第五章认证和口令
第五章 消息认证与身份认证
用户输入口令 以解密得到服 务申请凭证和 与TGS的会话密
钥
Client
AS 用户信息
TGS
Kerberos服务器
鉴定用户身份, 如有效生成服 务许可凭证和
client与 server的会话
6
3
2009-10-26
单向散列函数的特点
单向散列函数 H(M)作用于一个任意长度的数据M, 它返回一个固定长度的散列h,其中h的长度为m,h 称为数据M的摘要。单向散列函数有以下特点:
Ø 给定M,很容易计算h; Ø 给定h,无法推算出M;
除了单向性的特点外,消息摘要还要求散列函数具有 “防碰撞性”的特点: Ø 给定M,很难找到另一个数据N,满足H(M)=H(N)。
12
6
2009-10-26
SHA安全散列算法
1992年NIST制定了SHA(128位) 1993年SHA成为标准(FIPS PUB 180) 1994年修改产生SHA-1(160位) 1995年SHA-1成为新的标准,作为SHA-1(FIPS PUB 1801/RFC 3174),为兼容AES的安全性,NIST发布FIPS PUB 180-2,标准化SHA-256, SHA-384和SHA-512 输入:消息长度<264 输出:160bit消息摘要 处理:以512bit输入数据块为单位 基础是MD4
信保密性、完整性
§ 认证服务(Authenticator service) § 票据发放服务(Ticket Granting Service) § 票据(Ticket)
• 是一种临时的证书,用tgs 或 应用服务器的密钥 加密
• TGS 票据 • 服务票据
§ 加密:
16
2009-10-26
口令管理规定
附件:天津市电力公司信息系统帐号、口令管理规定(试行)第一章总则第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护,保证计算机安全和天津市电力公司信息系统正常有序的运行,特制定本管理规定。
第二条本规定适用于所有使用公司信息系统的用户,包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。
同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。
第二章术语解释第三条授权用户:●天津市电力公司内部人员:指天津市电力公司的在册职工;●非天津市电力公司内部人员:指临时到天津市电力公司工作,但非天津市电力公司正式员工的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业务人员等。
第四条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式;●管理员帐号:指在系统中具有较大的权限,能对网络、应用、系统进行关键性设置权限的账号,典型用户为系统管理员;●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户;●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内;●匿名帐号:供不确定身份的人员使用的帐号。
第五条口令●口令:指系统为了认证帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,办公自动化系统的帐号文件及帐号口令;●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;●弱口令:仅由字母、单词、数字或其简单的组合,易于被猜测的口令。
第三章帐号的建立第六条系统要求●天津市电力公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于帐号的访问控制功能;●所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。
第七条帐号申请原则●只有授权用户才可以申请帐号;●任何系统的帐号设立必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”;●用户申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;●帐号相应的权限应该以满足用户需要为原则,不得授予与用户职责无关的权限;●任何帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人。
服务器登录口令管理制度
第一章总则第一条为加强我单位服务器安全管理,确保服务器数据安全,防止未经授权的访问,特制定本制度。
第二条本制度适用于我单位所有服务器及其登录口令的管理。
第三条服务器登录口令管理应遵循以下原则:(一)安全性原则:确保登录口令的复杂度和强度,防止密码破解。
(二)唯一性原则:每个服务器登录口令应唯一,避免重复使用。
(三)保密性原则:登录口令应严格保密,防止泄露。
(四)可追溯性原则:对登录口令的变更和审计进行记录,便于追溯和责任追究。
