng)安全的基本原則(特性)
就數(shù)據(jù)庫的而言,既要訪問控制方便,同時也要保證數(shù)據(jù)的安全,為此它具有如下的特性:(1)數(shù)據(jù)庫的完整性(數(shù)據(jù)庫系統(tǒng)的完整性主要包括物理完整性和邏輯完整性)
數(shù)據(jù)庫內(nèi)數(shù)據(jù)元素的完整性;
數(shù)據(jù)庫內(nèi)數(shù)據(jù)的一致性;
數(shù)據(jù)庫內(nèi)數(shù)據(jù)的穩(wěn)定性;
數(shù)據(jù)庫內(nèi)數(shù)據(jù)的可訪問控制。(2)保密性是指不允許未經(jīng)授權(quán)的用戶存取數(shù)據(jù)。一般要求對用戶的身份進(jìn)行標(biāo)識與鑒別,并采取相應(yīng)的存取控制策略以保證用戶僅能訪問授權(quán)數(shù)據(jù),同一組數(shù)據(jù)的不同用戶可以被賦予不同的存取權(quán)限。同時,還應(yīng)能夠?qū)τ脩舻脑L問操作進(jìn)行跟蹤和審計(jì)。1910/30/2024(3)可用性
是指不應(yīng)拒絕授權(quán)用戶對數(shù)據(jù)庫的正常操作請求,保證系統(tǒng)的運(yùn)行效率并提供用戶友好的人機(jī)交互。實(shí)際上,數(shù)據(jù)庫的保密性和可用性是一對矛盾,對這一矛盾的分析與解決構(gòu)成了數(shù)據(jù)庫系統(tǒng)的安全模型和一系列安全機(jī)制的主要目標(biāo)。
3.?dāng)?shù)據(jù)庫安全的重要性
主要有以下幾方面的原因:(1)在一個數(shù)據(jù)庫內(nèi)有著大量的數(shù)據(jù),這些數(shù)據(jù)可被所有的用戶共同使用(2)數(shù)據(jù)庫內(nèi)數(shù)據(jù)的冗余度很小,一旦對數(shù)據(jù)進(jìn)行了修改,原來存儲的數(shù)值就會被破壞,而且?guī)缀鯖]有同等的數(shù)據(jù)來幫助恢復(fù)數(shù)據(jù)原來的值(3)通常情況下,數(shù)據(jù)庫是聯(lián)機(jī)工作的2010/30/2024
4.?dāng)?shù)據(jù)庫安全需求
對用戶來說,最重要的是數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)庫的安全首先要保證數(shù)據(jù)的安全,數(shù)據(jù)的安全可分為物理介質(zhì)的安全和存儲介質(zhì)上數(shù)據(jù)的邏輯安全兩大類。物理介質(zhì)只要被破壞,那幾乎是無法再恢復(fù)的,只能小心保管和使用。數(shù)據(jù)庫的邏輯安全是指在不改變現(xiàn)有的DBMS的情況下,對現(xiàn)有數(shù)據(jù)的應(yīng)用或?qū)π聰?shù)據(jù)的應(yīng)用。它對數(shù)據(jù)庫系統(tǒng)的一個最為重要的要求是其應(yīng)用系統(tǒng)內(nèi)數(shù)據(jù)的獨(dú)立性。
2110/30/2024數(shù)據(jù)庫安全性的要求主要有6種:
(1)數(shù)據(jù)庫的完整性(2)數(shù)據(jù)元素的完整性(3)審計(jì)性(4)可獲取性(5)訪問控制(6)用戶認(rèn)證數(shù)據(jù)庫的安全功能、安全區(qū)域和安全過程
225.數(shù)據(jù)庫安全控制技術(shù)10/30/2024(1)身份認(rèn)證技術(shù)
數(shù)據(jù)庫安全控制主要包含身份認(rèn)證、訪問控制、權(quán)限管理和角色管理四方面。
方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份。常用的方法有:用一個用戶名或者用戶標(biāo)識號來標(biāo)明用戶身份。系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識,系統(tǒng)驗(yàn)證此用戶是否合法用戶。SQLServer系統(tǒng)身份認(rèn)證方式示意圖SQLServer可以識別兩類的身份驗(yàn)證方式,即:SQLServer身份認(rèn)證(SQLServerAuthentication)方式和Windows身份認(rèn)證(WindowsAuthentication)方式。2310/30/2024(2)訪問控制(策略)
