操作系统与数据库安全培训教材课件

第五章:操作系统与数据库安全第五章:操作系统与数据库安全1提纲 操作系统安全的基本概念Windows系统安全UNIX/Linux系统安全数据库系统安全提纲 操作系统安全的基本概念2什么是操作系统用户使用计算机时，直接操作计算机系统硬件是不方便也不现实的，这就需要一种计算机使用者和计算机硬件间的中间媒介，操作系统就是这一媒介操作系统的功能一般包括处理器管理、存储管理、文件管理、设备管理和作业管理等处理器管理功能是根据一定的策略将处理器交替地分配给系统内等待运行的程序存储管理功能是管理内存资源，主要实现内存的分配与回收，存储保护以及内存扩充文件管理向用户提供创建文件、撤销文件、读写文件、打开和关闭文件等功能设备管理负责分配和回收外部设备，以及控制外部设备按用户程序的要求进行操作作业管理功能是为用户提供一个使用系统的良好环境，使用户能有效地组织自己的工作流程，并使整个系统高效地运行什么是操作系统用户使用计算机时，直接操作计算机系统硬件是不方3操作系统的安全要素操作系统的安全是计算机系统安全的基础，高安全性操作系统要求自身在任何环境下都能安全可靠地运行，对安全性的要求非常严格。通用操作系统必需的安全性功能包括：1.用户认证（Authenticationofusers）2.存储器保护（Protectionofmemory）3.文件和I/O设备的访问控制（FileandI/Odeviceaccesscontrol）4.对一般目标的定位和访问控制（Allocationandaccesscontroltogeneralobjects）5.共享的实现（Enforcementofsharing）6.保证公平服务（Guaranteeoffairservice）7.内部进程间通信的同步（Interprocesscommunicationandsynchronization）操作系统的安全要素操作系统的安全是计算机系统安全的基础，高安4什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务5什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用为了将无意的或恶意的攻击所造成的损失降低到最低限度，每个用户和程序必须按照“需知”原则，尽可能使用最小特权进行操作什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务6什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用系统的设计应该小而简单，且直截了当，保护系统可以被穷举测试，或者被验证，因而可以信赖什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务7什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用保护机制不能依赖于潜在攻击者的无知，保护机制应该是公开的，公开设计还可以接受广泛的公开审查，安全性不依赖于保密什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务8什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用每个存取行为必须经过检查什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务9什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用默认的条件应该是拒绝访问。保守的设计应标识哪些应该是可存取的，而不是标识哪些是不可存取的什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务10什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用理想情况下，对实体的存取应该依赖于多于一个的条件，如用户身份鉴别加上密钥。这样，侵入保护系统的攻击者将不能掌握了一个条件就拥有了对全部资源的存取权限什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务11什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用可共享实体提供了信息流的潜在通道。系统为防止这种共享的威胁应该采取物理或逻辑分离的方法什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务12什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用设计的安全机制应尽可能方便用户使用什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务13Windows系统安全Windows系统帐号管理WindowNT资源安全管理Windows网络安全管理Windows系统安全Windows系统帐号管理14Windows系统安全Windows系统帐号管理WindowNT资源安全管理Windows网络安全管理Windows系统安全Windows系统帐号管理15Windows系统登录流程注册（WinLogon）模块产生WinLogon进程，显示对话框，要求用户输入用户名、密码、服务器/域名系统将用户信息通过安全系统传输到SAM，并对用户身份进行确认安全帐号管理器把用户的登录信息与服务器里的安全帐号管理数据库进行比较，如果两者匹配，服务器将通知工作站允许用户进行访问Winlogon进程将调用Win32子系统，子系统为用户产生一个新的进程LSA开始构建访问令牌（AccessToken），与用户进行的所有操作相连，用户进行的操作与访问令牌一起构成一个主体当用户要求访问一个对象时，主体的访问令牌的内容将与对象的存取控制列表通过一个有效性访问程序进行比较，这个程序将决定接受或拒绝用户的访问要求Windows系统登录流程注册（WinLogon）模块产生16Windows系统帐号管理Windows系统的用户帐号（UserAccounts）安全是Windows系统安全的核心。每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号。而一个用户可以拥有一个或几个帐号，以不同的访问等级和访问权限共享工作组或域中的资源。Windows系统的用户帐号有两种基本类型：全局帐号（GlobalAccounts）本地帐号（LocalAccounts）全局帐号有时又称为域帐号（DomainAccounts）全局帐号主要是用于网络环境中的操作系统用户认证如果有多个域可用，网络中的每个用户在一个域中最好只有一个全局帐号，这样用户只需要一个密码