第二章口令制定与变更第四条服务器登录口令应遵循以下要求:(一)长度:至少8位,建议使用大小写字母、数字和特殊字符的组合。
(二)复杂性:避免使用连续数字、键盘上相邻字母、常用单词等容易破解的口令。
(三)唯一性:每个服务器登录口令应唯一,避免重复使用。
第五条口令变更:(一)服务器管理员应定期(如每季度)更改登录口令,确保口令安全。
(二)当发现口令可能泄露或被破解时,应及时更改口令。
(三)口令变更后,应及时通知相关人员。
第三章口令管理职责第六条服务器管理员职责:(一)负责服务器登录口令的制定、变更和保管。
(二)确保登录口令符合本制度要求。
(三)监督和检查登录口令的使用情况,发现异常情况及时处理。
(四)对登录口令变更和审计进行记录。
第七条信息安全管理部门职责:(一)负责制定、修订和监督实施服务器登录口令管理制度。
(二)对服务器登录口令管理情况进行检查和评估。
(三)对违反本制度的行为进行调查和处理。
第四章口令使用与审计第八条口令使用:(一)服务器管理员登录服务器时,必须使用正确的登录口令。
(二)禁止将登录口令告知他人,禁止使用他人登录口令。
(三)禁止使用与个人账号或手机号码等容易关联的信息作为登录口令。
第九条口令审计:(一)服务器管理员应定期对登录口令的使用情况进行审计,确保口令安全。
(二)审计内容包括登录时间、登录IP地址、登录次数等。
(三)发现异常情况,应及时处理,并向信息安全管理部门报告。
第五章_RACF
第六章RACF概述6.1概论RACF(Resource Access Control Facility)是OS/390的安全子系统。
它可以证实一个用户,并且保护数据不会被有意或无意地破坏、修改、泄漏或使用。
RACF有四大功能:1.证实一个用户RACF使用用户ID和口令来证实一个用户。
当一个用户试图登录时,RACF将检查这个用户是否在RACF中有定义,口令是否有效,用户是否已被挂起,用户是否被授权使用这个终端,用户是否被授权使用这个应用,用户是否允许此时登录,终端是否允许此时登录。
所有的安全检查通过后,用户才会被允许登录进入系统。
定义用户时,系统管理员会给用户一个暂时的口令,用户登录后RACF会强制用户改变自己的口令,这样系统中的任何用户都不会知道用户的口令,除非用户自己泄漏。
当用户忘了自己的口令时,系统管理员会给他改变口令,这样当用户再次登录时,又需要强制改变自己的口令。
当一个MVS用户已登录在系统中时,他也不能再次登录,只有在LOGOFF后才能在登录。
每一个RACF定义的用户均有一个PROFILE,其内容有用户ID、拥有者、口令、属性、SECURITY CLASSIFICATION、组及段。
在RACF中用户可划分为组。
一个用户组通常是许多具有类似权限的用户的集合。
组主要是为了管理方便,因为它可以简化PROFILE中的访问列表。
一个用户可同时属于多个组,当一个用户成为一个组中的成员时,我们说这个用户连接到这个组中,同时他也具有了这个组的权限。
2.资源授权检查当一个用户企图访问一个特定的资源时,系统会调用RACF去确定用户是否允许使用该资源。
RACF不仅控制用户对资源的访问,而且还控制用户如何去访问资源,比如是只读还是可读可写,或者必须通过某种手段(诸如通过特定的程序)访问。
RACF可用于控制访问许多类的资源,诸如MVS数据集、终端、控制台、CICS和IMS交易甚至程序等。
RACF 对资源的控制也是通过PROFILE来进行,资源PROFILE的主要内容有:PROFILE名、拥有者、UACC(通用访问权限)、访问控制列表、SECURITY CLASSIFICATION及审计信息。
第5章信息认证技术
第五章 信息认证技术
第一节 报文认证
一、报文内容的认证 二、报文源的认证 三、报文时间性的认证
第五章 信息认证技术
第一节 报文认证
一、报文内容的认证 在报文中加入一个“报尾” 在报文中加入一个“报尾”或“报头”, 报头” 称其为“认证码”(AC-authenticating 称其为“认证码” code)。这个认证码是通过对报文进行的某 )。这个认证码是通过对报文进行的某 )。 种运算得到的,也可以称其为“校验和” 种运算得到的,也可以称其为“校验和”。 它与报文内容密切相关, 它与报文内容密切相关,报文内容正确与否 可以通过这个认证码来确定。 可以通过这个认证码来确定。
第五章 信息认证技术
第一节 报文认证
二、报文源的认证 一是由收方和发方共享某个秘密的数 据加密密钥, 据加密密钥,并利用这个密钥来验证发方 身份验证过程如下: 身份验证过程如下:
K1加密 A方 方 K2解密 B方 方
第五章 信息认证技术
第一节 报文认证
二、报文源的认证 二是通行字。 二是通行字。是指通信双方事先约定好 各自所使用的通行字。 发给B的所有报文 各自所使用的通行字。在A发给 的所有报文 发给 中都要含有A的通行字,同样, 发往A的 中都要含有 的通行字,同样,由B发往 的 的通行字 发往 所有报文也都要含有B的通行字。 所有报文也都要含有 的通行字。 的通行字
第五章 信息认证技术
第三节 数字签名 一、数字签名的概念
