计算机网络安全6-操作系统与数据库安全技术

第6章操作系统与数据库安全技术内容提要：访问控制技术操作系统安全技术Unix/Linux系统安全技术Windows7系统安全技术数据库安全概述数据库安全机制数据库安全技术本章小结计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第1页。访问控制是实现既定安全策略的系统安全技术，它可以显式地管理着对所有资源的访问请求。根据安全策略的要求，访问控制对每个资源请求做出许可或限制访问的判断，可以有效地防止非法用户访问系统资源和合法用户非法使用资源。美国国防部的可信计算机系统评估标准（TESEC）把访问控制作为评价系统安全的主要指标之一。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第2页。在信息安全涵盖的众多领域，操作系统安全是信息安全的核心问题。操作系统安全是整个计算机系统安全的基础，采用的安全机制主要包括两个方面，即访问控制和隔离控制，其中访问控制是其安全机制的关键。

数据库系统是对数据资料进行管理的有效手段，许多重要的数据资料都存储于各种类型的数据库中。因此数据库的安全问题在整个信息安全体系中占用重要地位。数据库安全主要从身份认证、访问控制、数据加密等方面来保证数据的完整性、可用性、机密性，其中应用最广且最为有效的当属访问控制。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第3页。6.1访问控制技术计算机信息系统访问控制技术最早产生于上个世纪60年代，随后出现了两种重要的访问控制技术，即自主访问控制DAC和强制访问控制MAC。但是，作为传统访问控制技术，它们已经远远落后于当代系统安全的要求，安全需求的发展对访问控制技术提出了新的要求。近年来的研究工作一方面是对传统访问控制技术的不足进行改进，另一方面则出现了以基于角色的访问控制技术RBAC为代表的新型技术手段。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第4页。6.1.1认证、审计与访问控制

在讨论传统访问控制技术之前，先就访问控制与认证、审计之间的关系，以及访问控制的概念和内涵进行概要说明。

在计算机系统中，认证、访问控制和审计共同建立了保护系统安全的基础，如图6-1所示。其中认证是用户进入系统的第一道防线，访问控制则在鉴别用户的合法身份后，通过引用监控器控制用户对数据信息的访问。审计通过监视和记录系统中相关的活动，起到事后分析的作用。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第5页。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第6页。区别认证和访问控制是非常重要的。正确地建立用户的身份标识是由认证服务实现的。在通过引用监控器进行访问控制时，总是假定用户的身份已经被确认，而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制。同时要认识到，访问控制不能作为一个完整的策略来解决系统安全，它必须要结合审计而实行。审计主要关注系统所有用户的请求和活动的事后分析。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第7页。所谓访问控制（AccessControl）就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务，可以限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。访问控制是实现数据保密性和完整性机制的主要手段。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第8页。访问控制系统一般包括：主体（subject）：指发出访问操作、存取请求的主动方，它包括用户、用户组、终端、主机或一个应用进程，主体可以访问客体。客体（object）：指被调用的程序或欲存取的数据访问，它可以是一个字节、字段、记录、程序、文件，或一个处理器、存储器及网络节点等。安全访问政策：也称为授权访问，它是一套规则，用以确定一个主体是否对客体拥有访问能力。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第9页。在访问控制系统中，区别主体与客体是比较重要的。通常主体发起对客体的操作将由系统的授权来决定，并且，一个主体为了完成任务可以创建另外的主体，并由父主体控制子主体。此外，主体与客体的关系是相对的，当一个主体受到另一主体的访问，成为访问目标时，该主体便成了客体。访问控制规定了哪些主体可以访问，以及访问权限的大小，其一般原理如图6-2所示。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第10页。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第11页。在主体和客体之间加入的访问控制实施模块，主要用来负责控制主体对客体的访问。其中，访问控制决策功能块是访问控制实施功能中最主要的部分，它根据访问控制信息作出是否允许主体操作的决定，这里访问控制信息可以存放在数据库、数据文件中，也可以选择其它存储方法，且要视访问控制信息的多少及安全敏感度而定。其原理如图6-3所示。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第12页。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第13页。6.1.2传统访问控制技术1．自主访问控制DAC及其发展