Windows系统帐号管理Windows系统的用户帐号（17Windows系统帐号管理Windows系统的用户帐号（UserAccounts）安全是Windows系统安全的核心。每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号。而一个用户可以拥有一个或几个帐号，以不同的访问等级和访问权限共享工作组或域中的资源。Windows系统的用户帐号有两种基本类型：全局帐号（GlobalAccounts）本地帐号（LocalAccounts）本地帐号是在用户本地域使用的帐号，也是用户日常使用最频繁的系统本机帐号。Windows系统帐号管理Windows系统的用户帐号（18本地用户组/域用户组用户组：Windows系统中将相同性质的帐号归类成一个组，即用户组本地用户组本地组的一部分，也可以叫标准本地组具有相同权限的本地用户帐号的集合域用户组具有相同权限的域用户帐号的集合关系都是Windows系统中用户组概念的具体延伸，没有交叉关系Windows的用户组组可以分为全局组、本地组和特殊组。除去本地组中的一部分认为是本地用户组外，其他主要是在域环境下使用的，都是域用户组本地用户组/域用户组用户组：Windows系统中将相同性质的19WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份文件系统的安全分为四个基本部分：共享权限（SharePermisson）目录权限（DirectoryPermission）审计（Auditing）所有者（Ownership）其中安全性要求最高的是共享权限的设置远程访问共享目录中的目录和文件，必须能够同时满足共享的权限设置和文件目录自身的权限设置。用户对共享所获得的最终访问权限将取决于共享的权限设置和目录的本地权限设置中最严格的条件

WindowNT资源安全管理文件系统和共享资源的安全设置20应用程序安全建立一个或少许几个应用程序的安装和工作目录，然后赋予这些目录以较为严格的权限管理。 建议赋予这些目录以下的权限：用户组AppUsers以Read的权限用户组AppInstallers以Change的权限用户组Administrator以FullControl的权限用户主目录安全建立一个公共的目录作为用户主目录的根目录，分别建立用户的子目录，采用用户的简称等易于识别的名字作为用户子目录名。再赋予以下权限：用户（组）UserName以FullControl的权限用户（组）Administrator以FullControl的权限WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份

应用程序安全WindowNT资源安全管理文件系统和共享资源21WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份

保障注册表安全可以归结为三条删除注册表编辑器设置注册表本地访问权限限制注册表远程访问HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg

如果这个关键字存在，那么就将考虑强制限制远程的注册表编辑权限，以防止用户对注册表的不适当远程访问WindowNT资源安全管理文件系统和共享资源的安全设置22WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份WindowNT资源安全管理文件系统和共享资源的安全设置23WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份Windows系统中的审计日志分为三种：系统日志（SystemLog）安全日志（SecurityLog）应用程序日志（ApplicationsLog）系统日志是Windows系统组件记录的事件日志安全日志记录安全事件的事件日志，一般数量不多应用程序日志是由应用程序记录的事件日志WindowNT资源安全管理文件系统和共享资源的安全设置24WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份用户磁盘控件限制数据备份WindowNT资源安全管理文件系统和共享资源的安全设置25Windows网络安全管理网络连接安全Windows防火墙远程访问设置/关闭不必要的服务/端口IIS的安全管理Windows网络安全管理网络连接安全26网络连接安全隐藏网上邻居注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer表项中的DWORD串值命名为NoNetHood，同时值设为1隐藏网络图标打开系统文件control.ini，在“don'tload”设置段处，输入“netcpl.cpl=no”禁用网上邻居属性移除c:\windows\system下的netcpl.cpl或者给netcpl.cpl改名取消网络访问权限注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network表项中的DWORD串值命名为NoNetHood，同时值设为1。网络连接安全隐藏网上邻居27Windows防火墙Windows防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，可以准许阻止或取消阻止某些连接请求，可以创建安全日志用作故障诊断工具。但该防火墙不能检测或禁用计算机病毒和蠕虫（如果计算机已经感染）。也不能阻止用户打开带有危险附件的电子邮件。不能阻止垃圾邮件或主动提供的电子邮件出现在收件箱中。所以Windows防火墙不能完全取代防病毒软件或反垃圾邮件软件的作用。Windows防火墙Windows防火墙能帮助阻止计算机病毒28远程访问在Windows系统中，通过将“路由和远程访问”配置为远程访问服务器，可以将远程或移动工作人员连接到组织网络上。但远程访问服务从产生开始就存在一些安全隐患，在给远程合法用户提供方便的同时，也给黑客们提供了一条远程入侵系统的路径。所以必须要制定远程访问控制方案确保远程访问权限的安全性确保远程交换数据的完整性确保敏感数据传输的机密性确保事件能够安全审计做好安全策略设置远程访问在Windows系统中，通过将“路由和远程访问”配置29设置/关闭不必要的服务/端口计算机使用中，用户安装的许多软件会在系统启动时自动加载一些服务（运行services.msc可以看到）。Windows系统本身也有一些这样的服务。正常情况下，不会使用所有服务。如果加载的服务过多不但会引起计算机资源的浪费，更为严重的是，其中的某些服务一旦开放，存在着严重的安全漏洞。设置/关闭不必要的服务/端口计算机使用中，用户安装的许多软30IIS的安全管理IIS的安全管理31UNIX/Linux系统安全UNIX/Linux帐号管理UNIX/Linux访问控制UNIX/Linux资源安全管理UNIX/Linux网络服务安全UNIX/Linux系统安全UNIX/Linux帐号管理32UNIX的系统结构由用户层、内核层和硬件层三个层次组成两个执行态：核心态和用户态用户态下的进程只能存取它自己的指令和数据，而不能存取内核和其它进程的指令和数据保证特权指令只能在核心态执行，像中断、异常等在用户态下不能使用用户程序可以通过系统调用进入核心，运行系统调用后，又返回用户态UNIX的系统结构由用户层、内核层和硬件层三个层次组成33安全性：Linux系统vsWindows系统开发方式－>错误暴露：开放vs不公开远程程序调用－>防火墙设置：限制vs大量使用权限－>被利用：某些第三方Windows应用软件需要管理员的权限才能正确运行软件，利用这些软件发起的病毒攻击的破坏性极大Windows具有易学易用性，同时需要兼容不安全的老版本的软件。这些对于系统安全也是一个不利的因素安全漏洞数量：美国计算机应急反应小组测评报告表明Windows似乎安全漏洞更多微软的Windows出现了250次安全漏洞，其中有39个安全漏洞的危险程度达到了40分或者40分以上（40分以上为危险性极大的系统漏洞）RedHatLinux同时间只发现46次安全漏洞，其中只有3个安全漏洞的危险程度在40分以上。