在计算机中,签名函数必须满足以下条件: 在计算机中,签名函数必须满足以下条件: ①当M′≠M时,有SIG(M′K)≠SIG(M,K),即S≠S′; 时 , , ;
只能由签名者产生, ②签名S只能由签名者产生,否则别人便可伪造, 签名 只能由签名者产生 否则别人便可伪造, 于是签名者也就可以抵赖; 于是签名者也就可以抵赖;
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
口令管理规定(DOC)
附件:天津市电力公司信息系统帐号、口令管理规定(试行)第一章总则第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护,保证计算机安全和天津市电力公司信息系统正常有序的运行,特制定本管理规定。
第二条本规定适用于所有使用公司信息系统的用户,包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。
同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。
第二章术语解释第三条授权用户:●天津市电力公司内部人员:指天津市电力公司的在册职工;●非天津市电力公司内部人员:指临时到天津市电力公司工作,但非天津市电力公司正式员工的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业务人员等。
第四条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式;●管理员帐号:指在系统中具有较大的权限,能对网络、应用、系统进行关键性设置权限的账号,典型用户为系统管理员;●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户;●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内;●匿名帐号:供不确定身份的人员使用的帐号。
第五条口令●口令:指系统为了认证帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,办公自动化系统的帐号文件及帐号口令;●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;●弱口令:仅由字母、单词、数字或其简单的组合,易于被猜测的口令。
第三章帐号的建立第六条系统要求●天津市电力公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于帐号的访问控制功能;●所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。
第七条帐号申请原则●只有授权用户才可以申请帐号;●任何系统的帐号设立必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”;●用户申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;●帐号相应的权限应该以满足用户需要为原则,不得授予与用户职责无关的权限;●任何帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人。
计算机基础课程课后习题答案
第一章:一、选择题1、C2、C3、C4、B5、A6、A7、A8、D9、A 10、C二、填空题1、CAD2、时钟频率3、USB4、四5、摩尔6、电子管7、2108、操作数9、CRT 10、计算机硬件和计算机软件第二章:一、选择题1、D2、A3、C4、A5、D6、C7、B8、A二、填空题1、1110111,167,772、位,字节3、8,7,2三、简答题1:1)易于实现。
2)运算规则简单。
3)适合逻辑运算。
2:1)取样:将画面划分为M×N的网格,每个网格称为一个取样点。
2)分色:将彩色图像取样点的颜色分成三个基色(R、G、B三基色),即每个取样点用3个亮度值来表示,称为3个颜色分量,如果不是彩色图像(即灰度图像或黑色图像),则每一个取样点只有一个亮度值。
3)量化:对取样点的每个分量进行A/D转换,把模拟量的亮度值使用数字量(一般是8~12位正整数)来表示。
3:1)采样,即每隔相等的时间T从声音波形上提取声音信号。
2)量化。
把采样序列x(nT)存入计算机,必须将采样值量化成一个有限个幅度值的集合y(nT)(n=0,1,2,……)。
第三章:一、选择题1、D2、B3、B4、A5、A6、D7、B8、B9、B二、填空题:1、下拉菜单2、程序和功能3、不可执行4、搜索你5、无子文件夹6、Setup.exe7、滚动条8、实时操作系统三、简单题1、操作系统是管理计算机硬件资源,控制其他程序运行并为用户提供交互操作界面的系统软件的集合。
操作系统是计算机系统的关键组成部分,负责管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本任务。
操作系统的种类很多,各种设备安装的操作系统可从简单到复杂,可从手机的嵌入式操作系统到超级计算机的大型操作系统。