知需策略:根據(jù)用戶對數(shù)據(jù)庫內(nèi)數(shù)據(jù)的需求,讓用戶得到與自己身份相當(dāng)?shù)膶?shù)據(jù)庫內(nèi)數(shù)據(jù)訪問控制權(quán)限。最大程度上的共享策略:數(shù)據(jù)庫系統(tǒng)由于安全的需要對數(shù)據(jù)的訪問控制有嚴(yán)格的控制和保護(hù)措施,但在這種共享策略的指導(dǎo)下,能使數(shù)據(jù)信息在最大可能的程度上給所有用戶共享,但也不是所有用戶都能對所有數(shù)據(jù)都能訪問控制,而是只有與其身份相當(dāng)?shù)挠脩舨拍軐ζ錂?quán)限下的數(shù)據(jù)進(jìn)行訪問控制。2410/30/2024(3)權(quán)限管理
當(dāng)用戶成為數(shù)據(jù)庫中的合法用戶之后,除了具有一些系統(tǒng)表的查詢權(quán)之外,并不對數(shù)據(jù)庫中的用戶對象具有任何操作權(quán)。下一步就需要為數(shù)據(jù)庫中的用戶授予適當(dāng)?shù)牟僮鳈?quán)。在SQLserver2000中,權(quán)限分為對象權(quán)限、語句權(quán)限和隱含權(quán)限三種。對象權(quán)限是指用戶對數(shù)據(jù)庫中的表、視圖、存儲過程等對象的操作權(quán)。例如:是否允許查詢、增加、刪除、和修改數(shù)據(jù)等。具體包括以下三個方面:
對于表和視圖,可以使用select、insert、update、和delete權(quán)限;
對于表和視圖字段,可以使用select和update權(quán)限;
對于存儲過程,可以使用execute權(quán)限。2510/30/2024
語句權(quán)限相當(dāng)于數(shù)據(jù)定義語言的語句權(quán)限,這種權(quán)限專指是否允許執(zhí)行語句createtable等創(chuàng)建與數(shù)據(jù)庫對象有關(guān)的操作。隱含權(quán)限是由SQLserver預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫角色、數(shù)據(jù)庫擁有者和數(shù)據(jù)庫對象擁有者所具有的權(quán)限,隱含權(quán)限相當(dāng)于內(nèi)置權(quán)限,不再需要明確的授予這些權(quán)限。例如,數(shù)據(jù)庫擁有者自動的擁有對數(shù)據(jù)庫進(jìn)行一切操作的權(quán)限。權(quán)限的管理包含以下三個內(nèi)容:
授予權(quán)限:允許用戶或角色具有某種操作權(quán);
收回權(quán)限:不允許用戶或角色具有某種操作權(quán),或者收回曾經(jīng)授予的權(quán)限;
拒絕訪問:拒絕某用戶或角色具有某種操作權(quán),即使用戶或角色由于繼承而獲得這種操作權(quán),也不允許執(zhí)行相應(yīng)操作。10/30/2024(4)角色管理
系統(tǒng)角色根據(jù)其作用范圍的不同,分為固定的服務(wù)器角色和固定的數(shù)據(jù)庫角色,服務(wù)器角色是為整個服務(wù)器設(shè)置的,而數(shù)據(jù)庫角色是為具體的數(shù)據(jù)庫設(shè)置的。在SQLserver2000中,角色分為系統(tǒng)預(yù)定義的固定角色和用戶根據(jù)自己需要定義的用戶角色。
2710.3網(wǎng)絡(luò)系統(tǒng)安全技術(shù)10/30/20241ISO/OSI安全體系結(jié)構(gòu)1982年,開放系統(tǒng)互聯(lián)(OSI)基本模型建立之初,就開始進(jìn)行OSI安全體系結(jié)構(gòu)的研究。1989年12月ISO頒布了計(jì)算機(jī)信息系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的第二部分,即ISO7498-2標(biāo)準(zhǔn),并首次確定了開放系統(tǒng)互聯(lián)(OSI)參考模型的安全體系結(jié)構(gòu)。我國將其稱為GB/T9387-2標(biāo)準(zhǔn),并予以執(zhí)行。ISO安全體系結(jié)構(gòu)包括了三部分內(nèi)容:安全服務(wù)、安全機(jī)制和安全管理。安全服務(wù):ISO安全體系結(jié)構(gòu)確定了五大類安全服務(wù):1認(rèn)證服務(wù)2訪問控制3數(shù)據(jù)保密性4數(shù)據(jù)完整性5不可否認(rèn)(抗抵賴)性(1)認(rèn)證服務(wù)提供某個實(shí)體的身份保證。該服務(wù)有兩種類型:
對等實(shí)體認(rèn)證:這種安全服務(wù)由(N)層提供時,(N+1)層實(shí)體可確信對等實(shí)體是它所需要的(N+1)層實(shí)體。2810/30/2024
該服務(wù)在建立連接或數(shù)據(jù)傳輸期間的某些時刻使用,以確認(rèn)一個或多個其它實(shí)體連接的一個或多個實(shí)體的身份。該服務(wù)在使用期內(nèi)讓使用者確信:某個實(shí)體沒有試圖冒充別的實(shí)體,而且沒有試圖非法重放以前的某個連接。它們可以實(shí)施單向或雙向?qū)Φ葘?shí)體的認(rèn)證,既可以帶有效期校驗(yàn),也可以不帶,以提供不同程度的保護(hù)。
數(shù)據(jù)源認(rèn)證
在通信的某個環(huán)節(jié)中,需要確認(rèn)某個數(shù)據(jù)是由某個發(fā)送者發(fā)送的。當(dāng)這種安全服務(wù)由(N)層提供時,可向(N+1)層實(shí)體證實(shí)數(shù)據(jù)源正是它所需要的對等(N+1)層實(shí)體。(2)訪問控制服務(wù)這種安全服務(wù)提供的保護(hù),就是對某一些確知身份限制對某些資源(這些資源可能是通過OSI協(xié)議可訪問的OSI資源或非OSI資源)的訪問。這種安全服務(wù)可用于對某個資源的各類訪問(如通信資源的利用,信息資源的閱讀、書寫或刪除,處理資源的執(zhí)行等)或用于對某些資源的所有訪問。2910/30/2024(3)數(shù)據(jù)保密性服務(wù)這種安全服務(wù)能夠提供保護(hù),使得信息不泄漏、不暴露給那些未授權(quán)就想掌握該信息的實(shí)體。
連接保密性:向某個(N)連接的所有(N)用戶數(shù)據(jù)提供保密性。
無連接保密性:向單個無連接(N)安全數(shù)據(jù)單元(SDU)中的所有(N)用戶數(shù)據(jù)提供保密性。
選擇字段保密性:向(N)連接上的(N)用戶數(shù)據(jù)內(nèi)或單個無連接(N)SDU中的被選字段提供保密性。
業(yè)務(wù)流保密性:防止通過觀察業(yè)務(wù)流以得到有用的保密信息。(4)數(shù)據(jù)完整性服務(wù)這種安全服務(wù)保護(hù)數(shù)據(jù)在存儲和傳輸中的完整性。①帶恢復(fù)的連接完整性:這種安全服務(wù)向某個(N)連接上的所有(N)用戶數(shù)據(jù)保證其完整性。它檢測對某個完整的SDU序列內(nèi)任何一個數(shù)據(jù)遭到的任何篡改、插入、刪除或重放,同時還可以補(bǔ)救恢復(fù)。②不帶恢復(fù)的連接完整性:與帶恢復(fù)的連接完整性服務(wù)相同,但不能補(bǔ)救恢復(fù)。③選擇字段連接完整性:這種安全服務(wù)向在某個連接中傳輸?shù)哪硞€(N)SDU的(N)用戶數(shù)據(jù)內(nèi)的被選字段提供完整性保護(hù),并能確定這些字段是否經(jīng)過篡改、插入、刪除或重放。④無連接完整性:這種安全服務(wù)由(N)層提供,向提出請求的(N+1)層實(shí)體提供無連接中的數(shù)據(jù)完整性保證。并能確定收到的SDU是否經(jīng)過篡改;另外,還可以對重放情況進(jìn)行一定程度的檢測。⑤選擇字段無連接完整性:這種安全服務(wù)對單個無連接SDU中的被選字段的保證其完整性,并能確定被選字段是否被篡改、插入、刪除或重放。3010/30/2024(5)不可否認(rèn)服務(wù)(抗抵賴)通信系統(tǒng)不會遭到自系統(tǒng)中其它合法用戶的威脅,而不是來自未知攻擊者的威脅。①數(shù)據(jù)源的抗抵賴:向數(shù)據(jù)接收者提供數(shù)據(jù)來源的證據(jù),以防止發(fā)送者否認(rèn)發(fā)送該數(shù)據(jù)或其內(nèi)容的任何企圖。