网络操作系统中的安全体系
网络安全管理员题库(含参考答案)
网络安全管理员题库(含参考答案)一、单选题(共60题,每题1分,共60分)1、SQL Server默认的通讯端口为()A、1434B、1522C、1433D、1521正确答案:C2、标准STP模式下,下列非根交换机中的()端口会转发由根交换机产生的TC置位BPDU。
A、根端口B、备份端口C、预备端口D、指定端口正确答案:D3、以下哪些工具可以抓取HTTP报文()A、WireSharkB、AWVSC、MetasploitD、Behinder正确答案:A4、道德具有()等特点。
A、前瞻性、多层次性、稳定性和社会性B、规范性、多层次性、稳定性和社会性C、规范性、多层次性、强制性和社会性D、规范性、普遍性、稳定性和社会性正确答案:B5、下列有关LACP的配置,说法正确的是()。
A、一个Eth-Trunk中的物理接口编号必须连续B、一个Eth-Trunk中的所有物理接口必须都为Up状态C、一个物理接口能够加入多个Eth-Trunk中D、一个Eth-Trunk中的所有物理接口速率、双工必须相同正确答案:D6、制订安全策略的内容不包括( )。
A、确定网络信息的可用性B、确定数据资源不被计算机病毒破坏C、确定系统管理员的权利和责任D、确定用户的权利和责任正确答案:B7、下面不属于局域网的硬件组成的是()。
A、网卡B、服务器C、调制解调器D、工作站正确答案:C8、现在需要使用tar命令解压一个非常大的归档文件xxx.tar,解压时间会很久,但同时还紧急需要在此服务器上做其他操作,没有GUI的情况下该如何解决?A、tar -zxvf xxx.tarB、tar -xvf xxx.tarC、tar -cvf xxx.tar &D、tar -xvf xxx.tar &正确答案:D9、网络操作系统主要解决的问题是( )。
A、网络用户使用界面B、网络资源共享安全访问限制C、网络安全防范D、网络资源共享正确答案:B10、下面哪一个描术错误的A、TCP是面向连接可靠的传输控制协议B、UDP是无连接用户数据报协议C、UDP相比TCP的优点是速度快D、TCP/IP协议本身具有安全特性正确答案:D11、从网络设计者角度看,Internet是一种( )A、城域网B、互联网C、广域网D、局域网正确答案:B12、系统上线前,研发项目组应严格遵循《国家电网公司信息系统上下线管理规定》要求开展(),并增加代码安全检测内容。
网络操作系统的安全
计算机网络操作系统的安全摘要当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别从政策上和法律上建立起有中国自己特色的网络安全体系。
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。
因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
关键词:网络操作系统安全;防火墙;防范目录中文摘要 (I)1 绪论 (1)2 计算机网络操作系统安全的概念 (1)2.1 网络安全的内容 (2)2.2 网络安全的目标 (2)3 计算机网络安全现状 (3)3.1 网络资源的共享性 (3)3.2 网络的开放性 (3)3.3 网络操作系统的漏洞 (3)3.4 网络系统设计的缺陷 (3)3.5 网络协议和软件的安全缺陷 (3)3.6 黑客攻击手段多样 (4)3.7 计算机病毒 (4)4 计算机网络安全的防范措施 (5)4.1 如何保护通用操作系统的安全 (5)4.1.1 使用强密码 (5)4.1.2 做好边界防御 (6)4.1.3 更新软件 (6)4.1.4 关闭没有使用的服务 (6)4.1.5 使用数据加密 (6)4.1.6 通过备份保护数据 (7)4.2 网络防火墙技术 (7)5 结论 (8)参考文献 (9)1 绪论21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
网络操作系统论文
网络操作系统论文在当今数字化的时代,网络操作系统作为计算机网络的核心组件,发挥着至关重要的作用。
它不仅管理着网络资源,还为用户提供了便捷、高效的服务,使得计算机网络能够稳定、可靠地运行。
网络操作系统是一种具有网络功能的操作系统,其功能涵盖了对网络资源的管理、分配和控制,以及对网络通信的支持和协调。
它能够实现多用户的同时访问,保障用户之间的数据共享和信息交流。
与传统的单机操作系统相比,网络操作系统具有更强大的网络通信能力、资源共享能力和分布式处理能力。
常见的网络操作系统有 Windows Server、Linux、Unix 等。
Windows Server 凭借其易用性和广泛的软件支持,在企业级应用中占据了一定的市场份额。
Linux 则以其开源、稳定和高度可定制性受到许多技术爱好者和大型企业的青睐。
Unix 虽然在市场份额上相对较小,但在一些关键业务领域仍具有不可替代的地位。
网络操作系统的主要功能包括处理机管理、存储管理、设备管理、文件管理和作业管理等。
在处理机管理方面,它需要合理分配 CPU 资源,确保各个任务能够及时得到处理,提高系统的整体性能。
存储管理则负责对内存和外存进行有效的管理,包括内存分配、虚拟内存管理和存储保护等。
设备管理的任务是对各种硬件设备进行管理和驱动,使其能够正常工作,并为用户提供统一的设备访问接口。
文件管理用于对网络中的文件进行存储、检索、更新和共享等操作,保障文件的安全性和完整性。
作业管理则负责对用户提交的作业进行调度和控制,确保作业能够按照预定的规则和优先级执行。
网络操作系统的体系结构主要有两种:对等式网络操作系统和客户机/服务器网络操作系统。
对等式网络操作系统中,各个节点的地位平等,它们之间可以直接进行通信和资源共享。
这种结构简单、成本低,但在管理和安全性方面存在一定的局限性。
客户机/服务器网络操作系统则将网络分为客户机和服务器两部分,客户机向服务器请求服务,服务器为客户机提供服务。
网络操作系统中的安全体系
制定安全策略与规章制度
制定安全策略:根据网络操作系统的特点和需求,制定相应的安全策略 建立安全规章制度:建立完善的安全规章制度,确保安全策略的实施 定期评估安全策略:定期评估安全策略的有效性,并根据评估结果进行改进 加强员工安全意识:加强员工对网络安全的认识和意识,提高员工的安全防范能力
定期进行安全检查与评估
定期进行安全培训,提高员工 安全意识
Part Seven
网络操作系统的安 全发展趋势与挑战
云计算与大数据背景下的安全挑战
数据泄露:云计算和大数据环境下,数据泄露的风险增加
隐私保护:大数据分析可能导致用户隐私泄露
安全威胁:云计算和大数据环境下,安全威胁更加多样化和复杂化 安全策略:需要制定更加完善的安全策略来应对云计算和大数据环境下 的安全挑战
安全体系在网络操作系统中的作用
