網(wǎng)絡(luò)管理體系結(jié)構(gòu),代理進(jìn)程：維護其所駐留的被管設(shè)備的狀態(tài)，并且通過網(wǎng)絡(luò)管理協(xié)議向NMS提供信息 網(wǎng)絡(luò)管理系統(tǒng)收集被管設(shè)備的信息，并相應(yīng)作出反應(yīng) 管理代理是代表其他實體提供管理信息的實體,網(wǎng)絡(luò)管理：功能,五大功能： 性能管理：衡量和呈現(xiàn)網(wǎng)絡(luò)特性的各個方面，使網(wǎng)絡(luò)性能維持在一個可以被接受的水平上。 收集網(wǎng)絡(luò)管理者感興趣的那些變量的性能數(shù)據(jù)； 分析這些數(shù)據(jù)，以判斷是否處于正常（基線）水平并產(chǎn)生相應(yīng)的報告； 為每個重要的變量確定一個合適的性能閾值，超過該閾值就意味著出現(xiàn)了應(yīng)該注意的網(wǎng)絡(luò)故障； 配置管理：監(jiān)視網(wǎng)絡(luò)和系統(tǒng)的配置信息，以便跟蹤和管理不同的軟硬件元素對網(wǎng)絡(luò)操作的作用。 主要包括：網(wǎng)絡(luò)資源的配置及其活動狀態(tài)的監(jiān)視；網(wǎng)絡(luò)資源之間的關(guān)系的監(jiān)視與控制；新資源的加入，舊資源的刪除；定義新的管理對象；識別管理對象，給每個對象分配名字；初始化對象，啟動、關(guān)閉對象；管理各個對象之間的關(guān)系；改變管理對象的參數(shù)。,網(wǎng)絡(luò)管理：功能（續(xù)）,五大功能（續(xù)）： 計費管理：測量網(wǎng)絡(luò)的利用率參數(shù)，以恰當(dāng)?shù)乜刂苽€人或團體用戶對網(wǎng)絡(luò)的使用，比如網(wǎng)絡(luò)故障降低到最小或者使所有用戶對網(wǎng)絡(luò)的訪問更加公平。 建立和維護一個目標(biāo)機器地址數(shù)據(jù)庫，能對該數(shù)據(jù)庫中的任意一臺機器（一個IP地址）進(jìn)行計費； 能夠?qū)χ付↖P地址進(jìn)行流量限制，當(dāng)超過使用限額時，即可將其封鎖，禁止其使用； 能夠按天、按月、按IP地址或按單位提供網(wǎng)絡(luò)的使用情況，在規(guī)定的時間到來（比如一個月）的時候，根據(jù)本機數(shù)據(jù)庫中的E-mail地址向有關(guān)單位或個人發(fā)送帳單； 可以將安裝有網(wǎng)絡(luò)計費軟件的計算機配置成Web服務(wù)器，允許使用單位和個人隨時進(jìn)行查詢。,網(wǎng)絡(luò)管理：功能（續(xù)）,五大功能（續(xù)）： 故障管理：檢測、記錄網(wǎng)絡(luò)故障并通知給用戶，盡可能自動修復(fù)網(wǎng)絡(luò)故障以使網(wǎng)絡(luò)能有效地運行。 基本步驟 判斷故障癥狀； 隔離該故障； 修復(fù)該故障； 對所有重要子系統(tǒng)進(jìn)行故障修復(fù)后測試； 記錄故障的檢測及其解決結(jié)果。 主要功能： 接收差錯報告并作出反應(yīng)； 建立維護差錯日志，并進(jìn)行分析； 對差錯診斷測試，追蹤故障，并確定糾正故障的方法措施。,網(wǎng)絡(luò)管理：功能（續(xù)）,五大功能（續(xù)）： 安全管理：按照本地的方針來控制對網(wǎng)絡(luò)資源的訪問，以保證網(wǎng)絡(luò)不被有意或無意地侵害，并保證敏感信息不被那些未授權(quán)的用戶訪問 標(biāo)識重要的網(wǎng)絡(luò)資源（包括系統(tǒng)、文件和其它實體）； 確定重要的網(wǎng)絡(luò)資源和用戶集間的映射關(guān)系； 監(jiān)視對重要網(wǎng)絡(luò)資源的訪問； 記錄對重要網(wǎng)絡(luò)資源的非法訪問；,網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理技術(shù)的基本要求 網(wǎng)絡(luò)管理的跨平臺性 網(wǎng)絡(luò)管理的分布性 網(wǎng)絡(luò)管理的安全性 Internet/Intranet上各種服務(wù)的性能管理 遠(yuǎn)程管理 