计算机网络安全教程（第三版）第八章简答题答案

第 8 章 操作系统安全基础

1. 简述操作系统账号密码的重要性。 有几种方法可以保护密码不被破解或者被盗取？
   答：
   操作系统账号密码的安全是很重要的， 在个人计算机上也许不觉得， 但如果计算机有很重要的文件， 或者一些很有价值的账号密码， 一旦被黑客盗取， 那么就会造成重要信息的泄露， 大则损失是无法计算的。 有时还会威胁到国家的安全和利益。一般的黑客攻击都是扫描你的管理员账户的密码是否为空， 而我们所做的 XP 等系统默认的管理员账户 administrator 为空，安全方面 除了一般必要的不要让别人知道你的密码以外 ，你可以采用密码策略
   （1）让一些不必要或不要让人知道你的密码
   （2）使用相对安全的密码，比如数字和字母、符号相结合的，这样不容易破解。
   （3）启动管理员密码锁定策略，例如输入错误三次则锁定管理员账户。
   （4） 给管理员账户变身， 也就是说，把管理员账号 administrator改个名字或者禁用管理员密码，新建一个账户加入管理员组
2. 简述审核策略、 密码策略和账户策略的含义， 以及这些策略如何保护操作系统不被入侵。
   答：
   （1）审核策略，是 windows 中本地安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和 windows 系统的活动。在计算机中设置了审核策略，就可以监控成功或失败的事件。在设置审核事件时， windows 将事件执行的情况纪录到安全日志中， 安全日志中的每一个审核条目都包含三个方面的内容：执行动作的用户， 事件发生的时间及成功与否。 对文件和文件夹访问的审核，首先要求审核的对象必须位于 NTFS 分区之上，其次必须为对象访问事件设置审核策略。符合以上条件， 就可以对特定的文件或文件夹进行审核， 并且对哪些用户或组指定哪些类型的访问进行审核。
   （2）密码策略，即用户账户的保护一般主要围绕着密码的保护来进行。 为了避免用户身份由于密码被破解而被夺取或盗用， 通常可采取诸如提高密码的破解难度、 启用账户锁定策略、 限制用户登录、 限制外部连接以及防范网络嗅探等措施。 密码策略也可以在指定的计算机上用 “本地安全策略” 来设定，同时也可在网络中特定的组织单元通过组策略进行设定的。
   （3）在 Windows 2000 域中，账户策略是通过域的组策略设置和强制执行的。在其它GPO 中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策略。 账户策略中包括密码策略、账户锁定策略和 kerberos策略的安全设置。
3. 如何关闭不需要的端口和服务
   用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。用记事本打开该文件，如下图所示 端口与服务对照表。
   
   设置本机开放的端口和服务，在IP地址设置窗口中单击“高级”按钮，如下图所示 设置IP的高级属性。
   
   在出现的“高级TCP/IP设置”对话框中选择“选项”选项卡，选择“TCP/IP筛选”，单击“属性”按钮，如下图所示 设置TCP/IP筛选。
   
   设置完毕的端口界面如下图所示。
   
   一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。
4. 编写程序实现本章所有注册表的操作。（上机完成）
   答：（略）
5. 以报告的形式编写Windows 2000 Server/Advanced Server或者Windows 2003的安全配置方案。
   答：（略）
6. 简述BLP模型和Biba模型功能以及特点。
   答：
   BLP模型：
   Bell-LaPadula模型（简称BLP模型）是D. Elliott Bell和Leonard J. LaPadula于1973年提出的一种适用于军事安全策略的计算机操作系统安全模型，它是最早、也是最常用的一种计算机多级安全模型之一。
   BLP模型是一个状态机模型，它形式化地定义了系统、系统状态以及系统状态间的转换规则；定义了安全概念；制定了一组安全特性，以此对系统状态和状态转换规则进行限制和约束，使得对于一个系统而言，如果它的初始状态是安全的，并且所经过的一系列规则转换都保持安全，那么可以证明该系统的终了也是安全的。BLP模型通过防止非授权信息的扩散保证系统的安全，但它不能防止非授权修改系统信息。
   Biba模型：
   于是Biba等人在1977年提出了第一个完整性安全模型——Biba模型，其主要应用是保护信息的完整性，而BLP模型是保护信息机密性。Biba模型也是基于主体、客体以及它们的级别的概念的。模型中主体和客体的概念与BLP模型相同，对系统中的每个主体和每个客体均分配一个级别，称为完整级别。
7. 简述Flask安全体系结构的优点。
   答：
   Flask体系结构使策略可变通性的实现成为可能。通过对Flask体系的微内核操作系统的原型实现表明，它成功的克服了策略可变通性带来的障碍。这种安全结构中机制和策略的清晰区分，使得系统可以使用比以前更少的策略来支持更多的安全策略集合。Flask包括一个安全策略服务器来制定访问控制决策，一个微内核和系统其他客体管理器框架来执行访问控制决策。虽然原型系统是基于微内核的，但是安全机制并不依赖微内核结构，意味着这个安全机制在非内核的情况下也能很容易的实现。
   由此产生的系统提供了策略的可变通性，也支持策略的多样性。通过确保安全策略已经考虑了每个访问决策来控制访问权限的增长。由直接集成到系统的服务来提供组件的执行机制，支持精细访问控制和允许对以前授予访问权限的撤回的动态策略。此外有原始的性能结论和对编码变化的数量和扩散统计显示，系统安全策略的可变通的影响能被保持到最小。
   Flask结构也可以适用于除操作系统之外的其它软件，例如中间件或分布式系统，但此时由底层操作系统的不安全性所导致的弱点仍保留。
8. 简述安全操作系统的机制。
   答：
   安全操作系统的机制包括：硬件安全机制，操作系统的安全标识与鉴别，访问控制、最小特权管理、可信通路和安全审计。
   1） 硬件安全机制
   绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的，优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是，保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。
   2） 操作系统的安全标识与鉴别
   标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称为鉴别，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的，任何其他用户都不能拥有它。
   3） 访问控制
   在安全操作系统领域中，访问控制一般都涉及自主访问控制（Discretionary Access Control，DAC）和强制访问控制（Mandatory Access Control，MAC）两种形式。
   自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。
   在强制访问控制机制下，系统中的每个进程、每个文件、每个 IPC 客体( 消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。
   4） 最小特权管理
   最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权，如将超级用户的特权划分为一组细粒度的特权，分别授予不同的系统操作员/管理员，使各种系统操作员/管理员只具有完成其任务所需的特权，从而减少由于特权用户口令丢失或错误软件、恶意软件、误操作所引起的损失。
   5） 可信通路
   在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。但用户登录，定义用户的安全属性，改变文件的安全级等操作，用户必须确实与安全核心通信，而不是与一个特洛伊木马打交道。这种用保障用户和内核通信的机制由可信通路提供。
   6） 安全审计
   一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。