计算机信息系统安全概述(1)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最后,为应对电子商务所提出的挑战,Win2K已 具备了在整个操作系统内面向PKI提供技术支持 的能力。
计算机信息系统安全概述(1)
1.AD组件
AD堪称Win2K操作系统的旗舰级组件, 主要用来克服Windows NT 4.0在目录功 能方面存在的伸缩性、扩展性、开放性 和管理能力问题。
AD为操作系统存储账号及控制策略信息。 AD依赖操作系统控制对AD对象的访问。 操作系统对AD中对象强制实施许可进入。 操作系统的授信信息存放在AD中。
计算机信息系统安全概述(1)
5.分配权限
实施安全策略的最后一个步骤是创建用户定义的数据库角 色,然后分配权限。完成这个步骤最简单的方法是创建一 些名字与全局组名字配套的角色。
创建好角色之后就可以分配权限。在这个过程中,我们只 需用到标准的GRANT、REVOKE和DENY命令。
接下来我们就可以加入所有SQL Server验证的登录。用户定 义的数据库角色可以包含SQL Server登录以及NT全局组、本 地组、个人账户 。
信息系统是指用于采集、处理、存储、传
输、分发和部署信息的整个基础设施、组 织结构、人员和组件的总和。
信息系统 (Information System)
是指由计算机及其相关和配套的设备、 设施(含网络)构成的,按照一定的应 用目标和规则对信息进行采集、加工、 存储、传输、检索等处理的人机系统。
计算机信息系统安全概述(1)
证书服务器,主要用来针对证书的申请、签发、 公布和管理任务提供CA所应具备的基本功能特性。
证书服务器可面向Exchange Server提供许可证 码身份验证和安全MIME(S/MIME)集成特性 。
管理人员必须为针对证书服务器配置实施操 控而以手工方式就文本文件进行编辑。证书 服务器缺乏对于PKI企业级使用需求来说是 至关重要的管理特性。证书服务器具备在其 他第三方目录中实现证书发布的能力。
1.3.1 Windows 2000安全机制简介 1.3.2 SQL Server 2000安全机制简介
1.4 Windows信息系统面临的安全威胁
1.4.1 安全威胁之系统破解 1.4.2 安全威胁之计算机病毒 1.4.3 安全威胁之恶意攻击
计算机信息系统安全概述(1)
1.1 计算机信息系统的定义
计算机信息系统安全概 述(1)
2020/12/7
计算机信息系统安全概述(1)
第1章 计算机信息系统安全概述
1.1 计算机信息系统的定义 1.2 计算机信息系统安全简介
1.2.1 计算机信息系统安全的定义 1.2.2 信息系统自身的安全脆弱性 1.2.3 对信息系统安全的威胁
1.3 Windows信息系统安全机制简介
1.验证方法选择
验证是指检验用户的身份标识; 授权是指允许用户做些什么。 构造安全策略的第一个步骤是确定SQL Server用 哪种方式验证用户。
计算机信息系统安全概述(1)
2.Web环境中的验证
IIS 5.0,可以用四种方法验证用户: 第一种方法是为每一个网站和每一个虚拟 目录创建一个匿名用户的Win2K账户; 第二种方法是让所有网站使用Basic验证; 在客户端只使用IE 6.0、IE 5.0浏览器的 情况下,你可以使用第三种验证方法。你 可以在Web网站上和虚拟目录上都启用 Win2K验证; 第四种方法是如果用户都有个人数字证书, 你可以把那些证书映射到本地域的Win2K 账户上。
1.3.1 Windows 2000安全机制简介
Windows NT 4.0的不足
Windows NT应用于企业级服务时,如果不使用那些繁
冗的附加软件产品,便无法提供分布式SSO(单点登
录)服务。委派功能(将针对限定账号集合的有限管
理优选权指派给另一用户的能力)则更是少得可怜。
同样无法借助平面化Windows NT域就组织层次和管理
1.2 计算机信息系统安全简介
1.2.1 计算机信息系统安全的定义
信息系统安全定义为:确保以电磁信
号为主要形式的、在计算机网络化(开
放互联)系统中进行自动通信、处理和
