网络与信息安全技术课件

计算机系统平安北京科技大学计算机系王昭顺博士2007年10月平安层次平安的密码算法平安协议网络平安系统平安应用平安计算机系统平安研究内容

计算机网络环境下的信息系统可以用层次结构来描述。

应用程序系统网络应用服务、命令等（FTP、PING）数据库系统操作系统TCP/IP硬件层（计算机、物理链路、路由器）主要内容4.1硬件平安4.2操作系统平安4.3数据库平安4.1硬件平安可信计算的概念为了解决PC机结构上的不平安，从根上提高其平安防护能力，在世界范围内推行可信计算技术。可信计算平台技术可信平台模块TPM下一代平安技术LT技术4.1.1可信计算的概念1999年10月Intel、微软、IBM、HP和Compaq共同发起成立TCPA。目的是开发增强个人计算机平台可信赖的根本技术标准。并于2001年1月发布了标准标准V1.1。2003年4月，TCPA中的AMD、HP、IBM、Intel和微软对外宣布，将TCPA改组为可信计算集团TCG〔TrustedComputingGroup〕,并继续使用TCPA制定的“TrustedComputingPlatformSpecifications〞，10月发布了符合微软平安方案Palladium技术的TPM主标准〔v1.2〕。TCG的目的是在计算和通信系统中广泛使用基于硬件平安模块支持下的可信计算平台，以提高整体的平安性。TCG对“可信〞的定义：一个实体在实现给定目标时，假设其行为总是如同预期，那么该实体是可信的。〔Anentitycanbetrustedifitalwaysbehavesintheexpectedmannerfortheintendedpurpose〕。可信计算的主要目的是通过增强现有PC终端体系结构的平安性来保证整个计算机网络的平安。可信计算的意义是在计算机网络中搭建一个诚信体系，每个终端都具有合法的网络身份，并能够被认可；而且终端具有对恶意代码〔如病毒、木马等〕的免疫能力。在这样的可信计算环境中，任何终端出现问题，都能够保证合理取证，方便监控和管理。1、可信计算基〔TCB〕GB17859对可信计算基给出的定义是：TCB是“计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行平安策略的组合体。它建立了一个根本的保护环境，并提供一个可信计算机系统所要求的附加用户效劳〞。通常所指的TCB是构成平安计算机信息系统的所有平安保护装置的组合体〔称为平安子系统〕，以防止不可信主体的干扰和篡改。2、可信硬件要构建可信计算平台，必须引入独立的硬件，其实现方式一般采用独立于CPU设计的片上系统，同时辅以外部控制逻辑和平安通信协议。作为可信计算平台的根底部件，可信硬件自身的保护措施也是相当严格的，涉及到命令协议的设计，算法的实现，存储部件的保护等。除此之外，硬件的实现还要考虑各种固件的可信设计，主要是对BIOS和各种ROM代码的改进。3、可信计算平台TCG从行为的角度来定义可信性。平台是一种能向用户发布信息或从用户那里接收信息的实体。可信计算平台是能够提供可信计算效劳的计算机软硬件实体，它能够提供系统的可靠性、可用性和信息的平安性。可信计算平台基于可信平台模块TPM，以密码技术为支持、平安操作系统为核心。平安操作系统是可信计算平台的核心和根底，没有平安操作系统，就没有平安的应用，也不能使TPM发挥应有的作用。4.1.2可信计算平台技术可信计算平台的根本要求可信计算平台的根本特征TCPA体系结构1.可信计算平台的根本要求根据应用的需要，一个可信计算平台应该具备以下根本功能要求：〔1〕可信计算平台对用户身份的鉴别传统的方法是依赖操作系统提供的用户登录，两个致命的弱点是：用户名称和密码容易仿冒；无法控制操作系统启动之前的软件装载操作。所以被认为是不够平安的。而可信计算平台的鉴别与硬件中BIOS相结合，通过BIOS提取用户身份信息，如IC卡或USBKEY中的认证信息进行验证，从而让用户身份认证不再依赖操作系统，并且用户身份信息的假冒更加困难。〔2〕可信计算平台内部各元素之间存在严密的互相认证系统的启动从一个可信任源〔通常是BIOS的局部或全部〕开始，依次将验证BIOS软件、操作系统装载模块、操作系统等，从而保证可信计算平台启动链中的软件未被篡改。〔3〕可信计算平台在网络上具有唯一的身份标识现有的计算机在网络上依靠不固定、也不唯一的IP地址进行活动，导致网络黑客泛滥和用户信用缺乏。