操作系统与数据库安全技术课件

第第6章章 操作系统与数据库安全技术操作系统与数据库安全技术内容提要：内容提要：访问控制技术访问控制技术操作系统安全技术操作系统安全技术Unix/LinuxUnix/Linux系统安全技术系统安全技术Windows 2000/XPWindows 2000/XP系统安全技术系统安全技术数据库安全概述数据库安全概述数据库安全机制数据库安全机制数据库安全技术数据库安全技术本章小结本章小结第6章 操作系统与数据库安全技术内容提要：访访问问控控制制是是实实现现既既定定安安全全策策略略的的系系统统安安全全技技术术，它它可可以以显显式式地地管管理理着着对对所所有有资资源源的的访访问问请请求求。根根据据安安全全策策略略的的要要求求，访访问问控控制制对对每每个个资资源源请请求求做做出出许许可可或或限限制制访访问问的的判判断断，可可以以有有效效地地防防止止非非法法用用户户访访问问系系统统资资源源和和合合法法用用户户非非法法使使用用资资源源。美美 国国 国国 防防 部部 的的 可可 信信 计计 算算 机机 系系 统统 评评 估估 标标 准准（TESEC）把把访访问问控控制制作作为为评评价价系系统统安安全全的的主主要指标之一。要指标之一。返回本章首页返回本章首页 访问控制是实现既定安全策略的系统安全技术，它 在在信信息息安安全全涵涵盖盖的的众众多多领领域域，操操作作系系统统安安全全是是信信息息安安全全的的核核心心问问题题。操操作作系系统统安安全全是是整整个个计计算算机机系系统统安安全全的的基基础础，采采用用的的安安全全机机制制主主要要包包括括两两个个方方面面，即即访访问问控控制制和和隔隔离离控控制制，其其中中访访问问控控制制是是其其安安全机制的关键。全机制的关键。数数据据库库系系统统是是对对数数据据资资料料进进行行管管理理的的有有效效手手段段，许许多多重重要要的的数数据据资资料料都都存存储储于于各各种种类类型型的的数数据据库库中中。因因此此数数据据库库的的安安全全问问题题在在整整个个信信息息安安全全体体系系中中占占用用重重要要地地位位。数数据据库库安安全全主主要要从从身身份份认认证证、访访问问控控制制、数数据据加加密密等等方方面面来来保保证证数数据据的的完完整整性性、可可用用性性、机机密性，其中应用最广且最为有效的当属访问控制。密性，其中应用最广且最为有效的当属访问控制。返回本章首页返回本章首页 在信息安全涵盖的众多领域，操作系统安全是信息6.1 访问控制技术访问控制技术 计计算算机机信信息息系系统统访访问问控控制制技技术术最最早早产产生生于于上上个个世世纪纪60年年代代，随随后后出出现现了了两两种种重重要要的的访访问问控控制制技技术术，即自主访问控制即自主访问控制DAC和强制访问控制和强制访问控制MAC。但但是是，作作为为传传统统访访问问控控制制技技术术，它它们们已已经经远远远远落落后后于于当当代代系系统统安安全全的的要要求求，安安全全需需求求的的发发展展对对访访问控制技术提出了新的要求。问控制技术提出了新的要求。近近年年来来的的研研究究工工作作一一方方面面是是对对传传统统访访问问控控制制技技术术的的不不足足进进行行改改进进，另另一一方方面面则则出出现现了了以以基基于于角角色色的访问控制技术的访问控制技术RBAC为代表的新型技术手段。为代表的新型技术手段。返回本章首页返回本章首页6.1 访问控制技术 计算机信息系统访问控制技6.1.1 认证、审计与访问控制认证、审计与访问控制 在在讨讨论论传传统统访访问问控控制制技技术术之之前前，先先就就访访问问控控制制与与认认证证、审审计计之之间间的的关关系系，以以及及访访问问控控制制的的概概念和内涵进行概要说明。念和内涵进行概要说明。在在计计算算机机系系统统中中，认认证证、访访问问控控制制和和审审计计共共同同建建立立了了保保护护系系统统安安全全的的基基础础，如如图图6-16-1所所示示。其其中中认认证证是是用用户户进进入入系系统统的的第第一一道道防防线线，访访问问控控制制则则在在鉴鉴别别用用户户的的合合法法身身份份后后，通通过过引引用用监监控控器器控控制制用用户户对对数数据据信信息息的的访访问问。审审计计通通过过监监视视和和记记录录系系统中相关的活动，起到事后分析的作用。统中相关的活动，起到事后分析的作用。返回本章首页返回本章首页6.1.1 认证、审计与访问控制 在讨论传统访问控制返回本章首页返回本章首页返回本章首页 区区别别认认证证和和访访问问控控制制是是非非常常重重要要的的。正正确确地地建建立立用用户户的的身身份份标标识识是是由由认认证证服服务务实实现现的的。在在通通过过引引用用监监控控器器进进行行访访问问控控制制时时，总总是是假假定定用用户户的的身身份份已已经经被被确确认认，而而且且访访问问控控制制在在很很大大程程度度上上依依赖赖用用户户身身份份的的正正确确鉴鉴别别和和引引用用监监控控器器的的正正确确控控制制。同同时时要要认认识识到到，访访问问控控制制不不能能作作为为一一个个完完整整的的策策略略来来解解决决系系统统安安全全，它它必必须须要要结结合合审审计计而而实实行行。审审计计控控制制主主要要关关注注系系统统所所有有用用户户的的请请求求和和活活动动的的事后分析。事后分析。返回本章首页返回本章首页 区别认证和访问控制是非常重要的。正确地建立用 所所谓谓访访问问控控制制（Access Control）就就是是通通过过某某种种途途径径显显式式地地准准许许或或限限制制访访问问能能力力及及范范围围的的一一种种方方法法。通通过过访访问问控控制制服服务务，可可以以限限制制对对关关键键资资源源的的访访问问，防防止止非非法法用用户户的的侵侵入入或或者者因因合合法法用用户户的的不不慎慎操操作作所所造造成成的的破破坏坏。访访问问控控制制是是实实现现数数据据保密性和完整性机制的主要手段。保密性和完整性机制的主要手段。