DAC是目前计算机系统中实现最多的访问控制机制，它是在确认主体身份以及（或）它们所属组的基础上对访问进行限定的一种方法。传统的DAC最早出现在上个世纪70年代初期的分时系统中，它是多用户环境下最常用的一种访问控制技术，在目前流行的Unix类操作系统中被普遍采用。其基本思想是，允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第14页。2．强制访问控制MAC及其发展

MAC最早出现在Multics系统中，在1983美国国防部的TESEC中被用作为B级安全系统的主要评价标准之一。MAC的基本思想是：每个主体都有既定的安全属性，每个客体也都有既定安全属性，主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。通常所说的MAC主要是指TESEC中的MAC，它主要用来描述美国军用计算机系统环境下的多级安全策略。在多级安全策略中，安全属性用二元组（安全级，类别集合）表示，安全级表示机密程度，类别集合表示部门或组织的集合。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第15页。

一般的MAC都要求主体对客体的访问满足BLP（BellandLaPadula）安全模型的两个基本特性：（1）简单安全性：仅当主体的安全级不低于客体安全及且主体的类别集合包含客体的类别集合时，才允许该主体读该客体。（2）*–特性：仅当主体的安全级不高于客体安全级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第16页。6.1.3新型访问控制技术

1．基于角色的访问控制RBACRBAC（Role-BasedAccessControl）的概念早在20世纪70年代就已经提出，但在相当长的一段时间内没有得到人们的关注。进入90年代后，随着安全需求的发展加之R.S.Sandhu等人的倡导和推动，RBAC又引起了人们极大的关注，目前美国很多学者和研究机构都在从事这方面的研究，如NIST（NationalInstituteofStandardTechnology）和GerogeManson大学的LIST（LaboratoryofInformationSecurityTechnololy）等。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第17页。自1995年开始，美国计算机协会ACM每年都召开RBAC的专题研讨会来促进RBAC的研究，图6-4给出了RBAC的结构示意图。在RBAC中，在用户（user）和访问许可权（permission）之间引入了角色（role）的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系。这里所谓的角色就是一个或是多个用户可执行的操作的集合，它体现了RBAC的基本思想，即授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第18页。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第19页。迄今为止已发展了四种RBAC模型：（1）基本模型RBAC0，该模型指明用户、角色、访问权和会话之间的关系；（2）层次模型RBAC1，该模型是偏序的，上层角色可继承下层角色的访问权；（3）约束模型RBAC2，该模型除包含RBAC0的所有基本特性外，增加了对RBAC0的所有元素的约束检查，只有拥有有效值的元素才可被接受；（4）层次约束模型RBAC3，该模型兼有RBAC1和RBAC2的特点。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第20页。RBAC具有五个明显的特点：（1）以角色作为访问控制的主体（2）角色继承（3）最小权限原则（4）职责分离（5）角色容量与DAC和MAC相比，RBAC具有明显的优越性，RBAC基于策略无关的特性，使其几乎可以描述任何安全策略，甚至DAC和MAC也可以用RBAC来描述。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第21页。

2．基于任务的访问控制TBACTBAC（Task-BasedAccessControl）是一种新的安全模型，从应用和企业层角度来解决安全问题（而非已往从系统的角度）。它采用“面向任务”的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。在TBAC中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化，这是我们称其为主动安全模型的原因。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第22页。

3．基于组机制的访问控制

1988年，R.S.Sandhu等人提出了基于组机制的NTree访问控制模型，之后该模型又得到了进一步扩充，相继产生了多维模型N_Grid和倒树影模型。NTree模型的基础是偏序的维数理论，组的层次关系由维数为2的偏序关系（即NTree树）表示，通过比较组节点在NTree中的属性决定资源共享和权限隔离。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第23页。6.1.4访问控制的实现技术

访问控制的实现技术是指为了检测和防止系统中的未授权访问，对资源予以保护所采取的软硬件措施和一系列的管理措施等手段。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体，它贯穿于系统工作的全过程，是在文件系统中广泛应用的安全防护方法。访问控制矩阵（AccessControlMatrix）是最初实现访问控制技术的概念模型。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第24页。

由于访问控制矩阵较大，并且会因许多主体对于大多数客体不能访问而造成矩阵变得过于稀疏，这显然不利于执行访问控制操作，因此，现实系统中通常不使用访问控制矩阵，但可在访问控制矩阵的基础上实现其它访问控制模型，这主要包括：基于访问控制表的访问控制实现技术；基于能力关系表的访问控制实现技术；基于权限关系表的访问控制实现技术。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第25页。6.1.5安全访问规则（授权）的管理