常用的操作系统有windows、unix、Linux等。
2、能使程序删除的干净、彻底。
3、方便用户更清楚、更直观的管理电脑的文件和文件夹及其资源。
6.1.1.4信息系统用户和口令管理办法
第一条信息系统用户和口令管理办法第二条固阳电力有限责任公司第三条固阳电力有限责任公司第四条信息系统用户和口令管理办法第一章总则第五条本标准规定了固阳电力各类信息系统用户帐号和口令的管理规定和方法。
第六条本标准仅适用于固阳电力网络业务系统的服务器和工作站、网络设备和应用。
第七条本标准适用于所有和上述系统相关的管理和维护人员、所有上述系统中存在的账号和口令。
第八条第二章职责定义第九条信息系统运行维护部门负责人负责执行由安全标准规定的管理职能,包括规定每个员工的角色和可以访问的信息资源、批准创建用户、撤销用户等。
第十条设立“用户账号集中管理系统管理组”,(以下简称“账号管理组”)管理用户集中管理系统,并执行具体的技术操作,如执行具体的创建用户、删除用户等操作。
第十一条第三章用户账号标准第十二条不允许共享账号和口令,除非由部门负责人授权,不允许将个人使用的口令告诉他人,即使部门负责人也不能要求员工告知个人用户名和口令。
第十三条设备的重要口令包括如路由器、交换机、接入服务器等的远程登录口令、特权模式口令,主机的root口令、数据库系统管理口令等。
都由唯一的人员掌握第十四条重要的系统口令应尽可能采用一次性口令或者双要素口令认证。
第十五条不允许匿名账号的存在;第十六条远程登录口令、特权模式口令必须强制每三个月更改一次。
第十七条网络主机设备的重要口令必须每三个月更改一次;普通口令由系统管理员督促,口令拥有者必须至少每六个月更改一次;作为登录全网网络设备和其它主机设备的设备,其重要口令、普通口令必须每一个月更改一次。
对于3个月没有使用的账号应进行评估是否删除。
第十八条对网管等主机设备重要口令必须每一年更改一次。
第十九条口令的更改必须指定两位专人负责,由这两人根据要求定期进行更改。
责任人必须保证口令更改的及时性、有效性,同时必须在“数据部设备重要口令更改记录表”中进行详细记录,并保证在网设备的口令与记录上的口令保持一致。
口令认证方法
口令的存储(续)
哈希散列存储口令 • 哈希散列函数的目的是为文件、报文或其他分组数据产生
“指纹”。 • 从加密学的角度讲,一个好的散列函数H必须具备如下性质:
H的输入可以是任意长度的; H产生定长的输出;对于任何 给定的x, H(x)的计算要较为容易;对于任何给定的码h,要 寻找x,使得H(x)=h在计算上是不可行的,称为单向性;对 于任何给定的分组x,寻找不等于x的y, 使得H(x)=H(y)在计 算上是不可行的,称为弱抗冲突;寻找对任何的(x,y)对, 使得H(x)=H(y)在计算上是不可行的,称为强抗冲突。
可以解锁;
1.2 脆弱性口令
• 跟踪系统的登陆过程,发现口令的计算是非常脆弱 的。
• 口令的脆弱性一般体Байду номын сангаас在两个方面:登陆时候的口 令加密算法的脆弱和数据库存储的口令加密算法的 脆弱。
• 因此在设计口令时要考虑到影响口令的因素。
影响口令的因素
• 长度范围(length range):可以被接受的各种口令长度 值,用最小和最大长度值表示。
• 成份(composition):一系列用于组成口令的合法字符。 • 使用期限(lifetime):使用期限是一个口令被允许使用的
最长时间段。 • 来源(source):产生或选择口令的合法实体,口令的来
源应由信息安全人员和系统管理员选择决定,可以是用户、 信息安全人员或自动口令生成器。 • 分配(distribution):将新口令发送给拥有者以及口令系 统的适当方式。
口令的明显缺点 (续)
windows系统安全身份验证
身份认证概述 交互式登录 网络身份验证 安全套接字 针对验证的攻击网络
身份认证概述
对用户身份进行验证,认证能防止攻击者假 冒合法用户获取访问权限
审计数据库
身
用
份
访问控制
户
认
证
资源
授权数据库
用户访问资源过程
身份认证概述
认证的主要依据
1 口令:主体了解的秘密,如口令. 2 智能卡:主体携带的物品. 3 生物特征:如指纹、声音、视网膜,血
▪ 服务端和客户端都需要配置注册表
安全策略设定
➢ 策略 MMC中的安全策略
1 启用口令字复杂化机制 2 设置账户锁定阈值. 3 启用针对登录失败事件的日志审计功能 4 禁用无人使用的账户 5 锁定真正的Administrator账户并创建一个诱饵
管理员账户
策略 1, 2
策略3
策略4
最差
最准 确
比较 准确
最差
扫描彻底,提供 漏洞描述和利 用程序;提供 TCP和SYN两 种扫描方式
能够控制肉鸡 代理扫描,自带 多种入侵工具, 有字典生成工 具
支持代理扫描; 自带多种攻击 工具;有嗅探 功能
1 弱口令扫描
➢2 选择扫描模块
➢1 选择检测范围
注意: X-scan也可以挂上 字典文件
策略5
默认配置下win server 2003不会锁定 Administrator账户----即便系统管理员激活 了账户锁定机制,Administrator账户也不会 被锁定.