不同廠家網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理,網(wǎng)絡(luò)管理協(xié)議,ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn) 公共管理信息服務(wù)CMIS：支持管理進(jìn)程和管理代理之間的通信要求 公共管理信息協(xié)議CMIP：提供管理信息傳輸服務(wù)的應(yīng)用層協(xié)議 IETF的網(wǎng)絡(luò)管理協(xié)議 簡單網(wǎng)絡(luò)管理協(xié)議SNMPv1/v2/v3,CMIP協(xié)議,X.710定義了公共管理信息服務(wù)CMIS，目的是通過源語向應(yīng)用進(jìn)程提供交換系統(tǒng)管理的信息和指令的服務(wù)。CMIS提供的服務(wù)可以是有連接的，也可以是無連接的；可以是需要證實的，也可以是不需要證實的。 管理信息以對象方式描述，所有的對象存放在MIB中。在CMIP中，對象的變量被定義成非常復(fù)雜的數(shù)據(jù)結(jié)構(gòu)，有許多屬性： 變量屬性：表示變量的特性（如數(shù)據(jù)類型是否可寫等）； 變量動作：說明可以啟動什么樣的動作； 通知：每當(dāng)一個特殊的事件發(fā)生時，就會產(chǎn)生一個事件報告。,CMIP協(xié)議,特性： CMIP不是通過輪詢而是通過事件報告進(jìn)行工作，由網(wǎng)絡(luò)中的各個設(shè)備監(jiān)測設(shè)施在發(fā)現(xiàn)被檢測設(shè)備的狀態(tài)和參數(shù)發(fā)生變化后及時向管理進(jìn)程進(jìn)行事件報告 管理功能強大，它的參數(shù)不僅可以在管理站和管理節(jié)點之間傳遞網(wǎng)管信息，而且可以要求管理節(jié)點執(zhí)行一些動作 CMIP需要占用比SNMP多很多的資源。 CMIP的程序非常難編寫，CMIP定義的參數(shù)比較復(fù)雜,SNMP協(xié)議,SNMP是被設(shè)計成與協(xié)議無關(guān)的，由一系列協(xié)議組和規(guī)范組成，提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法： 輪詢方法 網(wǎng)絡(luò)設(shè)施中的代理進(jìn)程不斷收集網(wǎng)絡(luò)的通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計數(shù)據(jù)，并記錄到管理信息庫MIB中。NMS通過向代理的MIB發(fā)出查詢信號可以得到這些信息 基于中斷的方法 異常事件發(fā)生時代理進(jìn)程通知網(wǎng)絡(luò)管理系統(tǒng)NMS 面向自陷的輪詢方法：輪詢和中斷結(jié)合,SNMP管理模型,管理節(jié)點：被管理的設(shè)備，SNMP代理在其上運行，維護一個本地數(shù)據(jù)庫，存放其狀態(tài) 管理站運行一個或多個管理進(jìn)程，通過SNMP協(xié)議與代理通信 SNMP極為詳細(xì)地規(guī)定了每種代理應(yīng)該維護的確切信息以及提供信息的確切格式。即每個設(shè)備都具有一個或多個變量來描述其狀態(tài)，這些變量叫做對象，所有對象都存放在一個叫管理信息庫（MIB）中,SNMP協(xié)議,SNMP v1：設(shè)計簡單，易于擴展，但安全性較差 SNMP v2： 增加了安全機制，包括數(shù)據(jù)加密、鑒別和訪問控制 允許更詳細(xì)的變量描述，使用表數(shù)據(jù)結(jié)構(gòu)以方便數(shù)據(jù)提取 SNMP v3： 體現(xiàn)了模塊化的設(shè)計思想，適應(yīng)性強，擴充性好，安全性好 包括信息處理和控制模塊、本地處理模塊和用戶安全模塊,網(wǎng)絡(luò)管理,遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控RMON 收集所在網(wǎng)段的狀態(tài)信息，并存儲歷史信息以獲得網(wǎng)絡(luò)運行狀況趨勢 擴展SNMP的MIB-II，使SNMP更有效、積極主動地監(jiān)控遠(yuǎn)程設(shè)備 基于Web的網(wǎng)絡(luò)管理技術(shù) 允許通過Web瀏覽器進(jìn)行網(wǎng)絡(luò)管理 兩種實現(xiàn)方式 代理方式：在一個內(nèi)部工作站上運行Web服務(wù)器（代理）。