返回本章首页返回本章首页 所谓访问控制（Access Control）访问控制系统一般包括：访问控制系统一般包括：主主体体（subject）：指指发发出出访访问问操操作作、存存取取请请求求的的主主动动方方，它它包包括括用用户户、用用户户组组、终终端端、主主机机或或一个应用进程，主体可以访问客体。一个应用进程，主体可以访问客体。客客体体（object）：指指被被调调用用的的程程序序或或欲欲存存取取的的数数据据访访问问，它它可可以以是是一一个个字字节节、字字段段、记记录录、程程序、文件，或一个处理器、存储器及网络节点等。序、文件，或一个处理器、存储器及网络节点等。安安全全访访问问政政策策：也也称称为为授授权权访访问问，它它是是一一套套规规则，用以确定一个主体是否对客体拥有访问能力。则，用以确定一个主体是否对客体拥有访问能力。返回本章首页返回本章首页 访问控制系统一般包括：返回本章首页 在在访访问问控控制制系系统统中中，区区别别主主体体与与客客体体是是比比较较重重要要的的。通通常常主主体体发发起起对对客客体体的的操操作作将将由由系系统统的的授授权权来来决决定定，并并且且，一一个个主主体体为为了了完完成成任任务务可可以以创创建建另另外外的的主主体体，并并由由父父主主体体控控制制子子主主体体。此此外外，主主体体与与客客体体的的关关系系是是相相对对的的，当当一一个个主主体体受受到到另另一一主主体体的的访访问问，成成为为访访问问目目标标时时，该该主主体体便便成成了了客体。客体。访访问问控控制制规规定定了了哪哪些些主主体体可可以以访访问问，以以及及访访问权限的大小，其一般原理如图问权限的大小，其一般原理如图6-2所示。所示。返回本章首页返回本章首页 在访问控制系统中，区别主体与客体是比较重要的返回本章首页返回本章首页返回本章首页 在在主主体体和和客客体体之之间间加加入入的的访访问问控控制制实实施施模模块块，主主要要用用来来负负责责控控制制主主体体对对客客体体的的访访问问。其其中中，访访问问控控制制决决策策功功能能块块是是访访问问控控制制实实施施功功能能中中最最主主要要的的部部分分，它它根根据据访访问问控控制制信信息息作作出出是是否否允允许许主主体体操操作作的的决决定定，这这里里访访问问控控制制信信息息可可以以存存放放在在数数据据库库、数数据据文文件件中中，也也可可以以选选择择其其它它存存储储方方法法，且且要要视视访访问问控控制制信信息息的的多多少少及及安安全全敏敏感感度度而而定定。其其原理如图原理如图6-3所示。所示。返回本章首页返回本章首页 在主体和客体之间加入的访问控制实施模块，主要返回本章首页返回本章首页返回本章首页6.1.2 传统访问控制技术传统访问控制技术 1自主访问控制自主访问控制DAC及其发展及其发展 DAC是是目目前前计计算算机机系系统统中中实实现现最最多多的的访访问问控控制制机机制制，它它是是在在确确认认主主体体身身份份以以及及（或或）它它们们所所属属组组的的基基础础上上对对访访问问进进行行限限定定的的一一种种方方法法。传传统统的的DAC最最早早出出现现在在上上个个世世纪纪70年年代代初初期期的的分分时时系系统统中中，它它是是多多用用户户环环境境下下最最常常用用的的一一种种访访问问控控制制技技术术，在在目目前前流流行行的的Unix类类操操作作系系统统中中被被普普遍遍采采用用。其其基基本本思思想想是是，允允许许某某个个主主体体显显式式地地指指定定其其他他主主体体对对该该主主体体所所拥拥有有的的信信息息资资源源是是否否可可以以访访问问以以及及可可执执行行的的访访问问类型。类型。返回本章首页返回本章首页6.1.2 传统访问控制技术 1自主访问控制DAC 上上个个世世纪纪70年年代代末末，M.H.Harrison，W.L.Ruzzo，J.D.Ullma等等对对传传统统DAC做做出出扩扩充充，提提出出了了客客体体主主人人自自主主管管理理该该客客体体的的访访问问和和安安全全管管理理员员限限制制访访问问权权限限随随意意扩扩散散相相结结合合的的半半自自主主式式的的HRU访访问问控控制制模模型型，并并设设计计了了安安全全管管理理员员管管理理访访问问权权限限扩扩散散的的描描述述语语言言。到到了了1992年年，Sandhu等等人人为为了了表表示示主主体体需需要要拥拥有有的的访访问问权权限限，将将HRU模模型型发发展展为为TAM（Typed Access Matrix）模模型型，在在客客体体和和主主体体产产生生时时就就对对访访问问权权限限的的扩扩散散做做出出了了具具体体的的规定。规定。随随后后，为为了了描描述述访访问问权权限限需需要要动动态态变变化化的的系系统统安安全全策略，策略，TAM发展为发展为ATAM（Augmented TAM）模型。模型。返回本章首页返回本章首页 上个世纪70年代末，M.H.Harrison 2强制访问控制强制访问控制MAC及其发展及其发展 MAC最最早早出出现现在在Multics系系统统中中，在在1983美美国国国国防防部部的的TESEC中中被被用用作作为为B级级安安全全系系统统的的主主要要评评价价标标准准之之一一。MAC的的基基本本思思想想是是：每每个个主主体体都都有有既既定定的的安安全全属属性性，每每个个客客体体也也都都有有既既定定安安全全属属性性，主主体体对对客客体体是是否否能能执行特定的操作取决于两者安全属性之间的关系。执行特定的操作取决于两者安全属性之间的关系。通通常常所所说说的的MAC主主要要是是指指TESEC中中的的MAC，它它主主要要用用来来描描述述美美国国军军用用计计算算机机系系统统环环境境下下的的多多级级安安全全策策略略。在在多多级级安安全全策策略略中中，安安全全属属性性用用二二元元组组（安安全全级级，类类别别集集合合）表表示示，安安全全级级表表示示机机密密程程度度，类类别别集集合合表表示示部部门门或组织的集合。或组织的集合。