系統(tǒng)的安全性和保密性設(shè)計(jì)

1、.l 系統(tǒng)的訪問控制技術(shù)8 . 2 訪問控制技術(shù)ISO所定義的5 大安全服務(wù)功能是：認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性和防止否認(rèn)服務(wù)。其中訪問控制服務(wù)在系統(tǒng)安全體系結(jié)構(gòu)中起著不可替代的作用。 訪問控制是通過某種途徑顯式地準(zhǔn)許或限制訪問能力及范圍的一種方法。它是針對(duì)越權(quán)使用資源的防御措施，通過限制對(duì)關(guān)鍵資源的訪問，防止非法用戶的侵入或因?yàn)楹戏ㄓ脩舻牟簧鞑僮鞫斐傻钠茐膹亩ＷC系統(tǒng)資源受控地、合法地被使用。用戶只能在自己的權(quán)限內(nèi)訪問系統(tǒng)資源，不得越權(quán)訪問。訪問控制技術(shù)通常和身份認(rèn)證密切聯(lián)系，但并不能取代身份認(rèn)證，它是建立在身份認(rèn)證的基礎(chǔ)之上的，通俗地說，身份認(rèn)證解決的是你是誰，你是否真的具有你

2、所聲稱的身份”，而訪問控制技術(shù)解決的是你能做什么，你有什么樣的權(quán)限”這個(gè)問題。 訪問控制系統(tǒng)一般包括主體（subject）、客體（object）及安全訪問政策幾個(gè)實(shí)體。訪問控制的目的是：限制主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。8 . 2 . 1 訪問控制的實(shí)現(xiàn)方法訪問控制的常見實(shí)現(xiàn)方法有訪問控制矩陣、訪問能力表、訪問控制表和授權(quán)關(guān)系表等幾種。1 訪問控制矩陣 從數(shù)學(xué)角度看，訪問控制可以表示為一個(gè)矩陣的形式，其中行表示客體（各種資源），列表示主體（通常為用戶），行和列的交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體的訪問權(quán)限（如讀、寫

3、、執(zhí)行、修改、刪除等）。2 訪問能力表 訪問控制矩陣雖然直觀，但并非每個(gè)主體和客體之間都存在著權(quán)限關(guān)系，相反，實(shí)際的系統(tǒng)中雖然可能有很多的主體和客體，但主體和客體之間的權(quán)限關(guān)系可能并不多，這樣就存在著很多空白項(xiàng)。為了減輕系統(tǒng)的開銷與浪費(fèi)，我們從主體（行）出發(fā)，用訪問能力表達(dá)矩陣某一行的信息；也可以從客體（列）出發(fā)，用訪問控制表（Access Control List）表達(dá)矩陣某一列的信息。能力（capacity）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了客體以及主體（訪問者）對(duì)客體的訪問權(quán)限。只有當(dāng)一個(gè)主體對(duì)某個(gè)客體擁有訪問的能力時(shí)，它才能訪問這個(gè)客體。在訪問能力表中，由于它著眼于某一主體的訪問權(quán)限，

4、并以主體為出發(fā)點(diǎn)描述控制信息，所以很容易獲得一個(gè)主體所被授權(quán)可以訪問的客體及其權(quán)限，但如果要求獲得對(duì)某一特定客體有特定權(quán)限的所有主體就比較困難。在一個(gè)安全系統(tǒng)中，正是客體本身需要得到可靠的保護(hù)，訪問控制服務(wù)應(yīng)該能夠控制可訪問某一客體的主體集合，并能夠授予或取消主體的訪問權(quán)限，于是出現(xiàn)了以客體為出發(fā)點(diǎn)的實(shí)現(xiàn)方式 ACL（訪問控制表），現(xiàn)代的操作系統(tǒng)大都采用基于ACL 的方法。3 訪問控制表訪問控制表是目前采用最多的一種實(shí)現(xiàn)方式。它可以對(duì)某一特定資源指定任意一個(gè)用戶的訪問權(quán)限，還可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)，ACL的優(yōu)點(diǎn)在于它的表述直觀、易于理解，而目比較容易查出對(duì)某一特定資源擁有

5、訪問權(quán)限的所有用戶，以便有效實(shí)施授權(quán)管理。在一些實(shí)際應(yīng)用中還對(duì)ACL 進(jìn)行了擴(kuò)展，從而進(jìn)一步控制用戶的合法訪問時(shí)間，是否需要審計(jì)等。盡管ACL靈活方便，但將它應(yīng)用到網(wǎng)絡(luò)規(guī)模較大、需求復(fù)雜的企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，就暴露出了一些問題：1.ACL需對(duì)每個(gè)資源指定可以訪問的用戶或組以及相應(yīng)的權(quán)限。當(dāng)網(wǎng)絡(luò)中資源很多時(shí)，需要在ACL設(shè)定大量的表項(xiàng)。而且，當(dāng)用戶的職位、職責(zé)發(fā)生變化時(shí)，為反映這些變化，管理員需要修改用戶對(duì)所有資源的訪問權(quán)限。另外，在許多組織中，服務(wù)器一般是彼此獨(dú)立的，各自設(shè)置自己的ACL ，為了實(shí)現(xiàn)整個(gè)組織范圍內(nèi)的一致的控制政策，需要各管理部門的密切合作。所有這些，都會(huì)使得訪問控制的授權(quán)管理變得費(fèi)