用passprop工具启用Administrator账户 的锁定机制
➢ Passprop /adminlockout管理员账户名
管分布图或签字等. 其他 :IP地址,特定场所也可能是特定
第5章-身份认证-电子课件
2020/6/16
5
图5.1 身份认证的过程
2020/6/16
6
5.1.1身份认证技术的基本概念
3. 认证技术的类型 认证技术是用户身份鉴别确认的重要手段,也是网络系 统安全中的一项重要内容。从鉴别对象上可以分为两种:消 息认证和用户身份认证。
消息认证:用于保证信息的完整性和不可否认性。通常 用来检测主机收到的信息是否完整,以及检测信息在传递过 程中是否被修改或伪造。
2020/6/16
8
5.1.2基于信息秘密的身份认证
基于信息秘密的身份认证是根据双方共同所知道的秘密 信息来证明用户的身份(what you know),并通过对秘密 信息进行鉴别来验证身份。例如,基于口令、密钥、IP地址 、MAC地址等身份因素的身份认证。主要包括:
1.网络身份证 网络身份证即虚拟身份电子标识VIEID(Virtual identity electronic identification)技术。就是在网络上可以证明一 个人身份及存在的虚拟证件。VIEID是网络身份证的工具或 服务协议,也是未来互联网络基础设施的基本构成之一。
身份认证:鉴别用户身份。包括识别和验证两部分内容 。其中,识别是鉴别访问者的身份,验证是对访问者身份的 合法性进行确认。
2020/6/16
7
5.1.1身份认证技术的基本概念
4.常见的身份认证技术 在现实世界中,对用户的身份认证基本方法可以分为三种:
(1)基于信息秘密的身份认证:就是根据你所知道的信息 来证明你的身份(what you know你知道什么);
2020/6/16
18
5.1.4基于生物特征的身份认证
认证系统测量的生物特征是指唯一的可以测量或可自动 识别和验证的生理特征或行为方式。使用传感器或者扫描仪 来读取生物的特征信息,将读取的信息和用户在数据库中的 特征信息比对,如果一致则通过认证。
信息安全技术教程第五章
帐号管理命令(3)
passwd 作用:设置指定帐户的口令 语法: [root@linux ~]#passwd [-S] [-l] [-u] [-d] username 参数说明: -S: 查看帐户口令的状态 -l: 锁定帐户的口令 -u: 解锁帐户的口令 -d: 删除帐户的口令
组的管理命令(1)
帐号名称:帐号名称用于对应UID,例如root就是默认的系统管理 员帐号名称; 密码:用户的密码信息,由于安全问题被存放到了shadow文件; UID:用户的识别码,通常linux对uid有几个限制:0系统管理员; 1~499系统预留的id;500~65535供一般用户使用; GID:与/etc/group有关,用来识别群组; 说明:用来解释该帐号的意义; 根目录:该用户的根目录,也就是该用户的宿主目录;其他用户 的根目录为/home/youridname; Shell:shell是人跟计算机沟通的界面,定义该帐号登录系统后的 默认shell;如果这个字段为空默认选择/bin/sh作为用户登录shell
保留:暂时没有定义;
组的帐户保存位置
/etc/group
root:x:0:root
组名:组的名字 密码:该组的密码。为了安全起见,同样要使用安全信 息文件。组的安全信息文件为/etc/gshadow 组ID:组的标示符,为正整数,与UID类似500以后 用户列表:该组包含的用户账户,每个账户之间用逗号 (,)分隔
+增加权限
-减少权限 =设置权限为
权限的修改
8进制数字法
系统用户(没有宿主目录和口令,也不能登录系统;主要是为了
满足相应的系统进程对文件属主的要求而建立的)
《网络安全》辅导资料8
《网络安全》辅导资料八主 题:第五章 网络安全策略与控制(第1节)学习时间: 2014年11月17日-11月23日内 容:重点:身份验证和访问控制的原理及方法难点:信息安全策略的整体创建第五章 网络安全策略与控制这周我们将学习第五章《网络安全策略与控制》第一节,这部分重点介绍身份认证的相关知识,下面整理出的知识点供同学们学习。
网络信息安全策略主要有三个方面的内容:• 身份认证• 存取控制• 信息完整性第一节 身份认(验)证身份认证指的是用户身份的确认技术,它是网络信息安全访问的第一道防线,也是最重要的一道防线。
网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性,然后确定这个用户的个人数据和特定权限。
1、常用的认证方式在一般情况下,信息系统用户登录到计算机系统实施一般使用以下几种认证方式:• 账户/ 口令方式• IC卡认证方式• 生物特征认证方式1)账户/ 口令认证方式• 这是最简单也是最常用的身份认证方法。
它是基于“what you know”的认证手段。
方法的内涵是:用户账号(也称用户标识UserID)+口令(Password) =某人的身份。
用户标识又称系统用户标识与验证,是系统用以赋予存取权限和资源利用的根据。
• 一般只要能够正确输入标识和口令,计算机就认为操作者是合法用户。
• 目前的口令机制大体上可分成两种,一种是传统的明文式口令,另一种是计算式口令。
计算式口令• 这种口令可以在一定程度上解决口令文件丢失或泄密问题。