安全性：Linux系统vsWindows系统开发方式－>34帐号管理Root帐号root帐号被操作系统用来执行基本的任务，比如登录、记录审计信息或者访问I/O设备等特权用户几乎可以做任何事情。特权用户可以变为任何别的用户，可以改变系统时钟，可以绕过施加于他的某些限制正是由于特权用户如此强大，因此它也成为UNIX的一个主要弱点处于特权用户状态的攻击者实际上接管了整个系统，必须采取每一个可能的防范措施来控制普通用户获得特权用户状态禁止预置帐号组管理策略用户密码安全帐号管理Root帐号35帐号管理Root帐号禁止预置帐号Linux操作系统中也存在一些不必要的预置帐号，如果不需要这些帐号，就把它们删掉系统中有越多这样的帐号，就越容易受到攻击组管理策略用户密码安全帐号管理Root帐号36帐号管理Root帐号禁止预置帐号组管理策略将用户分组是UNIX/Linux系统对权限进行管理的一种方式早期的系统中一个用户只能属于某一个组，后来的系统中，一个用户可以同时属于多个用户组用户隶属于一个或多个组文件/etc/group包括了属组的列表。其中的表项格式：groupname:grouppassword:GID:listofusers用户密码安全帐号管理Root帐号37帐号管理Root帐号禁止预置帐号组管理策略用户密码安全密文存放在/etc/passwd文件中：username:encryptedpassword:userID:groupID:IDstring:homedirectory:loginshell字段IDstring是用户的全名userID（UID）是指用户的IDgroupID（GID）指的是组的ID，最后两个字段指明了用户的主目录和成功登录后可用的Shell帐号管理Root帐号38要点Windows系统帐号的分类WindowNT资源管理Windows网络服务的设置UNIX/Linux帐号管理要点Windows系统帐号的分类39数据库安全数据库安全概述数据库基本安全机制数据库加密数据库安全性管理数据库安全级别主流数据库的安全常见的数据库攻击与防范数据库恢复

数据库安全数据库安全概述40数据库安全概述数据库，分为两个部分来理解：一部分是数据库，指按一定的方式组织和存放数据另一部分是数据库管理系统（DatabaseManagementSystem,简称DBMS），为用户及应用程序提供数据访问界面，并具有对数据库进行管理、维护等多种功能数据库安全的两个层次数据库系统运行的安全，采取一系列措施保障DBMS的正常运行，如机房、硬件、操作系统等数据库系统的信息安全，保障数据库存放的信息的私有性，如认证、审计、访问控制等数据库安全概述数据库，分为两个部分来理解：41第一个层次的安全含义，主要侧重在保障数据的完整性或者数据安全的环境因素方面；第二个层次的安全，则更多和数据的私有性相关，侧重于怎样保证只有合法的，或经授权的用户才能访问到数据。第一个层次的安全含义，主要侧重在保障数据的完整性或者数据安全42数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计用户名＋口令证书数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式43数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计数据库登录权限类只能查阅部分数据库信息，不能改动数据库中的任何数据资源管理权限类创建数据库表、索引，在权限允许的范围内修改、查询数据库等数据库管理员权限类