返回本章首页返回本章首页 2强制访问控制MAC及其发展 返回本章首页 一一般般的的MAC都都要要求求主主体体对对客客体体的的访访问问满满足足BLP（Bell and LaPadula）安安全全模模型型的的两两个个基基本本特性：特性：（1）简简单单安安全全性性：仅仅当当主主体体的的安安全全级级不不低低于于客客体体安安全全及及且且主主体体的的类类别别集集合合包包含含客客体体的的类类别别集集合合时，才允许该主体读该客体。时，才允许该主体读该客体。（2）*特特性性：仅仅当当主主体体的的安安全全级级不不高高于于客客体体安安全全级级且且客客体体的的类类别别集集合合包包含含主主体体的的类类别别集集合合时时，才允许该主体写该客体。才允许该主体写该客体。返回本章首页返回本章首页 一般的MAC都要求主体对客体的访问满足BLP（Bel 为为了了增增强强传传统统MAC的的完完整整性性控控制制，美美国国SecureComputing公公 司司 提提 出出 了了 TE（Type Enforcement）控控 制制 技技 术术，TE技技 术术 在在SecureComputing公公 司司 开开 发发 的的 安安 全全 操操 作作 系系 统统LOCK6中得到了应用。中得到了应用。Chinese Wall模模型型是是Brewer和和Nash开开发发的的用用于于商商业业领领域域的的访访问问控控制制模模型型，该该模模型型主主要要用用于于保保护护客客户户信信息息不不被被随随意意泄泄漏漏和和篡篡改改。它它是是应应用用在在多多边安全系统中的安全模型。边安全系统中的安全模型。返回本章首页返回本章首页 为了增强传统MAC的完整性控制，美国Secu6.1.3 新型访问控制技术新型访问控制技术 1基于角色的访问控制基于角色的访问控制RBAC RBAC（Role-Based Access Control）的的概概念念早早在在20世世纪纪70年年代代就就已已经经提提出出，但但在在相相当当长长的的一一段段时时间间内内没没有有得得到到人人们们的的关关注注。进进入入90年年代代后后，随随着着安安全全需需求求的的发发展展加加之之R.S.Sandhu等等人人的的倡倡导导和和推推动动，RBAC又又引引起起了了人人们们极极大大的的关关注注，目目前前美美国国很很多多学学者者 和和 研研 究究 机机 构构 都都 在在 从从 事事 这这 方方 面面 的的 研研 究究，如如NIST（National Institute of Standard Technology）和和 Geroge Manson大大 学学 的的 LIST（Laboratory of Information Security Technololy）等。等。返回本章首页返回本章首页6.1.3 新型访问控制技术 1基于角色的访问控制 自自1995年年开开始始，美美国国计计算算机机协协会会ACM每每年年都都召召开开RBAC的的专专题题研研讨讨会会来来促促进进RBAC的的研研究究，图图6-4给给出出了了RBAC的的结结构构示示意意图图。在在RBAC中中，在在用用户户（user）和和访访问问许许可可权权（permission）之之间间引引入入了了角角色色（role）的的概概念念，用用户户与与特特定定的的一一个个或或多多个个角角色色相联系，角色与一个或多个访问许可权相联系。相联系，角色与一个或多个访问许可权相联系。这这里里所所谓谓的的角角色色就就是是一一个个或或是是多多个个用用户户可可执执行行的的操操作作的的集集合合，它它体体现现了了RBAC的的基基本本思思想想，即即授授权权给给用用户户的的访访问问权权限限，通通常常由由用用户户在在一一个个组组织织中中担担当的角色来确定。当的角色来确定。返回本章首页返回本章首页 自1995年开始，美国计算机协会ACM每年都返回本章首页返回本章首页返回本章首页 迄今为止已发展了四种迄今为止已发展了四种RBAC模型：模型：（1）基基本本模模型型RBAC0，该该模模型型指指明明用用户户、角角色色、访问权和会话之间的关系；访问权和会话之间的关系；（2）层层次次模模型型RBAC1，该该模模型型是是偏偏序序的的，上上层层角角色可继承下层角色的访问权；色可继承下层角色的访问权；（3）约约束束模模型型RBAC2，该该模模型型除除包包含含RBAC0的的所所有有基基本本特特性性外外，增增加加了了对对RBAC0的的所所有有元元素素的的约约束束检查，只有拥有有效值的元素才可被接受；检查，只有拥有有效值的元素才可被接受；（4）层层次次约约束束模模型型RBAC3，该该模模型型兼兼有有RBAC1和和RBAC2的特点。的特点。返回本章首页返回本章首页 迄今为止已发展了四种RBAC模型：返回本章首 RBAC具有五个明显的特点：具有五个明显的特点：（1）以角色作为访问控制的主体）以角色作为访问控制的主体 （2）角色继承）角色继承 （3）最小权限原则）最小权限原则 （4）职责分离）职责分离 （5）角色容量）角色容量 与与DAC和和MAC相相比比，RBAC具具有有明明显显的的优优越越性性，RBAC基基于于策策略略无无关关的的特特性性，使使其其几几乎乎可可以以描描述述任任何何安安全全策策略略，甚甚至至DAC和和MAC也也可可以以用用RBAC来来描描述。述。返回本章首页返回本章首页 RBAC具有五个明显的特点：返回本章首页 2基于任务的访问控制基于任务的访问控制TBAC TBAC（Task-Based Access Control）是是一一种种新新的的安安全全模模型型，从从应应用用和和企企业业层层角角度度来来解解决决安安全全问问题题（而而非非已已往往从从系系统统的的角角度度）。它它采采用用“面面向向任任务务”的的观观点点，从从任任务务（活活动动）的的角角度度来来建建立立安安全全模模型型和和实实现现安安全全机机制制，在在任任务务处处理理的的过过程程中中提提供供动动态态实实时时的的安安全全管管理理。在在TBAC中中，对对象象的的访访问问权权限限控控制制并并不不是是静静止止不不变变的的，而而是是随随着着执执行行任任务务的的上上下下文文环环境境发生变化，这是我们称其为主动安全模型的原因。