而具备由权威机构颁发的唯一的身份证书的可信计算平台那么可以准确地提供自己的身份证明，从而为电子商务之类的系统应用奠定信用根底。2.可信计算平台的根本特征一个可信平台要到达以上平台可信的根本要求，最根本的原那么是必须真实报告系统的状态，同时决不暴露密钥和尽量不表露自己的身份。这就需要三个根本的特征：〔1〕保护能力〔ProtectedCapability〕保护能力是唯一被许可访问保护区域〔能够平安操作敏感数据的存储区域〕的一组命令。〔2〕证实〔Attestation〕:确认信息正确性的过程通过这个过程，外部实体可以确认保护区域、保护能力和信任源。而本地调用那么不需要证实。〔3〕完整性度量存储和报告〔IntegrityMeasurement，StorageandReporting〕：完整性度量是一个过程，包括：获得一个关于平台的影响可信度的特征值(Metrics)，存储这些值，然后将这些值的摘要存入PCRs中。可信计算平台联盟TCPA提出了一个参考的可信计算平台根本思想和一个整体解决方案。该方案是一个硬件平台标准，其工作原理是：在个人计算机硬件中植入唯一标志本计算机平台的密钥，并根据与此密钥相关的一系列密钥实施各种验证〔如认证硬件合法性、软件合法性、向远端认证平台本身〕，依赖认证的结果，控制个人计算机系统中各种动作的执行。3.TCPA平台体系结构TCPA体系结构4要素：TPM(TrustedPlatformModule)：是硬件级平安架构的核心，具有生成加密密钥、进行数据加密/解密，以及辅助保护BIOS和OS不被修改的功能。CRTM(CoreRootTrustModule)：初始化整个系统，认证系统BIOS、硬件配置等。TCPAOS：TCPA的控制作用必须通过操作系统来展开，包括到外部实体的认证，不同应用的区分等。兼容性：TCPA允许现有计算机系统的硬件根底继续存在。底层硬件TPMCRTMCPU其他芯片组TCPA操作系统内核TCPA操作系统环境TCPA应用TCPA应用安全应用方案（电子政务/电子商务）关键安全应用安全数据库系统安全支撑软件与接口Windows安全加固安全Linux计算域安全管理器DB安全操作系统安全芯片BIOS/EFI安全I/OCPU芯片组内存LT技术安全应用层安全基础平台层安全硬件层平安硬件层：平安芯片TPM；可信赖BIOS；LT技术等模块；平安I/O平安根底平台层：计算域平安管理器；平安操作系统；平安支撑软件与接口；平安数据库系统可信计算平台体系结构4.1.3可信平台模块TPMTPM是一种硬件设备，与主板相连，用于验证身份和处理计算机或设备在可信计算环境中使用的变量。TPM和存储在其中的数据与平台所有其它组件别离。并且在平台间不可交换。TPM通过硬件实现的途径来增强平台的平安性。它是一套信用的鉴别机制，负责机密信息的封存和开启，通过生成一个数字签名来保护用户数据，该签名可以用于标记数据可被存取的唯一平台和硬件。非易失性存储器易失性存储器平台配置寄存器PCR执行引擎RSA引擎密钥生成内部总线程序代码选用开关SHA-1AIKRNGI/O接口TPMLPC总线ICH控制器PCI总线1.TPM的组成2.TPM的功能HashRNGRSA选用开关受保护的存储器平台完整性平台鉴别证实Attestation密封的存储SealedStorage密封的存储；

通过TPM保护密钥平台鉴别；

保护平台完整性平台完整性功能；

使用受保护的存储器来确保平台度量的完整性证实功能

告知外部实体有关当前平台完整性的度量值每个TPM有一个唯一的凭证密钥EK(EndorsementKey),可以由TPM厂商、平台厂商或最终用户产生。4.1.4下一代平安技术当前PC的脆弱性例如用户输出访问显卡帧缓冲器结果：远程攻击者可以看到或者改变用户能够看到的信息用户输入访问键盘以及鼠标数据结果：远程攻击者可以看到或改变用户正在键入的内容RAMUSBIntelCPU内存Ring0访问内存结果：远程攻击者可以通过监听内存来寻找、捕捉、以及改变如下内容：设置、数据、密码和密钥等CPU芯片组DMA总线简单的硬件攻击DMA控制器访问内存结果：远程攻击者可以使用DMA控制器直接访问受保护的内存易受攻击易受攻击易受攻击易受攻击显卡软件攻击的几种形式怀有不良企图的软件可以读取内存泄露机密修改内存的内容修改数据的值或者修改程序代码操纵输入和输出修改查询命令以获得非法信息保护内存中的数据，防止未经授权的非法窥探；创立可信任的输入/输出系统，防止敏感的密码信息在键盘输入或屏幕显示时被入侵者获取；创立封闭性的程序执行，确保程序指令能够按顺序执行而不会受到其它因素干扰。