6、力而繁瑣，且容易出錯(cuò)。2.單純使用ACL ，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策。4 授權(quán)關(guān)系表授權(quán)關(guān)系表彌補(bǔ)了基于ACL 和基于訪問能力表的方法的不足，它的每一行（或稱一個(gè)元組）都表示主體和客體的一個(gè)權(quán)限關(guān)系。如果該表按客體進(jìn)行排序就擁有訪問能力表的優(yōu)勢(shì)，如果按主體進(jìn)行排序就擁有了訪問控制表的好處。這種實(shí)現(xiàn)方式也特別適合采用關(guān)系數(shù)據(jù)庫(kù)。8 . 2 . 2 訪問控制策略自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制是系統(tǒng)中常用的3種訪問控制策略，其中前兩種（DAC 和MAC ）屬于傳統(tǒng)的訪問控制策略。以上每種策略不是絕對(duì)互斥的，我們可以把幾種策略綜合起來應(yīng)用，以獲得更好、更安全的系統(tǒng)保護(hù)效果。

7、當(dāng)使用多重策略的時(shí)候，只有各種策略的交集策略被允許，訪問才被許可。當(dāng)然，在某些場(chǎng)合下，也可能存在著一些沖突，比如被某一策略許可的訪問被另一策略所禁止，這樣就產(chǎn)生了沖突，這種情況需要在管理層通過協(xié)商來協(xié)調(diào)。1 自主訪問控制自主訪問控制（DAC）是目前計(jì)算機(jī)系統(tǒng)中使用最多的訪問控制機(jī)制，它是在確認(rèn)主體身份以及（或）它們所屬組的基礎(chǔ)上對(duì)訪問進(jìn)行限制的一種方法，稱其為自主型是因?yàn)樵贒AC 系統(tǒng)中，一個(gè)擁有一定訪問權(quán)限的主體可以直接或間接地將權(quán)限傳給其他主體。其基本思想是：允許某個(gè)主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。Windows、UNIX系統(tǒng)都采用了自主型的

8、訪問控制技術(shù)。自主訪問控制根據(jù)訪問者的身份和授權(quán)來決定訪問模式，主體訪問者對(duì)訪問的控制有一定的權(quán)利。但正是這種權(quán)利使得信息在移動(dòng)過程中的訪問權(quán)限關(guān)系會(huì)被改變。如用戶A 可以將其對(duì)客體目標(biāo)O 的訪問權(quán)限傳遞給用戶B ，從而使不具備對(duì)0 訪問權(quán)限的B 也可以訪問O ，這樣就很容易產(chǎn)生安全漏洞，所以自主訪問控制的安全級(jí)別很低。2 強(qiáng)制訪問控制強(qiáng)制訪問控制是“強(qiáng)加”給訪問主體的，即系統(tǒng)強(qiáng)制主體服從訪問控制政策。MAC 主要用于多層次安全級(jí)別的軍事應(yīng)用當(dāng)中，它預(yù)先將主體和客體分級(jí)，即定義用戶的可信任級(jí)別及信息的重要程度（安全級(jí)別，比如可以分成絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無密級(jí)等），然后根據(jù)主體和客體的級(jí)別標(biāo)

9、記來決定訪問模式，用戶的訪問必須遵守安全政策劃分的安全級(jí)別以及有關(guān)訪問權(quán)限的設(shè)定。當(dāng)用戶提出訪問請(qǐng)求時(shí)，系統(tǒng)對(duì)主客體兩者進(jìn)行比較以確定訪問是否合法。在典型應(yīng)用中，MAC 的訪問控制關(guān)系可以分為兩種：用上讀下寫來保證數(shù)據(jù)完整性以及利用下讀上寫來保證數(shù)據(jù)的保密性。它們都是通過梯度安全標(biāo)簽來實(shí)現(xiàn)信息的單向流通的。強(qiáng)制訪問控制（MAC）的優(yōu)勢(shì)最主要在于它能阻止“特洛伊木馬”。一個(gè)“特洛伊木馬”是在一個(gè)執(zhí)行某些合法功能的程序中隱藏的代碼，它利用運(yùn)行此程序的主體權(quán)限違反安全策略，通過偽裝成有用的程序在進(jìn)程中泄漏信息。一個(gè)“特洛伊木馬”能夠以直接與非直接泄漏兩種方式泄漏信息。對(duì)于前者，“特洛伊木馬”使信息的

10、安全表示不正確并泄漏給非授權(quán)用戶；對(duì)于后者，“特洛伊木馬”通過編制返回給一個(gè)主體的合法信息中的方式非直接泄露信息，例如，可能表面上某些提問需要回答，而實(shí)際上用戶回答的內(nèi)容被傳送給了“特洛伊木馬”。阻止“特洛伊木馬”的策略是基于非循環(huán)信息流，所以在一個(gè)級(jí)別上讀信息的主體一定不能在另一個(gè)違反非循環(huán)規(guī)則的安全級(jí)別上寫。同樣，在一個(gè)安全級(jí)別上寫信息的主體一定不能在另一個(gè)違反非循環(huán)規(guī)則的安全級(jí)別上讀。由于MAC 策略是通過梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通，因而它可以很好地阻止“特洛伊木馬”的泄密。強(qiáng)制訪問控制（MAC）的主要缺陷在于實(shí)現(xiàn)工作量太大、管理不便、不夠靈活，而且MAC 由于過于偏重保密性，對(duì)其他

11、方面如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等考慮不足。3 基于角色的訪問控制20 世紀(jì)如年代出現(xiàn)的一種基于角色的訪問控制（RBAC）技術(shù)有效地克服了傳統(tǒng)訪問控制技術(shù)的不足，可以減少授權(quán)管理的復(fù)雜性，降低管理開銷，而且還能為管理者提供一個(gè)比較好的安全實(shí)現(xiàn)政策的環(huán)境，從而成為了實(shí)施面向企業(yè)的安全策略的一種有效的訪問控制方式。角色是一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作組合。用戶在一定的部門中具有一定的角色，其所執(zhí)行的操作與其所扮演的角色的職能相匹配，這正是基于角色的訪問控制的基本特征、即依據(jù)RBAC 策略，系統(tǒng)定義了各種角色，每種角色可以完成一定的職能，不同的用戶根據(jù)其職能被賦予相應(yīng)的角色，一旦某個(gè)用戶成