利用的信息内容,在各个物理位置、逻
辑区域、存储和传输介质中,处于动态
和静态过程中的机密性、完整性、可用
性、可审查性和抗抵赖性,与人、网络、
3.软件注册码破解简介
注册码加密保护的原理比较简单,即要求软件安装 者必须输入正版软件才拥有的一组字码(字符或数 字的组合),经软件验证通过后方可完成安装。注 册码的验证方式根据不同的软件各有不同,有的是 直接明文放在软件中,有的经过加密或变形后再进 行比较,还有的需要通过网络申请注册码,然后再 进行验证。不管通过哪种验证方式,注册码的破解 均有一定的规律可循,即通过反汇编工具追踪软件 的验证过程,在找到验证规律的基础上实现破解。
SSPI在身份验证服务中所扮演的角色
5.加密服务
Win2K所配备的EFS则允许你仅仅通过选中一个复选框的简单 操作即可在文件系统层对相关文件进行加密。EFS可借助面向 用户和应用程序的完全透明度对加密和解密任务进行处理。
Win2K主要凭借IPSec面向用户和应用程序提供充分透明度, 进而跨越身份验证、机密性、数据完整性和筛选服务。
IPSec在Win2K体系结构中所处位置
计算机信息系统安全概述(1)
1.3.2 SQL Server 2000 安全机制简介
SQL Server是Microsoft公司开发的大型数据库软件, Microsoft为SQL Server建立了一种既灵活又强大的安全 管理机制,SQL Server的安全机制是与下层的Win2K操作 系统结合在一起的,它能够对用户访问SQL Server服务 器系统和数据库的安全进行全面的管理。
环境有关的技术安全、结构安全和管理
安全的总和。
计算机信息系统安全概述(1)
1.2.2 信息系统自身的安全脆弱性
1.硬件组件
信息系统硬件组件的安全隐患多来源于 设计,主要表现为物理安全方面的问题。
2.软件组件
软件组件的安全隐患来源于设计和软 件工程中的问题。
3.网络和通信协议
(1)缺乏对用户身份的鉴别
(2)缺乏对路由协议的鉴别认证
(3)TCP/UDP的缺陷
计算机信息系统安全概述(1)
1.2.3 对信息系统安全的威胁
1.基本威胁
(1)信息泄露 (2)完整性破坏 (3)服务拒绝 (4)未授权访问
2.威胁信息系统的主要方法
(1)冒充 (2)旁路控制 (3)破坏信息的完整性 攻击者可以从以下三方面破坏信息的完整性: 篡改:改变信息流的次序、时序、流向、内容和形 式。 删除:删除消息全部或其中一部分。 插入:在消息中插入一些无意义的或计有算机害信息的系统消安全息概述。(1)
计算机信息系统安全概述(1)
1.4 Windows信息系统面临的 安全威胁
1.4.1 安全威胁之系统破解
1.Windows系统登录密码破解简介 (1)删除SAM文件(仅适合于Windows 2000) (2)修改账户密码 (3)穷举法破解账户密码
计算机信息系统安全概述(1)
2.文件级加密破解简介 (1)Office文件加密与破解 (2)FoxMail账号加密与破解
4.允许数据库访问
权限分配给角色而不是直接把它们分配给全局组。
创建了数据库之后,我们可以用 sp_grantdbaccess存储过程授权DB_Name Users组 访问它。
如果要拒绝数据库访问,我们可以创建另外一 个名为DB_Name Denied Users的全局组,授权 它访问数据库,然后把它设置为 db_denydatareader以及db_denydatawriter角 色的成员。
由于内建的角色一般适用于整个数据库而不是单独的对象,
因此这里建议你只使用两个内建的数据库角色,即
db_securityadmin和db_owner。
计算机信息系统安全概述(1)
6.简化管理
SQL Server验证的登录不仅能够方便地实现,而且 与NT验证的登录相比,它更容易编写到应用程序 里。但是,如果用户的数量超过25,或者服务器 数量在一个以上,或者每个用户都可以访问一个 以上的数据库,或者数据库有多个管理员,SQL Server验证的登录便不容易管理了。由于SQL Server没有显示用户有效权限的工具,要记住每个 用户具有哪些权限以及他们为何要得到这些权限 就更加困难。即使对于一个还要担负其他责任的 小型数据库管理员,简化安全策略也有助其减轻 问题的复杂程度。因此,首选的方法应该是使用 NT验证的登录,然后通过一些精心选择的全局组 和数据库角色管理数据库访问。
