【文章內(nèi)容簡介】 ：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。 對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的 口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于6 個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測試模式的西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 13 口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項(xiàng)式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn) 證用戶的身份。 網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶帳號是所有計算機(jī)系統(tǒng)中最基本的安全形式。用戶帳號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個方面的限制：最小口令長度、強(qiáng)制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶帳號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時間、 限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費(fèi)網(wǎng)絡(luò)的訪問“資費(fèi)”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的帳號加以限制，用戶此時應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報警信息。 網(wǎng)絡(luò)的權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（ IRM）可作為其兩種實(shí)現(xiàn)方式。受托 者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 14 父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類： ? 特殊用戶（即系統(tǒng)管理員）； ? 一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限； ? 審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。 目錄級安全控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和 文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種： 系統(tǒng)管理員權(quán)限（ Supervisor）； 讀權(quán)限（ Read）； 寫權(quán)限（ Write）； 創(chuàng)建權(quán)限（ Create）； 刪除權(quán)限（ Erase）； 修改權(quán)限（ Modify）； 文件查找權(quán)限（ File Scan）； 存取控制權(quán)限（ Access Control）； 用戶對文件或目標(biāo)的有效權(quán)限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種 訪問權(quán)限的有西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 15 效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。 屬性安全控制 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。 屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。 屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能 控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò) 的屬性可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤刪除、 執(zhí)行修改、顯示等。 網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。 網(wǎng)絡(luò) 監(jiān)測和鎖定控制 網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 16 果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制 網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來識別節(jié)點(diǎn)的身份。自動回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C(jī) 進(jìn)行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證 確保網(wǎng)絡(luò)安全的措施 由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網(wǎng)絡(luò)連入 Inter，那麼最好盡可能地把與 Inter 連接的機(jī)器與網(wǎng)絡(luò)的其余部分隔離開來。實(shí)現(xiàn)這個目標(biāo)的最安全的方法是將 Inter 服務(wù)器與網(wǎng)絡(luò)實(shí)際隔開。當(dāng)然，這種解決方案增加了機(jī) 器管理的難度。但是如果有人闖入隔離開的機(jī)器，那麼網(wǎng)絡(luò)的其余部分不會受到牽連。 最重要的是限制訪問。不要讓不需要進(jìn)入網(wǎng)關(guān)的人都進(jìn)入網(wǎng)關(guān)。在機(jī)器上用戶僅需要一個用戶帳號，嚴(yán)格限制它的口令。只有在使用 su 時才允許進(jìn)入根帳號。這個方法保留一份使用根帳號者的記錄。 在 Inter 服務(wù)器上提供的一些服務(wù)有 FTP、 HTTP、遠(yuǎn)程登陸和 WAIS（廣域信西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 17 息服務(wù)）。但是， FTP 和 HTTP 是使用最普遍的服務(wù)。它們還有潛力泄露出乎用戶意料之外的秘密。 與任何其它 Inter 服務(wù)一樣， FTP 一直是 （而且仍是）易于被濫用的。值得一提的弱點(diǎn)涉及幾個方面。第一個危險是配置不當(dāng)。它使站點(diǎn)的訪問者（或潛在攻擊者）能夠獲得更多超出其預(yù)期的數(shù)據(jù)。 他們一旦進(jìn)入，下一個危險是可能破壞信息。一個未經(jīng)審查的攻擊者可以抹去用戶的整個 FTP 站點(diǎn)。 最后一個危險不必長篇累牘，這是因?yàn)樗粫斐善茐模沂堑退降?。它由用戶?FTP 站點(diǎn)構(gòu)成，對于交換文件的人來說，用戶的 FTP 站點(diǎn)成為“麻木不仁的窩臟點(diǎn)”。這些文件無所不包，可以是盜版軟件，也可以是色情畫。這種交換如何進(jìn)行的呢？簡單的很。發(fā)送者發(fā)現(xiàn)了一個他們有權(quán)寫 入和拷入可疑文件的 FTP 站點(diǎn)。通過某些其它方法，發(fā)送者通知它們的同伙文件可以使用。 所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP 用戶有機(jī)會寫入。當(dāng)用戶通過 FTP 訪問一個系統(tǒng)時，這一般是 FTP 用戶所做的事。因此， FTP 用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許 FTP 用戶有機(jī)會寫入。當(dāng)用戶通過FTP 訪問一個系統(tǒng)時，這一般是 FTP 用戶所做的事。因此， FTP 用戶可以訪問，用戶的訪問者也可以訪問。 一般說 來， FTP 用戶不是用戶的系統(tǒng)中已經(jīng)有的。因此，用戶要建立 FTP 用戶。無論如何要保證將外殼設(shè)置為真正外殼以外的東西。這一步驟防止 FTP 用戶通過遠(yuǎn)程西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 18 登錄進(jìn)行注冊（用戶或許已經(jīng)禁止遠(yuǎn)程登錄，但是萬一用戶沒有這樣做，確認(rèn)一下也不會有錯）。 將所有文件和目錄的主人放在根目錄下，不要放在 ftp 下。這個預(yù)防措施防止FTP 用戶修改用戶仔細(xì)構(gòu)思出的口令。然后，將口令規(guī)定為 755（讀和執(zhí)行，但不能寫，除了主人之外）。在用戶希望匿名用戶訪問的所有目錄上做這項(xiàng)工作。盡管這個規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目 錄中來。 用戶還需要編制某些可用的庫。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶需要做的一切是將 /usr/lib/ 和/usr/lib/~ftp/usr/lib 中。接著將 ~ftp/usr/lib 上的口令改為 555，并建立主接收器。 最后，用戶需要在 ~ftp/dev/中建立 /dev/null 和 /dev/socksys 設(shè)備結(jié)點(diǎn)。用戶可以用 mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會更加容易。 SCO文檔說用 cpio,但是 copy（非 cp）很管用。 如果用戶想建立一個人們都可用留下文件的目錄，那麼可將它稱作輸入。允許其他人寫入這個目錄，但不能讀。這個預(yù)防措施防止它成為麻木不仁的窩臟點(diǎn)。人們可以在這里放入他們想放的任何東西，但是他們不能將它們?nèi)〕?。如果用戶認(rèn)為信息比較適合共享，那麼將拷貝到另一個目錄中。 . 提高企業(yè)內(nèi)部網(wǎng)安全性的幾個步驟 1) 限制對網(wǎng)關(guān)的訪問。限制網(wǎng)關(guān)上的帳號數(shù)。不要允許關(guān)不信任任何機(jī)器。沒有一西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 19 臺機(jī)器應(yīng)該信任網(wǎng)關(guān)； 2) 不要用 NFS 向網(wǎng)關(guān)傳輸或接收來自網(wǎng)關(guān)的任何文件系統(tǒng)； 3) 不要在網(wǎng)關(guān)上使用 NIS（網(wǎng)絡(luò)信 息服務(wù)）； 4) 制訂和執(zhí)行一個非網(wǎng)關(guān)機(jī)器上的安全性方針； 5) 關(guān)閉所有多余服務(wù)和刪除多余程序 6) 刪除網(wǎng)關(guān)的所有多余程序（遠(yuǎn)程登錄、 rlogin、 FTP 等等）； 7) 定期閱讀系統(tǒng)記錄。 網(wǎng)絡(luò)安全 物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防用戶越權(quán)操作；確保計算機(jī)系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生。 抑制和防止電磁泄漏（即 TEMPEST 技術(shù)）是物理安全策略的一個主要問題。目前主要防護(hù)措施有兩類：一類是對傳導(dǎo)發(fā)射的防護(hù)，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種： 一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機(jī)房的下水管、