12、為某個(gè)角色的成員，則此用戶可以完成該角色所具有的職能。RBAC 根據(jù)用戶在組織內(nèi)所處的角色進(jìn)行授權(quán)與訪問控制。也就是說，傳統(tǒng)的訪問控制直接將訪問主體（發(fā)出訪問操作、存取要求的主動(dòng)方）和客體（被調(diào)用的程序或欲存取的數(shù)據(jù)訪問）相聯(lián)系，而RBAC在中間加入了角色，通過角色溝通主體與客體。在RBAC 中，用戶標(biāo)識(shí)對(duì)于身份認(rèn)證以及審計(jì)記錄是十分有用的，但真正決定訪問權(quán)限的是用戶對(duì)應(yīng)的角色標(biāo)識(shí)。由于用戶與客體無直接聯(lián)系，他只有通過角色才能享有該角色所對(duì)應(yīng)的權(quán)限，從而訪問相應(yīng)的客體，因此用戶不能自主地將訪問權(quán)限授予別的用戶，這是RBAC與DAC的根本區(qū)別。RBAC 與MAC 的區(qū)別在于：MAC 是基于多級(jí)安

13、全需求的，而RBAC 則不是，因?yàn)檐娪孟到y(tǒng)主要關(guān)心的是防止信息從高安全級(jí)流向低安全級(jí)，即限制“誰可以讀寫什么信息”，而RBAC 的系統(tǒng)主要關(guān)心的是保護(hù)信息的完整性，即“誰可以對(duì)什么信息執(zhí)行何種動(dòng)作”角色控制比較靈活，根據(jù)配制可以使某些角色接近DAC ，而某些角色更接近于MAC。角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，用戶只能被動(dòng)接受，不能自主地決定，用戶也不能自主地將訪問權(quán)限轉(zhuǎn)而賦予他人，這是一種非自主型訪問控制。最后要指出的是角色和組的區(qū)別。組通常僅僅作為用戶的集合，而角色一方面是用戶的集合，另一方面又是權(quán)

14、限的集合，作為中間媒介將用戶和權(quán)限連接起來。當(dāng)然角色可以在組的基礎(chǔ)上實(shí)現(xiàn)，這樣就對(duì)保持原有系統(tǒng)非常有利。此時(shí)角色就成為了一個(gè)策略部件，與組織的授權(quán)、責(zé)任關(guān)系相聯(lián)系，而組成為實(shí)現(xiàn)角色的工具，兩者間是策略與實(shí)現(xiàn)機(jī)制的關(guān)系。l 數(shù)據(jù)的完整性8 . 4 數(shù)據(jù)完整性數(shù)據(jù)完整性要求禁止未經(jīng)授權(quán)的數(shù)據(jù)篡改，它同數(shù)據(jù)機(jī)密性緊密相連，也是更進(jìn)一步的信息安全目標(biāo)。保護(hù)數(shù)據(jù)完整性的方法有很多：可以通過訪問控制的方法阻止數(shù)據(jù)未經(jīng)授權(quán)的篡改；可以通過時(shí)間戳來判斷數(shù)據(jù)最后一次修改的時(shí)間；可以通過數(shù)據(jù)校驗(yàn)或消息摘要的方法來判斷數(shù)據(jù)是否已經(jīng)被篡改。Biba 修改了Bell-Lapadula 模型，針對(duì)數(shù)據(jù)完整性建立了Biba

15、 數(shù)據(jù)完整性模型。本節(jié)首先簡(jiǎn)要介紹Biba模型，然后詳細(xì)介紹報(bào)文摘要算法。8 . 4 . 1 Biba完整性模型Biba模型規(guī)定：( l ）如果主體的安全級(jí)別高于或等于客體的安全級(jí)別，那么主體可以對(duì)該客體寫訪問。( 2 ）如果一個(gè)主體僅可以讀訪問一個(gè)客體。則對(duì)于另外一個(gè)客體p 來說，如果p 的安全級(jí)別低于或等于o的級(jí)別，那么該主體對(duì)于p 可以有寫訪問的權(quán)限。Biha 模型可以概括為：( l ）讀訪問策略同Bell-Lapadula模型一樣：( 2 ）主體不能夠更改安全級(jí)別比它高的客體。這也就保證高級(jí)別客體的完整性。Biba 模型同Bell-Lapadula模型一樣，雖然都可以從理論上證明其安全

16、性，但在實(shí)際應(yīng)用中很難完全滿足模型的要求，所以Biba 模型也僅是一個(gè)理論上的模型。8 . 4 . 2 雜湊函數(shù)與消息摘要所謂雜湊函數(shù)H 是一個(gè)公開的函數(shù)，雜湊函數(shù)可以將任意長(zhǎng)的消息M 映射為較短的、固定長(zhǎng)度的一個(gè)值H(M)，我們稱H(M)為雜湊碼或消息摘要。因?yàn)殡s湊碼是消息中所有比特的函數(shù)，所以雜湊函數(shù)可以提供錯(cuò)誤檢測(cè)的能力，改變消息中任何一個(gè)比特或幾個(gè)比特都會(huì)使雜湊碼發(fā)生改變。這種錯(cuò)誤檢測(cè)方法可以判斷數(shù)據(jù)是否被篡改，從而保護(hù)數(shù)據(jù)的完整性。使用雜湊函數(shù)提供消息認(rèn)證有5 種基本方法：(l）消息與雜湊碼鏈接后使用對(duì)稱加密算法加密，所用密鑰僅為收發(fā)雙方共享。這種方法可以確保接收的消息來源于消息發(fā)送