结构进行适当规划。Windows NT 4.0也没有为和用户
账号有关的应用程序专用信息提供存储位置。而
Windows NT所具备的PKI功能(最多只能算雏形状态)
则仅被限定于Web环境,并只能面向基于Microsoft
Exchange Server的通信任务提供部分支持,但PKI功
能本身却没有实现全面集成化。
计算机信息系统安全概述(1)
3.计算机反病毒技术的发展趋势
(1)适当增加杀毒软件的功能 (2)杀毒软件的技术革新 (3)操作系统的稳固性 (4)企业病毒解决方案和个人病毒防范
计算机信息系统安全概述(1)
1.4.3 安全威胁之恶意攻击
1.源IP地址欺骗攻击
假设同一网段内有两台主机A和B,另一网段内有主机X。 B 授予A某些特权。X 为获得与A相同的特权,所做欺骗 攻击如下:首先,X冒充A,向主机 B发送一个带有随机 序列号的SYN包。主机B响应,回送一个应答包给A,该 应答号等于原序列号加1。然而,此时主机A已被主机X利 用拒绝服务攻击“淹没”了,导致主机A服务失效。结果, 主机A将B发来的包丢弃。为了完成三次握手,X还需要 向B回送一个应答包,其应答号等于B向A发送数据包的 序列号加1。此时主机X 并不能检测到主机B的数据包 (因为不在同一网段),只有利用TCP顺序号估算法来 预测应答包的顺序号并将其发送给目标机B。如果猜测正 确,B则认为收到的ACK是来自内部主机A。此时,X即 获得了主机A在主机B上所享有的特权,并开始对这些服 务实施攻击。
(4)破坏系统的可用性 (5)重放 (6)截取和辐射侦测 (7)陷门 (8)特洛伊木马 (9)抵赖
3.威胁和攻击的来源
(1)内部操作不当 (2)内部管理不严造成系统安 全管理失控 (3)来自外部的威胁和犯罪 ① 黑客 ② 信息间谍 ③ 计算机犯罪
计算机信息系统安全概述(1)
1.3 Windows信息系统安全机制简介
计算机信息系统安全概述(1)
1.4.2 安全威胁之计算机病毒
1.计算机病毒的基本特征
(1)传染性 (2)隐蔽性 (3)破坏性 (4)可触发性
2.计算机病毒的发展趋势
(1)网络成为计算机病毒传染的主要载体; (2)传统病毒日益减少,网络蠕虫成为最主要和破坏力最大的病毒类型; (3)恶意网页的泛滥; (4)病毒与木马技术相互结合,出现带有明显木马特征的病毒; (5)传播方式多样化; (6)跨操作系统的病毒; (7)手机病毒、信息家电病毒的出现。
计算机信息系统安全概述(1)
首先,Microsoft在围绕Win2K展开设计工作的 过程中,秉承了多项旨在弥补Windows NT 4.0 自身缺陷的技术意图,该公司将这种操作系统 定位于终极电子商务支持平台。
其次,Win2K在很大程度上依赖于行业标准和相 关协议。
再次,Microsoft还需要提供一个有助于降低应 用程序开发成本的软件系统平台。
计算机信息系统安全概述(1)
2.CryptoAPI组件
CryptoAPI的设计目标在于,面向基于使用可安装加密服 务提供程序之操作系统的全部应用程序及其他相关组件提 供针对低级加密服务的一站式“采购”模式
CryptoAPI为应用程序提供一站式“采购”服计算务机信息系统安全概述(1)
3.证书服务器
计算机信息系统安全概述(1)
4.身份验证服务
SSPI(Security Support Provider Interface)将通过另一 种API提供身份验证服务。客户端/服务器应用程序不仅需要 对访问服务器的客户端执行身份验证,而且,有时甚至需要对 访问客户端的服务器实施验证。
计算机信息系统安全概述(1)
计算机信息系统安全概述(1)
3.设置全局组
构造安全策略的下一个步骤是确定用户应该属于什么组。
控制数据访问权限最简单的方法是,对于每 一组用户,分别地为它创建一个满足该组用 户权限要求的、域内全局有效的组。除了面 向特定应用程序的组之外,我们还需要几个 基本组。基本组的成员负责管理服务器。