也就是说,所用的口令不是直接存放在信息系统中,而是经过了某种数学计算后才存放到系统中,而从存放的结果内容不可能推算出原始的口令。
• 比如口令为一个字符串组合X,存放的结果内容是Y,而Y=F(X),这里的F是一个单向散列函数(也称Hash函数),想要从得到的Y计算出X非常困难。
而从X却很容易计算得到Y,与事先存放在口令文件中的Y相比较,就可以确定登录的是否为合法用户。
网络信息系统安全管理规范
网络信息系统安全管理规定第一章总则第一条 为了保证本单位信息网络系统的安全,根据中华人民共和国有关计算机、网络和信息安全的相关法律、法规和安全规定,结合本单位信息网络系统建设的实际情况,特制定本规定。
第二条 各信息安全部门应据此制订具体的安全管理规定。
第三条 本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
第四条 本规定适用于本单位所属的网络系统、单机,以及下属单位通过其他方式接入到本单位网络系统的单机和局域网系统。
第五条 接入范围。
可以接入本单位信息网络系统的单位包括:公务员办公系统、部所属在京直属单位、各省、自治区、直辖市、计划单列市的政府管理机构和批准的其他单位。
第六条 信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
第二章 物理安全管理第七条 物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。
第八条 为了保障信息网络系统的物理安全,对系统所在环境的安全保护,应遵守国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
第九条 网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
第十条 对重要网络设备配备专用电源或电源保护设备,保证其正常运行。
第十一条 信息网络系统所使用的链路必须符合国家相关的技术标准和规定。
第十二条 链路安全包括链路本身的物理安全和链路上所传输的信息的安全。
物理安全指链路的物理介质符合国家的技术标准,安装架设符合国家相关建设规范,具有稳定、安全、可靠的使用性。
银行口令管理制度
银行口令管理制度第一章总述第一条为了规范银行口令管理,保障银行业务的安全性和稳定性,根据相关法律法规,制定本制度。
第二条口令是银行员工在进行系统登录、交易授权等操作时使用的一种身份识别方式,是保障系统安全的重要措施。
第三条本制度适用于银行内所有员工使用口令的管理。
第二章口令的设置第四条员工口令应由系统管理员按照规定的密码复杂度要求生成,并通知员工进行设置。
第五条口令应由数字、字母、特殊字符组成,长度不少于8位。
第六条口令应定期更换,初次设置后应在90天内进行更换。
第七条口令不得使用与个人相关的易被他人猜到的信息,如生日、电话号码等。
第八条禁止员工将口令告诉他人,包括亲属、朋友或同事。
第三章口令的保管和使用第九条员工口令需妥善保管,不得以任何形式将口令写在便签、电脑文件或其他易被他人获取的地方。
第十条员工应避免在公共场所或非安全环境下使用口令。
第十一条员工应在每次使用口令后及时退出系统,避免其他人利用其身份进行非法操作。
第十二条口令不得与设备、文件等一起存放,不得使用自动填充密码功能。
第四章口令的管理第十三条系统管理员应对口令进行定期的安全检查,了解员工是否遵守口令管理制度。
第十四条系统管理员应对员工口令的设置、使用情况进行监控和记录,发现异常情况应及时进行处理。
第十五条员工应在发现口令被泄露或遗忘时,及时向系统管理员报告并进行口令的修改。
第十六条对于口令管理制度违规的员工,应根据银行相关规定进行严肃处理。
第五章附则第十七条本制度自颁布之日起执行,上一个版本的制度同时失效。
第十八条本制度的最终解释权归银行所有。
第十九条本制度自颁布之日起,银行各部门及员工都应严格遵守,如有违反,将受到相应的处罚。
本制度经银行相关部门讨论通过,自颁布之日起生效。
银行口令管理制度第一章总则第一条为了加强对银行系统账户的信息安全管理,提高系统使用人员密码自觉管理和安全意识,保证账户的信息安全,根据相关法律法规,结合本行实际,制定本管理制度。
口令管理规定
附件:天津市电力公司信息系统帐号、口令管理规定(试行)第一章总则第一条为了规范天津市电力公司信息系统中终端计算机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护,保证计算机安全和天津市电力公司信息系统正常有序的运行,特制定本管理规定。
第二条本规定适用于所有使用公司信息系统的用户,包括数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员。
同样适用于天津市电力公司信息系统范围内所有使用个人计算机及网络的员工。
第二章术语解释第三条授权用户:●天津市电力公司内部人员:指天津市电力公司的在册职工;●非天津市电力公司内部人员:指临时到天津市电力公司工作,但非天津市电力公司正式员工的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业务人员等。
