认证和访问控制 AAASOC10(2)

计算机安全文档

安全技术概述安全域 Copyrights 2007无限互联 ＝ 漏洞蔓延节选自美国总统IT顾问委员会PITAC ( President's Information Technology Advisory Committee) 报告 2005安全域划分和边界保护的意义就在于阻止这种无限互 联，即使实在内网，这种“无限互联”使得漏洞、蠕虫、 病毒、内部滥用和误用等威胁防不胜防。由于当前边界 的模糊，大规模的内部网近似于变成了一个小规模的互 联网。 隔离使得风险可控。Source: Copyrights 200714

计算机安全文档

安全域划分的原则收益l l l lll同一域内的安全属性相似， 便于部署安全策略 数量不宜太多 划分原则和方法直观易部署 照顾现有网络架构和应用布 局 对端的可信度是重要的参考 依据 …p隔离安全风险 p保持安全策略一致 p便于部署安全设备 p共享，降低安全成本 Copyrights 2007安全域示例 - 3+1l l网络和系统可以分解成4个域 Networks and systems have 4 kinds of Zones接入域 Access Zone服务域 Service Zone互联域 Inter-networking Zone Inter-支撑域 Supporting Zone Copyrights 200715

计算机安全文档

安全域示例 - 数据中心安全域Internet DMZ High Security ZoneWeb Dispatcher ICM CRM ABAPDB CRM ServerIntranetWeb DispatcherInternetPortalCRM JavaMPLS BackboneDWH ERP按照关键度和风险分为不同的安全域 互联网 – 以及合作伙伴 DMZ - 互联网服务 内网 - 用户、普通服务器 高安全区 - 核心区、企业关键服务器 Copyrights 2007认证与访问控制 Copyrights 200716

计算机安全文档

身份认证的常用识别法身份认证的定义： 证实客户的真实身份与其所声称的身份是否相符 的过程。 身份认证的依据： （1）根据用户知道什么来判断（所知）口令、密码等（2）根据用户拥有什么来判断（拥有）身份证、护照、门钥匙、磁卡钥匙等（3）根据用户是什么来判断（特征）指纹、声音、视网膜、签名、DNA等 Copyrights 2007常用的身份认证技术（1）口令识别法 （2）签名识别法 （3）指纹识别技术 （4）语音识别系统 Copyrights 200717

计算机安全文档

（1）口令识别法口令识别是应用最为广泛的身份认证技术。口令长度：通常为长度为5~8的字符串。 选择原则：易记、难猜、抗分析能力强。 口令识别的脆弱点： 网络窃听 重放攻击 字典攻击 暴力攻击 社交工程 Copyrights 2007不安全口令使用空口令、特别短的口令 使用用户名（账号）作为口令 使用用户名（账号）的变换形式作为口令 使用自己或者亲友的生日作为口令 使用学号、身份证号、单位内的员工号码等作为口令 使用常用的英文单词作为口令 Copyrights 200718

计算机安全文档

现实中的口令安全性著名安全专家Bruce Schneier在其个人博客上介绍了对 MySpace上面的用户口令的选择和安全性问题，包括一般用户口 令长度的统计：1-4 5 6 7 8 9 10 11 12 13-32 0.82 % 1.1 % 15 % 23 % 25 % 17 % 13 % 2.7 % 0.93 % 0.93 %/blog/archives/2006/12/realworld_passw.html Copyrights 2007现实中的口令安全性 （续）l口令组成的统计： numbers only letters only alphanumeric 1.3 % 9.6 % 81 %non-alphanumeric 8.3 %lTop 20 最为常用的口令包括： password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey. Copyrights 200719