计算机信息系统安全概述(1)
计算机信息系统安全概述(1)
1.AD组件
AD堪称Win2K操作系统的旗舰级组件, 主要用来克服Windows NT 4.0在目录功 能方面存在的伸缩性、扩展性、开放性 和管理能力问题。
AD为操作系统存储账号及控制策略信息。 AD依赖操作系统控制对AD对象的访问。 操作系统对AD中对象强制实施许可进入。 操作系统的授信信息存放在AD中。
计算机信息系统安全概述(1)
5.分配权限
实施安全策略的最后一个步骤是创建用户定义的数据库角 色,然后分配权限。完成这个步骤最简单的方法是创建一 些名字与全局组名字配套的角色。
创建好角色之后就可以分配权限。在这个过程中,我们只 需用到标准的GRANT、REVOKE和DENY命令。
接下来我们就可以加入所有SQL Server验证的登录。用户定 义的数据库角色可以包含SQL Server登录以及NT全局组、本 地组、个人账户 。
信息系统是指用于采集、处理、存储、传
输、分发和部署信息的整个基础设施、组 织结构、人员和组件的总和。
信息系统 (Information System)
是指由计算机及其相关和配套的设备、 设施(含网络)构成的,按照一定的应 用目标和规则对信息进行采集、加工、 存储、传输、检索等处理的人机系统。
计算机信息系统安全概述(1)
证书服务器,主要用来针对证书的申请、签发、 公布和管理任务提供CA所应具备的基本功能特性。
证书服务器可面向Exchange Server提供许可证 码身份验证和安全MIME(S/MIME)集成特性 。
管理人员必须为针对证书服务器配置实施操 控而以手工方式就文本文件进行编辑。证书 服务器缺乏对于PKI企业级使用需求来说是 至关重要的管理特性。证书服务器具备在其 他第三方目录中实现证书发布的能力。
1.3.1 Windows 2000安全机制简介 1.3.2 SQL Server 2000安全机制简介
1.4 Windows信息系统面临的安全威胁
1.4.1 安全威胁之系统破解 1.4.2 安全威胁之计算机病毒 1.4.3 安全威胁之恶意攻击
计算机信息系统安全概述(1)
1.1 计算机信息系统的定义
计算机信息系统安全概 述(1)
2020/12/7
计算机信息系统安全概述(1)
第1章 计算机信息系统安全概述
1.1 计算机信息系统的定义 1.2 计算机信息系统安全简介
1.2.1 计算机信息系统安全的定义 1.2.2 信息系统自身的安全脆弱性 1.2.3 对信息系统安全的威胁
1.3 Windows信息系统安全机制简介
1.验证方法选择
验证是指检验用户的身份标识; 授权是指允许用户做些什么。 构造安全策略的第一个步骤是确定SQL Server用 哪种方式验证用户。
计算机信息系统安全概述(1)
2.Web环境中的验证
IIS 5.0,可以用四种方法验证用户: 第一种方法是为每一个网站和每一个虚拟 目录创建一个匿名用户的Win2K账户; 第二种方法是让所有网站使用Basic验证; 在客户端只使用IE 6.0、IE 5.0浏览器的 情况下,你可以使用第三种验证方法。你 可以在Web网站上和虚拟目录上都启用 Win2K验证; 第四种方法是如果用户都有个人数字证书, 你可以把那些证书映射到本地域的Win2K 账户上。
1.3.1 Windows 2000安全机制简介
Windows NT 4.0的不足
Windows NT应用于企业级服务时,如果不使用那些繁
冗的附加软件产品,便无法提供分布式SSO(单点登
录)服务。委派功能(将针对限定账号集合的有限管
理优选权指派给另一用户的能力)则更是少得可怜。
同样无法借助平面化Windows NT域就组织层次和管理
1.2 计算机信息系统安全简介
1.2.1 计算机信息系统安全的定义
信息系统安全定义为:确保以电磁信
号为主要形式的、在计算机网络化(开
放互联)系统中进行自动通信、处理和
利用的信息内容,在各个物理位置、逻
辑区域、存储和传输介质中,处于动态
和静态过程中的机密性、完整性、可用