这种设计方案需要软硬件共同完成。微软的平安方案“Palladium〞是软件方面的工作，后来更名为下一代平安计算基NGSCB〔Next-GenerationSecureComputingBase〕。IBM的PRESEUS是另一个基于TCG硬件环境的可信内核。消除威胁的设计方案NGSCB体系结构包含四点要素：底层平安硬件：平安支持部件SCC(SecuritySupportComponent)是新添的一个硬件部件，执行如加密、数据密封、密钥平安存储以及认证等功能。双重执行环境：并行的双重执行环境，左边为传统的运行环境，右边为可信计算执行环境。Nexus：新添的软件部件，构成NGSCB的可信计算根底。驻留于并行的双重执行环境右侧的核心模式空间。NGSCB增强的应用：通过委派一个Nexus计算代理NCA(NexusComputingAgent)在每个应用中，应用可获得NGSCB提供的平安增强功能。底层硬件SCCCPU其他芯片组操作系统内核操作系统环境应用NGSCB应用NGSCB环境NexusNCANGSCB依靠硬件和操作系统的配合在PC内建立起第二个操作环境，这个操作环境可提供给用程序、外围硬件、内存与存储设备、输入输出系统的平安连接，以此保护系统免受黑客恶意代码的攻击。NGSCB的“Nexus〞工作模式是一个受保护的平安分区，在该区域运行的程序以“平安代理〞的形态出现。在该区域内，所有运行中的软件及数据都处于严密的保护状态下〔包括密封的存储、受保护的执行、受保护的输入/输出等〕，而相应的平安操作由平安支持部件SCC芯片来完成。为了给操作系统提供完整的平台平安和保护机制，整个硬件系统，包括处理器、芯片组、显示和输出设备都必须相应地改变。Intel将这种硬件技术称为LaGrande技术。4.1.5LT技术基于硬件的新型平台保护技术在2006年已整合于Prescott处理器中，但必须等新的操作系统〔如微软的Longhorn〕准备就绪后才正式推出支持Lagrande技术的处理器当与新的操作系统和应用共同使用时，LaGrande技术可以显著提高PC平台的完整性、机密性和可靠性，以应对恶意的软件攻击。LT技术通过处理器、芯片组以及平台提供采用符合TCG要求的可信赖平台模块〔TPMV1.2〕初期面向商用领域—在这里价值可以迅速得到表达1.LT技术的目标保护……敏感信息企业及用户的机密数据保密的通信电子商务交易免受……基于软件的攻击来自系统上攻击软件的攻击由于缺陷软件造成的信息无意中的泄漏但并不丧失……可用性隐私和选择/控制可管理性和易于使用性能、多功能性和后向兼容性受保护的运行(ProtectedExecution)：在处理器内创立出受保护的运行环境，各项应用程序的执行在隔离的环境中进行可信赖的通道和可信赖的路径(TrustedChannelandTrustedPaths)：在平台内为用户输入/输出创立出受保护的数据路径，数据在通过时不会被其他软件看到或者篡改密封存储(SealedStorage)：支持受保护的密钥运算和密封存储，以增强对重要信息的加密证实(Attestation)：支持在受保护状态下启动一致的、状态良好的软、硬件运行环境2.LT技术的硬件解决方案(1)受保护的运行许多攻击只是简单地读取应用程序使用的内存所要做的就是为保护应用程序免受攻击程序的攻击提供一些方法“受保护的运行〞把应用程序的资源同攻击程序隔开。分隔的是：运行的进程内存页面设备“受保护的运行〞要求硬件支持，由硬件强制分隔开LT的“受保护的运行〞是“域分隔〞(domainseparation)的一种实现，这其实不是计算机科学的新技术。平台应用程序攻击程序数据LaGrande〔2〕证实(Attestation)证明平台的属性平台的硬件特性当前运行的配置怎样筑起“砖墙〞“证实〞需要精确的度量度量结果的存储可证实的度量报告TPM1.2提供了这些功能证实设备必须全面保护存储的信息和报告机制必须知道“砖墙〞允许报告被“砖墙〞保护起来的应用程序的哪些信息平台应用程序TPM〔3〕密封存储密封存储是度量和加密的组合密封一些数据以便这些数据只有在指定的度量值提供给TPM时才可以“开封〞强大的技术确保了数据只提供给可信赖的环境把密封的数据发给“砖墙〞确保了这些数据只能被同一个“砖墙〞开封“砖墙〞里发生的变化会导致度量结果的变化，从而导致数据不可用(“拒绝开封〞)平台应用程序数据TPMTPM提供证实和密封存储〔4〕可信赖的通道两个计算实体之间的平安通