17、方，且沒有被篡改，同時(shí)這種方法還能夠提供數(shù)據(jù)機(jī)密性保障。(2）用對(duì)稱加密算法僅對(duì)雜湊碼加密。這種方法同（l）類似，有更快的速度但不提供數(shù)據(jù)機(jī)密性保障。(3）采用非對(duì)稱加密算法，使用發(fā)送方的私鑰對(duì)雜湊碼進(jìn)行加密。由于只有發(fā)送方能夠產(chǎn)生這樣的消息，所以這種方法可以提供數(shù)字簽名功能。(4）消息發(fā)送方同時(shí)使用對(duì)稱加密和非對(duì)稱加密兩種算法，在（3）的基礎(chǔ)上使用對(duì)稱密鑰加密消息和使用私鑰變換過的雜湊碼。這種方法同時(shí)提供數(shù)字簽名和數(shù)據(jù)加密的功能。(5）消息收發(fā)雙方共享-特定秘密S，消息發(fā)送方將消息M和秘密S鏈接在一起并產(chǎn)生雜湊值，發(fā)送消息時(shí)僅發(fā)送M和雜湊值。由于發(fā)送過程中不含有S，即使該消息被截獲，由于雜湊

18、值并非僅僅由M產(chǎn)生，而消息截獲者不知道S的內(nèi)容，所以仍然無法篡改消息內(nèi)容。我們可以通過雜湊算法來判斷數(shù)據(jù)是否已經(jīng)被篡改。設(shè)計(jì)巧妙的雜湊函數(shù)可以保證：(l）不同的數(shù)據(jù)幾乎不可能具有相同的摘要。(2）通過消息摘要難以猜測(cè)消息本身。我們可以通過這個(gè)雜湊函數(shù)來為數(shù)據(jù)打上標(biāo)記，如果有人篡改了數(shù)據(jù)，消息摘要就會(huì)變化，新的消息摘要會(huì)與篡改前生成的摘要不同。通過比較摘要是否發(fā)生變化就可以判斷數(shù)據(jù)是否已經(jīng)被篡改。12 . 4 . 2 數(shù)據(jù)庫(kù)的完整性設(shè)計(jì)數(shù)據(jù)庫(kù)完整性是指數(shù)據(jù)庫(kù)中數(shù)據(jù)的正確性和相容性。數(shù)據(jù)庫(kù)完整性由各種各樣的完整性約束來保證，因此可以說數(shù)據(jù)庫(kù)完整性設(shè)計(jì)就是數(shù)據(jù)庫(kù)完整性約束的設(shè)計(jì)。數(shù)據(jù)庫(kù)完整性約束可以

19、通過DBMS或應(yīng)用程序來實(shí)現(xiàn)，基于DBMS的完整性約束作為模式的一部分存入數(shù)據(jù)庫(kù)中。通過DBMS實(shí)現(xiàn)的數(shù)據(jù)庫(kù)完整性按照數(shù)據(jù)庫(kù)設(shè)計(jì)步驟進(jìn)行設(shè)計(jì)，而由應(yīng)用軟件實(shí)現(xiàn)的數(shù)據(jù)庫(kù)完整性則納入應(yīng)用軟件設(shè)計(jì)。1 數(shù)據(jù)庫(kù)完整性設(shè)計(jì)原則在實(shí)施數(shù)據(jù)庫(kù)完整性設(shè)計(jì)時(shí)，需要把握以下基本原則。( l ）根據(jù)數(shù)據(jù)庫(kù)完整性約束的類型確定其實(shí)現(xiàn)的系統(tǒng)層次和方式，并提前考慮對(duì)系統(tǒng)性能的影響。一般情況下，靜態(tài)約束應(yīng)盡量包含在數(shù)據(jù)庫(kù)模式中，而動(dòng)態(tài)約束由應(yīng)用程序?qū)崿F(xiàn)。( 2 ）實(shí)體完整性約束、參照完整性約束是關(guān)系數(shù)據(jù)庫(kù)最重要的完整性約束，在不影響系統(tǒng)關(guān)鍵性能的前提下需盡量應(yīng)用。用一定的時(shí)間和空間來換取系統(tǒng)的易用性是值得的。( 3 ）要慎

20、用目前主流DBMS 都支持的觸發(fā)器功能，一方面由于觸發(fā)器的性能開銷較大；另一方面，觸發(fā)器的多級(jí)觸發(fā)不好控制，容易發(fā)生錯(cuò)誤，非用不可時(shí)，最好使用Before型語句級(jí)觸發(fā)器。( 4 ）在需求分析階段就必須制定完整性約束的命名規(guī)范，盡量使用有意義的英文單詞、縮寫詞、表名、列名及下劃線等組合，使其易于識(shí)別和記憶。如果使用CASE 工具，一般有默認(rèn)的規(guī)則，可在此基礎(chǔ)上修改使用。( 5 ）要根據(jù)業(yè)務(wù)規(guī)則對(duì)數(shù)據(jù)庫(kù)完整性進(jìn)行細(xì)致的測(cè)試，以盡早排除隱含的完整性約束間的沖突和對(duì)性能的影響。( 6 ）要有專職的數(shù)據(jù)庫(kù)設(shè)計(jì)小組，自始至終負(fù)責(zé)數(shù)據(jù)庫(kù)的分析、設(shè)計(jì)、測(cè)試、實(shí)施及早期維護(hù)。數(shù)據(jù)庫(kù)設(shè)計(jì)人員不僅負(fù)責(zé)基于DBMS