发生变化，这是我们称其为主动安全模型的原因。返回本章首页返回本章首页 2基于任务的访问控制TBAC 返回本章首页 3基于组机制的访问控制基于组机制的访问控制 1988年年，R.S.Sandhu等等人人提提出出了了基基于于组组机机制制的的NTree访访问问控控制制模模型型，之之后后该该模模型型又又得得到到了了进进一一步步扩扩充充，相相继继产产生生了了多多维维模模型型N_Grid和和倒倒树树影影模模型型。NTree模模型型的的基基础础是是偏偏序序的的维维数数理理论论，组组的的层层次次关关系系由由维维数数为为2的的偏偏序序关关系系（即即NTree树树）表表示示，通通过过比比较较组组节节点点在在NTree中中的的属属性性决决定资源共享和权限隔离。定资源共享和权限隔离。返回本章首页返回本章首页 3基于组机制的访问控制 返回本章首页6.1.4 访问控制的实现技术访问控制的实现技术 访访问问控控制制的的实实现现技技术术是是指指为为了了检检测测和和防防止止系系统统中中的的未未授授权权访访问问，对对资资源源予予以以保保护护所所采采取取的的软软硬硬件件措措施施和和一一系系列列的的管管理理措措施施等等手手段段。访访问问控控制制一一般般是是在在操操作作系系统统的的控控制制下下，按按照照事事先先确确定定的的规规则则决决定定是是否否允允许许主主体体访访问问客客体体，它它贯贯穿穿于于系系统统工工作作的的全全过过程程，是是在在文文件件系系统统中中广广泛泛应应用用的的安安全全防护方法。防护方法。访访问问控控制制矩矩阵阵（Access Control Matrix）是是最初实现访问控制技术的概念模型。最初实现访问控制技术的概念模型。返回本章首页返回本章首页6.1.4 访问控制的实现技术 访问控制的实现技术是 由由于于访访问问控控制制矩矩阵阵较较大大，并并且且会会因因许许多多主主体体对对于于大大多多数数客客体体不不能能访访问问而而造造成成矩矩阵阵变变得得过过于于稀稀疏疏，这这显显然然不不利利于于执执行行访访问问控控制制操操作作，因因此此，现现实实系系统统中中通通常常不不使使用用访访问问控控制制矩矩阵阵，但但可可在在访访问问控控制制矩矩阵阵的基础上实现其它访问控制模型，这主要包括：的基础上实现其它访问控制模型，这主要包括：基基于于访访问问控控制制表表（Access Control Lists）的的访访问问控控制实现技术；制实现技术；基基于于能能力力关关系系表表（Capabilities Lists）的的访访问问控控制制实现技术；实现技术；基基于于权权限限关关系系表表（Authorization Relation）的的访访问问控制实现技术。控制实现技术。返回本章首页返回本章首页 由于访问控制矩阵较大，并且会因许多主体对于大多数客体6.1.5 安全访问规则（授权）的管理安全访问规则（授权）的管理 授授权权的的管管理理决决定定谁谁能能被被授授权权修修改改允允许许的的访访问问，这这可可能能是是访访问问控控制制中中最最重重要要且且又又不不易易理理解解的的特特性性之一。之一。与与访访问问控控制制技技术术相相对对应应，通通常常有有三三类类授授权权管管理理问问题题，即即（1）强强制制访访问问控控制制的的授授权权管管理理，（2）自自主主访访问问控控制制的的授授权权管管理理，以以及及（3）角角色色访问控制强的授权管理。访问控制强的授权管理。返回本章首页返回本章首页6.1.5 安全访问规则（授权）的管理 授权的管理决6.2 操作系统安全技术操作系统安全技术 随随着着计计算算机机技技术术的的飞飞速速发发展展和和大大规规模模应应用用。一一方方面面，现现实实世世界界依依赖赖计计算算机机系系统统的的程程度度越越来来越越高高，另另一一方方面面计计算算机机系系统统的的安安全全问问题题也也越越来来越越突突出出。AT&T实实验验室室的的S.Bellovin博博士士曾曾对对美美国国CERT（Computer Emergency Response Team，CERT）提提供供的的安安全全报报告告进进行行分分析析，结结果果表表明明，大大约约有有一一半半的的计计算算机机网网络络安安全全问问题题是是由由软软件件工工程程中中的的安安全全缺缺陷陷引引起起的的，而而操操作作系系统统的的安安全全脆脆弱弱性性则是问题的根源之一。则是问题的根源之一。返回本章首页返回本章首页6.2 操作系统安全技术 随着计算机技术的飞速发展和6.2.1 操作系统安全准则操作系统安全准则 1操作系统的安全需求操作系统的安全需求 所所谓谓安安全全的的系系统统是是指指能能够够通通过过系系统统的的安安全全机机制制控控制制只只有有系系统统授授权权的的用用户户或或代代表表授授权权用用户户的的进进程程才才允允许许读读、写写、删、改信息。具体来说，共有六个方面的基本需求：删、改信息。具体来说，共有六个方面的基本需求：u安全策略安全策略u标记标记u鉴别鉴别u责任责任u保证保证u连续保护连续保护返回本章首页返回本章首页6.2.1 操作系统安全准则 1操作系统的安全需求返回本章 2可信计算机系统评价准则可信计算机系统评价准则 从从80年年代代开开始始，国国际际上上很很多多组组织织开开始始研研究究并并发发布布计计算算机机系系统统的的安安全全性性评评价价准准则则，最最有有影影响响和和代代表表的的是是美美国国国国防防部部制制定定的的可可信信计计算算机机系系统统评评价价准准则则，即即TCSEC（Trusted Computer System Evaluation Criteria）。）。返回本章首页返回本章首页 2可信计算机系统评价准则 返回本章首页 根根据据这这些些需需求求，TCSEC将将评评价价准准则则划划分分为为四四类类，每每一类中又细分了不同的级别：一类中又细分了不同的级别：D类：不细分级别；类：不细分级别；C类：类：C1级，级，C2级；级；B类：类：B1级，级，B2级，级，B3级；级；A类：类：A1级；级；其其中中，D类类的的安安全全级级别别最最低低，A类类最最高高，高高级级别别包包括低级别的所有功能，同时又实现一些新的内容。