道“砖墙〞和设备“砖墙〞为受保护的程序提供连接点计算实体和用户之间的平安通道要求用户主动参与提供可信赖通道存在的视觉和听觉指示器设备具有代表性的输入和输出设备平台应用程序LT和设备之间的通道应用程序和用户之间的通路设备通道管理器和连接点受保护的输入创立键盘和键盘管理程序之间的可信赖通道鼠标和鼠标管理程序之间也需要一个可信赖的通道只支持USB接口的键盘和鼠标LT平台将为硬件之间的沟通创立必要的可信赖通道操作系统需要支持在“受保护的运行〞中使用输入管理程序需要可以创立可信赖通道的新设备应用程序负责创立可信赖的路径(path)受保护的输出在图形管理程序和显示适配器之间建立可信赖的通道支持集成的和别离的图形适配器操作系统需要支持在“域分隔区〞中拥有图形管理程序需要可以创立可信赖通道的显示适配器应用程序负责创立可信赖的路径(path)3.LT系统硬件概述涉及：CPU；芯片组；键盘/鼠标显示输出操作系统的需求“域分隔〞设计要求具有有限修改能力的小内核操作系统和设备驱动程序同在ring0层(核心层)就会违反这种要求以往的驱动程序允许应用程序1获得应用程序2资源的访问权可以编写新操作系统，但是：当前的驱动程序和应用程序将不能使用依旧不具有硬件的“域分隔〞能力建立“域分隔〞的“砖墙〞需要操作系统的配合微软的*NGSCB*可以使用LT的属性恰当地创立“域分隔〞，并保持向后兼容30应用程序1操作系统应用程序2驱动程序支持LT技术需要修改软件和硬件OSApps/Drivers操作系统应用/驱动程序标准分区支持LT的英特尔处理器和芯片组受保护的

操作系统内核安全小程序安全小程序受保护的小程序受保护的分区可信 通道

受保护的输入TPM受保护的执行受保护的集成Gfx受保护的独立Gfx受保护的LT环境硬件环境软件环境域管理器(DomainManager)受保护的操作系统内核安全小程序安全小程序受保护的应用程序DM负责：保护分区的建立；程序的运行；内存的管理等工作。

受保护域的启动受保护的环境只有在有需求时才启动；域管理器DM启动请求命令应用程序请求受保护执行；加载受保护的操作系统组件〔域管理器和内核〕，同时系统存储其唯一标识符，用于鉴别预期的受保护内核是否正在运行；受保护的操作系统组件加载应用程序，受保护的程序；受保护的程序唯一标识符被平安的储存〔封闭存储〕，并把其属性写入TPM中。对抗攻击软件攻击被削弱平台App攻击程序PW3.伪造的登录屏幕2.从键盘侦听口令读取内存中的口令4.修改应用程序以忽略口令输入过程采用可信赖的输出来防卫采用可信赖的输入来防卫采用受保护的执行来防御采用受保护的执行来防御12344.2操作系统平安操作系统的平安性在计算机信息系统的整体平安性中具有至关重要的作用。没有操作系统提供的平安性，信息系统的平安性就没有根底。平安操作系统的根本概念平安操作系统的机制典型的平安模型操作系统平安体系结构Windows系统的平安机制〔4〕在多用户操作系统中，各用户程序执行过程中相互间会产生不良影响，用户之间会相互干扰。操作系统面临的平安威胁〔1〕恶意用户〔2〕恶意破坏系统资源或系统的正常运行，危害计算机系统的可用性〔3〕破坏系统完成指定的功能·保证系统自身的平安性和完整性。操作系统平安的目标·标识系统中的用户并进行身份鉴别；依据系统平安策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；·监督系统运行的平安；为了实现操作系统平安的目标，需要建立相应的平安机制，包括隔离控制、存储器保护、用户认证、访问控制等。4.2.1平安操作系统的根本概念主体和客体平安策略和平安模型访问监控器和平安内核可信计算基1

主体和客体操作系统中的每一个实体组件都必须是主体或客体,或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进程等。系统中最根本的主体是用户〔包括一般用户和系统管理员、审计员等特殊用户〕。每个用户有唯一的标识，并能经过鉴别确定其真实性。系统中的所有事件要求几乎都由用户激发。进程是系统中最活泼的实体，用户的所有事件要求都由进程的执行来处理。客体是一个被动的实体。可以是数据信息，也可以是进程。进程一般有双重身份。进程作为用户的客体，同时又是其访问对象的主体。2平安策略和平安模型平安策略：有关管理、保护和发布敏感信息的法律、规定和实施细那么。由一套严密的规那么组成。