性、可审查性和抗抵赖性,与人、网络、
3.软件注册码破解简介
注册码加密保护的原理比较简单,即要求软件安装 者必须输入正版软件才拥有的一组字码(字符或数 字的组合),经软件验证通过后方可完成安装。注 册码的验证方式根据不同的软件各有不同,有的是 直接明文放在软件中,有的经过加密或变形后再进 行比较,还有的需要通过网络申请注册码,然后再 进行验证。不管通过哪种验证方式,注册码的破解 均有一定的规律可循,即通过反汇编工具追踪软件 的验证过程,在找到验证规律的基础上实现破解。
SSPI在身份验证服务中所扮演的角色
5.加密服务
Win2K所配备的EFS则允许你仅仅通过选中一个复选框的简单 操作即可在文件系统层对相关文件进行加密。EFS可借助面向 用户和应用程序的完全透明度对加密和解密任务进行处理。
Win2K主要凭借IPSec面向用户和应用程序提供充分透明度, 进而跨越身份验证、机密性、数据完整性和筛选服务。
IPSec在Win2K体系结构中所处位置
计算机信息系统安全概述(1)
1.3.2 SQL Server 2000 安全机制简介
SQL Server是Microsoft公司开发的大型数据库软件, Microsoft为SQL Server建立了一种既灵活又强大的安全 管理机制,SQL Server的安全机制是与下层的Win2K操作 系统结合在一起的,它能够对用户访问SQL Server服务 器系统和数据库的安全进行全面的管理。
环境有关的技术安全、结构安全和管理
安全的总和。
计算机信息系统安全概述(1)
1.2.2 信息系统自身的安全脆弱性
1.硬件组件
信息系统硬件组件的安全隐患多来源于 设计,主要表现为物理安全方面的问题。
2.软件组件
软件组件的安全隐患来源于设计和软 件工程中的问题。
3.网络和通信协议
(1)缺乏对用户身份的鉴别
(2)缺乏对路由协议的鉴别认证
(3)TCP/UDP的缺陷
计算机信息系统安全概述(1)
1.2.3 对信息系统安全的威胁
1.基本威胁
(1)信息泄露 (2)完整性破坏 (3)服务拒绝 (4)未授权访问
2.威胁信息系统的主要方法
(1)冒充 (2)旁路控制 (3)破坏信息的完整性 攻击者可以从以下三方面破坏信息的完整性: 篡改:改变信息流的次序、时序、流向、内容和形 式。 删除:删除消息全部或其中一部分。 插入:在消息中插入一些无意义的或计有算机害信息的系统消安全息概述。(1)
计算机信息系统安全概述(1)
1.4 Windows信息系统面临的 安全威胁
1.4.1 安全威胁之系统破解
1.Windows系统登录密码破解简介 (1)删除SAM文件(仅适合于Windows 2000) (2)修改账户密码 (3)穷举法破解账户密码
计算机信息系统安全概述(1)
2.文件级加密破解简介 (1)Office文件加密与破解 (2)FoxMail账号加密与破解
4.允许数据库访问
权限分配给角色而不是直接把它们分配给全局组。
创建了数据库之后,我们可以用 sp_grantdbaccess存储过程授权DB_Name Users组 访问它。
如果要拒绝数据库访问,我们可以创建另外一 个名为DB_Name Denied Users的全局组,授权 它访问数据库,然后把它设置为 db_denydatareader以及db_denydatawriter角 色的成员。
由于内建的角色一般适用于整个数据库而不是单独的对象,
因此这里建议你只使用两个内建的数据库角色,即
db_securityadmin和db_owner。
计算机信息系统安全概述(1)
6.简化管理
SQL Server验证的登录不仅能够方便地实现,而且 与NT验证的登录相比,它更容易编写到应用程序 里。但是,如果用户的数量超过25,或者服务器 数量在一个以上,或者每个用户都可以访问一个 以上的数据库,或者数据库有多个管理员,SQL Server验证的登录便不容易管理了。由于SQL Server没有显示用户有效权限的工具,要记住每个 用户具有哪些权限以及他们为何要得到这些权限 就更加困难。即使对于一个还要担负其他责任的 小型数据库管理员,简化安全策略也有助其减轻 问题的复杂程度。因此,首选的方法应该是使用 NT验证的登录,然后通过一些精心选择的全局组 和数据库角色管理数据库访问。