括低级别的所有功能，同时又实现一些新的内容。实实际际工工作作中中，主主要要通通过过测测试试系系统统与与安安全全相相关关的的部部分分来来确确定定这这些些系系统统的的设设计计和和实实现现是是否否正正确确与与完完全全，一一个个系系统统 与与 安安 全全 相相 关关 的的 部部 分分 通通 常常 称称 之之 为为 可可 信信 基基 TCB（Trusted Computing Base）。）。返回本章首页返回本章首页 根据这些需求，TCSEC将评价准则划分为四类，每一类6.2.2 操作系统安全防护的一般方法操作系统安全防护的一般方法 1威胁系统资源安全的因素威胁系统资源安全的因素 威威胁胁系系统统资资源源安安全全的的因因素素除除设设备备部部件件故故障障外外，还还有有以下几种情况：以下几种情况：（1 1）用用户户的的误误操操作作或或不不合合理理地地使使用用了了系系统统提提供供的的命命令令，造成对资源的不期望的处理。造成对资源的不期望的处理。（2 2）恶意用户设法获取非授权的资源访问权。）恶意用户设法获取非授权的资源访问权。（3 3）恶意破坏系统资源或系统的正常运行。）恶意破坏系统资源或系统的正常运行。（4 4）破坏资源的完整性与保密性）破坏资源的完整性与保密性 。（5 5）用户之间的相互干扰。）用户之间的相互干扰。返回本章首页返回本章首页6.2.2 操作系统安全防护的一般方法 1威胁系统 2操作系统隔离控制安全措施操作系统隔离控制安全措施 隔离控制的方法主要有下列四种。隔离控制的方法主要有下列四种。（1）隔离。）隔离。（2）时间隔离。）时间隔离。（3）逻辑隔离。）逻辑隔离。（4）加密隔离。）加密隔离。这这几几种种隔隔离离措措施施实实现现的的复复杂杂性性是是逐逐步步递递增增的的，而而它它们们的的安安全全性性则则是是逐逐步步递递减减的的，前前两两种种方方法法的的安安全全性性是是比比较较高高的的，后后两两种种隔隔离离方方法法主主要要依依赖赖操操作作系系统的功能实现。统的功能实现。返回本章首页返回本章首页 2操作系统隔离控制安全措施返回本章首页 3操作系统访问控制安全措施操作系统访问控制安全措施 在在操操作作系系统统中中为为了了提提高高安安全全级级别别，通通常常采采用用一一些些比比较较好好的的访访问问控控制制措措施施以以提提高高系系统统的的整整体体安安全全性性，尤其是针对多用户、多任务的网络操作系统。尤其是针对多用户、多任务的网络操作系统。常用的访问控制措施有：常用的访问控制措施有：（1）自主访问控制）自主访问控制DAC（2）强制访问控制）强制访问控制MAC（3）基于角色的访问控制）基于角色的访问控制RBAC（4）域和类型执行的访问控制）域和类型执行的访问控制DTE返回本章首页返回本章首页 3操作系统访问控制安全措施返回本章首页6.2.3 操作系统资源防护技术操作系统资源防护技术 对对操操作作系系统统的的安安全全保保护护措措施施，其其主主要要目目标标是是保保护护操操作作系系统统中中的的各各种种资资源源，具具体体地地讲讲，就就是是针针对对操操作作系系统统的的登登录录控控制制、内内存存管管理理、文文件件系系统统这这三个主要方面实施安全保护。三个主要方面实施安全保护。1系统登录和用户管理的安全系统登录和用户管理的安全 （1 1）登录控制要严格。）登录控制要严格。（2 2）系统的口令管理。）系统的口令管理。（3 3）良好的用户管理。）良好的用户管理。返回本章首页返回本章首页6.2.3 操作系统资源防护技术 对操作系统的安全保 2内存管理的安全内存管理的安全 常用的内存保护技术有：常用的内存保护技术有：（1）单用户内存保护问题。）单用户内存保护问题。（2）多道程序的保护。）多道程序的保护。（3）标记保护法。）标记保护法。（4）分段与分页技术。）分段与分页技术。返回本章首页返回本章首页 2内存管理的安全返回本章首页 3文件系统的安全文件系统的安全 （1）分组保护分组保护。（2）许可权保护许可权保护。（3）指定保护指定保护。除除了了上上面面三三个个方方面面的的安安全全保保护护措措施施之之外外，操操作作系系统统的的其其它它资资源源如如各各种种外外设设、网网络络系系统统等等也也都都需需要要实实施施比比较较安安全全的的保保护护措措施施，但但它它们们的的最最终终安安全全防防护护可可以以归归结结为为上上面面三三个个方方面面的的操操作作系系统统资资源源安全保护机制。安全保护机制。返回本章首页返回本章首页 3文件系统的安全返回本章首页6.2.4 操作系统的安全模型操作系统的安全模型 1安全模型的作用安全模型的作用 安安全全模模型型的的几几个个特特性性：精精确确的的、无无歧歧义义的的；简简易易和和抽抽象象的的，易易于于理理解解；一一般般性性的的，只只涉涉及及安安全全性性质质，不不过过度度地地抑抑制制操操作作系系统统的的功功能能或或其其实现；实现；是安全策略的明显表现。是安全策略的明显表现。2监控器模型监控器模型 3多级安全模型多级安全模型 4信息流模型信息流模型返回本章首页返回本章首页6.2.4 操作系统的安全模型 1安全模型 5安全模型小结安全模型小结 保保护护操操作作系系统统的的安安全全模模型型，除除了了上上面面我我们们介介绍绍的的具具体体模模型型之之外外，还还有有另另外外一一类类模模型型称称之之为为抽抽象象模模型型，它它们们以以一一般般的的可可计计算算性性理理论论为为基基础础，可可以以形形式式地地表表述述一一个个安安全全系系统统能能达达到到什什么么样样的的性性能能。这这样样的的模模型型有有Graham-Denning模模型型、Harrison-Ruzzo-Ullman模模型型（HRU模模型型）和和获获取取-授授予予系系统模型。统模型。