授权的管理决定谁能被授权修改允许的访问，这可能是访问控制中最重要且又不易理解的特性之一。与访问控制技术相对应，通常有三类授权管理问题，即：（1）强制访问控制的授权管理（2）自主访问控制的授权管理（3）角色访问控制强的授权管理返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第26页。6.2操作系统安全技术随着计算机技术的飞速发展和大规模应用。一方面，现实世界依赖计算机系统的程度越来越高，另一方面计算机系统的安全问题也越来越突出。AT&T实验室的S.Bellovin博士曾对美国CERT（ComputerEmergencyResponseTeam，CERT）提供的安全报告进行分析，结果表明，大约有一半的计算机网络安全问题是由软件工程中的安全缺陷引起的，而操作系统的安全脆弱性则是问题的根源之一。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第27页。6.2.1操作系统安全准则

1．操作系统的安全需求所谓安全的系统是指能够通过系统的安全机制控制只有系统授权的用户或代表授权用户的进程才允许读、写、删、改信息。具体来说，共有六个方面的基本需求：安全策略标记鉴别责任保证连续保护返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第28页。2．可信计算机系统评价准则

从80年代开始，国际上很多组织开始研究并发布计算机系统的安全性评价准则，最有影响和代表的是美国国防部制定的可信计算机系统评价准则，即TCSEC（TrustedComputerSystemEvaluationCriteria）。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第29页。

根据这些需求，TCSEC将评价准则划分为四类，每一类中又细分了不同的级别：D类：不细分级别；C类：C1级，C2级；B类：B1级，B2级，B3级；A类：A1级；其中，D类的安全级别最低，A类最高，高级别包括低级别的所有功能，同时又实现一些新的内容。

实际工作中，主要通过测试系统与安全相关的部分来确定这些系统的设计和实现是否正确与完全，一个系统与安全相关的部分通常称之为可信基——TCB（TrustedComputingBase）。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第30页。6.2.2操作系统安全防护的一般方法1．威胁系统资源安全的因素威胁系统资源安全的因素除设备部件故障外，还有以下几种情况：（1）用户的误操作或不合理地使用了系统提供的命令，造成对资源的不期望的处理。（2）恶意用户设法获取非授权的资源访问权。（3）恶意破坏系统资源或系统的正常运行。（4）破坏资源的完整性与保密性。（5）用户之间的相互干扰。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第31页。2．操作系统隔离控制安全措施

隔离控制的方法主要有下列四种。（1）隔离。（2）时间隔离。（3）逻辑隔离。（4）加密隔离。这几种隔离措施实现的复杂性是逐步递增的，而它们的安全性则是逐步递减的，前两种方法的安全性是比较高的，后两种隔离方法主要依赖操作系统的功能实现。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第32页。3．操作系统访问控制安全措施在操作系统中为了提高安全级别，通常采用一些比较好的访问控制措施以提高系统的整体安全性，尤其是针对多用户、多任务的网络操作系统。常用的访问控制措施有：（1）自主访问控制DAC（2）强制访问控制MAC（3）基于角色的访问控制RBAC（4）域和类型执行的访问控制DTE返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第33页。6.2.3操作系统资源防护技术对操作系统的安全保护措施，其主要目标是保护操作系统中的各种资源，具体地讲，就是针对操作系统的登录控制、内存管理、文件系统这三个主要方面实施安全保护。1．系统登录和用户管理的安全（1）登录控制要严格。（2）系统的口令管理。（3）良好的用户管理。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第34页。2．内存管理的安全常用的内存保护技术有：（1）单用户内存保护问题。（2）多道程序的保护。（3）标记保护法。（4）分段与分页技术。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第35页。3．文件系统的安全（1）分组保护。（2）许可权保护。（3）指定保护。除了上面三个方面的安全保护措施之外，操作系统的其它资源如各种外设、网络系统等也都需要实施比较安全的保护措施，但它们的最终安全防护可以归结为上面三个方面的操作系统资源安全保护机制。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第36页。6.2.4操作系统的安全模型1．安全模型的作用安全模型的几个特性：①精确的、无歧义的；②简易和抽象的，易于理解；③一般性的，只涉及安全性质，不过度地抑制操作系统的功能或其实现；④是安全策略的明显表现。2．监控器模型3．多级安全模型4．信息流模型返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第37页。6.3