②傳遞過程的抗抵賴:向數(shù)據(jù)發(fā)送者提供數(shù)據(jù)已到目的地證據(jù),以防止收信者否認(rèn)接收該數(shù)據(jù)或其內(nèi)容的任何事后的企圖。3110/30/2024安全機(jī)制為了支持ISO體系結(jié)構(gòu)定義的安全服務(wù),ISO安全體系結(jié)構(gòu)定義了八大類安全機(jī)制,即:1加密機(jī)制2數(shù)據(jù)簽名機(jī)制3訪問控制機(jī)制4數(shù)據(jù)完整性機(jī)制5鑒別交換機(jī)制6業(yè)務(wù)填充機(jī)制7路由控制機(jī)制8公證機(jī)制以上這些安全機(jī)制可以設(shè)置在適當(dāng)?shù)膶哟紊?,以便提供某些安全服?wù)。3210/30/2024(1)加密機(jī)制加密可向數(shù)據(jù)或業(yè)務(wù)流信息提供保密性,并能對其他安全機(jī)制起作用或?qū)λ鼈冞M(jìn)行補(bǔ)充。加密算法可以是可逆或不可逆的,可逆加密算法有以下兩大類:①對稱(單鑰)加密體制:對于這種加密體制,加密與解密用同一個密鑰;②非對稱(公鑰)加密體制:對于這種加密體制,加密與解密用不同的密鑰,這種加密系統(tǒng)的兩個密鑰有時被稱為“公鑰”和“私鑰”。3310/30/2024(2)數(shù)字簽名機(jī)制
這種安全機(jī)制由兩個過程構(gòu)成:對數(shù)據(jù)單元簽名過程:該過程可以利用簽名者私有的(即獨(dú)有和保密的)信息。驗(yàn)證簽名的數(shù)據(jù)單元過程:該過程則要利用公之于眾的規(guī)程和信息,但通過它們并不能推出簽名者的私有信息。
如果該實(shí)體試圖利用未被授權(quán)的資源或用不正當(dāng)?shù)脑L問方式使用授權(quán)的資源,那么訪問控制功能將會拒絕這個企圖,另外還可能產(chǎn)生一個告警信號或把它作為安全審計(jì)線索的一部分記錄下來,并以此報(bào)告這一事件。對于無連接數(shù)據(jù)的傳輸,則只有在數(shù)據(jù)源強(qiáng)制實(shí)施訪問控制之后,才有可能向發(fā)信者提出任何拒絕訪問的通知。
3410/30/2024(3)訪問控制機(jī)制①這種安全機(jī)制可以利用某個實(shí)體經(jīng)鑒別的身份或關(guān)于該實(shí)體的信息(比如,某個已知實(shí)體集里的一員),進(jìn)行確定并實(shí)施實(shí)體的訪問權(quán)。②實(shí)現(xiàn)好的訪問控制規(guī)則可以建立在下列幾個方式之上。(a)訪問控制信息庫:它保存著對等實(shí)體對資源的訪問權(quán)限。(b)鑒別信息:對這種信息的占有和出示便證明正在訪問的實(shí)體已被授權(quán)3510/30/2024(c)權(quán)力:實(shí)體對權(quán)力的占有和出示便證明有權(quán)訪問由權(quán)力規(guī)定的實(shí)體或資源(d)安全標(biāo)記:當(dāng)與某個實(shí)體相關(guān)聯(lián)時,可用于同意或拒絕訪問,通常根據(jù)安全策略而定(e)訪問時間:可以根據(jù)試圖訪問的時間建立規(guī)則(f)訪問路由:可以根據(jù)試圖訪問的路由建立規(guī)則(g)訪問持續(xù)期:還可以規(guī)定某次訪問不可超過一定的持續(xù)時間。③訪問控制機(jī)制可用于通信連接的任何一端或用在中間的任何位置。(4)數(shù)據(jù)完整性機(jī)制①數(shù)據(jù)完整性機(jī)制的兩個方面:單個的數(shù)據(jù)單元或字段的完整性數(shù)據(jù)單元串或字段串的完整性②確定單個數(shù)據(jù)單元的完整性:確定單個數(shù)據(jù)單元的完整性涉及到兩個處理:一個在發(fā)送實(shí)體中進(jìn)行,而另一個在接收實(shí)體中進(jìn)行。發(fā)送實(shí)體給數(shù)據(jù)單元附加一個由數(shù)據(jù)自己決定的量,而這個量可以是分組校驗(yàn)碼或密碼校驗(yàn)值之類的補(bǔ)充信息,而且它本身也可以被加密。接收實(shí)體則產(chǎn)生一個相當(dāng)?shù)牧?,并把它與收到的量進(jìn)行比較,以確定該數(shù)據(jù)在傳輸過程中是否被篡改。但這個機(jī)制不能單獨(dú)防止對單個數(shù)據(jù)單元的重放。因此在OSI結(jié)構(gòu)的適當(dāng)層,檢測操作就有可能導(dǎo)致在該層或更高一層的恢復(fù)行為(如重發(fā)或糾錯)。