结构进行适当规划。Windows NT 4.0也没有为和用户
账号有关的应用程序专用信息提供存储位置。而
Windows NT所具备的PKI功能(最多只能算雏形状态)
则仅被限定于Web环境,并只能面向基于Microsoft
Exchange Server的通信任务提供部分支持,但PKI功
能本身却没有实现全面集成化。
计算机信息系统安全概述(1)
3.计算机反病毒技术的发展趋势
(1)适当增加杀毒软件的功能 (2)杀毒软件的技术革新 (3)操作系统的稳固性 (4)企业病毒解决方案和个人病毒防范
计算机信息系统安全概述(1)
1.4.3 安全威胁之恶意攻击
1.源IP地址欺骗攻击
假设同一网段内有两台主机A和B,另一网段内有主机X。 B 授予A某些特权。X 为获得与A相同的特权,所做欺骗 攻击如下:首先,X冒充A,向主机 B发送一个带有随机 序列号的SYN包。主机B响应,回送一个应答包给A,该 应答号等于原序列号加1。然而,此时主机A已被主机X利 用拒绝服务攻击“淹没”了,导致主机A服务失效。结果, 主机A将B发来的包丢弃。为了完成三次握手,X还需要 向B回送一个应答包,其应答号等于B向A发送数据包的 序列号加1。此时主机X 并不能检测到主机B的数据包 (因为不在同一网段),只有利用TCP顺序号估算法来 预测应答包的顺序号并将其发送给目标机B。如果猜测正 确,B则认为收到的ACK是来自内部主机A。此时,X即 获得了主机A在主机B上所享有的特权,并开始对这些服 务实施攻击。
(4)破坏系统的可用性 (5)重放 (6)截取和辐射侦测 (7)陷门 (8)特洛伊木马 (9)抵赖
3.威胁和攻击的来源
(1)内部操作不当 (2)内部管理不严造成系统安 全管理失控 (3)来自外部的威胁和犯罪 ① 黑客 ② 信息间谍 ③ 计算机犯罪
计算机信息系统安全概述(1)
1.3 Windows信息系统安全机制简介
计算机信息系统安全概述(1)
1.4.2 安全威胁之计算机病毒
1.计算机病毒的基本特征
(1)传染性 (2)隐蔽性 (3)破坏性 (4)可触发性
2.计算机病毒的发展趋势
(1)网络成为计算机病毒传染的主要载体; (2)传统病毒日益减少,网络蠕虫成为最主要和破坏力最大的病毒类型; (3)恶意网页的泛滥; (4)病毒与木马技术相互结合,出现带有明显木马特征的病毒; (5)传播方式多样化; (6)跨操作系统的病毒; (7)手机病毒、信息家电病毒的出现。
计算机信息系统安全概述(1)
首先,Microsoft在围绕Win2K展开设计工作的 过程中,秉承了多项旨在弥补Windows NT 4.0 自身缺陷的技术意图,该公司将这种操作系统 定位于终极电子商务支持平台。
其次,Win2K在很大程度上依赖于行业标准和相 关协议。
再次,Microsoft还需要提供一个有助于降低应 用程序开发成本的软件系统平台。
计算机信息系统安全概述(1)
2.CryptoAPI组件
CryptoAPI的设计目标在于,面向基于使用可安装加密服 务提供程序之操作系统的全部应用程序及其他相关组件提 供针对低级加密服务的一站式“采购”模式
CryptoAPI为应用程序提供一站式“采购”服计算务机信息系统安全概述(1)
3.证书服务器
计算机信息系统安全概述(1)
4.身份验证服务
SSPI(Security Support Provider Interface)将通过另一 种API提供身份验证服务。客户端/服务器应用程序不仅需要 对访问服务器的客户端执行身份验证,而且,有时甚至需要对 访问客户端的服务器实施验证。
计算机信息系统安全概述(1)
计算机信息系统安全概述(1)
3.设置全局组
构造安全策略的下一个步骤是确定用户应该属于什么组。
控制数据访问权限最简单的方法是,对于每 一组用户,分别地为它创建一个满足该组用 户权限要求的、域内全局有效的组。除了面 向特定应用程序的组之外,我们还需要几个 基本组。基本组的成员负责管理服务器。
计算机信息系统安全概述(1)