21、的數(shù)據(jù)庫(kù)完整性約束的設(shè)計(jì)實(shí)現(xiàn)，還要負(fù)責(zé)對(duì)應(yīng)用軟件實(shí)現(xiàn)的數(shù)據(jù)庫(kù)完整性約束進(jìn)行審核。( 7 ）應(yīng)采用合適的CASE工具來降低數(shù)據(jù)庫(kù)設(shè)計(jì)各階段的工作量。好的CASE 工具能夠支持整個(gè)數(shù)據(jù)庫(kù)的生命周期，這將使數(shù)據(jù)庫(kù)設(shè)計(jì)人員的工作效率得到很大提高，同時(shí)也容易與用戶溝通。2 數(shù)據(jù)庫(kù)完整性的作用數(shù)據(jù)庫(kù)完整性對(duì)于數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)非常關(guān)鍵，其作用主要體現(xiàn)在以下幾個(gè)方面。( 1 ）數(shù)據(jù)庫(kù)完整性約束能夠防止合法用戶使用數(shù)據(jù)庫(kù)時(shí)向數(shù)據(jù)庫(kù)中添加不合語義的數(shù)據(jù)。( 2 ）利用基于DBMS的完整性控制機(jī)制來實(shí)現(xiàn)業(yè)務(wù)規(guī)則，易于定義，容易理解，而且可以降低應(yīng)用程序的復(fù)雜性，提高應(yīng)用程序的運(yùn)行效率。同時(shí)，基于DBMS 的完整性控制

22、機(jī)制是集中管理的，因此比應(yīng)用程序更容易實(shí)現(xiàn)數(shù)據(jù)庫(kù)的完整性。( 3 ）合理的數(shù)據(jù)庫(kù)完整性設(shè)計(jì)，能夠同時(shí)兼顧數(shù)據(jù)庫(kù)的完整性和系統(tǒng)的效能。例如裝載大量數(shù)據(jù)時(shí)，只要在裝載之前臨時(shí)使基于DBMS 的數(shù)據(jù)庫(kù)完整性約束失效，此后再使其生效，就能保證既不影響數(shù)據(jù)裝載的效率又能保證數(shù)據(jù)庫(kù)的完整性。( 4 ）在應(yīng)用軟件的功能測(cè)試中，完善的數(shù)據(jù)庫(kù)完整性有助于盡早發(fā)現(xiàn)應(yīng)用軟件的錯(cuò)誤。( 5 ）數(shù)據(jù)庫(kù)完整性約束可分為6 類：列級(jí)靜態(tài)約束、元組級(jí)靜態(tài)約束、關(guān)系級(jí)靜態(tài)約束、列級(jí)動(dòng)態(tài)約束、元組級(jí)動(dòng)態(tài)約束和關(guān)系級(jí)動(dòng)態(tài)約束。動(dòng)態(tài)約束通常由應(yīng)用軟件來實(shí)現(xiàn)。不同DBMS 支持的數(shù)據(jù)庫(kù)完整性基本相同，Oracle 支持的基于DBMS

23、的完整性約束如所示。3 數(shù)據(jù)庫(kù)完整性設(shè)計(jì)示例一個(gè)好的數(shù)據(jù)庫(kù)完整性設(shè)計(jì)，首先需要在需求分析階段確定要通過數(shù)據(jù)庫(kù)完整性約束實(shí)現(xiàn)的業(yè)務(wù)規(guī)則。然后在充分了解特定DBMS 提供的完整性控制機(jī)制的基礎(chǔ)上，依據(jù)整個(gè)系統(tǒng)的體系結(jié)構(gòu)和性能要求，遵照數(shù)據(jù)庫(kù)設(shè)計(jì)方法和應(yīng)用軟件設(shè)計(jì)方法，合理選擇每個(gè)業(yè)務(wù)規(guī)則的實(shí)現(xiàn)方式。最后，認(rèn)真測(cè)試，排除隱含的約束沖突和性能問題。基于DBMS 的數(shù)據(jù)庫(kù)完整性設(shè)計(jì)大體分為以下幾個(gè)階段。l ）需求分析階段經(jīng)過系統(tǒng)分析員、數(shù)據(jù)庫(kù)分析員和用戶的共同努力，確定系統(tǒng)模型中應(yīng)該包含的對(duì)象，如人事及工資管理系統(tǒng)中的部門、員工和經(jīng)理等，以及各種業(yè)務(wù)規(guī)則。在完成尋找業(yè)務(wù)規(guī)則的工作之后，確定要作為數(shù)據(jù)庫(kù)完

24、整性的業(yè)務(wù)規(guī)則，并對(duì)業(yè)務(wù)規(guī)則進(jìn)行分類。其中作為數(shù)據(jù)庫(kù)模式一部分的完整性設(shè)計(jì)按下面的過程進(jìn)行，而由應(yīng)用軟件來實(shí)現(xiàn)的數(shù)據(jù)庫(kù)完整性設(shè)計(jì)將按照軟件工程的方法進(jìn)行2 ）概念結(jié)構(gòu)設(shè)計(jì)階段概念結(jié)構(gòu)設(shè)計(jì)階段是將依據(jù)需求分析的結(jié)果轉(zhuǎn)換成一個(gè)獨(dú)立于具體DBMS 的概念模型，即實(shí)體關(guān)系圖在概念結(jié)構(gòu)設(shè)計(jì)階段就要開始數(shù)據(jù)庫(kù)完整性設(shè)計(jì)的實(shí)質(zhì)階段，因?yàn)榇穗A段的實(shí)體關(guān)系將在邏輯結(jié)構(gòu)設(shè)計(jì)階段轉(zhuǎn)化為實(shí)體完整性約束和參照完整性約束，到邏輯結(jié)構(gòu)設(shè)計(jì)階段將完成設(shè)計(jì)的主要工作。3 ）邏輯結(jié)構(gòu)設(shè)計(jì)階段此階段就是將概念結(jié)構(gòu)轉(zhuǎn)換為某個(gè)DBMS 所支持的數(shù)據(jù)模型，并對(duì)其進(jìn)行優(yōu)化，包括對(duì)關(guān)系模型的規(guī)范化。此時(shí)，依據(jù)DBMS 提供的完整性約束機(jī)制，