如可将平安策略定义为：系统中的用户和信息被划分为不同的层次，一些级别比另一些级别高；而且如果主体能读访问客体，当且仅当主体的级别高于或等于客体的级别；如果主体能写访问客体，当且仅当主体的级别低于或等于客体的级别；平安的操作系统：是指它满足某一给定的平安策略。平安模型：对平安策略所表达的平安需求的简单、抽象和无二义的描述，为平安策略及其实现机制的关联提供了一种框架。平安模型给出了平安系统的形式化定义。3访问监控器和平安内核Anderson首次以访问监控器作为访问控制机制的理论根底。访问监控器是一个抽象的概念，表现一种思想。Anderson把访问监控器的具体实现称为引用验证机制，它是访问监控器思想的硬件和软件的组合。Anderson在访问监控器的根底上定义了平安内核。平安内核是系统中与平安实现有关的局部，包括引用验证机制、授权机制和授权管理机制等。平安内核是实现访问监控器概念的一种技术，在一个大型操作系统中，只有其中的一小局部软件用于平安目的是它的理论依据。所以在重新生成操作系统过程中，可用其中平安相关的软件来构成操作系统的一个可信内核，称为平安内核。访问监控器和平安内核访问监控器审计文件访问控制数据库主体客体访问监控器的控制思想安全内核(硬件)安全内核(软件)操作系统应用程序操作系统安全内核用户安全相关的（可信的）安全周边内部安全无关的（不可信的）安全周边外部系统外部系统接口硬件接口内核接口操作系统接口4.2.2平安操作系统的机制硬件平安机制存储保护、运行保护、I/O保护标识与鉴别访问控制最小特权管理可信通路平安审计1标识与鉴别标识与鉴别是涉及系统和用户的一个过程。标识是系统要标识用户的身份，并为每个用户分配一个系统可以识别的内部名称—用户标识符。用户标识符必须是唯一的，且不能被伪造，防止一个用户冒充另一个用户。鉴别：用户标识符与用户联系的过程。鉴别过程主要用以识别用户的真实身份。鉴别操作总是要求用户具有能够证明他的身份的特殊信息，并且这个信息是秘密的。操作系统中鉴别一般在用户登录时发生，采用口令机制。口令机制简便易行，但比较脆弱，容易受到字典攻击。2访问控制自主访问控制：最常用的访问控制机制，是一种用来决定一个用户是否有权访问一些特定客体的访问约束机制。文件的拥有者可以按照自己的意愿精确指定系统中其他用户对其文件的访问权。包括对文件、目录、网络进程连接IPC及设备的访问控制。强制访问控制：系统中的每个进程、文件、IPC客体都被赋予相应的平安属性〔不能改变〕，它由管理部门或操作系统自动按照严格的规那么来设置，不像访问控制表那样由用户或他们的程序直接或间接修改。强制访问控制是更强有力的平安保护方式，用户不能通过意外事件和有意识的误操作逃避平安控制。强制访问控制用于将系统中的信息分密级和类进行管理，适用于政府局部、军事和金融等领域。3最小特权管理为使能够正常运行，系统中的某些进程需具有一些可违反系统平安策略的操作能力，这些进程一般是系统管理员或操作员进程。特权一般定义为可违反系统平安策略的一个操作的能力。最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权。如将超级用户的特权划分为一组细粒度的特权，分别授予不同的系统操作员或管理员,使各种系统操作员或管理员只具有完成其任务所需的特权,从而减少由于特权用户口令丧失或错误软件、恶意软件、误操作所引起的损失。例如，可在系统中定义5个特权管理职责，任何一个用户都不能获取足够的权力破坏系统的平安策略。4可信通路系统需要可信通路机制来保障用户与内核的通信。用户通过不可信的应用层与操作系统交互。但用户登录、定义用户的平安属性、改变文件的平安级别等操作，用户必须确定是与平安内核通信，而不是与一个特洛伊木马打交道。系统必须防止特洛伊木马模仿登录过程，窃取用户的口令。特权用户在进行特权操作时，也要有方法证实从终端上输出的信息是正确的，而不是来自特洛伊木马。5平安审计系统的平安审计是对系统中有关平安的活动进行记录、检查及审核。主要目的是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。审计是一种事后追查的手段来保证系统的平安，它对涉及系统平安的操作做一个完整的记录。审计为系统进行事故原因查询、定位、事故发生前的预测、报警，以及事故发生之后的实时处理提供详细、可靠的依据和支持，以备有违反系统平安的事件发生后能够有效地追查事件发生的地点和过程以及责任人。4.2.3典型的平安模型平安模型的特点BLP模型Biba模型Clark-Wilson模型信息流模型RBAC模型DTE模型无干扰模型1平安模型的特点平安模型的目的在于明确地表达平安需求，为设计开发平安系统提供方针。