保护数据安全:防止数据被非法访问、篡改或泄露 保护系统安全:防止系统被非法入侵、破坏或瘫痪 保护用户安全:防止用户身份被冒用、信息被泄露 保护网络通信安全:防止网络通信被窃听、篡改或阻断
Part Three
网络操作系统的安 全体系结构
物理层安全
物理层安全是网络操作系统安全体系的基 础
认证结果:成功或失败,失 败时可能提示错误信息或锁
定账户
安全审计机制
审计策略:定义审计范围和 审计级别
审计日志:记录系统操作和 访问行为
审计分析:分析审计日志, 发现异常行为
审计报告:生成审计报告, 提供安全建议和改进措施
Part Five
网络操作系统的安 全技术
防火墙技术
防火墙的作用: 保护内部网络 不受外部网络 的攻击和威胁
物理层安全包括硬件和软件两个方面
硬件安全包括服务器、网络设备、存储设 备等硬件设备的安全
Windows系统安全机制
Windows系统安全机制1.前言多年来,黑客对计算机信息系统的攻击一直没有停止过,其手段也越来越高明,从最初的猜测用户口令、利用计算机软件缺陷,发展到现在的通过操作系统源代码分析操作系统漏洞。
同时网络的普及使得攻击工具和代码更容易被一般用户获得,这无疑给Windows 系统安全带来了更大的挑战。
解决Windows 系统安全问题,任重而道远。
2.Windows XP安全机制。
Windows XP采用Windows 2000/NT的内核,在用户管理上非常安全。
凡是增加的用户都可以在登录的时候看到,不像Windows 2000那样,被黑客增加了一个管理员组的用户都发现不了。
使用NTFS文件系统可以通过设置文件夹的安全选项来限制用户对文件夹的访问,如当某普通用户访问另一个用户的文档时会提出警告。
你还可以对某个文件(或者文件夹)启用审核功能,将用户对该文件(或者文件夹)的访问情况记录到安全日志文件里去,进一步加强对文件操作的监督。
Windows XP中的软件限制策略提供了一种隔离或防范那些不受信任且具有潜在危害性代码的透明方式,保护您免受通过电子邮件和Internet传播的各种病毒、特洛伊木马程序及蠕虫程序所造成的侵害。
这些策略允许您选择在系统上管理软件的方式:软件既可以被“严格管理”(可以决定何时、何地、以何种方式执行代码),也可以“不加管理”(禁止运行特定代码)。
软件限制策略能够保护系统免受那些受感染电子邮件附件的攻击。
这些附件包括存储在临时文件夹中的文件附件以及嵌入式对象与脚本。
同时,它还将保护您免受那些启动Internet Explorer或其它应用程序,并下载带有不受信任嵌入式脚本的Web页面的URL/UNC链接所造成的攻击。
在Windows 2000中,微软就采用了基于公共密钥加密技术的加密文件系统(EFS)。
在Windows XP中,对加密文件系统做了进一步改进,使其能够让多个用户同时访问加密的文档。
第6章 Windows Server 2003操作系统安全
RFC2408:密钥管理功能规范
12
6.2 Windows Server 2003的安全机制
IP安全体系结构
(3)安全联系
IP的认证机制和机密性机制中都包含一个关键的概念,即安全联盟 (Security Association,SA),安全联系是一个发送者和接收者之间的单向的 连接关系,该连接为其上传输的数据提供了安全服务。如果需要维护一 个对等关系,为了保证双向的安全交换,就需要建立两个安全联系。
8
6.2 Windows Server 2003的安全机制
Kerberos Kerberos V4
Kerberos 的V4版本中使用DES算法,在协议中提供了认证服务,通过安全认证来确 保Windows Server 2003的安全,具体协议内容如书中表6-1所示。
Kerberos域和多重Kerberos
– – – – Kerberos; IPSec; PKI; NT局域网管理器(NT LAN Manager,NTLM)。这是一个遗留协 议,Microsoft在Windows Server 2003中保留它是为了支持过去 的Windows客户端和服务器。
6
6.2 Windows Server 2003的安全机制
9
6.2 Windows Server 2003的安全机制
IPSec
IP安全概述
在现有的网络攻击方式中,最严重的攻击类型包括IP欺骗和各种形式 的报文窃听攻击。 (1)IPSec的应用 IPSec提供了跨保障局域网、跨私有/公共广域网以及跨Internet的安全通 信的能力,有很广泛的应用范围,如通过Internet 进行的企业部门之间 的安全连接、通过Internet进行安全的远程访问、合作伙伴之间外网和 内网的连接以及安全的电子商务等。 IPSec之所以能够应用于许多不同的应用领域,主要是因为IPSec可以 加密和/或认证IP层的所有数据流。因此,所有的分布式应用,包括远 程登录、客户/服务器系统、电子邮件、文件传输、Web访问等,都可 以通过应用IPSec机制来增强安全性。
03344《信息与网络安全管理》大纲(含实践)
苏州大学编(高纲号 0663)一、课程性质及其设置目的与要求(一)课程性质《信息与网络安全管理》课程是江苏省高等教育自学考试“电子政务”专业(本科段)的一门重要的专业必修课程,其任务是培养电子政务专业人才掌握信息安全技术的理论知识和实际技能。
《网络与信息安全教程》一书共分为12章,各章节的主要内容安排为:第一章为绪论;第2章是信息安全的基础理论;第3~7分别为:传统密码体系、序列密码、分级密码体系、公钥密码体系、现代网络高级密码体系;第8章为密钥管理技术;第9章介绍网络通信安全保密技术与实现;第10~12章依次为:计算机网络系统集成安全技术、网络安全测试工具与应用技术、电子商务协议与安全管理。
(二)设置本课程的目的面对严重的网络与信息安全威胁,加速培养电子政务领域的网络与信息安全人员的防范意识已经刻不容缓。
设置《网络与信息安全教程》课程的目的:使应考者比较全面、系统地掌握网络与信息安全的理论和实践知识,包括:网络信息安全的现状、规律和发展;信息安全基本理论、安全基础设施、安全技术与应用以及安全政策和管理。
(三)学习本课程和基本要求通过本课程的学习,能让应考者较好地认识和解决电子政务系统中的信息安全问题,具体要求为:1、需掌握相关的计算机知识,如计算机基础理论、操作系统、网络技术、密码学等。
2、理论与实践相结合,即将所学的相关信息安全知识与实际的电子政务系统信息安全相结合。
3、由于密码学中的加密算法是基于复杂的数学理论,对于电子政务专业的应考者只要求大概理解,不作深入学习。
二、课程内容与考核目标第1章绪论(一)课程内容本章从最基本的信息与网络安全概念出发,侧重围绕信息安全基本概念、网络信息安全体系以及网络信息安全发展等问题进行介绍。
(二)学习目的与要求通过本章的学习,掌握网络信息安全的基本概念。
