安全的最后防线计算节点的安全 节点安全是纵深防御的最深层次,是最后一个环节 深层防御 边界防御 外围防御 拨号用户B 拨号用户c 级骨干网 应用系统 1.可信的网络传输平台 2.可信的计算环境 3.可信的操作系统 拨号用户A 4.可信的人员
2 拨号用户 A 拨号用户 B 一级骨干网 拨号用户 C 1. 可信的网络传输平台 2. 可信的计算环境 3. 可信的操作系统 4. 可信的人员 应用系统 边界防御 深层防御 安全的最后防线------计算节点的安全 外围防御 节点安全是纵深防御的最深层次,是最后一个环节
计算节点安全的核心要素 硬件系统的安全 软件系统的安全 3
3 硬件系统的安全 软件系统的安全 计算节点安全的核心要素
计算机硬件示意图 面面面面 = 4
4 计算机硬件示意图
计算机硬件实现原理图 CPU 主存 缓存 计算机硬件的安全是:采 用安全芯片 总线I 显示适配器 byesarcINrw 墨 北桥芯片 总线Ⅱ 南桥芯片lRu 适配器 适配器 适配器 总线
5 总线I 计算机硬件实现原理图 总线II 总线III 北桥芯片 南桥芯片 适配器 适配器 适配器 适配器 CPU 主存 缓存 显示适配器 计算机硬件的安全是:采 用安全芯片
Windows系统内的适配器 马设备管理器 = EDUOIOU-DEST mD/CDBM驱动器 文件吧)操作〔A)查看Q)帮助QD 2CD-ROM CCD-52X6D +舀墨 倍 IDE ATA/ATAPI控制器 E DUOroU-DEST B Intel ()82801BA Bus Master IDE Controller mⅦD/cn-RM驱动器 自次要Im通道 舀 IDE ATA/ATAPI控制器 舀主要ID通道 象处理器 象处理器 磁盘驱动器 Intel (R)Pentium (R)4 CPU 1.60GHz 端口C0和LPT ◆磁盘北动器 -计算机 ST340016A Q监视器 白y端口〔OM和LPT b键盘 yECP打印机端口ar1) Standard 101/102-Key or Microsoft Natural /o/2 Keyboard 通讯端囗 y通讯端口 E Standard floppy disk controller 中计算机 基软盘驱动器 中监视器 中声音、视频和游戏控制器 b键盘 鼠标和其它指针设备 d 101/102-Key or Microsoft Natural PS/2 Keyboar O PS/2 Compatible Mouse 号软盘控制器 e通用串行总鱿控制器 E Standard floppy disk controller 中蹲网络适配器 中、基软盘驱动器 -系统设备 声音、视频和游戏控制器 显示卡 0, Intel(r)82801BA/BAM AC 97 Audio Controller O MPu-401 Compatible MIDI Device 标准游戏端口 传统视频捕捉设备 传统音频驱动程序 媒体控制设备 ②视频编码解码器 音频编码解码 鼠标和其它指针设备 中e通用串行总线 适配器 适配器 适配器 配器 日蹲网络适配器 B9 D-Link DFE-530TX PCI Fast Ethernet Adapter Grev. C) #9 Intel 8255x-based PCI Ethernet Adapter (10/100)#2 中星系统设备 白显示卡 3 NVIDIA GeForce3 Ti 200
6 Windows 系统内的适配器 适配器 适配器 适配器 适配器
计算机软件安全—系统安全 裸机,不能执行任何程序 安装操作系统后的计算机 确保运行在裸机上软件的安全:包括操作系统软件、数据库软件、应用软件等,尤其是操作系统安全 1.简单说(何谓操作系统): ①安装在硬件设备上的软件 ②允许系统执行基本功能的软件 2.详细说(何谓操作系统): ①操作系统是一种能控制和管理计算机系统内各种硬件资源和软件资源的一种软件环境,它能 合理、有效的组织计算机系统的工作,为用户提供一个使用方便、可扩展的工作环境,从而 给用户提供一个操作计算机的软、硬件接口 ②计算机系统资源包括硬件资源(微处理器,存储器,输入、输出设备及其它外部设备)和软 件资源(程序、文件或数据等)。 7
7 确保运行在裸机上软件的安全:包括操作系统软件、数据库软件、应用软件等,尤其是操作系统安全 1. 简单说(何谓操作系统): ① 安装在硬件设备上的软件 ② 允许系统执行基本功能的软件 2. 详细说(何谓操作系统): ① 操作系统是一种能控制和管理计算机系统内各种硬件资源和软件资源的一种软件环境,它能 合理、有效的组织计算机系统的工作,为用户提供一个使用方便、可扩展的工作环境,从而 给用户提供一个操作计算机的软、硬件接口。 ② 计算机系统资源包括硬件资源(微处理器,存储器,输入、输出设备及其它外部设备)和软 件资源(程序、文件或数据等)。 裸机,不能执行任何程序 安装操作系统后的计算机 计算机软件安全----系统安全
操作系统分类 Window操作系统 Iin操作系统 Freebsd操作系统 BeOs操作系统 1. Windows操作系统:现代办公软件的世界 2. Linux/Unix操作系统:网络功能特别强大,充当绝大部分网络服务器 3.BeOS操作系统:那BeOS就称得上是多媒体大师的天堂了。BOS以其出色的 多媒体功能而闻名,它在多媒体制作、编辑、播放方面都得心应手