具有数据库管理的全部权限不同的DBMS，可能对用户角色的定义不尽相同，权限划分的细致程度也远超过上面三种基本的类型

数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式44数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计基于角色的访问控制对数据对象的访问控制数据库级别、表级、行级、属性级访问控制的两个基本原则隔离原则：用户只能存取他所有的和已经取得授权的数据对象控制原则：用户只能按他所取得的数据存取方式存取数据，不能越权

存取权限Read,Update,Alter,Insert,Delete,Drop

数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式45数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计视图可以被看成是虚拟表或存储查询。通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内将访问限制在基表中行的子集内将访问限制在基表中列的子集内将访问限制在基表中列和行的子集内将访问限制在符合多个基表联接的行内将访问限制在基表中数据的统计汇总内将访问限制在另一个视图的子集内或视图和基表组合的子集内数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式46数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计审计（Audit）是一种事后监督的手段，它用来监视用户对数据库施加的动作对数据对象的访问控制根据审计对象的区分，有两种方式的审计：用户审计：记下所有对自己表或视图进行访问的企图及每次操作的用户名、时间、操作代码等信息系统审计：记录系统一级命令以及数据对象的使用情况数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式47数据库加密加密机制对称密码系统vs公钥密码系统多级密钥结构：库名、表名、记录名和字段名加密范围索引字段一般不加密关系运算的比较字段一般不加密表间的连接码字段一般不加密加密对DBMS的影响无法实现对数据制约因素的定义密文数据的排序、分组和分类SQL语言中的内部函数将对加密数据失去作用DBMS的一些应用开发工具的使用受到限制数据库加密加密机制48主流数据库安全主流数据库包括：Oracle，SQLServer，Sybase国内安全数据库可信COBASE、达梦安全数据库、LOIS安全数据库、Softbase（南京大学）、OpenbaseSecure（东大阿尔派）着重于多级安全方面，引入了多级安全模型，传统的关系模型必须做出一定改进，各种逻辑数据对象被强制赋予安全标记属性强制访问控制的功能被大大加强，使得数据库系统的身份认证和访问控制机制更加严格主流数据库安全主流数据库包括：49Oracle的安全机制身份认证访问控制数据库审计Oracle的身份认证有两种方式：外部身份认证和DBMS认证

外部身份认证使用OracleDBMS以外的系统对用户身份予以认证，DBMS信任这种认证的结果“外部系统”通常指的是操作系统好处：无需输入帐号、口令，避免口令信息因传输、存储不当而引发泄露DBMS认证传统的帐号、口令方式的认证OracleDBMS在系统表空间中保存已有用户的帐号、口令等信息，并以此为依据认证用户的身份

Oracle的安全机制身份认证Oracle的身份认证有两种方50Oracle的安全机制身份认证访问控制数据库审计Oracle全面实现了RBAC机制，按其应用范围可分为：系统级权限对整体数据库的各种操作以及对某类群体对象的使用权，通常由数据库管理员负责授权提供了90多种系统级权限，如创建会话（SESSION）、创建表（TABLE）、创建用户（USER）等

对象级权限对数据库单一对象的使用权，通常由该对象的拥有者负责授权

Oracle的安全机制身份认证Oracle全面实现了RBAC51Oracle的安全机制身份认证访问控制数据库审计Oracle的安全机制身份认证52SQLServer的安全机制SQLServer的身份认证机制与Oracle有显著区别它引入了“登录ID”的概念，将登录身份和具体的用户身份剥离开来从登录到访问数据，要经过两次身份认证登录认证在DBMS身份认证模式下，访问者必须提供一个有效的登录ID和口令才能继续向前有三种模式：WindowsNT集成认证、SQLServer认证和二者的混和认证访问数据库认证当访问者通过上述验证后，登录ID必须与目标数据库中的某个用户ID相联系，才可以拥有相应的访问权限SQLServer的安全机制SQLServer的身份认53SQLServer登录认证模式配置SQLServer登录认证模式配置54登录ID与用户ID的关联登录ID与用户ID的关联55SQLServer的访问控制SQLServer检测用户ID是否具有访问服务器中特定对象的权限这种权限由管理员直接赋予用户ID或者某个角色，可以细化到字段的粒度SQLServer的访问控制SQLServer检测用户56赋予用户对象级权限赋予用户对象级权限57赋予用户字段级权限赋予用户字段级权限58常见的数据库攻击与防范－SQL注入攻击常见的数据库攻击与防范－SQL注入攻击59SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击从客户端提交特殊的代码，Web应用程序如果没做严格检查就将其形成SQL命令发送给数据库，则从数据库的返回信息中攻击者可以获得程序及服务器的信息，从而进一步获得其它资料

SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞从客户60SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞61SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击假设SQLServer的出错提示是：“将nvarchar值‘dbo’转换数据类型为int的列时发生语法错误”可以获知，“dbo”正是Web应用程序登录SQLServer时使用的用户名

SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞假设S62SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击熟练的黑客可以通过SQL注入窃取敏感数据、篡改数据、破坏数据，甚至以数据库系统为桥梁进一步入侵服务器操作系统，从而带来更为巨大的破坏SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞熟练的63SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞64操作系统与数据库安全培训教材65SQL注入的防范SQL注入漏洞可谓是“千里之堤，溃于蚁穴”配置IIS，不将数据库错误的页面返回给客户端这样将给攻击者判断是否存在SQL注入漏洞带来困难；Web应用程序不使用管理员帐号连接数据库这样即便遭到SQL注入攻击，也有可能因为权限不够而使得数据库拒绝一些命令去掉数据库不需要的函数、存储过程如SQLServer中的xp_cmdshell检查输入参数对于数字型的参数，如果检测到非数字的量，则停止执行；对于字符串型的参数，要严格检查敏感关键字，如exec、insert、delete、update、xp_cmdshell等对于输入的字符串型参数，可以使用转义方式，让数据库将其真正理解为字符串，而不是有效的SQL命令这些都与具体的程序设计语言相关，如PHP中的sql_escape_string（）等。ASP.NET+SQLServer提供了参数化的变量赋值形式SQL注入的防范66数据库恢复事务事务是用户定义的一个数据库操作序列，这些操作要么全做，要么全不做，是一个不可分割的工作单位。在关系数据库中，一个事务可以是一条SQL语句，一组SQL语句或整个程序。数据库恢复是基于事务的数据库恢复事务67数据库恢复技术恢复机制涉及两个关键问题：如何建立冗余数据，和如何利用这些冗余数据实施数据库恢复建立冗余数据最常用的技术有两类：数据备份，即将数据库中的各种数据备份到其它物理或逻辑设备上，当发生故障时，将备份的数据恢复到数据库中日志文件，记录事务对数据库的更新操具有检查点的恢复技术利用日志技术进行数据库恢复时，恢复子系统必须搜索日志，确定哪些事务需要重做（REDO），哪些事务需要撤销（UNDO）检查点记录的内容包括：建立检查点时刻所有正在执行的事务清单这些事务最近一个日志记录的地址数据库恢复技术恢复机制涉及两个关键问题：如何建立冗余数据，和68本讲要点Windows系统帐号的分类WindowNT资源管理Windows网络服务的设置UNIX/Linux帐号管理数据库的基本安全机制数据库的安全级别和评估标准Oracle的身份认证机制、访问控制机制SQLServer的身份认证机制，登录ID、用户ID、角色的概念和关系SQL注入攻击的原理，及防范措施数据库恢复的两种实现技术本讲要点Windows系统帐号的分类69演讲完毕，谢谢观看！演讲完毕，谢谢观看！70第五章:操作系统与数据库安全第五章:操作系统与数据库安全71提纲 操作系统安全的基本概念Windows系统安全UNIX/Linux系统安全数据库系统安全提纲 操作系统安全的基本概念72什么是操作系统用户使用计算机时，直接操作计算机系统硬件是不方便也不现实的，这就需要一种计算机使用者和计算机硬件间的中间媒介，操作系统就是这一媒介操作系统的功能一般包括处理器管理、存储管理、文件管理、设备管理和作业管理等处理器管理功能是根据一定的策略将处理器交替地分配给系统内等待运行的程序存储管理功能是管理内存资源，主要实现内存的分配与回收，存储保护以及内存扩充文件管理向用户提供创建文件、撤销文件、读写文件、打开和关闭文件等功能设备管理负责分配和回收外部设备，以及控制外部设备按用户程序的要求进行操作作业管理功能是为用户提供一个使用系统的良好环境，使用户能有效地组织自己的工作流程，并使整个系统高效地运行什么是操作系统用户使用计算机时，直接操作计算机系统硬件是不方73操作系统的安全要素操作系统的安全是计算机系统安全的基础，高安全性操作系统要求自身在任何环境下都能安全可靠地运行，对安全性的要求非常严格。通用操作系统必需的安全性功能包括：1.用户认证（Authenticationofusers）2.存储器保护（Protectionofmemory）3.文件和I/O设备的访问控制（FileandI/Odeviceaccesscontrol）4.对一般目标的定位和访问控制（Allocationandaccesscontroltogeneralobjects）5.共享的实现（Enforcementofsharing）6.保证公平服务（Guaranteeoffairservice）7.内部进程间通信的同步（Interprocesscommunicationandsynchronization）操作系统的安全要素操作系统的安全是计算机系统安全的基础，高安74什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务75什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用为了将无意的或恶意的攻击所造成的损失降低到最低限度，每个用户和程序必须按照“需知”原则，尽可能使用最小特权进行操作什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务76什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用系统的设计应该小而简单，且直截了当，保护系统可以被穷举测试，或者被验证，因而可以信赖什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务77什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用保护机制不能依赖于潜在攻击者的无知，保护机制应该是公开的，公开设计还可以接受广泛的公开审查，安全性不依赖于保密什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务78什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用每个存取行为必须经过检查什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务79什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用默认的条件应该是拒绝访问。保守的设计应标识哪些应该是可存取的，而不是标识哪些是不可存取的什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务80什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用理想情况下，对实体的存取应该依赖于多于一个的条件，如用户身份鉴别加上密钥。这样，侵入保护系统的攻击者将不能掌握了一个条件就拥有了对全部资源的存取权限什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务81什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用可共享实体提供了信息流的潜在通道。系统为防止这种共享的威胁应该采取物理或逻辑分离的方法什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务82什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务，要控制和管理系统中数据的存取、程序的运行和外部设备的工作，还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用设计的安全机制应尽可能方便用户使用什么是安全操作系统安全性更高的操作系统，它需要处理更多的任务83Windows系统安全Windows系统帐号管理WindowNT资源安全管理Windows网络安全管理Windows系统安全Windows系统帐号管理84Windows系统安全Windows系统帐号管理WindowNT资源安全管理Windows网络安全管理Windows系统安全Windows系统帐号管理85Windows系统登录流程注册（WinLogon）模块产生WinLogon进程，显示对话框，要求用户输入用户名、密码、服务器/域名系统将用户信息通过安全系统传输到SAM，并对用户身份进行确认安全帐号管理器把用户的登录信息与服务器里的安全帐号管理数据库进行比较，如果两者匹配，服务器将通知工作站允许用户进行访问Winlogon进程将调用Win32子系统，子系统为用户产生一个新的进程LSA开始构建访问令牌（AccessToken），与用户进行的所有操作相连，用户进行的操作与访问令牌一起构成一个主体当用户要求访问一个对象时，主体的访问令牌的内容将与对象的存取控制列表通过一个有效性访问程序进行比较，这个程序将决定接受或拒绝用户的访问要求Windows系统登录流程注册（WinLogon）模块产生86Windows系统帐号管理Windows系统的用户帐号（UserAccounts）安全是Windows系统安全的核心。每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号。而一个用户可以拥有一个或几个帐号，以不同的访问等级和访问权限共享工作组或域中的资源。Windows系统的用户帐号有两种基本类型：全局帐号（GlobalAccounts）本地帐号（LocalAccounts）全局帐号有时又称为域帐号（DomainAccounts）全局帐号主要是用于网络环境中的操作系统用户认证如果有多个域可用，网络中的每个用户在一个域中最好只有一个全局帐号，这样用户只需要一个密码