Unix/Linux操作系统的安全Unix系统是当今著名的多用户分时操作系统，以其优越的技术和性能，得到了迅速发展和广泛应用。Linux系统于1991年诞生于芬兰赫尔辛基大学一位名叫LinusTorvalds的学生手中，作为类Unix操作系统，它以其开放源代码、免费使用和可自由传播深受人们的喜爱。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第38页。6.3.1

Unix/Linux安全基础Unix/Linux是一种多任务多用户的操作系统，其基本功能是防止使用同一台计算机的不同用户之间相互干扰。因此，Unix/Linux操作系统在设计理念上已对安全问题进行了考虑。Unix/Linux系统结构由用户、内核和硬件三个层次组成，通过中断、系统调用、异常为用户提供功能。Unix/Linux操作系统具有两个执行状态：核心态和用户态。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第39页。6.3.2

Unix/Linux安全机制Unix/Linux操作系统的安全机制主要包括：PAM机制入侵检测机制文件加密机制安全日志文件机制防火墙机制返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第40页。PAM是一套共享库，可以提供一个框架和一套编程接口，它将认证工作由程序员交给管理员，允许管理员在多种认证方法之间做出选择，并能够改变本地认证方法而不需要重新编译与认证相关的应用程序。PAM机制的主要功能是：（a）口令加密；（b）按照需要限制用户对系统资源的使用；（c）允许使用Shadow口令；（d）按照需要，限制指定的用户只能在指定时间从指定地址登录；（e）利用“ClientPlug-inAgents”概念，使PAM在C/S结构中对“机器-机器”认证成为可能。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第41页。6.3.3

Unix/Linux安全措施

Linux网络系统既可能受到来自网络外部黑客的攻击，也可能遇到网络内部合法用户的越权使用，Linux网络系统管理员一定要为网络系统制定有效的安全策略，只有采取有效的防范措施，才能保证网络系统的安全。1.Linux系统的安全策略Linux网络系统必须采用清晰明确的安全策略，只有这样系统管理员才可知道要保护什么，才可决定系统中的哪些资源允许别人访问。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第42页。2．Linux系统安全的防范措施按“最小权限”原则设置每个内部用户账户的权限。确保用户口令文件的安全。充分利用防火墙机制。定期对Linux网络进行安全检查。充分利用日志安全机制，记录所有网络访问。严格限制Telnet服务的权限。完全禁止finger服务。禁止系统对ping命令的回应。禁止IP源路径路由。禁止所有控制台程序的使用。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第43页。6.4

Windows7系统安全技术

2009年10月，微软公司推出Windows7操作系统，它解决了WindowsVista中的许多问题并得到广泛使用，相对于以往的系统Windows7的错误诊断和修复机制更为强大，能够在用户最少的干预下完成修复工作，开机和关机速度更快，改善了用户体验度。Windows7因其创新的性能、出色的兼容性和卓越的使用体验，获得了业界的广泛好评，系统具有下列特点：更加简单、更加安全、更好的连接、更低的成本。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第44页。6.4.1

Windows7安全基础为应对传统的针对Windows操作系统的攻击方式，Windows7引入了一整套的防御体系。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第45页。内存保护模块中使用的主要安全技术有：地址空间随机化分布（AddressSpaceLayoutRandomization，ASLR）、安全结构化异常处理（SafeStructuralExceptionHandling，SafeSEH）、数据执行防护（DataExecutionProtection，DEP）、安全堆管理、GS栈保护等。这些技术用以阻止攻击者使用一些特殊攻击程序或恶意代码对系统进行破坏，弥补内存处理方面的诸多安全威胁，如堆栈缓冲区溢出、堆栈函数指针覆盖以及堆溢出等，有效保护操作系统内核和Microsoft内置应用程序的安全。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第46页。为提高系统内核的安全性和可信度，Windows7在内核完整性防护模块中使用的主要安全技术有：代码完整性（CodeIntegrity）验证、强制驱动签名（MandatoryDriverSigning）和内核保护（PatchGuard）。代码完整性验证技术用于确定系统内核是否因为偶然因素或恶意攻击被篡改，主要通过校验数字签名和与内核模块有关联的Hash散列函数以发现内核是否被篡改。强制驱动签名技术要求所有内核驱动都必须进行数字签名，未经签名的任何驱动程序都无法进入内核地址空间。内核保护技术也称为KernelPatch保护技术，用于防止未经许可的软件修改Windows7系统内核。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第47页。系统和用户态防护模块的主要用途是，使程序运行时只拥有所需的最小权限，并且在已经划分的内存空间中运行，防止所有的程序都以管理员权限运行，从而减少恶意程序自动威胁整个Windows7系统的能力。采用的主要安全技术有：用户帐户控制（UAC）、BitLocker技术、Windows防火墙、系统进程分离、WindowsDefender、限制服务、Windows资源保护（WRP）等。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第48页。6.4.2