精确的、无二义性。简易和抽象的，容易理解。一般性的，只涉及平安性质，而不过度地牵扯系统的功能或其实现。它是平安策略的明显表现。平安模型一般有：形式化平安模型：使用数学模型，精确地描述平安性及其在系统中使用情况。非形式化平安模型：模拟系统的平安功能。2主要的平安模型BLP模型：1973年提出的一种多级平安模型，适用于军事平安策略的计算机操作系统。Biba模型：1977年提出的第一个完整性平安模型，通过防止非授权信息的扩散保证系统的平安。只保护信息的完整性。Clark-Wilson模型：1987年提出的完整性平安模型，保证用户完整性、数据完整性、过程完整性。信息流模型：在存取控制机制的根底上，依据适当的信息流模型对信息流进行分析和控制。RBAC模型：一种强制访问控制机制。DTE模型：通过域定义表描述各个域对不同类型客体的操作权限。无干扰模型：1982年提出的一种基于自动机理论和域隔离的平安系统事项方法。4.2.4操作系统平安体系结构平安体系结构的含义平安体系结构的类型Flash平安体系结构权能体系结构1平安体系结构的含义一个计算机系统〔特别是操作系统〕的平安体系结构包含：详细描述系统中平安相关的所有方面。包括系统可能提供的所以平安效劳及保护系统自身平安的所有平安措施。详细语言可以是自然语言，或形式语言。在一定的抽象层次上描述各个平安相关模块之间的关系。可以用逻辑框图来表达，主要用以在抽象层次上按满足平安需求的方式来描述系统关键元素之间的关系。提出指导设计的根本原理。根据系统设计的要求及工程设计的理论和方法，明确系统设计的各个方面的根本原那么。提出开发过程的根本框架及对应于该框架体系的层次结构。它描述确保系统忠实于平安需求的整个开发过程的所有方面。平安体系结构按一定的层次结构进行描述。2平安体系结构的类型美国国防部的“目标平安体系〞把平安体系结构分为：抽象体系：从描述需求开始，定义执行这些需求的功能函数。之后定义指导如何选用这些功能函数，以及如何把这些功能有机组织成为一个整体的原理及相关的根本概念。通用体系：基于抽象体系的决策进行，定义系统分量的通用类型及使用相关行业标准的情况，也明确规定系统应用中必要的指导原那么。逻辑体系：是满足某个假设的需求集合的一个设计，它显示了把一个通用体系应用于具体环境时的根本情况。特殊体系：表达系统分量、接口、标准、性能和开销，说明如何把所有被选择的信息平安分量和机制结合起来以满足特殊系统的平安需求。逻辑体系与特殊体系的唯一区别在于：特殊体系是使用系统的实际体系，而逻辑体系是假想的体系，是为理解或者其他目的而提出的。3Flash平安体系结构在分布式环境下，平安策略的可变通性必须由操作系统的平安机制来支持。为了解决策略的变化和动态的策略,系统必须有一种机制来撤消以前授予的访问控制。Flash体系结构使策略可变通性的实现成为可能，克服了策略可变通性带来的障碍。Flash原型由一个基于微内核的操作系统实现，支持硬件强行对进程地址空间的别离。Flash包含一个平安策略效劳器来定制访问控制决策，一个微内核和系统其他客体管理器框架来执行访问控制决策。Flash平安体系结构中机制和决策的别离，使得系统可以使用比以前更少的策略来支持更好的平安策略集合。Flash平安体系结构通常采用分布式可信操作系统结构。4权能体系结构权能体系结构是较早用于实现平安内核的体系结构，其优点包括：权能为访问客体和保护客体提供了一个统一的方法，权能的应用对统筹设计及简化证明过程有重要的影响。权能与层次设计方法非常协调，从权能机制很方便使用扩展型对象来提供抽象和保护层次。尽管对权能提供的保护及权能的创立是集中式的，但是由权能实现的保护是可适当分配的〔即具有传递能力〕，这样，权能促进了机制与策略的别离。4.2.5Windows2000(XP)系统的平安机制Windows2000(XP)操作系统就是建立在一套完整的平安机制上的，因而任何一个机构，在使用Windows2000(XP)前都必须指定它们的平安策略。在使用Windows2000(XP)操作系统时，一定要熟悉它的登录验证、访问控制、平安策略等平安保护机制，这样才能降低遭受威胁和攻击的风险。Windows系统的平安架构平安原理用户验证访问控制加密管理审计Windows200已经内建支持用户认证、访问控制、加密、管理、审计。