3610/30/20243710/30/2024③編序形式:對于連接方式的數(shù)據(jù)傳輸,保護(hù)數(shù)據(jù)單元序列的完整性(即防止擾亂、丟失、重放、插入或篡改數(shù)據(jù))還需要某種明顯的編序形式,如序號、時標(biāo)式密碼鏈等。④保護(hù)形式:對于無連接的數(shù)據(jù)傳輸,時標(biāo)可用于提供一種有限的保護(hù)形式,以防止單個數(shù)據(jù)單元的重放。(5)鑒別交換機(jī)制
該安全機(jī)制是通過信息交換以確保實(shí)體身份的一種機(jī)制。涉及:①鑒別交換技術(shù):利用鑒別信息(如通信字),它由發(fā)送實(shí)體提供,并由接收實(shí)體進(jìn)行檢驗(yàn);密碼技術(shù);利用實(shí)體的特征或占有物。②對等實(shí)體鑒別:如果在鑒別實(shí)體時得到的是否定結(jié)果,那么將會導(dǎo)致拒絕連接或終止連接,而且還會在安全審計(jì)線索中增加一個記錄,或向安全管理中心進(jìn)行報(bào)告。③確保安全:在利用密碼技術(shù)時,可以同“握手”協(xié)議相結(jié)合,以防止重放(即確保有效期)。3810/30/2024④應(yīng)用環(huán)境:選擇鑒別交換技術(shù)取決于它們應(yīng)用的環(huán)境。在許多場合下,需要同下列各項(xiàng)結(jié)合起來使用:(a)時標(biāo)和同步時鐘;(b)雙向和三向握手(分別用于單方和雙方鑒別);(c)由數(shù)字簽名或公證機(jī)制實(shí)現(xiàn)的不可否認(rèn)服務(wù)。(6)業(yè)務(wù)填充機(jī)制它是一種防止造假的通信實(shí)例、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生假數(shù)據(jù)的安全機(jī)制。該機(jī)制可用于提供對各種等級的保護(hù),以防止業(yè)務(wù)分析。該機(jī)制只有在業(yè)務(wù)填充受到保密性服務(wù)保護(hù)時才有效。(7)路由控制機(jī)制
路由控制機(jī)制提供了這樣一種機(jī)制,它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。主要涉及:①路由選擇:路由既可以動態(tài)選擇,也可以事先安排好,以便只利用物理上安全的子網(wǎng)、中繼站或鏈路。②路由連接:當(dāng)檢測到持續(xù)操作攻擊時,端系統(tǒng)可望指示網(wǎng)絡(luò)服務(wù)提供者通過不同的路由以建立連接。③安全策略:攜帶某些安全標(biāo)簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼站或鏈路。連接的發(fā)起者(或無連接數(shù)據(jù)單元的發(fā)送者)可以指定路由說明,以請求回避特定的子網(wǎng)的中繼站或鏈路。3910/30/2024(8)公證機(jī)制在兩個或多個實(shí)體間進(jìn)行通信的數(shù)據(jù)的性能,比如它的完整性、來源、時間和目的地等,可由公證機(jī)制來保證。保證由第三方公證人提供,公證人能夠得到通信實(shí)體的信任,而且可以掌握按照某種可證實(shí)方式提供所需保證的必要的信息。每個通信場合都可以利用數(shù)字簽名、加密和完整性機(jī)制以適應(yīng)公證人所提供的服務(wù)。在用到這樣一個公證機(jī)制時,數(shù)據(jù)便經(jīng)由受保護(hù)的通信場合和公證人在通信實(shí)體之間進(jìn)行傳送。4010/30/2024安全管理
OSI安全體系結(jié)構(gòu)的第三個主要部分就是安全管理。它的主要內(nèi)容是實(shí)施一系列的安全政策,對系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理。它包括三部分內(nèi)容:系統(tǒng)安全管理安全服務(wù)管理安全機(jī)制管理4110/30/202410.3.2網(wǎng)絡(luò)層安全與IPsec