網(wǎng)絡(luò)管理軟件負(fù)責(zé)將收集到的網(wǎng)絡(luò)信息傳送到瀏覽器（Web服務(wù)器代理），并將傳統(tǒng)管理協(xié)議（如SNMP）轉(zhuǎn)換成Web協(xié)議（如HTTP）。 嵌入式：將Web功能嵌入到網(wǎng)絡(luò)設(shè)備中，每個設(shè)備有自己的Web地址，管理員可通過瀏覽器直接訪問并管理該設(shè)備,網(wǎng)絡(luò)管理軟件,網(wǎng)管系統(tǒng)由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。其中網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能及網(wǎng)絡(luò)用戶分布方面的基本管理，是網(wǎng)管系統(tǒng)的核心： 體系結(jié)構(gòu)：通用的、開放的、可擴展的框架體系 核心服務(wù)：網(wǎng)絡(luò)管理軟件應(yīng)具備的基本功能，包括網(wǎng)絡(luò)搜索、查錯和糾錯、支持大量設(shè)備、友好操作界面、報告工具、警報通知和處理、配置管理等 應(yīng)用程序：實現(xiàn)特定的事務(wù)處理和結(jié)構(gòu)支持，主要包括高級警報處理、網(wǎng)絡(luò)仿真、策略管理和故障標(biāo)記等 典型的網(wǎng)絡(luò)管理軟件包括：HP OpenView/3Com Transcend/Sun NetManager等,網(wǎng)絡(luò)安全基礎(chǔ),針對網(wǎng)絡(luò)安全的威脅主要有三種 人為的無意失誤： 如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享 人為的惡意攻擊：所面臨的最大威脅 主動攻擊：以各種方式有選擇地破壞信息的有效性和完整性 被動攻擊：在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息。 網(wǎng)絡(luò)軟件的漏洞和“后門” ：黑客進(jìn)行攻擊的首選目標(biāo),網(wǎng)絡(luò)安全基礎(chǔ)：安全策略,物理安全策略：保護計算機、網(wǎng)絡(luò)設(shè)備等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊，其中抑制和防止電磁泄漏是物理安全策略的一個主要問題。 對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合 對輻射的防護 采用各種電磁屏蔽措施：如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離； 干擾防護措施：即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。,網(wǎng)絡(luò)安全基礎(chǔ)：安全策略,訪問控制策略：保證網(wǎng)絡(luò)資源不被非法使用和非法訪問 入網(wǎng)訪問控制： 控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng) 三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查 網(wǎng)絡(luò)的權(quán)限控制： 針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。 用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。 目錄級的權(quán)限控制： 網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。,網(wǎng)絡(luò)安全基礎(chǔ)：安全策略,訪問控制策略（續(xù)） 屬性安全控制 將給定的屬性與服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。 網(wǎng)絡(luò)服務(wù)器的安全控制 控制在服務(wù)器控制臺上執(zhí)行的操作 比如設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。 