返回本章首页返回本章首页 5安全模型小结返回本章首页6.3 Unix/Linux操作系统的安全操作系统的安全 Unix系系统统是是当当今今著著名名的的多多用用户户分分时时操操作作系系统统，以以其其优优越越的的技技术术和和性性能能，得得到到了了迅迅速速发发展展和和广广泛泛应用。应用。Linux系系统统于于1991年年诞诞生生于于芬芬兰兰赫赫尔尔辛辛基基大大学学一一位位名名叫叫Linus Torvalds的的学学生生手手中中，作作为为类类Unix操操作作系系统统，它它以以其其开开放放源源代代码码、免免费费使使用用和和可自由传播深受人们的喜爱。可自由传播深受人们的喜爱。返回本章首页返回本章首页6.3 Unix/Linux操作系统的安全 6.3.1 Unix/Linux安全基础安全基础 Unix/Linux是是一一种种多多任任务务多多用用户户的的操操作作系系统统，其其基基本本功功能能是是防防止止使使用用同同一一台台计计算算机机的的不不同同用用户户之之间间相相互互干干扰扰。因因此此，Unix/Linux操操作作系系统统在在设设计计理理念上已对安全问题进行了考虑。念上已对安全问题进行了考虑。Unix/Linux系系统统结结构构由由用用户户、内内核核和和硬硬件件三三个个层层次次组组成成，通通过过中中断断、系系统统调调用用、异异常常为为用用户户提提供供功能。功能。Unix/Linux操操作作系系统统具具有有两两个个执执行行状状态态：核核心心态和用户态。态和用户态。返回本章首页返回本章首页6.3.1 Unix/Linux安全基础 U6.3.2 Unix/Linux安全机制安全机制 Unix/Linux操作系统的安全机制主要包括：操作系统的安全机制主要包括：uPAM机制机制u入侵检测机制入侵检测机制u文件加密机制文件加密机制u安全日志文件机制安全日志文件机制u防火墙机制防火墙机制返回本章首页返回本章首页6.3.2 Unix/Linux安全机制 6.3.3 Unix/Linux安全措施安全措施 Linux网网络络系系统统既既可可能能受受到到来来自自网网络络外外部部黑黑客客的的攻攻击击，也也可可能能遇遇到到网网络络内内部部合合法法用用户户的的越越权权使使用用，Linux网网络络系系统统管管理理员员一一定定要要为为网网络络系系统统制制定定有有效效的的安安全全策策略略，只只有有采采取取有有效效的的防防范范措措施施，才才能能保保证证网网络系统的安全。络系统的安全。1.Linux系统的安全策略系统的安全策略 Linux网网络络系系统统必必须须采采用用清清晰晰明明确确的的安安全全策策略略，只只有有这这样样系系统统管管理理员员才才可可知知道道要要保保护护什什么么，才才可可决决定系统中的哪些资源允许别人访问。定系统中的哪些资源允许别人访问。返回本章首页返回本章首页6.3.3 Unix/Linux安全措施 2LinuxLinux系统安全的防范措施系统安全的防范措施u按按“最小权限最小权限”原则设置每个内部用户账户的权限。原则设置每个内部用户账户的权限。u确保用户口令文件的安全。确保用户口令文件的安全。u充分利用防火墙机制。充分利用防火墙机制。u定期对定期对LinuxLinux网络进行安全检查。网络进行安全检查。u充分利用日志安全机制，记录所有网络访问。充分利用日志安全机制，记录所有网络访问。u严格限制严格限制TelnetTelnet服务的权限。服务的权限。u完全禁止完全禁止fingerfinger服务。服务。u禁止系统对禁止系统对pingping命令的回应。命令的回应。u禁止禁止IPIP源路径路由。源路径路由。u禁止所有控制台程序的使用。禁止所有控制台程序的使用。返回本章首页返回本章首页 2Linux系统安全的防范措施返回本章首6.4 Windows 2000/XP系统安全技术系统安全技术 Windows 2000/XP系系列列操操作作系系统统是是Microsoft公公司基于司基于Windows NT平台技术开发的操作系统。平台技术开发的操作系统。该该系系列列操操作作系系统统现现在在已已经经发发展展到到了了Windows 2003 Server、Windows Vista。Windows 2000/XP系系列列操操作作系系统统最最初初都都是是32位位的的，现现在在Windows XP、Windows 2003 Server和和Windows Vista都都已已经经发发展展到到64位版本。位版本。返回本章首页返回本章首页6.4 Windows 2000/XP系统安全技术 6.4.1 Windows 2000/XP安全基础安全基础1.Windows NT的系统结构的系统结构返回本章首页返回本章首页6.4.1 Windows 2000/XP安全基础1.Wi2.Windows NT的安全模型的安全模型 安安全全模模型型由由本本地地认认证证、安安全全账账户户管管理理器器和和安安全全参参考考监监视视器器构构成成。此此外外，还还包包括括注注册册、访访问问控控制制和和对象安全服务等。对象安全服务等。返回本章首页返回本章首页2.Windows NT的安全模型返回本章首页6.4.2 Windows 2000/XP安全机制安全机制1.Windows 2000/XP的安全架构的安全架构 Windows 2000/XP通通过过5个个构构成成金金字字塔塔状状的的安安全全组件来保障系统的安全性。组件来保障系统的安全性。返回本章首页返回本章首页处于金字塔下层安处于金字塔下层安全组件的重要性较全组件的重要性较金字塔上层的安全金字塔上层的安全组件要高，支撑整组件要高，支撑整个安全架构的是完个安全架构的是完整定义的安全策略。整定义的安全策略。6.4.2 Windows 2000/XP安全机制1.Wi2.Windows 2000/XP的安全子系统的安全子系统 Windows 2000/XP的安全子系统由的安全子系统由8个模块组成，各模块的功能如下：个模块组成，各模块的功能如下：uWinlogon：加载加载GINA，监视认证顺序。，监视认证顺序。uGraphical Identification and Authentication DLL（GINA）：提提供供登登录录接口。