25、對(duì)尚未加入邏輯結(jié)構(gòu)中的完整性約束列表，逐條選擇合適的方式加以實(shí)現(xiàn)。在邏輯結(jié)構(gòu)設(shè)計(jì)階段結(jié)束時(shí)，作為數(shù)據(jù)庫(kù)模式一部分的完整性設(shè)計(jì)也就基本完成了。每種業(yè)務(wù)規(guī)則都可能有好幾種實(shí)現(xiàn)方式，應(yīng)該選擇對(duì)數(shù)據(jù)庫(kù)性能影響最小的一種，有時(shí)需通過實(shí)際測(cè)試來決定。l         數(shù)據(jù)與文件的加密 數(shù)據(jù)加密的基本過程就是對(duì)原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。 該過程的逆過程為解

26、密，即將該編碼信息轉(zhuǎn)化為原來數(shù)據(jù)的過程。     根據(jù)加密原理的不同加密方式可分為對(duì)稱式加密和非對(duì)稱式加密，對(duì)稱式加密就是加密和解密使用同一個(gè)密鑰，通常稱之為“Session Key ”，這種加密技術(shù)目前被廣泛采用；非對(duì)稱式加密就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱為“公鑰”和“私鑰”，它們兩個(gè)必需配對(duì)使用，否則不能打開加密文件，我們所熟悉的EFS加密便屬于此種加密方式。    根據(jù)加密方式不同可以分為軟件加密和硬件加密，軟件加密顧名思義，基于軟件層面的加密，由軟件利用加密算法，對(duì)文件進(jìn)行加密，需

27、要通過加密時(shí)設(shè)置的密碼才可訪問文件，此類加密方式較常見，諸如OFFICE辦公文檔加密，RAR加密等等。而硬件加密則是利用外接的硬件設(shè)備的唯一特征對(duì)數(shù)據(jù)進(jìn)行加密，比如加密狗，指紋加密，虹膜加密等。     根據(jù)加密算法不同，又分為以下多種：DES、3DES、RC2、RC4、IDEA、RS、DSA、AES、BLOWFIS、MD5、SSF33、SSF28、SCB2、ElGamal、Deffie-Hellman、新型橢圓曲線算法ECC等。     對(duì)于一個(gè)加密的數(shù)據(jù)來說，它具體被分為以下三個(gè)部分：數(shù)據(jù)部分、加密算法、密鑰。

28、數(shù)據(jù)部分由于加密已被徹底改變?yōu)椴豢勺x寫的亂碼，當(dāng)然也有極少數(shù)軟件只對(duì)文件入口地址加密而不對(duì)文件本身加密，此部分為解密的主要目的；加密算法則是數(shù)據(jù)加密時(shí)采用的一種算法的一些公式、法則或程序的組合；密鑰則是加密是設(shè)置的口令密碼，或者硬件特征代碼。     根據(jù)以上所述我們可以看出，對(duì)于解密需要做的一是破解密碼，這是最常見的方法，大多數(shù)文件的都采取了對(duì)稱性加密，只有一個(gè)密鑰，這個(gè)密鑰大多會(huì)以暗文的形式存放在文件的某個(gè)位置，利用專門的軟件和直接手工提取這串代碼，而后進(jìn)行專業(yè)破解，破解出的密碼，在絕大多數(shù)情況下是可以解除文件的加密的。  

29、60; 當(dāng)然如果使用了非對(duì)稱加密，那么我們就必須要知道公鑰和私鑰，大多數(shù)情況下非對(duì)稱加密的難度頗高，因?yàn)榇祟惣用艿慕饷苊芪拇娣旁诠€中，而私鑰則是用來從公鑰里配對(duì)提取解密密文的，兩者缺一不可，所以恢復(fù)難度十分大，一般來說如果公鑰丟失多采用重建虛擬公鑰，接著使用私鑰進(jìn)行解密，如果私鑰丟失則利用特殊軟件手工從公鑰中提取解密的密文，但是這兩種方法的成功率并不太高。     至于使用了硬件加密的文件，由于設(shè)備和精力有限，目前看來只有國(guó)外的極少數(shù)專業(yè)團(tuán)體以及國(guó)家級(jí)的安全機(jī)構(gòu)才具備破除此類密碼的能力。     系統(tǒng)密

30、碼加密，此類加密破解難度不大，網(wǎng)上介紹的文章和工具也不少，因?yàn)橄到y(tǒng)的密碼是存放在硬盤上一個(gè)特殊文件中的，只要?jiǎng)h除該文件，絕大數(shù)情況便可以清除掉系統(tǒng)的密碼，但也不排除該文件清除后非法登陸系統(tǒng)的情況。     最后是特殊的硬盤加密，硬盤加密其實(shí)是基于硬盤固件加密的一個(gè)子安全系統(tǒng)，被加密后的硬盤無法正常讀寫，需要使用專業(yè)的軟件才能進(jìn)行解密或者密碼清除的工作。l 通信的安全性8 . 5 通信與網(wǎng)絡(luò)的安全性8 . 5 . 1 網(wǎng)絡(luò)環(huán)境下危及安全的因素在網(wǎng)絡(luò)環(huán)境下可能危及信息安全的因素包括如下幾個(gè)方面。（1）偽裝欺騙：指非法用戶假冒合法用戶身份獲取敏感信息的行為。(

31、2）非法存?。焊`取、篡改或破壞網(wǎng)絡(luò)中存儲(chǔ)的信息。(3）否認(rèn)抵賴：指通信方事后否認(rèn)曾參與某次活動(dòng)的行為。(4）服務(wù)拒絕：指合法用戶的正當(dāng)申請(qǐng)被拒絕、更改或延遲等。(5）截取破譯：指以不正當(dāng)手段獲取門令或密鑰，或者對(duì)加密信息與加密機(jī)制進(jìn)行分析破譯或篡改等。危及路由安全方面的因素包括如下幾個(gè)方面。(1）偵聽竊密：在通信信道中竊聽所傳輸?shù)男畔ⅰ?2）指定路由：非法用戶精心設(shè)計(jì)一些繞過安全機(jī)制的路由或?qū)⑿畔⒄`導(dǎo)向不正常的路由。(3）身份攻擊：指用戶的身份或口令在通信時(shí)被非法截取。(4）截取破壞：非法截取通信過程中的數(shù)據(jù)或者偽造、篡改與破壞信道中傳輸?shù)男畔ⅰ?5）中繼攻擊：非法用戶截取信息后延遲時(shí)間再發(fā)送