網(wǎng)絡(luò)監(jiān)測和鎖定控制： 網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警 ，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。,網(wǎng)絡(luò)安全基礎(chǔ)：安全策略,訪問控制策略（續(xù)） 網(wǎng)絡(luò)端口和節(jié)點的安全控制 網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護，并以加密的形式來識別節(jié)點的身份。 防火墻控制： 防火墻是確?；A(chǔ)設(shè)施完整性的一種常用方法。它通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，控制進(jìn)/出兩個方向的通信流。 信息加密策略：保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。 包括鏈路加密、端點加密和節(jié)點加密三種方式,網(wǎng)絡(luò)安全基礎(chǔ)：安全策略,非技術(shù)性安全管理策略 加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度： 確定安全管理等級和安全管理范圍 所有添加到網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的新設(shè)備都應(yīng)該符合特定的安全需求，每個站點必須指明支持其安全策略需要哪些安全部件和功能 制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員管理制度 制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施 對員工進(jìn)行足夠的安全意識培訓(xùn)等。,Windows98安全策略,設(shè)置用戶權(quán)限： 首先設(shè)置為每個用戶采用不同的使用權(quán)限，然后逐步增加新用戶并進(jìn)行設(shè)置,Windows98安全策略,防止非法用戶進(jìn)入 Regedit打開注冊表： “HKEYUSERDEFAULTSoftwareMicrosoftWindowsCurrentVersionRunonce” 在其下創(chuàng)建“字符串值”，名為“非法用戶，退出”，字符串為“Rundll.exe User.exe,Exitwindows” 為防止非法用戶按F8鍵調(diào)出Windows 98的啟動菜單以安全方式進(jìn)入系統(tǒng)，編輯MSDOS.sys文件，在該文件的option小節(jié)加入 “BootMulti=0”：設(shè)置系統(tǒng)不能進(jìn)行多重引導(dǎo)； “BootGUI=1”：在啟動時直接進(jìn)入Windows 98圖形用戶界面； “BootDelay”：設(shè)置在啟動時“Starting Windows 98 ”信息停留的時間為0秒； “BootKeys”：設(shè)置在啟動過程中F4、F5、F6、F8功能鍵失效。,Windows98安全策略,限制用戶級別 隱藏“開始”菜單的部分內(nèi)容：在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer” 該分支下建立一個DWORD值“NoSetFolders”，鍵值為“1”。用戶不能使用“控制面板”，且不能使用“開始/設(shè)置”中的“打印機” 新建一個DWORD值“NoFind”，鍵值為“1”，則“查找”功能被禁止 新建一個二進(jìn)制值“NoRun”，鍵值為“0 x00000001”，則“運行”菜單項被關(guān)閉,Windows98安全策略,隱藏桌面上所有圖標(biāo) 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer” 該分支下建立一個DWORD值“NoDesktop”，鍵值為“1”。 