8 操作系统分类 Windows操作系统 Linux操作系统 FreeBSD操作系统 BeOS操作系统 1. Windows 操作系统:现代办公软件的世界 2. Linux / Unix 操作系统:网络功能特别强大,充当绝大部分网络服务器 3. BeOS 操作系统:那BeOS就称得上是多媒体大师的天堂了。BeOS以其出色的 多媒体功能而闻名,它在多媒体制作、编辑、播放方面都得心应手
Windows200操作系统分类 Certified For 动 ndows Professional Server Advanced Server Datacenter Server 1. Professional/版:桌面操作系统,适合移动家庭用户,相当于 Windows nt4.0 Workstation 2. Server版:它的前一个版本是 Windows nt40 server版。即可面向一些中小型的企业内部网络服务 器,但它同样可以应付大型网络中的各种应用程序的需要。 Server在NT4的基础上做了大量的改进 ,在各种功能方面有了更大的提高 3. Advanced Server版:它的前一个版本是 Windows nt40企业版。与 Server版不同的是, Advanced Server具有更为强大的特性和功能。它对SMP(对称多处理器)的支持要比 Server更好,支持的数 目可以达到四路 4. Datacenter Server版:是微软最近推出的一种WN2000版本,它是目前为止最强大的服务器系 统,可以支持32路SMP系统和64GB的物理内存。该系统可用于大型数据库、经济分析、科学计算 以及工程模拟等方面,另外还可用于联机交易处理 下面以 WINDOWS2000为例探讨系统安全的原理与方法
9 Windows 2000操作系统分类 Professional Server Advanced Server Datacenter Server 1. Professional 版:桌面操作系统,适合移动家庭用户,相当于Windows NT4.0 Workstation 2. Server 版:它的前一个版本是Windows NT4.0 server版。即可面向一些中小型的企业内部网络服务 器,但它同样可以应付大型网络中的各种应用程序的需要。Server在NT4的基础上做了大量的改进 ,在各种功能方面有了更大的提高 3. Advanced Server 版:它的前一个版本是Windows NT4.0企业版。与Server版不同的是,Advanced Server具有更为强大的特性和功能。它对SMP(对称多处理器)的支持要比Server更好,支持的数 目可以达到四路。 4. Datacenter Server 版:是微软最近推出的一种WIN2000的版本,它是目前为止最强大的服务器系 统,可以支持32路SMP系统和64GB的物理内存。该系统可用于大型数据库、经济分析、科学计算 以及工程模拟等方面,另外还可用于联机交易处理 下面以WINDOWS 2000为例探讨系统安全的原理与方法
提纲 原理篇 实践篇 WINDOWS系统概述 啼WIND0WS系统安全配置 系统体系结构 ■安全安装 ■系统服务与进程 安全审核 系统启动过程 访问控制 ■系统的安全级别 ■账号安全策略 WIND0Ws系统安全原理 ■管理员权限 系统安全架构 ■网络服务安全设置 ■安全子系统 ■文件系统的安全 账户管理 ■安全日志 身份认证 ■其他安全设置 ■验证授权 WIN0Ws常见应用服务器安全配置 ■安全审计 WIN0WS系统常见安全问题解答 ■安全策略 WINDOWS NT系统标准配置 ■其他 WIND0Ws2000系统标准配置
10 WINDOWS 系统概述 系统体系结构 系统服务与进程 系统启动过程 系统的安全级别 WINDOWS 系统安全原理 系统安全架构 安全子系统 账户管理 身份认证 验证授权 安全审计 安全策略 其他 提 纲 WINDOWS 系统安全配置 安全安装 安全审核 访问控制 账号安全策略 管理员权限 网络服务安全设置 文件系统的安全 安全日志 其他安全设置 WINDOWS 常见应用服务器安全配置 WINDOWS 系统常见安全问题解答 WINDOWS NT系统标准配置 WINDOWS 2000系统标准配置 原 理 篇 实 践 篇
Windows2000系统结构 用户模式(2GB 登录过程 DOS客户 Win16客户 Win32客户 其他客户 (Winlogon) Posix, RAS) wOW 4GB) 安全子系统 VDM Win32 其他子系统 (LSA 子系统 ( Posix, RAS) 对象安全引用本地过程进程虚拟内存图形设备即插即用电源配置缓存 内核模式(0GB|2GB) IO管理器监视器调用程序管理器管理器管理器管理器管理器管理器管理器 管理器 微内核 硬件抽象层(HAL) 硬件
11 硬件 硬件抽象层(HAL) I/O 管理器 微 内 核 对象 管理器 安全引用 监视器 本地过程 调用程序 进程 管理器 虚拟内存 管理器 图形设备 管理器 即插即用 管理器 电源 管理器 配置 管理器 缓存 管理器 安全子系统 (LSA) Win32 子系统 其他子系统 (Posix,RAS) 登录过程 (Winlogon) DOS 客户 Win32 客户 其他客户 (Posix,RAS) Win16 客户 WOW VDM 内 核 模 式 ( 0 G B | 2 G B ) 用 户 模 式 ( 2 G B | 4 G B ) Windows 2000系统结构