(三)考核知识点与考核要求1、领会:密码理论、加密技术、消息鉴别与身份认证、安全协议、密钥管理、操作系统安全、数据库安全、病毒防护、电子商务安全。
网络安全五层体系
网络安全五层体系龙勤19808058一引言网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
其重要性,正随着全球信息化步伐的加快而变到越来越重要。
“家门就是国门”,安全问题刻不容缓。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。
信息网络涉及到国家的政府、军事、文教等诸多领域。
其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。
有很多是敏感信息,甚至是国家机密。
所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。
同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。
计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。
通常计算机罪犯很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪案率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
二不同环境的网络安全及网络安全的特点不同环境和应用中的网络安全:运行系统安全,即保证信息处理和传输系统的安全。
它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。
电大-网络实用技术第5章 网络安全
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 • 对系统的攻击范围,可从随便浏览信息到使用特殊
技术对系统进行攻击,以便得到有针对性的、敏感 的信息。
• 这些攻击又可分为被动攻击和主动攻击。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁
• 被动攻击和主动攻击有以下四种具体类型: 窃取(Interception) 攻击者未经授权浏览了信息资源。这
网络安全是一个范围较广的研究领域,人们一般都只是在该 领域中的一个小范围做自己的研究,开发能够解决某种特殊 的网络安全问题方案。比如,有人专门研究加密和鉴别,有 人专门研究入侵和检测,有人专门研究黑客攻击等。网络安 全体系结构就是从系统化的角度去理解这些安全问题的解决 方案,对研究、实现和管理网络安全的工作具有全局指导作 用。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 1.无意威胁
无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息 的完整性。无意威胁主要是由一些偶然因素引起,如软、硬件的 机能失常,人为误操作,电源故障和自是“人为攻击”。由于网络本身存在脆弱性, 因此总有某些人或某些组织想方设法利用网络系统达到某种目的, 如从事工业、商业或军事情报搜集工作的“间谍”,对相应领域 的网络信息是最感兴趣的,他们对网络系统的安全构成了主要威 胁。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 网络系统面临的威胁主要来自外部的人为影响和
自然环境的影响,它们包括对网络设备的威胁和 对网络中信息的威胁。这些威胁的主要表现有: 非法授权访问,假冒合法用户,病毒破坏,线路 窃听,黑客入侵,干扰系统正常运行,修改或删 除数据等。这些威胁大致可分为无意威胁和故意 威胁两大类。
网络操作系统
8
6.1.3 网络操作系统的基本功能 网络操作系统(NOS),是网络的心脏和灵魂,是向网络计 算机提供网络通信和网络资源共享功能的操作系统。它 是负责管理整个网络资源和方便网络用户的软件的集合。 由于网络操作系统是运行在服务器之上的,所以有时我 们也把它称之为服务器操作系统。
流行的网络操作系统主要有以下几种:
5
对等结构网络操作系统
á ã ¼ µ á ã ¼ µ
Ô È á ¶ µ ¼ ¸
á ã ¼ µ
á ã ¼ µ
á ã ¼ µ
6
非对等结构网络操作系统
非对等结构网络操作系统软件分为协同工作的两部分, 一部分运行在服务器上,另一部分运行在工作站上; 网络服务器集中管理网络资源与服务,因此网络服务 器是局域网的逻辑中心; 网络服务器上运行的网络操作系统的功能与性能,直 接决定网络服务功能强弱以及系统性能与安全性。
29
但究竟WebOS是什么呢?这里提供 一种简单的定义:WebOS是一个运 行在网页浏览器中的虚拟的操作系统。 更精确的说,WebOS是一个运行在 网页浏览器中的应用程序集合,这项 应用程序一同来模拟,代替或很大程 度上来补充桌面操作系统环境。
30
Craythur
Craythur是一个全新的 WebOS,它非常注重外观, 并且其外观的确还是不错。 它提供了经过精心挑选的 桌面背景和类似于Vista的 Aero特效的 透明窗口边框。 然而,其中的应用程序更 加像Alpha版而不是Beta版。 因为Craythur明显还处于 初期阶段,希望过几个月 后能为用户带来质的飞 跃。
24
6.5 Linux操作系统
6.5.1 Linux操作系统的发展
Linux操作系统是一个免费的软件包; Linux操作系统支持很多种应用软件,其中包括大量的 免费软件; Linux操作系统的发明人Linus B. Torvalds的设计目标 是使Linux能够成为一个能够基于Intel硬件、在微型机 上运行、类似于UNIX的新的操作系统; 通过Internet,Linux系统开发的研究成果很快传播到 世界各地,成为操作系统中一个新的重要研究内容。
2 网络安全体系结构及影响网络安全的因素
2 网络安全体系结构及影响网络安全的因素2.1网络安全体系结构模型2.1.1安全体系结构框架表2-1管理安全物理安全网络安全信息安全2.1.2物理安全构架表2-2物理安全环境安全《电子计算机机房规范》《计算机场地技术条件》《计算机场地安全要求》设备安全电源保护防盗、防毁、抗电磁干扰防电磁信息辐射泄漏、防止线路截获媒体安全媒体数据安全媒体本身安全从OSL参考模型(如图2一1所示)的观点出发,组建安全的网络系统则可以先考虑物理层的安全,如对物理链路进行加固、对计算机等硬件设备的物理安全进行保护;然后再考虑数据链层的安全,如利用链路加密等手段,对OSL的各层逐层考虑其安全,消除每层中可能存在的不安全因素,最终实现整个网络系统的安全。