禁用注冊表編輯器 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolicies System” 該分支下建立一個DWORD值“DisableRegistryTools”，鍵值為“1”,Windows98安全策略,隱藏驅(qū)動器 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer” 該分支下新建一個二進(jìn)制值“NoDrive”，其缺省值為“00000000”，表示不隱藏任何驅(qū)動器，該值由四個字節(jié)組成，每個字節(jié)的第一位對應(yīng)從A：到Z：的一個盤，即01為A，02為B，04為C如隱藏D盤，鍵值為“0800000”；隱藏所有驅(qū)動器為“ffffffff” 禁用MSDOS方式 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindows CurrentVersionPolicies” 新建一個“WinOldApp”主鍵，在其下新建一個DWORD值“Disable”鍵值為“1”。,Windows98安全策略,禁止光盤的自動運行 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”該分支下新建一個DWORD值“NoDriveTypeAutoRun”，鍵值為“1” 禁止用軟盤或光盤啟動 在CMOS設(shè)置中將啟動順序改為“C ONLY”，并為其設(shè)置必要的密碼。,Windows NT安全策略,用戶帳號：每個用戶必須擁有一個帳號 NT規(guī)定該帳號在系統(tǒng)中的權(quán)力和權(quán)限 權(quán)力專指用戶對整個系統(tǒng)能夠做的事情，如關(guān)掉系統(tǒng)、往系統(tǒng)中添加設(shè)備、更改系統(tǒng)時間等。權(quán)力存放在安全帳號數(shù)據(jù)庫中。 權(quán)限專指用戶對系統(tǒng)資源所能做的事情，如對某文件的讀寫控制，對打印機隊列的管理。用戶對系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。,Windows NT安全模型,用戶登錄： 按下Ctrl+Alt+Del鍵，NT系統(tǒng)啟動登錄進(jìn)程 帳戶及口令有效后形成一個存取標(biāo)識（包括用戶名以及SID 、用戶所屬的組及組SID、用戶對系統(tǒng)所具有的權(quán)力 ） NT啟動一個用戶進(jìn)程，將該存取標(biāo)識與之連在一起，這個存取標(biāo)識就成了用戶進(jìn)程在NT系統(tǒng)中的通行證 存取標(biāo)識緩存的是用戶安全信息，如果管理員對用戶的權(quán)限進(jìn)行修改，只有在該用戶再次登錄時才發(fā)生作用 如何根據(jù)存取標(biāo)識控制用戶對資源的訪問？ 給資源分配的權(quán)限作為該資源的一個屬性，以訪問控制列表ACL的形式與資源一起存放，ACL包含了用戶名以及該用戶的權(quán)限 用戶訪問該目錄時，NT安全系統(tǒng)檢查用戶的存取標(biāo)識，與目錄的ACL對照，發(fā)現(xiàn)用戶存取標(biāo)識中的用戶名與ACL中有對應(yīng)關(guān)系且所要求的權(quán)限合法，則訪問獲得允許,NT系統(tǒng)的安全管理,加強物理安全管理 彌補系統(tǒng)軟件的安全漏洞，經(jīng)常升級微軟發(fā)布的安全補丁程序 掌握并使用微軟提供但未設(shè)置的安全功能：比如禁用Guest帳號等 使用NTFS文件系統(tǒng)：支持ACL 控制授權(quán)用戶的訪問：配置NTFS的訪問控制機制，限制用戶對目錄、文件等資源的訪問 避免給用戶定義特定的訪問控制 實施帳號及口令策略：如要求用戶不要使用太簡單的密碼、定期更改密碼等 設(shè)置帳號鎖定：非法嘗試一定次數(shù)后鎖定帳號 控制遠(yuǎn)程訪問服務(wù)：采用加密和認(rèn)證機制 啟用登錄工作站和登錄時間限制：只允許在特定的環(huán)境下登錄,NT系統(tǒng)的安全管理,啟動審計功能：查看審計日志，發(fā)現(xiàn)問題 確保注冊表安全 應(yīng)用系統(tǒng)的安全：保證各種應(yīng)用系統(tǒng)的安全性，常打補丁 不可輕易發(fā)布信息：不要發(fā)布關(guān)于自身系統(tǒng)的信息，防止黑客利用,Windows 2000安全策略,簡單的身份驗證和授權(quán)模型： 身份驗證在用戶登錄時識別用戶并將網(wǎng)絡(luò)連接到服務(wù)。經(jīng)過識別后，用戶就會有權(quán)按照權(quán)限對一組特定的網(wǎng)絡(luò)資源進(jìn)行訪問。 