Windows7安全机制Windows7是基于微软的安全开发生命周期（SDL）框架开发的，完善了审计、监控和数据加密的功能，加强了对远程通信的支持。在系统底层的实现方面进行了改进，使得Windows7的内核修复保护、服务强化、数据执行防御、地址空间随机化等可以更好地抵御攻击行为。概括起来，Windows7主要采用内核完整性、内存保护、系统完整性及用户空间防护等安全机制对系统进行保护。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第49页。1．内存保护机制Windows7的内存保护机制可以分为两大类：一类是用于检测内存泄露的，包括GS栈溢出检测、结构化异常处理覆盖保护（StructuredExceptionHandlingOverwriteProtection，SEHOP）和堆溢出检测。另一类是用于阻止攻击代码运行的，包括GS变量重定位、安全结构化异常处理SafeSEH、数据执行保护DEP、地址空间随机化分布ASLR。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第50页。2．权限控制机制Windows7权限控制机制主要包括：用户帐户控制机制UACWindows防火墙WindowsDefender反间谍软件BitLocker加密限制服务WindowsUpdate返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第51页。3．内核完整性保证机制内核完整性保证机制主要包括代码完整性验证、强制驱动签名和PatchGuard三个方面，其中PatchGuard只应用于64位操作系统，主要在系统运行过程中动态检查关键的数据结构和内核代码的完整性，防止非授权软件修改系统内核，可以阻止对进程列表等核心信息的恶意修改。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第52页。6.4.3

Windows7安全措施为确保Windows7在使用过程中的系统安全，除积极采用上述安全技术和安全机制外，用户还应根据使用环境要求针对性做好安全配置和系统管理工作，尽可能提升Windows7的安全性能。常用的Windows7安全配置措施和方法有：返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第53页。设置安全密码和屏保密码增加管理员用户禁用GUEST用户注册表安全设置关闭不必要的服务禁止自动播放返回本章首页禁止运行脚本动态监控威胁安装反病毒木马软件及时备份数据堵住补丁漏洞计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第54页。6.5

数据库安全概述信息技术的核心是信息处理，而数据库技术正是当前信息处理的中流砥柱，担负着储存和操纵信息的使命。越来越多的政府部门和商业企业都将大量有价值的信息存储于计算机数据库中，这些信息关系到国家的兴亡、企业的成败。

保障数据库的安全就是保障数据库中信息的安全。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第55页。6.5.1

数据库安全的基本概念数据库安全是指数据库的任何部分都没有受到侵害，或者没有受到未经授权的存取和修改。1．数据库安全的内涵数据库安全主要包括数据库系统安全和数据库数据安全两层含义。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第56页。（1）数据库系统安全数据库系统安全是指在系统级控制数据库的存取和使用机制，应尽可能地堵住各种潜在的漏洞，防止非法用户利用这些漏洞危害数据库系统的安全；同时保证数据库系统不因软硬件故障和灾害的影响而不能正常运行。数据库系统安全包括：硬件运行安全；物理控制安全；操作系统安全；用户连接数据库需授权；灾害、故障恢复等。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第57页。（2）数据库数据安全数据库数据安全是指在对象级控制数据库的存取和使用的机制，哪些用户可以存取指定的模式对象及在对象上允许有哪些操作。数据库数据安全包括：有效的用户名/口令鉴别；用户访问权限控制；数据存取权限、方式控制；审计跟踪；数据加密等。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第58页。2.数据库安全管理原则对数据库系统进行安全管理规划时一般要遵循以下原则：（1）管理细分和委派原则（2）最小权限原则（3）帐号安全原则（4）有效审计原则返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第59页。6.5.2