Windows系统帐号管理Windows系统的用户帐号（87Windows系统帐号管理Windows系统的用户帐号（UserAccounts）安全是Windows系统安全的核心。每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号。而一个用户可以拥有一个或几个帐号，以不同的访问等级和访问权限共享工作组或域中的资源。Windows系统的用户帐号有两种基本类型：全局帐号（GlobalAccounts）本地帐号（LocalAccounts）本地帐号是在用户本地域使用的帐号，也是用户日常使用最频繁的系统本机帐号。Windows系统帐号管理Windows系统的用户帐号（88本地用户组/域用户组用户组：Windows系统中将相同性质的帐号归类成一个组，即用户组本地用户组本地组的一部分，也可以叫标准本地组具有相同权限的本地用户帐号的集合域用户组具有相同权限的域用户帐号的集合关系都是Windows系统中用户组概念的具体延伸，没有交叉关系Windows的用户组组可以分为全局组、本地组和特殊组。除去本地组中的一部分认为是本地用户组外，其他主要是在域环境下使用的，都是域用户组本地用户组/域用户组用户组：Windows系统中将相同性质的89WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份文件系统的安全分为四个基本部分：共享权限（SharePermisson）目录权限（DirectoryPermission）审计（Auditing）所有者（Ownership）其中安全性要求最高的是共享权限的设置远程访问共享目录中的目录和文件，必须能够同时满足共享的权限设置和文件目录自身的权限设置。用户对共享所获得的最终访问权限将取决于共享的权限设置和目录的本地权限设置中最严格的条件

WindowNT资源安全管理文件系统和共享资源的安全设置90应用程序安全建立一个或少许几个应用程序的安装和工作目录，然后赋予这些目录以较为严格的权限管理。 建议赋予这些目录以下的权限：用户组AppUsers以Read的权限用户组AppInstallers以Change的权限用户组Administrator以FullControl的权限用户主目录安全建立一个公共的目录作为用户主目录的根目录，分别建立用户的子目录，采用用户的简称等易于识别的名字作为用户子目录名。再赋予以下权限：用户（组）UserName以FullControl的权限用户（组）Administrator以FullControl的权限WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份

应用程序安全WindowNT资源安全管理文件系统和共享资源91WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份

保障注册表安全可以归结为三条删除注册表编辑器设置注册表本地访问权限限制注册表远程访问HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg

如果这个关键字存在，那么就将考虑强制限制远程的注册表编辑权限，以防止用户对注册表的不适当远程访问WindowNT资源安全管理文件系统和共享资源的安全设置92WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份WindowNT资源安全管理文件系统和共享资源的安全设置93WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份Windows系统中的审计日志分为三种：系统日志（SystemLog）安全日志（SecurityLog）应用程序日志（ApplicationsLog）系统日志是Windows系统组件记录的事件日志安全日志记录安全事件的事件日志，一般数量不多应用程序日志是由应用程序记录的事件日志WindowNT资源安全管理文件系统和共享资源的安全设置94WindowNT资源安全管理文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份用户磁盘控件限制数据备份WindowNT资源安全管理文件系统和共享资源的安全设置95Windows网络安全管理网络连接安全Windows防火墙远程访问设置/关闭不必要的服务/端口IIS的安全管理Windows网络安全管理网络连接安全96网络连接安全隐藏网上邻居注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer表项中的DWORD串值命名为NoNetHood，同时值设为1隐藏网络图标打开系统文件control.ini，在“don'tload”设置段处，输入“netcpl.cpl=no”禁用网上邻居属性移除c:\windows\system下的netcpl.cpl或者给netcpl.cpl改名取消网络访问权限注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network表项中的DWORD串值命名为NoNetHood，同时值设为1。网络连接安全隐藏网上邻居97Windows防火墙Windows防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，可以准许阻止或取消阻止某些连接请求，可以创建安全日志用作故障诊断工具。但该防火墙不能检测或禁用计算机病毒和蠕虫（如果计算机已经感染）。也不能阻止用户打开带有危险附件的电子邮件。不能阻止垃圾邮件或主动提供的电子邮件出现在收件箱中。所以Windows防火墙不能完全取代防病毒软件或反垃圾邮件软件的作用。Windows防火墙Windows防火墙能帮助阻止计算机病毒98远程访问在Windows系统中，通过将“路由和远程访问”配置为远程访问服务器，可以将远程或移动工作人员连接到组织网络上。但远程访问服务从产生开始就存在一些安全隐患，在给远程合法用户提供方便的同时，也给黑客们提供了一条远程入侵系统的路径。所以必须要制定远程访问控制方案确保远程访问权限的安全性确保远程交换数据的完整性确保敏感数据传输的机密性确保事件能够安全审计做好安全策略设置远程访问在Windows系统中，通过将“路由和远程访问”配置99设置/关闭不必要的服务/端口计算机使用中，用户安装的许多软件会在系统启动时自动加载一些服务（运行services.msc可以看到）。Windows系统本身也有一些这样的服务。正常情况下，不会使用所有服务。如果加载的服务过多不但会引起计算机资源的浪费，更为严重的是，其中的某些服务一旦开放，存在着严重的安全漏洞。设置/关闭不必要的服务/端口计算机使用中，用户安装的许多软100IIS的安全管理IIS的安全管理101UNIX/Linux系统安全UNIX/Linux帐号管理UNIX/Linux访问控制UNIX/Linux资源安全管理UNIX/Linux网络服务安全UNIX/Linux系统安全UNIX/Linux帐号管理102UNIX的系统结构由用户层、内核层和硬件层三个层次组成两个执行态：核心态和用户态用户态下的进程只能存取它自己的指令和数据，而不能存取内核和其它进程的指令和数据保证特权指令只能在核心态执行，像中断、异常等在用户态下不能使用用户程序可以通过系统调用进入核心，运行系统调用后，又返回用户态UNIX的系统结构由用户层、内核层和硬件层三个层次组成103安全性：Linux系统vsWindows系统开发方式－>错误暴露：开放vs不公开远程程序调用－>防火墙设置：限制vs大量使用权限－>被利用：某些第三方Windows应用软件需要管理员的权限才能正确运行软件，利用这些软件发起的病毒攻击的破坏性极大Windows具有易学易用性，同时需要兼容不安全的老版本的软件。这些对于系统安全也是一个不利的因素安全漏洞数量：美国计算机应急反应小组测评报告表明Windows似乎安全漏洞更多微软的Windows出现了250次安全漏洞，其中有39个安全漏洞的危险程度达到了40分或者40分以上（40分以上为危险性极大的系统漏洞）RedHatLinux同时间只发现46次安全漏洞，其中只有3个安全漏洞的危险程度在40分以上。