图2-1 OSL分层模型在这种模型中,应用较多的是基于IP层的加密、传输层的安全加密、及应用层的安全。
下面分别对这三层的安全性分别加以说明。
IP层的传输安全性。
对IP层的安全协议进行标准化的想法早就有了。
在过去十年里,已经提出了一些方案。
然而,所有这些提案的共同点多于不同点,用的都是IP封装技术。
纯文本的包被加密封装在外层的IP报头里,用来对加密的包进行Internet上的路山选择。
到达另一端时,外层的IP报头被拆开,报头被解密,然后送到收报地点。
Internet工程特遣组(IETF)已经特许Internet协议安全协议(IPSEC)工作组对IP安全协议(IPSP)不[l对应的Internet密钥管理协议(IKMP)进行标准化工作。
传输层的传输安全性。
在Interne中,提供安全服务的具体做法包括双端实体认证、数据加密密钥的交换等。
Netscape公司遵循了这个思路,制订了建立在可靠的传输服务(如TCP/IP所提供)荃础_L的安全套接层协议(SSL)。
SSL版本3(SSLV3)于1995年12月制订。
它是在传输层上实现的协议,采用了对称密码技术与公开密码技术相结合的密码方案。
第7章 网络操作系统概述
7.2.3 Novell NetWare操作系统
美国Novell公司在1985年开始发布了NetWare操作系统,它 与DOS和Windows等操作系统一样,除了访问磁盘文件、内存使 用的管理与维护之外,还提供一些比其他操作系统更强大的实用程 序和专用程序,包括用户的管理、文件属性的管理、文件的访问、 系统环境的设置等。NetWare操作系统可以让工作站用户像使用自 身的资源一样访问服务器资源,除了在访问速度上受到网络传输的 影响外,没有任何不同。随着硬件产品的发展,这些问题也不断得 到改善。该操作系统具有如下特点。 (1)强大的文件及打印服务能力 NetWare能够通过文件及目录高速缓存,将那些读取频率较 高的数据预先读入内存,来实现高速文件处理。 (2)良好的兼容性及系统容错能力 较高版本的NetWare不仅能与不同类型的计算机兼容,而且 还能在系统出错时及时进行自我修复,大大降低了因文件和数据丢 失所带来的不必要的损失。 (3)比较完善的安全措施 NetWare采用四级安全控制原则以管理不同级别的用户对网 络资源的使用。
第7章 网络操作系统概述
7.1 网络操作系统的概念
如果用户的计算机已连接到一个局域网中,但是没有安装网 络操作系统,那么这台计算机也不能提供任何网络服务功能。从 OSI参考模型角度看,完整的计算机网络有七层结构,而初期的局 域网标准只定义了低层(物理层、数据链路层)协议,实现局域网 协议的硬件与驱动程序只能为高层用户提供数据传输功能,因此早 期的局域网常被称为通信网络。 一个局域网要能实现分布式进程通信,为用户提供完备的网 络服务功能,就必须具备局域网高层软件,如网络操作系统,使网 络上各计算机能方便而有效地共享网络资源以及为网络用户提供所 需的各种服务的软件和有关规程。网络操作系统就是利用局域网低 层提供的数据传输功能,为高层网络用户提供共享资源管理服务, 以及其他网络服务功能的局域网系统软件。 网络操作系统与运行在工作站上的单用户操作系统(如 Windows98等)或多用户操作系统由于提供的服务类型不同而有 差别。一般情况下,网络操作系统是以使网络相关特性最佳为目标 的。如共享数据文件、应用软件以及共享硬盘、打印机、调制解调 器、扫描仪和传真机等。一般计算机的操作系统,如DOS和OS/2 等,其目的是让用户与系统及在此操作系统上运行的各种应用之间 的交互作用最佳。
网络操作系统
网络操作系统网络操作系统(Network Operating System,NOS)是一种基于网络的操作系统,它是针对网络环境和网上应用而设计的操作系统。
相较于传统的个人电脑操作系统,网络操作系统更加注重网络上的共享和协作,可以为大规模的企业或组织提供可靠、高效的网络管理服务。
网络操作系统主要有以下三种类型:1.服务器操作系统服务器操作系统是一种运行在服务器上的操作系统,它能够处理多个用户和应用程序的请求,同时为这些用户和应用程序提供服务。
服务器操作系统通常包括在局域网内的多用户、多任务操作系统和分布式系统。
2.集群操作系统集群操作系统是一种用于管理集群环境的操作系统,它可以把多台计算机组成一个超级计算机,提供高速并行计算能力。
集群操作系统能够自动化集群管理、任务分配和负载均衡,并实现数据共享及高可用性的服务。
3.分布式操作系统分布式操作系统是一种用于分布式系统环境下的操作系统,它可以管理多台计算机的操作系统及其资源,并进行任务调度和管理。
分布式操作系统能够实现多台计算机的协同工作,从而提高了系统的性能和可靠性。
网络操作系统的特点指出1.支持网络资源的管理和共享网络操作系统能够支持网络上的资源管理和共享,使得计算机之间能够互相访问和共享数据和设备。
这种功能可以极大地提高用户的工作效率,同时也使得企业或组织的信息管理更加灵活和便捷。
2.支持远程服务管理网络操作系统能够支持远程服务管理,使得管理员可以通过远程访问的方式对网络中的计算机进行管理和维护。
这种功能能够极大地降低管理员的工作压力,同时也能够使得系统管理更加高效和智能化。
3.支持安全性管理网络操作系统具有良好的安全性管理功能,能够为用户和企业或组织的信息安全提供全面保护。
网络操作系统可以对网络中的用户进行身份认证、数据加密、安全审计等多种安全措施,从而达到全面保护的目的。
4.支持多用户、多任务管理网络操作系统能够支持多用户、多任务管理,能够满足企业或组织的多用户、多任务操作需求。
网络操作系统
微内核(续)
用户态
微内核体系结构
用户 文件系统 进程间通信IPC 用户态 客 户 进 程 设 备 驱 动 程 序 文 件 服 务 器 进 程 服 务 器
……
核心态
输入输出和设备管理
虚 拟 内 存
虚拟内存 原始进程管理 核心态
微内核
硬件 分层内核
硬件 微内核
微内核(续2)
微内核的优点
– 单一接口、可扩展、灵活、可移植、分布 式系统支持、OOOS
User Runnning
System Call, Interrupt
Return
Reschedule Process
Swap Out
Kernel Running
Sleep
Ready to Run in Memory
Swap In Wakeup
Ready to Run Swapped
Interrupt, Interrpt Return
3 WindowsNT
可扩充性——在产品生命周期内必须保证NT操作系统对新出现技 术和新需求及时适应和调整 可移植性——以尽可能少的改动便可移植到一个具有不同处理器 或不同配置的计算机上 可靠性——本身应该是稳健的(robust),对意外合硬件故障能 按预定方式处理,应主动保护自身计用户免遭破坏 兼容性——具备执行为其他操作系统(包括本系统早期版本)编 写程序的能力,包括利用仿真程序进行机器指令集合转换的二进 制兼容和POSIX基础上的代码级兼容 系统性能——操作系统本身的代码必须快速高效,给用户良好的 相应时间