第四条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式;●管理员帐号:指在系统中具有较大的权限,能对网络、应用、系统进行关键性设置权限的账号,典型用户为系统管理员;●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户;●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内;●匿名帐号:供不确定身份的人员使用的帐号。
第五条口令●口令:指系统为了认证帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,办公自动化系统的帐号文件及帐号口令;●健壮口令:具有足够的长度和复杂度,难于被猜测的口令;●弱口令:仅由字母、单词、数字或其简单的组合,易于被猜测的口令。
第三章帐号的建立第六条系统要求●天津市电力公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于帐号的访问控制功能;●所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。
第七条帐号申请原则●只有授权用户才可以申请帐号;●任何系统的帐号设立必须按照规定的相应流程规定进行,具体流程见“附录一:账号、口令建立、变更、取消流程”;●用户申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;●帐号相应的权限应该以满足用户需要为原则,不得授予与用户职责无关的权限;●任何帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人。
公司账号和口令管理办法
公司账号和口令管理办法第一章总则第一条随着XXXX公司(以下简称公司)信息系统建设的发展,内部员工在使用信息系统的过程中,使用了基于操作系统的账号、基于数据库的账号和基于应用系统的账号以保障系统的安全性。
大量账号的使用使得账号口令的管理复杂化,为了保证各系统的账号口令管理水平保持在一致的水平之上,特制定本办法。
第二条本办法规定了账号和口令管理的相关职责定义和管理措施,是公司内网账号和口令管理工作依据。
第三条本办法适用于公司、全资子公司及比照全资子公司管理的控股子公司(以下简称子公司)。
公司控股投资企业可参照执行。
第二章组织和职责第四条公司信息化管理部运行管理处指定专人负责登记备案账号及相应的用户权限。
第五条各个应用系统的负责人负责审核账号及用户权限变更的合法性。
第六条各个应用系统的负责人指定或委派专人负责增加、维护、整理及废除系统使用者的账号及相应的用户权限。
第七条个人计算机中的账号及用户权限定义由计算机的使用者进行维护与管理。
第三章账号管理办法第八条在使用和管理系统时,所有用户都应拥有个人专用的唯一标识符(用户 ID)。
不同的管理者必须使用不同的账号登录,并且只能在需要的时候转换为管理员身份进行所需的操作。
第九条除非由人事部门正式授权或要求,否则不允许将个人使用的账号及口令告知他人。
第十条系统中不允许有不明用途的账号存在,所有存在的账号必须有明确的文档(电子或纸制)说明其用途、使用者、添加时间、权限及其他信息。
所有操作系统应禁止使用无口令的用户账户。
第十一条系统的负责人至少每六个月对系统内无用及过期的账号进行废除或锁定(例如系统默认账号 user,guest,daemon, bin, sys, adm, lp, nobody 等),并将结果呈文上报至运行管理处。
第十二条用户账号授权应该满足最小授权和必需知道的原则。
最小授权原则指仅让用户能够访问其工作需要的信息,其他信息不能被该用户访问;必需知道原则指应该让用户有权限访问其工作中需要用到的信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
-
第五章 认证和口令
5.1.2 更改口令的频率
在网络服务上设置口令的过期期限,
要求用户选择新口令,这种措施改善
了系统的安全性。
第五章 认证和口令
改变口令将发生下列两件事之一
如果用户改变了口令,快客就会失去
帐户连接,直到他再次攻破为止。
如果快客改变了口令,帐户的合法用 户就会失去连接并且通知管理员。
了解口令设置策略并确保用户已经懂
得如何创建强健的口令。
第五章 认证和口令
守则1:决不要写下口令
守则2:使用一个以上的单词构成口令
守则3:使用短语建立口令
守则4:决不在别人注视键盘或屏幕
时输入口令
第五章 认证和口令
守则5:经常修改口令(即使系统没
有要求)
守则6:如果怀疑口令泄露则立即改
变口令
守则7:不要告诉任何人你的口令。
第五章 认证和口令
5.3 内置认证
对于任何种类的服务器来说,它们多
数都提供自己内置的认证方式。这包
括本地存储的用户和口令列表。
第五章 认证和口令
认证步骤
用户连接到一个服务器并且请求一个
连接。
服务器要求认证数据。
用户发出用户ID和口令。
第五章 认证和口令
服务器将接收到的口令与本地存储的
认证数据进行比较,并试图找到二者
(3)约束主体对客体访问尝试的参考监视器;
(4)识别和验证主体和客体的可信子系统; (5)审计参考监视器活动的可信子系统。
三种安全机制的关系
系统安全策略
操作系统安全性:
应用更新与补丁 启用与禁用服务 检测入侵
.