授權(quán)是通過訪問控制機制來進(jìn)行的，使用存儲在 Active Directory中的數(shù)據(jù)項以及訪問控制列表 (ACL)，后者定義對象（包括打印機、文件、網(wǎng)絡(luò)文件、及打印共享）的權(quán)限。 Windows 2000 分布式安全模型基于信任域控制器身份驗證、服務(wù)之間的信任委派以及基于對象的訪問控制。 域中每臺客戶機通過安全地對域控制器驗證身份創(chuàng)建直接信任路徑。 客戶端不可能直接訪問網(wǎng)絡(luò)資源；相反網(wǎng)絡(luò)服務(wù)創(chuàng)建客戶端訪問令牌并使用客戶端的憑據(jù)來執(zhí)行請求的操作以模擬客戶端。 Windows 操作系統(tǒng)核心在訪問令牌中使用安全性標(biāo)識符來驗證用戶是否被授予所需的對目標(biāo)對象的訪問權(quán)限。,Windows 2000安全策略,Active Directory： 提供一個中央位置來存儲關(guān)于用戶、硬件、應(yīng)用程序和網(wǎng)絡(luò)上數(shù)據(jù)的信息，同時保存了必要的授權(quán)及身份驗證信息以確保只有適當(dāng)?shù)挠脩舨趴稍L問每一網(wǎng)絡(luò)資源。 域間的信任關(guān)系 信任關(guān)系在域之間建立，用來支持直接傳遞身份驗證，讓用戶和計算機可以在目錄林的任何域中接受身份驗證。 用戶或計算機僅需登錄網(wǎng)絡(luò)一次就可以對任何他們有適當(dāng)權(quán)限的資源進(jìn)行訪問。 組策略設(shè)置 控制 Active Directory 中對象的各種行為。通過相同的方式將所有類型的策略應(yīng)用到眾多計算機上。 本地計算機安全性設(shè)置控制您想要授予特定用戶或計算機的權(quán)限和特權(quán),Windows 2000安全策略,身份驗證：確認(rèn)任何試圖登錄到域或訪問網(wǎng)絡(luò)資源的用戶的身份 互動式登錄，登錄時向域帳戶或本地計算機確認(rèn)用戶的身份 網(wǎng)絡(luò)身份驗證，用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)時確認(rèn)用戶的身份 支持多重身份驗證機制，采取單一登錄過程 訪問控制：決定對特定對象或?qū)傩缘脑L問權(quán)限 管理員給對象指派安全性描述符 訪問控制列表 (ACL)，該列表是用來定義哪一用戶（依照個人或組）有權(quán)限對該對象執(zhí)行特定操作 指定該對象待審核的各種訪問事件,UNIX系統(tǒng)安全策略,Unix系統(tǒng)的安全特征 訪問控制：通過訪問控制表ACL使得用戶可以自行改變文件的安全級別和訪問權(quán)限 -rwxr-xr- 1 john test 4月9日17：50 cm 對象的可用性：對象不再使用時由TCB清除它 個人身份標(biāo)識與認(rèn)證 審計記錄 操作的可靠性,Unix的安全體系結(jié)構(gòu),UNIX系統(tǒng)安全,不安全因素 特權(quán)軟件的安全漏洞 研究源代碼的漏洞 特洛伊木馬 網(wǎng)絡(luò)監(jiān)聽及數(shù)據(jù)截取 軟件之間相互作用和設(shè)置 大型軟件通常由多人協(xié)作完成，很難準(zhǔn)確預(yù)測系統(tǒng)內(nèi)各個部分的相互作用 安全管理：物理安全和邏輯安全，其中邏輯安全： 防止未授權(quán)存取 防止泄密：加強對重要文件的訪問控制和管理 防止用戶拒絕系統(tǒng)的管理：限制用戶對資源的使用,UNIX系統(tǒng)安全,具體的措施 防止緩沖區(qū)溢出 在inetd.conf中關(guān)閉不用的服務(wù) 1）變成root 2）備份inetd的配置文件/etc/inetd.conf cp /etc/inetd.conf /etc/inetd.conf.BACKUP 3）編輯/etc/inetd.conf文件 以“#”符號注釋掉不需要的服務(wù)，使其處于不激活的狀態(tài)。 4）在改變/etc/inetd.conf后，找到inetd進(jìn)程的id號，用kill向它發(fā)送HUP信號來刷新它。一定要確保kill了inetd進(jìn)程后，它還在運行。 給系統(tǒng)打補丁 重要主機單獨設(shè)立網(wǎng)段 定期檢查,