获取远程用户信息
显示谁在本机登录rwho, 显示远程用户信息finger,用户名目录服务whois
网络操作系统复习资料
网络操作系统复习资料一.单选题(共20题)1文件系统是指()A文件的集合B文件的目录C数据的集合D管理文件的软件,被管理的文件及数据结构正确答案:D2在计算机系统中,由于程序中使用了非法指令,引起的中断称为( )A硬件故障中断B访管中断CI/O中断D程序中断正确答案:D3文件的存取方式依赖于()A文件的物理结构B文件的存储介质C用户使用文件的方式D用户使用文件的方式和文件所使用的存储介质正确答案:D4网络操作系统中地位最重要的层次是()A硬件层B应用程序C核外D内核正确答案:D5用户在程序中,请求操作系统服务,调用其子功能,只能使用( )A访管指令B特权指令C转移指令D子程序调用指令正确答案:A6以文件服务方式实现硬件资源共享,实际上是指基于硬盘的()A分区共享B文件系统共享C逻辑区共享D卷共享正确答案:C7若S为互斥信号量,假设某一时刻S的值为-2,则说明()A有2个并发运行的进程B有2个进程因申请该资源而阻塞C当前可用资源数目为2D没有任何实际意义正确答案:B8从静态的角度看,进程的组成包括()A程序和进程控制块B程序和数据C数据和模块D程序、数据和进程控制块正确答案:D9下列对实时操作系统的特征描述不正确的是( )A及时性B高可靠性C实时性D批量性正确答案:D10分时操作系统的特点不包括( )A多个用户可同时通过终端设备与计算机交互运行各自的作业B多个用户共享一个计算机系统而互不干扰C每次只将一个作业调入内存运行,直到运行结束或出错退出D为多用户提供交互式的快速服务正确答案:C11如果用户在程序中调用操作系统所提供的相关功能,必须使用()A命令B图形用户接口C系统调用D标准函数正确答案:C12下面对选择进程调度算法的准则论述错误的是()A适当增长进程在就绪队列中的等待时间B尽量提高处理器的利用率C尽可能提高系统的吞吐量D尽快响应交互式用户的请求正确答案:A13对于操作系统的整体式结构,说法错误的是()A操作系统结构清晰B结构紧密C用户使用的界面简单直接D系统效率高正确答案:A14在客户/服务器模式下的网络操作系统主要指的是()A重定向程序和传输协议软件B工作站操作系统C服务器操作系统D网络服务软件和传输协议软件正确答案:C15下面对重定位的描述中错误的是()A物理地址是主存空间的地址编号B静态重定位中装入主存的作业仍保持原逻辑地址C动态重定位中装入主存的作业仍保持原逻辑地址D将逻辑地址转换为物理地址称为重定位正确答案:B16一个进程从运行状态变成阻塞状态的原因可能是()A时间片到B运行的进程提出I/O请求C输入/输出操作完成D进程调度程序的调度正确答案:B17网络文件系统的实现方法有对等方式和()A客户/服务器方式B点-点方式C多点方式D多点-多点方式正确答案:A18下列关于多处理机操作系统的主要特征的叙述,不正确的是()A并行性B分布性C集中性D容错性正确答案:C19若信号量S的初值为1,执行一次P(S)操作后S的值为()A-1B0C1D2正确答案:B20UNIX系统中,chmod命令的作用是()A设定文件或目录的存取权限B改变文件的属主C改变文件的组名D改变当前工作目录的位置正确答案:A二.填空题(共20题)1TCP/IP传输模块的通信节点由(__)和端口号确定;正确答案:第一空:IP地址2为提高计算机系统的并行性,可以通过各种技术途径来达到,主要途径有:时间重叠、资源重复和(__);正确答案:第一空:资源共享3FTP主要完成Internet上主机之间的(__);正确答案:第一空:文件传输4对于同步通信原语而言,进程调用send原语将消息发出后便处于(__)状态;正确答案:第一空:阻塞5采用对等工作模式的网络,各节点机都处于平等地位,没有(__)之分;正确答案:第一空:主次6Windows Server 2003体系结构的设计,结合了面向对象思想、分层结构和(__)模型;正确答案:第一空:客户机/服务器(或C/S)7在Novell网络的传输介质层上的网络软件是(__)驱动程序;正确答案:第一空:通信8进程通信使用的信箱逻辑上分成信箱头和(__)两部分;正确答案:第一空:信箱体9网络操作系统把计算机网络中的各个计算机有机的连接起来,其目标是相互通信及(__);正确答案:第一空:资源共享10一个刚刚被创建的进程,它的初始状态是(__)态;正确答案:第一空:就绪11文件的链接结构实质就是为每个文件构造所使用(__)的链表;正确答案:第一空:磁盘块12实现流媒体传输的两种方法是实时流媒体传输和(__)流媒体传输;正确答案:第一空:顺序13动态重定位由软件和硬件相互配合来实现,硬件要有一个(__)机构;正确答案:第一空:地址转换14进程由三部分组成:(__)、数据集合和进程控制块;正确答案:第一空:程序15TLI/XTI提供两种服务模式,即面向连接的服务模式和(__)的服务模式;正确答案:第一空:面向非连接16ARP将网络层地址(IP地址)映射为(__)相应地址;正确答案:第一空:链路层17NT执行体支持32个优先级,将其分为两类:实时优先级和(__);正确答案:第一空:可变优先级18UNIX系统与用户之间可以通过(__)进行交互式会话;正确答案:第一空:shell19Linux的虚拟文件系统可分为逻辑文件系统和(__)程序;正确答案:第一空:设备驱动20一次只允许一个进程使用,在它未用完之前,不允许其它进程使用的资源称为(__);正确答案:第一空:临界资源三.判断题(共20题)1NetWare文件的基本结构是卷,每个文件服务器最多可安装的卷数是16。
计算机网络安全管理课件第3章 Windows NT网络操作系统的安全管理
§3.2.8 可管理性
很难管理的安全机制通常会降低系统安全性,不管底层机制实际上是多 么安全.安全性事故通常不是由于缺少安全性控制而是由于安全性控制 没有被正确配置-导致把机密信息放在不安全的系统上. 有许多因素决定了操作系统的可管理性.最重要的一个因素当然是系统 管理员能力和操作系统之间的匹配.经验丰富,有才能的IT管理职员能 够增强系统安全. 在所管理的特定系统上积累经验同样也很重要.但是,特定系统会在短 时间内升级或换代,所以不断的学习和认识也很重要. 在本节的下面部分描述了操作系统安全方面的可管理性的非常关键的几 个因素. 1. 缺省配置 操作系统的缺省配置通常用作部署的基线.除非应用程序开发人员或者 IT组织进行专门的安全性推荐,否则在操作系统上运行的易感服务都不 能完全阻止恶意攻击.考虑到应用程序开发和升级的周期缩短,操作系 统的缺省安全配置就成为一个非常重要的考虑.