Windows系统的平安组件访问控制的判断〔Discretionaccesscontrol〕 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用〔Objectreuse〕当资源〔内存、磁盘等〕被某应用访问时，Windows禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。强制登陆〔Mandatorylogon〕要求所有的用户必须登陆，通过认证后才可以访问资源审计〔Auditing〕在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制〔Controlofaccesstoobject〕不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。Windows平安子系统平安子系统包括以下局部：·Winlogon·GraphicalIdentificationandAuthenticationDLL(GINA)·LocalSecurityAuthority(LSA)·SecuritySupportProviderInterface(SSPI)·AuthenticationPackages〔AP〕·SecuritySupportProviders〔SSP〕·NetlogonService·SecurityAccountManager(SAM)Windows2000平安策略1．密码策略2．锁定策略3．审核策略4．用户权力指派5．平安选项6．装载自定义平安模板Windows2000平安管理Windows2000的用户登录管理Windows2000的用户账号管理Windows2000访问控制Windows2000的资源访问控制机制Windows2000的登录机制Windows2000控制对象的访问Windows2000系统平安常见问题平安策略：没有明确的平安管理策略管理问题：管理规章制度、策略、负责人的落实操作系统安装后使用缺省配置，不打补丁，运行许多不必要的效劳；99%以上的入侵是可以通过系统配置来防范的；用户平安意识网络拓扑结构平安工具的使用多种效劳安装在同一效劳器上，DNS/Mail/Web/FTP公用效劳器用户口令过于简单，uid:studyPwd:123456审计功能没有激活，或管理员根本不检查审计日志没有备份，系统在被入侵后很难恢复Windows系统平安建议订阅微软平安公告，及时了解最新发现的WindowsNT/2000系统漏洞安装最新的SP〔servicepack〕及HotFix定期运行平安扫描工具分析系统，确保没有遗漏任何补丁程序微软提供了一个叫MicrosoftBaselineSecurityAnalyzer的工具，可以定期检测系统漏洞，IIS漏洞，弱帐号等等。4.3数据库平安数据库平安概述数据库平安威胁数据库平安需求数据库平安技术数据库平安策略数据库平安技术数据库加密数据库平安概述随着计算机技术的飞速开展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的平安问题。数据库平安性问题一直是围绕着数据库管理员的恶梦，数据库数据的丧失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。数据库平安性问题包括两个局部：数据库中的数据平安能确保当数据库系统DownTime时、或当数据库数据存储媒体被破坏时、及当数据库用户误操作时，数据库中的数据信息不至于丧失。数据库系统不被非法用户侵入影响数据库平安的因素数据库数据量大，数据敏感度不同而且粒度很细用户成分复杂：根据用户的性质确定他们的使用权限数据库操作的种类多，平安性要求不同推导控制问题：从统计结果中推导敏感信息分布式数据库带来更多的平安问题信息存储和处理高效率是数据库的优点，在考虑数据库平安时，要尽可能降低对原数据库系统使用效率的影响。这些特征决定了数据库平安问题不能用以往的物理平安或操作系统平安简单地替代解决。也不能简单地套用数据平安的方法。