安全性：Linux系统vsWindows系统开发方式－>104帐号管理Root帐号root帐号被操作系统用来执行基本的任务，比如登录、记录审计信息或者访问I/O设备等特权用户几乎可以做任何事情。特权用户可以变为任何别的用户，可以改变系统时钟，可以绕过施加于他的某些限制正是由于特权用户如此强大，因此它也成为UNIX的一个主要弱点处于特权用户状态的攻击者实际上接管了整个系统，必须采取每一个可能的防范措施来控制普通用户获得特权用户状态禁止预置帐号组管理策略用户密码安全帐号管理Root帐号105帐号管理Root帐号禁止预置帐号Linux操作系统中也存在一些不必要的预置帐号，如果不需要这些帐号，就把它们删掉系统中有越多这样的帐号，就越容易受到攻击组管理策略用户密码安全帐号管理Root帐号106帐号管理Root帐号禁止预置帐号组管理策略将用户分组是UNIX/Linux系统对权限进行管理的一种方式早期的系统中一个用户只能属于某一个组，后来的系统中，一个用户可以同时属于多个用户组用户隶属于一个或多个组文件/etc/group包括了属组的列表。其中的表项格式：groupname:grouppassword:GID:listofusers用户密码安全帐号管理Root帐号107帐号管理Root帐号禁止预置帐号组管理策略用户密码安全密文存放在/etc/passwd文件中：username:encryptedpassword:userID:groupID:IDstring:homedirectory:loginshell字段IDstring是用户的全名userID（UID）是指用户的IDgroupID（GID）指的是组的ID，最后两个字段指明了用户的主目录和成功登录后可用的Shell帐号管理Root帐号108要点Windows系统帐号的分类WindowNT资源管理Windows网络服务的设置UNIX/Linux帐号管理要点Windows系统帐号的分类109数据库安全数据库安全概述数据库基本安全机制数据库加密数据库安全性管理数据库安全级别主流数据库的安全常见的数据库攻击与防范数据库恢复

数据库安全数据库安全概述110数据库安全概述数据库，分为两个部分来理解：一部分是数据库，指按一定的方式组织和存放数据另一部分是数据库管理系统（DatabaseManagementSystem,简称DBMS），为用户及应用程序提供数据访问界面，并具有对数据库进行管理、维护等多种功能数据库安全的两个层次数据库系统运行的安全，采取一系列措施保障DBMS的正常运行，如机房、硬件、操作系统等数据库系统的信息安全，保障数据库存放的信息的私有性，如认证、审计、访问控制等数据库安全概述数据库，分为两个部分来理解：111第一个层次的安全含义，主要侧重在保障数据的完整性或者数据安全的环境因素方面；第二个层次的安全，则更多和数据的私有性相关，侧重于怎样保证只有合法的，或经授权的用户才能访问到数据。第一个层次的安全含义，主要侧重在保障数据的完整性或者数据安全112数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计用户名＋口令证书数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式113数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计数据库登录权限类只能查阅部分数据库信息，不能改动数据库中的任何数据资源管理权限类创建数据库表、索引，在权限允许的范围内修改、查询数据库等数据库管理员权限类

具有数据库管理的全部权限不同的DBMS，可能对用户角色的定义不尽相同，权限划分的细致程度也远超过上面三种基本的类型

数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式114数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计基于角色的访问控制对数据对象的访问控制数据库级别、表级、行级、属性级访问控制的两个基本原则隔离原则：用户只能存取他所有的和已经取得授权的数据对象控制原则：用户只能按他所取得的数据存取方式存取数据，不能越权

存取权限Read,Update,Alter,Insert,Delete,Drop

数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式115数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计视图可以被看成是虚拟表或存储查询。通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内将访问限制在基表中行的子集内将访问限制在基表中列的子集内将访问限制在基表中列和行的子集内将访问限制在符合多个基表联接的行内将访问限制在基表中数据的统计汇总内将访问限制在另一个视图的子集内或视图和基表组合的子集内数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式116数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计审计（Audit）是一种事后监督的手段，它用来监视用户对数据库施加的动作对数据对象的访问控制根据审计对象的区分，有两种方式的审计：用户审计：记下所有对自己表或视图进行访问的企图及每次操作的用户名、时间、操作代码等信息系统审计：记录系统一级命令以及数据对象的使用情况数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式117数据库加密加密机制对称密码系统vs公钥密码系统多级密钥结构：库名、表名、记录名和字段名加密范围索引字段一般不加密关系运算的比较字段一般不加密表间的连接码字段一般不加密加密对DBMS的影响无法实现对数据制约因素的定义密文数据的排序、分组和分类SQL语言中的内部函数将对加密数据失去作用DBMS的一些应用开发工具的使用受到限制数据库加密加密机制118主流数据库安全主流数据库包括：Oracle，SQLServer，Sybase国内安全数据库可信COBASE、达梦安全数据库、LOIS安全数据库、Softbase（南京大学）、OpenbaseSecure（东大阿尔派）着重于多级安全方面，引入了多级安全模型，传统的关系模型必须做出一定改进，各种逻辑数据对象被强制赋予安全标记属性强制访问控制的功能被大大加强，使得数据库系统的身份认证和访问控制机制更加严格主流数据库安全主流数据库包括：119Oracle的安全机制身份认证访问控制数据库审计Oracle的身份认证有两种方式：外部身份认证和DBMS认证

外部