文档介绍:计算机和网络工作站是目前应用最广泛的设备,计算机网络的安全在很大程度上依赖于网络终端和客户工作站的安全。目前的计算机系统安全级别特别低,几乎没有进行特别有力的防范措施。在未联网的单机时代,安全问题造成的损失较少,并未引起人们的注意。处于网络时代的今天,未加保护的计算机系统联入网络,由于非法用户的入侵、计算机数据的破坏和泄密,将会给人们造成无法估量的损失。因此,了解和掌握计算机及网络系统的安全保护机制,加强安全防范措施,使计算机系统变得更加安全,已变得非常必要。本章主要讨论有关计算机系统安全方面的内容,包括:计算机系统的安全保护机制;评估计算机系统的安全等级;计算机BIOS程序的安全设置和保护机制;计算机BIOS程序密码的破解和防范措施;Windows95/98/ME的有关安全保护机制;非法用户入侵Windows95/98/ME的方法和防范措施;Windows95/98/ME对等网络中权限和安全机制;计算机Word文档的保密问题。,计算机系统的安全越来越被人们所关注。非授权用户常常对计算机系统进行非法访问,这种非法访问使系统中存储信息的完整性受到威胁,导致信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息泄密和被非法篡改、伪造、窃取或删除而不留任何痕迹。要保护计算机系统,必须从技术上了解计算机系统安全访问控制的保护机制。为了防止非法用户使用计算机系统或者合法用户对系统资源的非法访问,需要对计算机实体进行访问控制。例如,银行信息系统的自动提款机为合法用户提供现款,但它必须对提款的用户身份进行识别和验证,对提款的行为进行监督控制,以防止非法用户的欺诈行为。要解决上述问题,需要采取两种措施:识别与验证访问系统的用户;决定用户对某一系统资源可进行何种访问(读、写、修改、运行等)。,首先向计算机输入自己的用户名和身份鉴别数据(如口令、标识卡、指纹等),以便进行用户的识别与验证,防止冒名顶替和非法入侵。所谓“识别”,就是要明确访问者是谁,即识别访问者的身份。必须对系统中的每个合法用户都有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。通过惟一标识符(1D),系统可以识别出访问系统的每一个用户。所谓“验证”,是指在访问者声明自己的身份(向系统输入它的标识符)后,系统必须对它所声明的身份进行验证,以防假冒,实际上就是证实用户的身份。验证过程总是需要用户出具能够证明他身份的特殊信息,这个信息是秘密的,任何其他用户都不能拥有它。识别与验证是涉及到系统和用户的一个全过程。只有识别与验证过程都正确后,系统才能允许用户访问系统资源。利用物理锁可以对一些重要的资源实施控制。只要把需要保护的系统资源用锁锁上,而钥匙由自己掌握,那么没有钥匙的人是不能访问受到保护的资源的。在这里,ID相当于钥匙,系统根据不同的ID可对其分配相应的不同的可使用资源。但拥有钥匙的用户不一定是合法拥有者,所以需采用验证技术证实用户的合法身份,这种技术可以有效地防止由于ID的非法泄露所产生的安全问题。口令机制是一种简便的验证手段,但比较脆弱。生物技术,如利用指纹、视网膜技术等,是一种比较有前途的方法。目前计算机系统最常用的验证手段仍是口令机制,它通过下述各种方法来加强其可靠性。口令需加密后存放在系统数据库中,一般采用单向加密算法对口令进行加密。要使输入口令的次数尽量减少,以防意外泄露。当用户离开系统所属的组织时,要及时更换他的口令。不要将口令存放在文件或程序中,以防其他用户读取该文件或程序时发现口令。用户要经常更换口令,使自己的口令不易被猜测出来。,还要对其访问操作实施一定的限制。可以把用户分为具有如下几种属性的用户类。特殊的用户:这种用户是系统的管理员,具有最高级别的特权,可以对系统任何资源进行访问,并具有所有类型的访问、操作能力。一般的用户:即系统的一般用户,他们的访问操作要受到一定的限制,通常需要由系统管理员对这类用户分配不同的访问操作权力。审计的用户:这类用户负责整个系统范围的安全控制与资源使用情况的审计。作废的用户:这是一类被拒绝访问系统的用户,也可能是非法用户。,美国国防部按处理信息的等级和应采用的相应措施,将计算机安全分为:A、B、C、D4等8个级别,共27条评估准则。从最低等级D等开始,到A等。随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。下面,对每个安全等级的内容和要求作简要说明。,即非保护级。它是为那些经过评估,但不满足较高评估等级要求的系统设计的,只具有一个级