§3.2.4 审核
从安全的观点看,审核是重现安全相关事件以支持对事件的原因和影响 的检查.审核跟踪或者系统日志信息可以被用来判断是否有违反政策的 事情发生或者是否有值得怀疑的事情.老练的侵入探测产品使用操作系 统的审核踪迹作为分析的基础.审核踪迹还提供了跟踪复杂的安全性事 故的来源和提供任何补救行动可能需要的证据的能力. 可以根据下面的原则评估操作系统的安全审核能力: 支持的安全相关事件的宽度和深度. 可以用来保护审核踪迹的机制强度(黑客在闯入系统以后的第一步往 往是关闭审核功能或者删除审核日志.) 对处理大量由操作系统产生的审核数据的支持. 一,Windows NT审核服务 Windows NT提供了事件日志(EveNTLogging).事件日志可以被配置 在系统级别和对象级别纪录安全相关事件.系统事件包括登录和退出登 录,文件和对象访问,用户权利的使用,用户和组管理,安全政策改变 ,重新启动和关机,系统错误,以及进程跟踪.文件和对象审核可以被 控制在单个文件,目录,或者如果需要的话,也可以是驱动器.
网络安全五层体系
网络安全五层体系龙勤一引言网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
其重要性,正随着全球信息化步伐的加快而变到越来越重要。
“家门就是国门”,安全问题刻不容缓。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。
信息网络涉及到国家的政府、军事、文教等诸多领域。
其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。
有很多是敏感信息,甚至是国家机密。
所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。
同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。
计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。
通常计算机罪犯很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪案率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
二不同环境的网络安全及网络安全的特点不同环境和应用中的网络安全:运行系统安全,即保证信息处理和传输系统的安全。
它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。
网络上系统信息的安全。
《网络操作系统》课程标准(中职)
网络操作系统》课程标准一、课程性质本课程是中等职业教育计算机应用专业必修的一门专业技能方向课程,是在《计算机网络基础》课程基础上开设的实践性较强的核心课程。
本课程任务是使学生掌握计算机网络操作系统安装、配置、管理、维护的专业知识和技能,具备计算机设备维护与营销专业方向所需的职业能力也,为其后续深入学习计算机网络管理奠定基础。
二、学时与学分144学时(2周实训),8学分。
三、课程设计思路本课程应体现以立德树人为根本、以服务发展为宗旨、以促进就业为导向,兼顾中高职课程衔接,突出核心素养,注重必备品格和关键能力的培养,实现职业技能学习和职业精神培养的高度融合。
1.依据“中等职业教育计算机应用专业指导性人才培养方案”中确定的培养目标、综合素质及职业能力按,照知识与技能、过程与方法、情感态度与价值观三个维度围,绕本专业方向网络管理岗位需求,结合本课程的性质和以生为本的教学理念确,定课程目标。
2.根据“中等职业教育计算机应用专业职业能力分析表”,结合学生职业生涯发展、中高职分段培养等需要,注重课程内容与职业标准对接、教学过程与工作过程对接,融合网络操作系统安装、调试、维护的新知识、新技术、新方法,确定课程容内。
3.遵循学生认知规律和技能形成规律,以网络操作系统安装、配置与管理工作过程为导向,根据项目内在的逻辑关系、任务间的递进关系,统筹安排项目、任务的顺序,课程内容组织注重理论实践一体化。
四、课程目标通过本课程学习,学生能掌握计算机网络操作系统基本原理,具备网络操作系统的安装、配置、管理和维护的能力。
1.掌握网络操作系统的安装方法;掌握常用网络服务组件的安装和配置命令掌;握本地和域的权限管理方法;掌握文件系统、磁盘管理及系统安全策略的配置;掌握系统维护工具的使用方法;掌握常见网络系统故障的诊断与修复方法。
2.能安装和维护服务器系统软件和应用软件;能管理用户和组权限;能针对网络服务进行配置、调试和维护;能进行数据的备份和还原;能进行打印等共享设备的安装和配置;能分析软硬件故障原因并能够进行故障的排除。
计算机网络安全概述
(5)不可抵赖性 不可抵赖性也称作不可否认性,是面向通信双方(人、实
体或进程)信息真实的安全要求。
1.3 网络面临阵的威胁
1.3.1 网络内部威胁 1.3.2 网络外部威胁利诱 1.3.3 安全防范
我国从20世纪80年代开始,参照国际标准并转 化了一批国际信息安全基础技术标准,使我国 信息安全技术得到了很大的发展。与国际标准 靠拢的信息安全政策、法规和技术、产品标准 都陆续出台,有关的信息安全标准如:《计算 机信息系统安全专用产品分类原则》、《商用 密码管理条例》、《计算机信息系统安全保护 等级划分原则》、《中华人民共和国计算机信 息系统安全保护条例》等。
返回本节目录
1.2 什么是计算机网络安全
1.2.1 1.2.2
计算机网络安全的定义 安全网络的特征
返回本章首页
1.2.1 计算机网络安全的定义
计算机网络安全是指保持网络中的硬件、软件 系统正常运行,使它们不因自然和人为的因素 而受到破坏更改和泄露。网络安全主要包括物 理安全、软件安全、数据安全和运行安全等4个 方面。
1.4 网络安全体系结构
1.4.1 安全服务 1.4.2 安全机制
返回本章首页
1.4.1 安全服务
为实现开放系统互联网环境下的信息安全,ISO/TC97 技术委员会制定了ISO7498-2国际标准。从体系结构的 观点,描述了实现OSI参考模型之间的安全通信所必须 提供的安全服务和安全机制,建立了开放系统互联标准 的安全体系结构框架,为网络安全的研究奠定了基础. ISO7498-2提供了以下5种可供选择的安全服务.