对数据库平安的威胁无意损坏天窗心存不满的专业人员数据库受保护数据物理损坏火灾、水灾等非法访问黑客数据复制工业间谍通信损坏蓄意破坏者数据库系统的平安需求安全性问题注释物理数据完整性预防数据库物理方面的问题，如掉电逻辑数据完整性保护数据库的结构，如一个字段的值的修改不会影响其他字段元素的完整性包含在每个元素中的数据是正确的可审计性能够追踪到谁访问过或修改过数据库的元素访问控制限制用户只访问被授权的数据，以及限制不同用户有不同的访问模式（如读或写）机密性保证授权用户对数据存储和传输的机密性用户认证确保用户被正确地识别可使用性用户一般可以访问数据库及所有被批准的数据数据库平安技术现在，流行的大型数据库系统为实现数据库平安提供了许多平安技术：用户口令字鉴别用户存取权限控制数据存取权限、方式控制审计跟踪数据库加密数据库备份4.3.2数据库平安策略平安策略是数据库操作人员合理设置和管理数据库的目标。平安策略是由数据库平安机制实现的。根本的平安策略适中选取平安策略集合才能很好保护数据库的平安平安性控制的层次结构数据库平安控制主要通过授权和加密来实现。平安性问题的根本原那么Sybase的平安控制策略1根本的平安策略最小特权策略；最大共享策略；粒度适当策略；开放系统与封闭系统策略；按内容访问策略；按类型访问策略；按上下文访问策略；根据历史的访问控制策略。2平安性控制的层次结构平安性控制策略既要注重数据访问的平安性和监督用户的登录，又兼顾了用户在使用数据时对速度的要求。平安性问题分层解决，它的平安措施是一级一级层层设置的，真正做到了层层设防。第一层：注册和用户许可：保护对效劳器的根本存取；第二层：存取控制：对不同用户设定不同的权限，使数据库得到最大限度的保护；第三层：增加限制数据存取的视图和存储过程：在数据库与用户之间建立一道屏障。3平安性问题的根本原那么基于上述层次结构的平安体系，提出以下实施平安的根本原那么：选择性访问控制DAC(DiscretionaryAccessControls)：决定用户是否有权访问数据库对象；验证：保证只有授权的合法用户才能注册和访问；授权：对不同的用户访问数据库授予不同的权限；审计：监视系统发生的一切事件。4Sybase的平安控制策略基于上述四点原那么，Sybase提供了四种根本策略进行平安性控制。在创立效劳器时，Sybase将所有权限都分配给系统管理员，系统管理员可以在效劳器上增加注册者(Logins)(只有系统管理员有此权限)。Logins可以登录效劳器但不能访问数据库。数据库属主(DBO)有权增加用户(users)，users可以使用分配给它的数据库。当users访数据库时，首先以Logins身份进入效劳器，系统自动翻开默认数据库，Logins身份转化为users身份。在用户登录后，系统要通过口令进行验证，以防止非法用户盗用他人的用户名进行登录。这一验证步骤在登录时的注册对话框中出现，注册与验证同时进行，用户名与口令有一个不符，登录请求被拒绝。Sybase的平安控制策略(续)权限使得用户在数据库中活动范围仅被容许在小范围内，大大提高了数据库的平安性。在Sybase系统中，对象的所有者或创立者自动被授予对对象的许可权。所有者那么有权决定把许可权授予其他用户。Sybase提供了GRANT和REVOKE命令，以便授予或取消许可权。数据库所有者和系统管理员享有特殊许可权，包括数据库所有者(DatabaseOwner,DBO)对自己所拥有的数据库中的一切对象具有全部许可权；系统管理员(SystemAdministrantion,SA)享有效劳器内的所有数据库的一切对象的许可权。Sybase提供了AuditServer，它是能够全面审计跟踪效劳器上一切活动的工具，在某些情况下，我们难以阻止非法操作的发生，但至少可以监视非法操作，并采取跟踪措施，找出非法执行操作的人。4.3.3数据库平安技术口令保护数据加密数据库加密库外加密：文件加密库内加密：记录加密、字段加密或数据元素加密数据验证：在数据处理过程中对数据的正确性、完整性进行检查验证。数据库的访问控制4.3.4数据库加密技术数据库加密系统的根本要求加密系统的有关问题加密系统的结构1数据库加密系统的根本要求一个良好的数据库加密系统应该满足以下根本要求：字段加密目前，加/解密的粒度是每个记录的字段数据。如果以文件或列为单位进行加密，必然会形成密钥的反复使用，从而降低加密系统的可靠性或者因加解密时间过长而无法使用。只有以记录的字段数据为单位进行加/解密，才能适应数据库操作，同时进行有效的密钥管理并完成“一次一密〞的密码操作。密钥动态管理数据库客体之间隐含着复杂的逻辑关系，一个逻辑结构可能对应着多个数据库物理客体，所以数据库加密不仅密钥量大，而且组织和存储工作比较复杂，需要对密钥实现动态管理。1数据库加密系统的根本要求合理处理数据：包括首先要恰当地处理数据类型，否那么DBMS将会因加密后的数据不符合定义的数据类型而拒绝加载；其次，需要处理数据的存储问题，实现数据库加密后