接口。uLocal Security Authority（LSA）：本地安全认证，加载认证包。：本地安全认证，加载认证包。uSecurity Support Provider Interface（SSPI）：Microsoft安安全全支支持持提提供供器接口。器接口。uAuthentication Packages：认证包，提供真正的用户校验。认证包，提供真正的用户校验。uSecurity Support Providers：安全支持提供者，支持额外的验证机制。安全支持提供者，支持额外的验证机制。uNetlogon Service：网络登录服务，管理用户和用户证书的数据库。网络登录服务，管理用户和用户证书的数据库。uSecurity Account Manager（SAM）：安安全全账账号号管管理理，为为认认证证建建立立安安全全通道。通道。返回本章首页返回本章首页2.Windows 2000/XP的安全子系统返回本章首页Windows 2000/XP安全子系统的工作流程如下：安全子系统的工作流程如下：返回本章首页返回本章首页Windows 2000/XP安全子系统的工作流程如下：返回6.4.3 Windows 2000/XP安全措施安全措施 尽尽管管Windows 2000/XP系系列列操操作作系系统统提提供供了了多多方方面面的的安安全全机机制制，要要使使这这些些安安全全机机制制转转化化为为现现实实的的安安全全能能力力，进进而而保保障障系系统统安安全全，还还必必须须要要有有详详细细的的安全策略的支持。安全策略的支持。所所谓谓安安全全策策略略，实实际际上上就就是是一一系系列列安安全全措措施施的的集集合合。这这里里主主要要从从常常规规安安全全措措施施、操操作作系系统统安安全全配配置置措措施施和和网网络络通通信信安安全全措措施施3个个方方面面对对Windows 2000/XP系列操作系统的安全措施进行介绍。系列操作系统的安全措施进行介绍。返回本章首页返回本章首页6.4.3 Windows 2000/XP安全措施 1.Windows 2000/XP常规安全措施常规安全措施 Windows 2000/XP的常规安全措施主要包括：的常规安全措施主要包括：u禁用禁用Guest账户账户u限制用户数量限制用户数量u创建多个用户账户创建多个用户账户u管理员账户改名管理员账户改名u设置陷阱账户设置陷阱账户u更改默认权限更改默认权限返回本章首页返回本章首页u设置安全密码设置安全密码u设置屏幕保护密码设置屏幕保护密码u使用使用NTFS分区分区u安装反病毒软件安装反病毒软件u备份数据资料等备份数据资料等1.Windows 2000/XP常规安全措施返回本章首页2.Windows 2000/XP操作系统安全配置措施操作系统安全配置措施操作系统安全配置措施主要包括：操作系统安全配置措施主要包括：u配置操作系统安全策略配置操作系统安全策略u关闭不必要的服务关闭不必要的服务u关闭不必要的端口关闭不必要的端口u禁止自动播放禁止自动播放u开启审核策略开启审核策略u开启密码策略开启密码策略返回本章首页返回本章首页u开启账户策略开启账户策略u备份敏感文件备份敏感文件u不显示上次登录名不显示上次登录名u禁止建立空连接禁止建立空连接u安装最新安全补丁等安装最新安全补丁等2.Windows 2000/XP操作系统安全配置措施返回3.Windows 2000/XP网络通信安全措施网络通信安全措施Windows 2000/XP网络通信安全措施主要包括：网络通信安全措施主要包括：u关闭默认共享关闭默认共享u抵抗抵抗DDoS攻击等攻击等返回本章首页返回本章首页3.Windows 2000/XP网络通信安全措施返回本章6.5 数据库安全概述数据库安全概述 信信息息技技术术的的核核心心是是信信息息处处理理，而而数数据据库库技技术术正正是是当当前前信信息息处处理理的的中中流流砥砥柱柱，担担负负着着储储存存和和操操纵纵信信息息的的使使命命。越越来来越越多多的的政政府府部部门门和和商商业业企企业业都都将将大大量量有有价价值值的的信信息息存存储储于于计计算算机机数数据据库库中中，这些信息关系到国家的兴亡、企业的成败。这些信息关系到国家的兴亡、企业的成败。保保障障数数据据库库的的安安全全就就是是保保障障数数据据库库中中信信息息的的安全。安全。返回本章首页返回本章首页6.5 数据库安全概述 信息技术的核心是信息处理，而6.5.1 数据库安全的基本概念数据库安全的基本概念 数数据据库库安安全全是是指指数数据据库库的的任任何何部部分分都都没没有有受受到侵害，或者没有受到未经授权的存取和修改。到侵害，或者没有受到未经授权的存取和修改。1 1数据库安全的内涵数据库安全的内涵 数数据据库库安安全全主主要要包包括括数数据据库库系系统统安安全全和和数数据据库数据安全库数据安全两层含义。两层含义。返回本章首页返回本章首页6.5.1 数据库安全的基本概念 数据库安全是指数据（1）数据库系统安全）数据库系统安全 数数据据库库系系统统安安全全是是指指在在系系统统级级控控制制数数据据库库的的存存取取和和使使用用机机制制，应应尽尽可可能能地地堵堵住住各各种种潜潜在在的的漏漏洞洞，防防止止非非法法用用户户利利用用这这些些漏漏洞洞危危害害数数据据库库系系统统的的安安全全；同同时时保保证证数数据据库库系系统统不不因因软软硬硬件件故故障障和和灾灾害害的的影影响响而不能正常运行。数据库系统安全包括：而不能正常运行。数据库系统安全包括：u硬件运行安全；硬件运行安全；u物理控制安全；物理控制安全；u操作系统安全；操作系统安全；u用户连接数据库需授权；用户连接数据库需授权；u灾害、故障恢复等。灾害、故障恢复等。返回本章首页返回本章首页（1）数据库系统安全返回本章首页（2）数据库数据安全）数据库数据安全 数数据据库库数数据据安安全全是是指指在在对对象象级级控控制制数数据据库库的的存存取取和和使使用用的的机机制制，哪哪些些用用户户可可以以存存取取指指定定的的模模式式对对象象及及在在对对象象上上允允许许有有哪哪些些操操作作。