按照路由控制机制可以指定通过网络数据发送的路 径。这样,可以选择那些可信的网络节点,从而确 保数据不会暴露在安全攻击之下。
网络安全
图8-2 应用级网关型防火墙的工作流程
数据包过滤和应用网关防火墙有一个共同的特点,就是仅仅依靠特 定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的 计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火 墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。
3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人将它归于应用级网关一类。代理服 务是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机 系统间应用层的“链接”, 由两个终止代理服务器上的“链接”来实现 ,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙 内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注 册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报 ,并保留攻击痕迹。使用代理服务型防火墙的网络结构示意图请见图8-3 。
(2)Linux网络安全防范策略
仔细设置每个内部用户的权限 、确保用户口令文件 /etc/shadow的安全 、加强对系统运行的监控和记录 、合理划分子网 和设置防火墙 、定期对Linux网络进行安全检查 、制定适当的数据备 份计划确保系统万无一失 。 4.加强对Linux网络服务器的管理,合理使用各种工具 (1)利用记录工具,记录对Linux系统的访问 (2)慎用Telnet服务 (3)合理设置NFS服务和NIS服务 (4)小心配置FTP服务 (5)合理设置POP-3和Sendmail等电子邮件服务 (6)加强对WWW服务器的管理,提供安全的WWW服务 (7)最好禁止提供finger 服务
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15.1网络操作系统中的安全体系为了实现网络安全特性的要求,计算机网络中常用的安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。
在实现网络安全系统时,通常需要先对保护的网络进行深入的分析,然后,选择和使用适合该网络的一种或几种安全技术。
每一种网络操作系统,一般是按一定的安全目标进行设计,因此,都采用了一些安全策略,并使用了一些常用的安全技术。
下面以Windows NT为例进行简单地讨论,由于,这些讨论具有普遍性,因此,也适用于其他的网络操作系统。
15.1.1Windows NT 4.0的安全概述1.Windows NT中的对象对象是NT操作系统中的基本元素。
对象可以是文件、目录、存储器、驱动器、系统程序或Windows 中的桌面等。
2.Windows NT 4.0的安全性设计目标在设计Windows NT结构的时候,微软把目标定位于一个具有各种内在安全功能的强大而坚实的网络操作系统。
3.使用Windows NT的实现网络安全策略Windows NT 4.0的安全结构由3个基本安全子系统的模块组成,即身份认证、信任确定和审计跟踪。
对于每一个机构,任何操作系统的安全机制都不是自动生成的,因此,在使用Windows NT之前必须先制定它们的安全策略。
这些策略需要进行详细地说明,在明确了该机构对访问控制信息的保护及审核方面的具体要求之后,还需要对所制定的安全策略进行正确地配置,并实现了对象的访问控制之后,才能说用NT构建一个高度安全地系统。
由此可见,只有将企业的安全策略和Windows NT底层的安全机制有机地结合起来,才能充分发挥Windows NT的各项安全特性。
4.Windows NT的安全机制微软的Windows NT Server提供了安全管理的功能,以及在企业级网络中实现和管理这些功能的工具。
①Windows NT的安全子系统有:本地安全权威、安全账户管理、安全访问监督等。
②Windows NT提供的安全机制有:登录过程控制、存取控制、存取标识和存取控制列表等。
5.Windows NT的安全模型Windows NT的安全模型影响着整个操作系统,由于,对象的访问必须经过一个核心区域的验证,因此,在NT中未经授权的申请者和用户是不能访问对象的。
Windows NT的安全模型由本地安全权限、安全账户管理器和安全参考监视器等几个主要部分组成,并且包括登录入网处理、访问控制和对象安全服务等部分。
上述这些部分构成了NT的安全基础,也称为安全层次。
15.1.2Windows NT网络安全子系统的实现Windows NT的安全系统应当由3个策略环节构成:即身份识别系统、资源访问权限控制系统和安全审计系统。
(1)满足C2安全等级的NT必须做到的几项工作①拥有对系统的非网络访问权限。
②去除或禁止使用软盘驱动器。
③更加严格地控制对标准系统文件的访问。
(2)Windows NT中C2安全等级的标准特征①可自由决定的访问控制。
允许管理员或用户定义自己所拥有的对象的访问控制。
②禁止对象的重用。
主要表现在两个方面。
第一,当内存被一个程序释放后,不再允许对它的读访问。
第二,当对象被删除,即对象所在的磁盘空间已被重新分配时,也不允许用户对对象进行再次的访问。
③身份的确认和验证。
在系统进行任何访问之前,用户必须先确认自己的身份,包括输入用户名、口令、域和组等信息的验证。
④审核。
应当创建并维护用户对对象的访问记录,并防止他人更改此记录。
必须严格地规定,只有管理员才能够访问系统的审核信息。
15.1.2.1Windows NT网络的登录和身份认证机制Windows NT处理各种服务请求,是建立在授权许可的基础上,因此,必须先通过用户的登录和访问权限的验证,此后还需要对用户的访问权限进行限制。
其验证过程分为以下几个部分。
1.Windows NT网络的登录机制和账户管理Windows NT网络登录时,要求用户使用唯一的用户名和口令登录到计算机上,这种登录过程是不能关闭的,因此,称为强制性的登录。
(1)登录机制①登录过程任何一台NT计算机都使用“Ctrl+Alt+Del”三个健的组合进行强制登录,登录过程包括输入的用户名和密码的登录验证过程。