在網(wǎng)絡(luò)層實(shí)現(xiàn)安全服務(wù)有很多的優(yōu)點(diǎn)。首先,由于多種傳送協(xié)議和應(yīng)用程序可以共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu),密鑰協(xié)商的開銷被大大地削減了;其次,若安全服務(wù)在較低層實(shí)現(xiàn),那么需要改動的程序就要少很多。
IPsec協(xié)議也就是網(wǎng)絡(luò)層安全協(xié)議,功能就是保護(hù)加密網(wǎng)絡(luò)層的信息。由IETF制定,面向TCMP,它足為IPv4和IPv6協(xié)議提供基于加密安全的協(xié)議?在TCP/IP協(xié)議棧中所處的層次如下圖:4210/30/2024
IPSec協(xié)議族中有兩個主要協(xié)議:鑒別首部協(xié)議(AH)和封裝安全性載荷協(xié)議(ESP),前者提供源鑒別和數(shù)據(jù)完整性服務(wù)(不提供機(jī)密性服務(wù));后者提供鑒別、數(shù)據(jù)完整性和機(jī)密性服務(wù)。在這兩個協(xié)議中,從源主機(jī)向目標(biāo)主機(jī)發(fā)送安全數(shù)據(jù)流之前,源主機(jī)和網(wǎng)絡(luò)主機(jī)握手并創(chuàng)建了一個網(wǎng)絡(luò)層的邏輯連接。
IPSec提供的主要功能:認(rèn)證功能(AH),認(rèn)證和機(jī)密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實(shí)性,包括數(shù)據(jù)源認(rèn)證和可選的抗重傳服務(wù);ESP分為兩部分,其中ESP頭提供數(shù)據(jù)機(jī)密性和有限抗流量分析服務(wù),在ESP尾中可選地提供無連接完整性、數(shù)據(jù)源認(rèn)證和抗重傳服務(wù)。4310/30/2024
IPSec有兩個基本目標(biāo):保護(hù)IP數(shù)據(jù)包安全;為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。IPSec結(jié)合密碼保護(hù)服務(wù)、安全協(xié)議組和動態(tài)密鑰管理,三者共同實(shí)現(xiàn)上述兩個目標(biāo),IPSec基于一種端對端的安全模式。IPSec提供三種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)。
驗(yàn)證:通過認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的,同時可以確定申請發(fā)送者在實(shí)際上是真實(shí)發(fā)送者,而不是偽裝的。數(shù)據(jù)完整驗(yàn)證:通過驗(yàn)證保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。保密:使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容,而無關(guān)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。
注:IPSec通過支持DES,三重DES,IDEA,AES等確保通信雙方的機(jī)密性;身份認(rèn)證用DSS或RSA算法;用消息鑒別算法HMAC計(jì)算MAC,以進(jìn)行數(shù)據(jù)源驗(yàn)證服務(wù)?
4410/30/2024
IPSec應(yīng)用領(lǐng)域:網(wǎng)絡(luò)層安全協(xié)議IPSec可為各種分布式應(yīng)用,如遠(yuǎn)程登錄?客戶,服務(wù)器?電了郵件?文件傳輸?web訪問等提供安全?可保證LAN?專用和公用WAN以及Internet的通信安全?目前主要應(yīng)用于VPN?路由器中?
IPSec優(yōu)點(diǎn):IPSec可用來在多個防火墑和服務(wù)器間提供安全性,可確保運(yùn)行在TCP/IP協(xié)議上的VPNs間的互操作性?它對于最終用戶和應(yīng)用程序是透明的?