32、。(6）阻塞通信：利用網(wǎng)上的軟硬件漏洞，發(fā)送大量無效信息使網(wǎng)絡(luò)過載，或者設(shè)法使一些路徑或網(wǎng)上關(guān)鍵互聯(lián)設(shè)備癱瘓。8 . 5 . 3 通信與網(wǎng)絡(luò)的信息安全技術(shù)1 IP層安全性在TCP/IP網(wǎng)絡(luò)中，IP層實(shí)現(xiàn)的安全技術(shù)通常包括IP過濾技術(shù)和IP加密傳輸信道技術(shù)。其中IP 過濾技術(shù)被路由器和防火墻產(chǎn)品所廣泛采用，是最常見的Internet安全技術(shù)。在IP 加密傳輸信道技術(shù)方面，IETF指定IPSEC 制訂IP 安全協(xié)議（IPSP, IP Security Protocol）和對(duì)應(yīng)的Internet密鑰管理協(xié)議的標(biāo)準(zhǔn)。IPSP的主要目的是使需要安全服務(wù)的用戶能夠使用相應(yīng)的加密安全體制。該體制應(yīng)該是與算法

33、獨(dú)立的，可以自己選擇和替換加密算法而不會(huì)對(duì)應(yīng)用和上層協(xié)議產(chǎn)生任何影響。此外，該體制必須能支持多種安全政策，并且對(duì)其他不使用該體制的用戶完全透明，IPSEC技術(shù)能夠在兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間建立透明的安全加密信道?，F(xiàn)在一些防火墻產(chǎn)品使用AH(Authentication Header，認(rèn)證頭部）或ESP ( Encapsulating Security Payload，安全內(nèi)容封裝）支持IPSEC來實(shí)現(xiàn)IP 層的加密，一些主要的路由器廠商也聲稱支持IPSEC。IP 層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它的最主要的缺點(diǎn)是：IP層一般對(duì)屬于

34、不同進(jìn)程的包不作區(qū)別。對(duì)所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理，這會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)密鑰分配的這些問題，RFC1825推薦使用面向用戶的密鑰分配，其中不同的連接會(huì)得到不同的加密密鑰。但是，面向用戶的密鑰分配需要對(duì)相應(yīng)的操作系統(tǒng)內(nèi)核進(jìn)行比較大的改動(dòng)。IP 層非常適合提供基于主機(jī)的安全服務(wù)。相應(yīng)的安全協(xié)議可以用來在Internet上建立安全的IP 通道和虛擬專用網(wǎng)。例如，利用它對(duì)IP包的加密和解密功能，可以方便快捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。2 傳輸層安全性最常見的傳輸層安全技術(shù)有SSL、SOCKS和安全RPC等。網(wǎng)景公司（Netscape）設(shè)計(jì)的安全套接層（S

35、SL）協(xié)議分為兩層，上面是SSL 協(xié)商層，雙方通過協(xié)商層約定有關(guān)加密的算法、進(jìn)行身份認(rèn)證等；下面是SSL 記錄層，它把上層的數(shù)據(jù)經(jīng)分段、壓縮后加密，由傳輸層傳送出去。SSL 采用公鑰方式進(jìn)行身份認(rèn)證，但是大量數(shù)據(jù)傳輸仍使用對(duì)稱密鑰方式。通過雙方協(xié)商，SSL 可以支持多種身份認(rèn)證、加密和檢驗(yàn)算法。它提供3 類基本的安全服務(wù)：信息加密服務(wù)（在客戶機(jī)與服務(wù)器之間的所有業(yè)務(wù)都使用握手協(xié)議、協(xié)商密鑰與算法進(jìn)行加密）、信息完整性服務(wù)（采用機(jī)密共享與HASH 函數(shù)組確保SSL 業(yè)務(wù)可正常全部到達(dá)目的地）、相互認(rèn)證服務(wù)（采用公開密鑰技術(shù)編碼標(biāo)識(shí)符，使客戶機(jī)與服務(wù)器在SSL握手時(shí)交換各自的標(biāo)識(shí)符以實(shí)現(xiàn)相互認(rèn)證）

36、。傳輸層安全機(jī)制的主要缺點(diǎn)就是對(duì)應(yīng)用層不透明，應(yīng)用程序必須修改以使用SSL 應(yīng)用接口，而且要對(duì)傳輸層建立安全機(jī)制。同時(shí)公鑰體系存在的不方便性SSL 也同樣存在，例如用戶很難記住自己的公鑰和私鑰，必須依靠某些物理設(shè)備如IC 卡或者磁盤來存儲(chǔ)，這樣對(duì)用戶終端就有一定的要求，再有就是服務(wù)方和客戶方必須依賴一個(gè)證書授權(quán)（CA ) 中心來簽發(fā)證書，雙方都必須將CA 的公鑰存放在本地。為了保持Internet 上的通用性目前一般的SSL 協(xié)議實(shí)現(xiàn)只要求服務(wù)器方向客戶方出示證書以證明自己的身份，而不要求用戶方同樣出示證書。在建立起SSL信道后再加密傳輸用戶名和口令以實(shí)現(xiàn)客戶方的身份認(rèn)證。同網(wǎng)絡(luò)層安全機(jī)制相比