②登录的类型登录的类型分为交互登录和远程登录两种。
●交互登录:使用本地的安全账户管理(SAM,Security Reference Monitor)进行身份认证。
当用户选择了本地SAM,则登录时,不会发生域内的身份验证,所有的身份认证均在本地,并可以针对本地资源进行访问。
●远程登录:当用户在一个域中的计算机上登录到一个服务器时,就会发生远程登录,也叫做“域SAM”,此时,用户的身份认证会传递到“域”的控制器上去完成。
(2)身份识别系统Windows NT中的身份识别系统是网络安全系统的第一层保护,它除了进行账户和口令的检测以外,还可以由管理员限制用户的上网时间、非法使用者锁定和密码更改等。
用户账户的设置是由系统管理员来确定的,它不但是用户惟一的身份识别标志,还被分配了到域中访问资源的权限。
当然,用户可以选择本地的SAM或域SAM方式进行交互式登录或者是远程登录。
不同的登录方式,对资源的使用权限也不同。
每一个需要使用网络的用户都应该拥有一个账户。
①账户管理的最高权限账户—Administrator账户每一台NT计算机在安装过程中都会建立一个系统默认的Administrator账户。
该账户不能删除,但可以被更改名称。
在域控制器上,此账户是一个全局账户,在其他计算机上,它只是一个本地账户。
系统管理员可以使用Administrator账户进行登录,并定义用户对资源的使用权限,用户账户的管理,还可以从网上任何站点进行远程登录,并行使各种管理权。
使用域的Administrator账户登录时的系统管理员可以完成以下任务。
●可以对文件和目录的安全访问权限进行设置和控制。
●可以对注册表进行操作。
例如:修改注册表。
●可以对用户的账号进行集中管理。
设置用户登录网络的账户和口令,指定登录时间,确定账户的期限及口令的使用限定等。
●可以审计各种事件。
例如:用户的登录尝试设置,就是指当用户登录失败的次数超过指定的次数,系统可以将用户账号锁定。
由于,域的Administrator账户具有很高的权限,因此,为了保证网络的安全,对该账户及其他具有同等特权的账户的账号必须采取严格地安全措施。
②账户管理。
账户管理的内容包括:用户口令控制、本地和全局账户、用户宿主目录的指定、网络登录脚本、用户强制性配置文件,以及将用户分配到默认的组等多项账户属性的操作。
(3)账户的安全策略建立用户账户的方法在第8章中已作介绍,本节仅介绍账户安全的设置策略和步骤。
Windows NT的缺省和默认账户策略是为了便于用户方便而设计的。
例如:允许用户使用空口令和选择任意长度的口令。
而这些设置可以使得非法入侵者可以轻易地入侵网络。
因此,出于安全性考虑,应当修改上述的设计策略。
表15-2说明了建议网络管理员在各种情况下可以采取的账户策略。
表15-2 推荐的Windows NT中的账户策略功能推荐设置优点最小口令长度6~8个字符使得所设置的口令不易被猜出口令期限30~90天强迫用户定期更换口令,使系统更安全口令唯一性5个口令防止用户总是使用同一口令账户锁定5次登录企图后锁定,30分钟后恢复防止黑客猜出口令的企图最短口令的使用期限(寿命)3天(允许用户立即修改口令)防止用户立即将口令改为原有的值锁定时间30分钟强迫用户等待,防止黑客猜出口令的企图当登录时间到期时,中断远程客户与服务器的连接应使用登录时间的限制支持移动工作及无超时的策略用户必须登录才能修改口令禁止防止用户更新已经过期的口令注意:NT操作系统可以自动锁定账户,管理员不能采用手动锁定账户,但是,可以进行禁止账户或解锁的操作。
(4)账户安全策略的实施步骤①依次选择“开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。
图15-7 “域用户管理器”窗口②在图15-7所示的“域用户管理器”窗口中,选择“规则(策略)→账户”命令选项,即可激活如图15-8所示的窗口。
注:有些NT版本中的“规则”命令显示为“策略”。
图15-8 “域用户管理器”中的“账号规则”窗口③在图15-8所示的窗口中,可以设置:密码限制、账号锁定和锁定时间等,用户应当根据安全策略的需要酌情进行选择。
例如:可以通过“登录失败”选项进行设定。
用户允许的最多登录企图的次数的取值范围为:1~999。
如果设定的值为5次,就表示用户在连续5次的错误登录之后,系统就会锁定该账户。
④对于锁定时间可以在“复位账号前锁定”选项处进行设置,通过设定用户账户,在锁定前的最大登录时间间隔,其取范围为1~99999分钟。
例如:如果将此时间设定为30分钟,就表示用户在30分钟之内,连续进行了允许的错误登录次数后,其账户将被自动锁定。
⑤在“锁定时间”处,设定对锁定账户的处理方式。
如果选择了“永久”单选项,将使得被锁定的账户在管理员解锁它们之前,保持锁定状态。
如果选择了“时间”单选项,则要求设定锁定时间,即被锁定的用户账户将在该时间之后自动解锁,从而恢复该账户的使用权。
⑥在图15-8所示的窗口中,如果选择了“账号不锁定”的单选项,则系统对于登录失败将不进行任何的处理。
注意:为了防止他人不断地登录而猜出用户的密码,最好不要选择此项,而应按照上面所介绍的方法进行必要的设置。
⑦为了防止用户非法访问域,每一个用户账户都要设置一个密码。
Windows NT的身份验证系统,要求用户在登录NT网络时,提供正确的密码,否则用户的入网请求将被拒绝。
Windows NT密码的策略如表15-2所述,这里仅介绍用户密码的保护方法和操作步骤。
●依次选择“开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。
●在图15-7所示的窗口中,选择“规则(策略)→账户”命令选项。
●在激活的窗口中,选择“密码最长期限”选项,可以设置用户口令可以使用的时间,其取值范围为1~999天。
之后,用户将被要求改变口令。
为安全起见,应当要求用户经常更换他们的口令。
在中等安全性的网络中,要求用户每45~90天更换一次口令。
在高等安全性的网络中,要求用户每14~45天更换一次口令。
当然,也可以将其设置为“密码永久有效”,为了避免密码失窃,建议尽量不要这样设置。
●“最短密码期限”选项,用来设置口令在被用户改变之前,必须要保持的时间,其取值范围为1~999天。
值得注意的是:本项设置的时间一定要小于“③”中所设置的密码最长期限值。
●“最短密码长度”选项,用来设置口令的最小长度,由于口令越长越难被破译,因此,在中等安全性的网络中,要求用户的口令长度为6~8个字符。