数据库管理系统简介DBMS是专门负责数据库管理和维护的计算机软件系统，是数据库系统的核心，不仅负责数据库的维护工作，还负责数据库的安全性和完整性。DBMS是与文件系统类似的软件系统，通过DBMS，应用程序和用户可以取得所需的数据。与文件系统不同的是DBMS还定义了所管理的数据之间的结构和约束关系，还提供了一些基本的数据管理和安全功能。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第60页。6.5.3数据库系统的缺陷与威胁1.数据库系统的缺陷数据库系统的安全缺陷主要体现在以下几个方面：数据库系统安全通常与操作系统安全密切相关数据库系统安全通常被忽视数据库帐号和密码容易泄露返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第61页。2.数据库系统面临的威胁数据库系统面临的安全威胁主要来自以下几个方面：物理和环境的因素事务内部故障存储介质故障人为破坏病毒与黑客未经授权的数据读写与修改对数据的异常访问造成数据库系统故障数据库权限设置错误，造成数据的越权访问返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第62页。6.6

数据库安全机制数据库安全作为信息系统安全的一个子集，必须在遵循信息安全总体目标（即保密性、完整性和可用性）的前提下，建立安全模型、构建体系结构、确定安全机制。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第63页。6.6.1数据库安全的层次分布一般来说，数据库安全涉及五个层次。（1）物理层：必须物理地保护计算机系统所处的所有节点，以防入侵者强行闯入或暗中潜入；（2）人员层：要谨慎用户授权，以减少授权用户接受贿赂而给入侵者提供访问机会的可能；（3）操作系统层：操作系统安全性方面的弱点总是可能成为对数据库进行未授权访问的手段；返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第64页。

（4）网络层：几乎所有数据库系统都允许通过终端或网络进行远程访问，网络层安全性和物理层安全性一样重要；（5）数据库系统层：数据库中有重要程度和敏感程度不同的各种数据，并为拥有不同授权的用户所共享，数据库系统必须遵循授权限制。为了保证数据库安全，必须在上述所有层次上进行安全性保护。如果较低层次上安全性存在缺陷，那么，即使是很严格的高层安全性措施也可能被绕过。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第65页。6.6.2安全DBMS体系结构

通常所说的可信DBMS指MLS（多级安全）DBMS。因其存储的数据具有不同的敏感性（安全）级别，MLSDBMS中的关系也称多级关系。目前研究的可信DBMS体系结构基本上分为两大类：TCB子集DBMS体系和可信主体DBMS体系。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第66页。1．TCB子集DBMS体系结构

TCB子集DBMS使用位于DBMS外部的可信计算基（通常是可信操作系统或可信网络）执行对数据库客体的强制访问控制。该体系把多级数据库客体按安全属性分解成单级断片（属性相同的数据库客体属于同一个断片），分别物理隔离存储在操作系统客体中。每个操作系统客体的安全属性就是存储于其中的数据库客体的安全属性。然后，TCB对这些隔离的单级客体实施MAC。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第67页。

这种体系的最简单方案是把多级数据库分解成单级元素，安全属性相同的元素存储在一个单级操作系统客体中。使用时，先初始化一个运行于用户安全级的DBMS进程，通过操作系统实施的强制访问控制策略，DBMS仅访问不超过该级别的客体。然后，DBMS从同一个关系中把元素连接起来，重构成多级元组，返回给用户。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第68页。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第69页。

2．可信主体DBMS体系结构可信主体DBMS体系结构与TCB子集DBMS体系结构大不相同，它自己执行强制访问控制。该体系按逻辑结构分解多级数据库，并存储在若干个单级操作系统客体中。但每个单级操作系统客体中可同时存储多种级别的数据库客体（如数据库、关系、视图、元组或元素），并与其中最高级别数据库客体的敏感性级别相同。

返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第70页。下图是可信主体DBMS体系结构的一种简单方案。DBMS软件仍然运行于可信操作系统之上，所有对数据库的访问都必须经由可信DBMS。返回本章首页计算机网络安全6-操作系统与数据库安全技术全文共80页，当前为第71页。6.6.3数据库安全机制根据各安全机制主要针对的目标，下表对其进行了粗略分类。

返回本章首页安全机制保密性完整性可用性身份识别和认证√√√强制访问控制