IPSec缺點(diǎn):IPSec系統(tǒng)復(fù)雜,且不能保護(hù)流量的隱蔽性;除TCP/IP外,不支持其它協(xié)議;IPSec與防火墻?NAT等的安全結(jié)構(gòu)也是一個復(fù)雜的問題?4510/30/202410.3.3.傳輸層安全與SSL/TLS
傳輸層安全協(xié)議的目的是為了保護(hù)傳輸層的安全,并在傳輸層上提供實(shí)現(xiàn)保密性、認(rèn)證和完整性的方法。安全套接層(SecureSocketsLayer,SSL)及其繼任者傳輸層安全(TransportLayerSecurity,TLS)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密。1)SSLSSL(SecuresocketLayer)安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性,它不能保證信息的不可抵賴性,主要適用于點(diǎn)對點(diǎn)之間的信息傳輸,常用WebServer方式,即SSL通過在瀏覽器軟件(例如InternetExplorerNetscapeNavigator)和Web服務(wù)器之間建立在Internet中傳送的保密性。安全套接層協(xié)議(SSL,SecuritySocketLayer)是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。4610/30/2024對于電子商務(wù)應(yīng)用來說,使用SSL可保證信息的真實(shí)性、完整性和保密性。但由于SSL不對應(yīng)用層的消息進(jìn)行數(shù)字簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足。鑒于此,網(wǎng)景公司在從Communicator4.04版開始的所有瀏覽器中引入了一種被稱作“表單簽名(FormSigning)”的功能,在電子商務(wù)中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性。目前,在電子商務(wù)中采用單一的SSL協(xié)議來保證交易的安全是不夠的,但采用“SSL+表單簽名”模式能夠?yàn)殡娮由虅?wù)提供較好的安全性保證。由于SSL協(xié)議在Web上的廣泛應(yīng)用,IETF將SSL做了標(biāo)準(zhǔn)化,即RFC2246,并將其稱之為TLS(TransportLayerSecurity)。當(dāng)前,從技術(shù)方面來講,TLS1.0與SSL3.0的差別非常小。47①SSL主要使用的安全技術(shù)10/30/20244810/30/20244910/30/20245010/30/2024
在TCP/IP協(xié)議族中,SSL位于TCP層之上、應(yīng)用層之下,并在TCP之上建立了一個安全通道。這使它可以獨(dú)立于應(yīng)用層,從而使應(yīng)用層協(xié)議(如HTTP等)可以直接建立在SSL之上。此外,SSL提供了具有三個基本屬性的連接安全性(使得通過這一層的數(shù)據(jù)得到了加密,達(dá)到了保密效果):
身份驗(yàn)證:可以使用不對稱的或公用的密鑰或加密系統(tǒng)對連接進(jìn)行驗(yàn)證。TLS支持基于RSA和帶有X.509v3證書的Diffie-Hellman/DSS的身份認(rèn)證。
保密性:連接是保密的。在首次握手后,密鑰用于定義密鑰。將對稱密碼系統(tǒng)用于數(shù)據(jù)加密(例如DES、TripleDES、RC4、IDEA等。支持不同的加密程度,其中包括40位、56位、128位和168位加密。完整性:連接是可靠的。消息傳輸中包括了使用鍵控消息身份認(rèn)證代碼(MAC)進(jìn)行的消息完整性檢查。將安全哈希函數(shù)(例如,SHA1、MD5)用于MAC計(jì)算。51(2)SSL的體系結(jié)構(gòu)如下圖所:10/30/2024SSL協(xié)議包括子協(xié)議有:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)上,用來封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器與客戶端在開始傳輸數(shù)據(jù)前,能夠通過特定的加密算法相互鑒別。SSL警告協(xié)議。從上圖可以看到,SSL協(xié)議主要分為:HandshakeProtocol(還包括SSLChangeCipherSpecProtocol(服務(wù)器要求客戶端使用加密模式。)、SSLAlertProtocol
)和RecordProtocol。
