第10章-系统安全技术课件

第十章 系统安全技术第十章 系统安全技术ß

10.1操作系统安全技术ß

10.2数据库系统安全技术ß

10.3网络系统安全技术10.1操作系统安全技术ß

10.1.1存储保护

ß

10.1.2用户认证

ß

10.1.3访问控制

ß

10.1.4文件保护ß

10.1.5内核安全技术ß

10.1.6安全审计10.1操作系统安全技术ß操作系统无论对于计算机硬件还是应用层的软件而言都显的极其重要，但是操作系统却面临各式各样的威胁10.1.1存储保护ß在虚拟存储系统中，通常采用加界保护、键式保护、页表保护和段表保护方法ß

加界保护方式：Þ首先将访问地址与上下界寄存器进行比较，如果在此区域内，则允许访问，否则不允许访问Þ

运用于段式管理ß

键式保护方式：Þ

将主存的每一页都设置一个存储键，分配一个键号Þ

对于每个用户程序的各页，也设置一个程序键，分配一个键号Þ当该页由辅存调入主存时，就将其调入的实页号及其键号登记在快表中，将程序键号送入程序状态字中。每次访问主存，首先进行键号比较，如果键号相等才允许访问10.1.1存储保护ß

页表保护和段表保护Þ每个程序的虚页号是固定的，经过虚地址向实地址变换后的实存页号也就固定了。不论虚地址如何出错，也只能影响到相对的几个主存页面，不会侵犯其他程序空间ß

访问方式保护Þ对主存信息的使用可以有三种方式:读(R)、写(W)和执行(E),相应的访问方式保护就有R，W，E三种方式形成的逻辑组合Þ通常作为程序状态寄存器的保护位，并且和区域保护结合起来实现10.1.2用户认证ß

Windows

NT采用的是NT

LAN

Manager（简称NTLM）安全技术进行身份认证ß

Linux在文本文件/etc/passwd（密码文件）中保存基本的用户数据库ß

Window2000除了为向下兼容提供了对NTLM验证协议的支持以外（作为桌面平台使用时）,还增加了KerberosV5和TLS作为分布式的安全性协议。它支持对smartcards的使用10.1.3访问控制ß

在主流操作系统中（Linux,Windows），均采用ACL机制保护系统对象ß

Windows

NT

系统时，也使用账号/密码机制验证用户身份。ß

如果系统允许用户登录，则安全性子系统将建立一个初始进程，并创建一个访问令牌，其中包含有安全性标识符（SID），该标识符可在系统中唯一标识一个用户。初始进程建立了其他进程之后，这些进程将继承初始进程的访问令牌。10.1.3访问控制ß

Windows

NT

初始时禁止所有的用户可能拥有的特权，而当进程需要某个特权时，才打开相应的特权ß

为了实现进程间的安全性访问，Windows

NT

采用了安全

性描述符。安全性描述符的主要组成部分是访问控制列表，访问控制列表指定了不同的用户和用户组对某个对象的访

问权限。当某个进程要访问一个对象时，进程的SID

将和对象的访问控制列表比较，决定是否运行访问该对象10.1.3访问控制ß访问令牌、安全标识符、安全性描述符以及访问控制列表之间的关系10.1.4文件保护ß

Windows

2000,XP,和Server

2003应用了一个称作

Windows文件保护(WindowsFileProtection，WFP)机制，它可以防止关键的系统文件被改写。ß

WFP被设计用来保护Windows文件夹的内容。WFP保护特定的文件类型，比如SYS、EXE、DLL、OCX、FON和TTF，而不是阻止对整个文件夹的任何修改。注册表键值决定WFP保护的文件类型。ß当一个应用程序试图替换一个受保护的文件，WFP检查替换文件的数字签名，以确定此文件是否是来自微软和是否是正确的版本。如果这两个条件都符合，则允许替换10.1.4文件保护ßLinux中，每一个文件都具有特定的属性。主要包括文件类型和文件权限两个方面。可以分为5种不同的类型：普通文件、目录文件、链接文件、设备文件和管道文件ß不同的用户具有不同的读、写和执行的权限。对于一个文件来说，它都有一个特定的所有者，也就是对文件具有所有权的用户。ßLinux系统按文件所有者、文件所有者同组用户和其它用户三类规定不同的文件访问权限10.1.5内核安全技术ß

操作系统经常在内核设置安全模块来实施基本的安全操作ß

最典型的内核安全模块是引用监控器ß引用验证机制需要满足三个原则：必须有自我保护能力；必须总是处于活跃状态；必须不能过于复杂，以便于验证正确性。由于以上三个原因，当前多数操作系统在内核实现这类功能。10.1.6安全审计ß安全审计是评测系统安全性的一个很重要的环节，能帮助安全人员审计系统的可靠性和安全性ß对于windows系统而言具有日志记录的功能，其它常见的操作也具有系统日志功能进行记录，便于发现系统存在的问题以及跟踪。ß

对于Linux系统它的现有的审计机制是通过三个日志系统来实现的：系统日志、记账日志和应用程序日志。Linux系统的审计机制只提供了一些必要的日志信息，用户登录退出信息以及进程统计日志信息等。10.2数据库系统安全技术ß

10.2.1数据库安全的重要性ß

10.2.2数据库系统安全的基本原则ß

10.2.3数据库安全控制技术ß

10.2.4常见威胁及对策10.2.1数据库安全的重要性ß

各行业都建立起各自的数据库应用系统，以便随时对数据

库中海量的数据进行管理和使用。借助于数据库管理系统，并以此为中介，与各种应用程序或应用系统接口，使之能

方便地使用并管理数据库中的数据，如数据查询/添加/删除/修改等。ß

数据库服务器还掌握着敏感的金融数据，包括交易记录、商业事务和账号数据、战略上的或者专业的信息10.2.2数据库系统安全的基本原则ß

完整性Þ

物理完整性：是指保证数据库的数据不受物理故障（如硬件故障

或掉电等）的影响，并有可能在灾难性毁坏时重建和恢复数据库。Þ逻辑完整性是指对数据库逻辑结构的保护包括数据语义与操作完整性，前者主要指数据存取在逻辑上满足完整性约束；后者主要指在并发事务中保证数据的逻辑一致性ß