数数据据库库数数据据安安全全包包括：括：u有效的用户名有效的用户名/口令鉴别；口令鉴别；u用户访问权限控制；用户访问权限控制；u数据存取权限、方式控制；数据存取权限、方式控制；u审计跟踪；审计跟踪；u数据加密等。数据加密等。返回本章首页返回本章首页（2）数据库数据安全返回本章首页2.数据库安全管理原则数据库安全管理原则 对对数数据据库库系系统统进进行行安安全全管管理理规规划划时时一一般般要要遵遵循循以下原则：以下原则：（1）管理细分和委派原则）管理细分和委派原则（2）最小权限原则）最小权限原则（3）帐号安全原则）帐号安全原则（4）有效审计原则）有效审计原则返回本章首页返回本章首页2.数据库安全管理原则返回本章首页6.5.2 数据库管理系统简介数据库管理系统简介 DBMSDBMS是是专专门门负负责责数数据据库库管管理理和和维维护护的的计计算算机机软软件件系系统统，是是数数据据库库系系统统的的核核心心，不不仅仅负负责责数数据据库的维护工作，还负责数据库的安全性和完整性。库的维护工作，还负责数据库的安全性和完整性。DBMSDBMS是是与与文文件件系系统统类类似似的的软软件件系系统统，通通过过DBMSDBMS，应应用用程程序序和和用用户户可可以以取取得得所所需需的的数数据据。与与文文件件系系统统不不同同的的是是DBMSDBMS还还定定义义了了所所管管理理的的数数据据之之间间的的结结构构和和约约束束关关系系，还还提提供供了了一一些些基基本本的的数数据据管理和安全功能。管理和安全功能。返回本章首页返回本章首页6.5.2 数据库管理系统简介 DBMS是专门负责数6.5.3 数据库系统的缺陷与威胁数据库系统的缺陷与威胁1.1.数据库系统的缺陷数据库系统的缺陷 数数据据库库系系统统的的安安全全缺缺陷陷主主要要体体现现在在以以下下几几个个方面：方面：u数据库系统安全通常与操作系统安全密切相关数据库系统安全通常与操作系统安全密切相关u数据库系统安全通常被忽视数据库系统安全通常被忽视u数据库帐号和密码容易泄露数据库帐号和密码容易泄露返回本章首页返回本章首页6.5.3 数据库系统的缺陷与威胁1.数据库系统的缺陷返回本2.2.数据库系统面临的威胁数据库系统面临的威胁 数据库系统面临的安全威胁主要来自以下几个方面：数据库系统面临的安全威胁主要来自以下几个方面：u物理和环境的因素物理和环境的因素u事务内部故障事务内部故障u存储介质故障存储介质故障u人为破坏人为破坏u病毒与黑客病毒与黑客u未经授权的数据读写与修改未经授权的数据读写与修改u对数据的异常访问造成数据库系统故障对数据的异常访问造成数据库系统故障u数据库权限设置错误，造成数据的越权访问数据库权限设置错误，造成数据的越权访问返回本章首页返回本章首页2.数据库系统面临的威胁返回本章首页6.6 数据库安全机制数据库安全机制 数数据据库库安安全全作作为为信信息息系系统统安安全全的的一一个个子子集集，必必须须在在遵遵循循信信息息安安全全总总体体目目标标（即即保保密密性性、完完整整性性和和可可用用性性）的的前前提提下下，建建立立安安全全模模型型、构构建建体体系结构、确定安全机制。系结构、确定安全机制。返回本章首页返回本章首页6.6 数据库安全机制 数据库安全作为信息系统安全的6.6.1 数据库安全的层次分布数据库安全的层次分布 一般来说，数据库安全涉及五个层次。一般来说，数据库安全涉及五个层次。（1）物物理理层层：必必须须物物理理地地保保护护计计算算机机系系统统所所处的所有节点，以防入侵者强行闯入或暗中潜入；处的所有节点，以防入侵者强行闯入或暗中潜入；（2）人人员员层层：要要谨谨慎慎用用户户授授权权，以以减减少少授授权权用户接受贿赂而给入侵者提供访问机会的可能；用户接受贿赂而给入侵者提供访问机会的可能；（3）操操作作系系统统层层：操操作作系系统统安安全全性性方方面面的的弱弱点总是可能成为对数据库进行未授权访问的手段；点总是可能成为对数据库进行未授权访问的手段；返回本章首页返回本章首页6.6.1 数据库安全的层次分布 一般来说，数据库 （4）网网络络层层：几几乎乎所所有有数数据据库库系系统统都都允允许许通通过过终终端端或或网网络络进进行行远远程程访访问问，网网络络层层安安全全性性和和物理层安全性一样重要；物理层安全性一样重要；（5）数数据据库库系系统统层层：数数据据库库中中有有重重要要程程度度和和敏敏感感程程度度不不同同的的各各种种数数据据，并并为为拥拥有有不不同同授授权权的用户所共享，数据库系统必须遵循授权限制。的用户所共享，数据库系统必须遵循授权限制。为为了了保保证证数数据据库库安安全全，必必须须在在上上述述所所有有层层次次上上进进行行安安全全性性保保护护。如如果果较较低低层层次次上上安安全全性性存存在在缺缺陷陷，那那么么，即即使使是是很很严严格格的的高高层层安安全全性性措措施施也也可能被绕过。可能被绕过。返回本章首页返回本章首页 （4）网络层：几乎所有数据库系统都允许通过终端或网络6.6.2 安全安全DBMS体系结构体系结构 通通常常所所说说的的可可信信DBMS指指MLS（多多级级安安全全）DBMS。因因其其存存储储的的数数据据具具有有不不同同的的敏敏感感性性（安安全）级别，全）级别，MLS DBMS中的关系也称多级关系。中的关系也称多级关系。目目前前研研究究的的可可信信DBMS体体系系结结构构基基本本上上分分为为两两大大类类：TCB子子集集DBMS体体系系和和可可信信主主体体DBMS体系。体系。返回本章首页返回本章首页6.6.2 安全DBMS体系结构 通常所说的可信DB 1TCB子集子集DBMS体系结构体系结构 TCB子子集集DBMS使使用用位位于于DBMS外外部部的的可可信信计计算算基基（通通常常是是可可信信操操作作系系统统或或可可信信网