系统安全策略
• 口令及认证
• 访问控制
第五章 认证和口令
认证是验证用户的身份来决定访问网
第五章 认证和口令
信息系统安全的三大模型
网络系统的安全模型:
安全屏障(外/内) 安全策略 入侵检测系统
传统的网络安全系统结构
Internet
探测器2 边界路由器 DMZ区 交换机 探测器1 防火墙
Web 服务器 探测器3
DNS Mail 服务器 服务器
交换机
路由器
交换机
内部网
探测器4
财务网
探测器5
字等。
别选择记不住的口令。
第五章 认证和口令
5.1.1 创建好的口令
在口令中尽量包含字母、数字、标点 符号,保证口令易于记忆。一种方法 是在两个任意单词之间加入标点符号
(例 door%wet),或者在两个单词之
间加一个数字(例 ring12ding )。
第五章 认证和口令
使用可以记住的短语的第一个字母。 用熟悉的商店名,再从商店的地址中 提取出数字作一些点缀来合成口令, 如:TO2y4S5R8Us。 去掉元音字母,用易于记忆的词语代 替。如:将 “publications” 改为----“publ1at10ns”。
第五章 认证和口令
被所提供的特征所限制。如果开发者
不提供任何强制口令过期的方法,你
将不得不定期手工清理它们。如果软
件只支持明文口令认证,你将留下一
个安全漏洞,在网络上的任何人都可
以探测到它。
第五章 认证和口令
添加额外的或第三方认证
在第三方认证过程中,一台服务器不
是使用它自己默认的认证方式,而是
通过查询来确定一个用户是否已经访
6.
第五章 认证和口令
5.1 创建安全的口令
口令的破译法
口令词典破译法
口令蛮力破译法
第五章 认证和口令
建立口令时应遵循的规则
选择长的口令
最好的口令包括英文字母和数字的组合
不要使用英语单词
第五章 认证和口令
用户若可以访问多个系统,则不要使
用相同的口令。
不要使用名字,自己名字、家人的名
字、电话号码、车牌号码和宠物的名
信息系统安全的三大模型
信息系统的保护模型
计算机资源
(处理器、存储器等) 攻击者: 人(如黑客) 访问通道 数据、程序、软件等 对外提供的服务
内部安全控制 守卫者
信息系统
程序(如病毒、蠕虫等)
• 可控性
经典安全模型的雏形
基本组成要素
(1)明确定义的主体和客体; (2)描述主体如何访问客体的一个授权数据库;
中定期变化的计算值。
用户的某些物理特征,包括声音、视
网膜或者指纹扫描图案,一般称为 “生 物测定学”。
第五章 认证和口令
到目前为止,口令是验证用户身份的
最流行的方法,因为它很方便。只要 拥有一个名称和口令,用户便可以从 任何地方进行连接,而不需要附加的 硬件、软件或知识。如果连接需要使 用智能卡、令牌或其他附加的实用程 序,则会给用户带来不方便。
之间的匹配关系。
如果二者存在匹配关系,便授权用户 访问系统。
第五章 认证和口令
内置认证的缺点
认证数据与用户正在连接的数据存储
在同一系统中,用户将不难得到口令
文件的副本来进行破译。
第五章 认证和口令
由于每一个设备都有自己的内置认证,
这要求维护多个用户列表和口令,为
潜在的黑客提供了多个可攻击的地方。
问。
第五章 认证和口令
可配置一台独立的服务器,它的主要
任务是保存认证信息,并使网络上的
其他所有服务可以使用那台服务器来
验证用户。
第五章 认证和口令
认证服务器支持认证、授权和记帐(AAA)
认证是确定用户身份与其声明的是否 相同的过程。
授权是一旦用户已经经过认证并连接
后,确定他可以做什么。
记帐确定并报告用户怎样使用他的时
• 优点:
• 黑客如果没有用户的信息就不能更改
口令。
第五章 认证和口令
• 如果总是被指定,并不是用户选择的,
可以保证口令具有一定的复杂性和长
度等,以避免用户选择较简单的口令
• 缺点:
对于用户来说不是很方便。
第五章 认证和口令
5.2 用户守则
对安全措施而言,对用户进行教育是
很关键的。在教育培训中应该使用户
第五章 认证Biblioteka 口令利用服务器工具规定定期更改
用户可以改变自己的口令
• 优点:简单,不需要你和组织之间进
行交涉,并且相当安全。
第五章 认证和口令
• 缺点:黑客可以代替用户来响应更改口
令的需求,对于闲置的或不经常
使用的帐户来说,黑客所做的更
改也许在几个星期内也不会被发
现。
第五章 认证和口令
网管指定用户口令
络服务的级别的过程,或者是确定访问网
络的级别的过程。选择的认证方法主要取
决于网络限制有多强,以及用户访问的方
便程度。
第五章 认证和口令
认证需要如下选项(包括组合选项)来
证明用户的身份
用户知道的东西,通常为名字和口令的
组合
第五章 认证和口令
用户所有的东西,如存储在智能卡里
的密匙、手持式安全令牌或软件部分
间。
第五章 认证和口令
5.4.1 RADIUS 和 TACACS+