保密性Þ

指不允许未经授权的用户存取数据10.2.2数据库系统安全的基本原则ß

可用性Þ

指不应拒绝授权用户对数据库的正常操作请求，保证系统的运行效率并提供用户友好的人机交互10.2.3数据库安全控制技术ß

数据库安全控制包含身份认证和访问控制两方面ß

身份认证Þ

是系统提供的最外层安全保护措施Þ

以SQL

server2000为例：用户必须使用一个登录账号，才能连接到SQL

Server中。Þ

SQLServer可以识别两类的身份验证方式，即：SQLServer身份验证方式和Windows身份验证方式。10.2.3数据库安全控制技术ß

访问控制包括权限管理和角色管理ß

权限管理Þ

为数据库中的用户授予适当的操作权。Þ

在SQL

server2000中，权限分为对象权限、语句权限和隐含权限三种ß

角色管理Þ

在SQL

server2000中，角色分为系统预定义的固定角色和用户根据自己需要定义的用户角色10.2.4常见威胁及对策ß

对数据库构成的威胁主要有篡改、损坏和窃取三种情况。ß

篡改：Þ

是对数据库中的数据进行未经授权的修改，使其失去原来的真实性ß

损坏：Þ

数据库系统中数据的丢失是数据库安全性所面对的一个威胁ß

窃取：Þ

一般针对的是敏感数据。10.2.4常见威胁及对策ß

针对以上种种威胁我们可以采用以下对策：ß

账号和密码的有效保护ß

采用多种认证技术ß

严格的访问控制和基于角色的权限管理ß

灵活的审计配置策略ß

数据在传输过程中的安全ß

数据库中的数据加密存储10.3网络系统安全技术ß

10.3.1

OSI安全体系结构ß

10.3.2网络层安全与IPsecß

10.3.3传输层安全与SSL/TLSß

10.3.4应用层安全与SET10.3.1

OSI安全体系结构ß

OSI安全体系提供五大类安全服务：Þ

认证服务：提供对通信中对等实体和数据来源的认证Þ访问控制服务：用于防治未授权用户非法使用系统资源，包括用户身份认证和用户权限确认。Þ数据保密性服务：为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。同时，对有可能通过观察信息流就能推导出信息的情况进行防范。Þ数据完整性服务：用于组织非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。Þ抗否认性服务：用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。10.3.1

OSI安全体系结构ß

OSI安全体系提供八大类安全机制：Þ(1)加密机制：是确保数据安全性的基本方法，在OSI安全体系结构中应根据加密所在的层次及加密对象的不同，而采用不同的加密方法。Þ(2)数字签名机制：是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认证和消息认证，它具有解决收、发双方纠纷的能力。Þ

(3)访问控制机制：从计算机系统的处理能力方面对信息提供保护10.3.1

OSI安全体系结构ß

(4)数据完整性机制：纠错编码和差错控制、认证、各种病毒检测、杀毒和免疫方法ß

(5)认证机制：在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证ß

(6)业务流填充机制：一些关键站点间再无正常信息传送时，持续传递一些随机数据ß

(7)路由控制机制：路由控制机制可根据信息发送者的申请选择安全路径，以确保数据安全ß

(8)公正机制：仲裁数字签名10.3.2网络层安全与IPsecßIPSec协议族中有两个主要协议：鉴别首部协议（AH）和封装安全性载荷协议（ESP），前者提供源鉴别和数据完整性服务（不提供机密性服务）；后者提供鉴别、数据完整性和机密性服务ß

IPSec提供三项主要的功能：认证功能(AH)，认证和机密组合功能(ESP)及密钥交换功能ß

IPSec是一个工业标准网络安全协议ß

IPSec基于一种端对端的安全模式10.3.3传输层安全与SSL/TLSß

SSL(Secure

Socket

Layer)是由Netscape设计的一种开放协议；它指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证ß

SSL的主要目的是在两个通信应用程序之间提供私密信和可靠性。这个过程通过3个元素来完成：Þ

握手协议。Þ

记录协议Þ

警告协议SSL握手过程步骤ß

步骤1：SSL客户机连接到SSL服务器，并要求服务器验证它自身的身份。ß

步骤2：服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书权威机构(CA)。通过检查有效日期并确认证书包含有可信任CA的数字签名，来验证证书。ß

步骤3：然后，服务器发出一个请求，对客户端的证书进行验证。但是，因为缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。SSL握手过程步骤ß

步骤4：协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户机提供它支持的所有算法列表，然后由服务器选择最强健的加密算法。ß

步骤5：客户机和服务器通过下列步骤生成会话密钥：ß

(1)客户机生成一个随机数，并使用服务器的公钥（从服务器的证书中获得）对它加密，发送到服务器上。ß

(2)服务器用更加随机的数据（从客户机的密钥可用时则使用客户机密钥；否则以明文方式发送数据）响应。10.3.3传输层安全与SSL/TLSß

TLS用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成：TLS 记录协议（TLS Record）和

TLS握手协议（TLS

Handshake）10.3.4应用层安全与SETß

网络层和传输层的安全协议允许为主机(进程)之间的数据通道增加安全属性ß

如果确实想要区分一个具体文件的不同的安全性要求，那就必须借助于应用层的安全性ß

应用层的具体内容就是规