HandshakeProtocol用來協(xié)商密鑰,協(xié)調(diào)客戶和服務(wù)器使用的安全級別,并進(jìn)行身份驗(yàn)證??蛻艉头?wù)器使用的由第三方證書機(jī)構(gòu)提供的的證書是SSL安全功能的基礎(chǔ)。
RecordProtocol定義了傳輸?shù)膫鬏數(shù)母袷胶图?解密應(yīng)用程序協(xié)議的字節(jié)流。52⑤SSL的不足10/30/2024
從前面的討論可知,利用SSL協(xié)議,通信雙方在交換證書后,通過證書內(nèi)容來驗(yàn)證對方的身份,身份驗(yàn)證成功后創(chuàng)建一個會話密鑰;在通常情況下,會話密鑰由客戶端產(chǎn)生,并利用服務(wù)器的公鑰加密后傳送;客戶和服務(wù)器在通信過程中都使用這個會話密鑰來加密和解密雙方的消息流,保證了通信過程中數(shù)據(jù)傳輸?shù)谋C苄浴?/p>
因此,SSL也被認(rèn)為是Internet上Web瀏覽器和服務(wù)器安全的標(biāo)準(zhǔn),而且在大量需要安全認(rèn)證的站點(diǎn)服務(wù)上得到了廣泛應(yīng)用。但是SSL也有一些不足之處:
利用SSL的攻擊無法被入侵系統(tǒng)IDS(IntrusionDetectionSystem)檢測到。IDS是一種用于監(jiān)測攻擊服務(wù)器企圖的技術(shù)和方法。典型的IDS監(jiān)視網(wǎng)絡(luò)通信是將其與保存在數(shù)據(jù)庫中的已知“攻擊特征”進(jìn)行比較,如果網(wǎng)絡(luò)通信是加密的,IDS將無法監(jiān)視其行為,這反而可能會使攻擊更為隱蔽。SSL使用復(fù)雜的數(shù)學(xué)公式進(jìn)行數(shù)據(jù)加密和解密,這些公式的復(fù)雜性根據(jù)密碼的強(qiáng)度不同而不同。高強(qiáng)度的計(jì)算會使多數(shù)服務(wù)器停頓,并導(dǎo)致性能下降。多數(shù)Web服務(wù)器在執(zhí)行SSL相關(guān)任務(wù)時,吞吐量會顯著下降,相比只執(zhí)行Http1.0連接時的速度可能會慢50多倍。另外,雖然對消費(fèi)者而言,SSL已經(jīng)解決了大部分的問題,但是對電子商務(wù)來說,問題并沒有完全解決。因?yàn)镾SL只能做到資料保密,廠商無法確定是誰填下了這份資料,即不可否認(rèn)性無法實(shí)現(xiàn)。5310/30/202410.3.4應(yīng)用層安全與SET
電子商務(wù)在提供機(jī)遇和便利的同時,也面臨著一個最大的挑戰(zhàn),即交易的安全問題。在網(wǎng)上購物的環(huán)境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025武漢市微型計(jì)算機(jī)的買賣合同
- 農(nóng)村土地流轉(zhuǎn)合同標(biāo)準(zhǔn)(2025年度):土地規(guī)模經(jīng)營與效益提升
- 2025年度農(nóng)產(chǎn)品電商平臺入駐合作合同2篇
- 2025北京市室內(nèi)裝修合同
- 二零二五年度風(fēng)力發(fā)電工程款結(jié)算與環(huán)境保護(hù)合同3篇
- 二零二五年度旅游公司整體轉(zhuǎn)讓合同3篇
- 2025年度年度公司終止職工勞動合同補(bǔ)償方案合同3篇
- 2025年度工業(yè)用地租賃合同書(含環(huán)保標(biāo)準(zhǔn))3篇
- 2025年度農(nóng)村房屋土地租賃與農(nóng)村環(huán)境治理合作協(xié)議
- 二零二五年度智能停車場租賃管理服務(wù)合同3篇
- 2024年國網(wǎng)公司企業(yè)文化與職業(yè)道德試考試題庫(含答案)
- 房地產(chǎn)中介公司業(yè)務(wù)管理制度
- 電大《生產(chǎn)與運(yùn)作管理》2023-2024期末試題及答案(試卷代號2617)
- 中國腫瘤藥物治療相關(guān)惡心嘔吐防治專家共識(2022年版)解讀
- PLC應(yīng)用技術(shù)(三菱機(jī)型)三菱大中型PLC
- GB 21258-2024燃煤發(fā)電機(jī)組單位產(chǎn)品能源消耗限額
- 《用戶體驗(yàn)設(shè)計(jì)導(dǎo)論》
- 美團(tuán)外賣運(yùn)營知識試題
- 航空概論學(xué)習(xí)通超星期末考試答案章節(jié)答案2024年
- 業(yè)務(wù)流程可視化改善
- 期末復(fù)(知識清單)2024-2025學(xué)年人教PEP版(2024)英語三年級上冊
評論
0/150
提交評論