37、，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的（而不是主機(jī)對(duì)主機(jī)的）安全服務(wù)和加密傳輸信道，利用公鑰體系進(jìn)行身份認(rèn)證，安全強(qiáng)度高，支持用戶選擇的加密算法。這一成果再加上應(yīng)用級(jí)的安全服務(wù)，就可以提供更加安全可靠的安全性能了。3 應(yīng)用層安全性IP 層和網(wǎng)絡(luò)層（傳輸層）的安全協(xié)議都無法根據(jù)所傳送內(nèi)容不同的安全要求區(qū)別對(duì)待。如果確實(shí)想要區(qū)分每個(gè)具體文件的不同的安全性要求，就必須在應(yīng)用層采用安全機(jī)制。本質(zhì)上，這意味著真正的（或許再加上機(jī)密的）數(shù)據(jù)通道還是建立在主機(jī)（或進(jìn)程）之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)個(gè)具體文件的安全性要求。比如說，如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP 通道

38、，那么兩個(gè)進(jìn)程間傳輸?shù)乃袌?bào)文都會(huì)自動(dòng)被加密。提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。例如，一個(gè)電子郵件系統(tǒng)可能需要對(duì)要發(fā)出的信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名。較低層的協(xié)議提供的安全功能一般不會(huì)知道任何要發(fā)出的信件的段落結(jié)構(gòu)，從而也不可能知道該對(duì)哪一部分進(jìn)行簽名。應(yīng)用層是惟一能夠提供這種安全服務(wù)的層次。4 訪問控制與目錄管理資源的合法使用主要依靠網(wǎng)絡(luò)管理員進(jìn)行必要的訪問控制與目錄管理，用以保證網(wǎng)絡(luò)資源不被非法用戶使用或破壞，也可保證數(shù)據(jù)資源不被非法讀出或改寫。根據(jù)企業(yè)的安全策略，網(wǎng)絡(luò)管理員應(yīng)當(dāng)使用由網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)或相應(yīng)的網(wǎng)絡(luò)安全軟件等提供的手段，進(jìn)一步實(shí)施訪問控制

39、與目錄管理方面的措施。5 數(shù)據(jù)加密隨著密碼技術(shù)的進(jìn)步，現(xiàn)在己發(fā)展了許多種數(shù)據(jù)加密算法與技術(shù)。6 身份驗(yàn)證與鑒別除了對(duì)用戶身份進(jìn)行驗(yàn)證與鑒別，也可以對(duì)信息的真實(shí)可靠性進(jìn)行驗(yàn)證與鑒別，用來解決冒充、抵賴、偽造或篡改等問題，除了標(biāo)識(shí)用戶加口令的機(jī)制外，最常用的是“數(shù)字簽名”技術(shù)：數(shù)字簽名可以采用秘密密鑰或公開密鑰技術(shù)實(shí)現(xiàn)，也可以使用“消息摘要”方式配合實(shí)現(xiàn)。簽名算法可用RSA、DSS數(shù)字簽名標(biāo)準(zhǔn)等?？紤]到身份驗(yàn)證與鑒別時(shí)可能采用相當(dāng)復(fù)雜的算法或技術(shù)，目前已開始流行委托專業(yè)認(rèn)證鑒別機(jī)構(gòu)或公司進(jìn)行身份鑒別與驗(yàn)證，目的是采用更先進(jìn)的技術(shù)做好認(rèn)證與鑒別這一關(guān)鍵性的安全保衛(wèi)工作。RADIUS（遠(yuǎn)程撥入用戶認(rèn)證

40、服務(wù)）是一種管理標(biāo)準(zhǔn)，可為分布式網(wǎng)絡(luò)上的認(rèn)證服務(wù)器提供管理服務(wù)，用來實(shí)現(xiàn)集中管理方式下的用戶認(rèn)證、口令加密、服務(wù)選擇、信息過濾以及賬戶核對(duì)等有關(guān)任務(wù)。一個(gè)單獨(dú)的RADIUS數(shù)據(jù)庫(kù)服務(wù)器可能在多個(gè)網(wǎng)絡(luò)上同時(shí)管理多個(gè)安全系統(tǒng)，其中保存有與網(wǎng)內(nèi)所有用戶有關(guān)的認(rèn)證信息（如存取限制、特定的路由表、數(shù)據(jù)分組過濾規(guī)則或約定、可供核對(duì)的賬戶信息等），可以用來維護(hù)成千上萬個(gè)用戶的信息安全。7 . Kerberos協(xié)議Kerberos是為分布式系統(tǒng)提供的認(rèn)證方案，能為每種服務(wù)提供可信任的第三方認(rèn)證服務(wù)。在Kerberos系統(tǒng)中，只有事先在其中登記過的客戶才可以申請(qǐng)服務(wù)?？蛻粝Ｍ玫侥骋环?wù)，需要向認(rèn)證服務(wù)器申請(qǐng)一

41、張能使用此服務(wù)的入場(chǎng)券（ticket)，然后該客戶把入場(chǎng)券傳給入場(chǎng)券分配服務(wù)器（TGS）實(shí)施入場(chǎng)券的檢查，在得到證實(shí)后才能使用相應(yīng)的服務(wù)。其中加入了個(gè)人身份確認(rèn)機(jī)制以及客戶與服務(wù)器通信中的數(shù)據(jù)加密，通過系統(tǒng)維護(hù)數(shù)據(jù)庫(kù)的方式，保存著客戶、服務(wù)、權(quán)限與密鑰等方面的相應(yīng)信息。8 . 5 . 4 防火墻技術(shù)防火墻不只是一種路由器、主系統(tǒng)或一系列向網(wǎng)絡(luò)提供安全性的系統(tǒng)。防火墻是一種運(yùn)行專門的計(jì)算機(jī)安全軟件（稱為防火墻軟件）的計(jì)算機(jī)系統(tǒng)，即通過軟件與硬件相結(jié)合，在企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的交界處構(gòu)造起的一個(gè)“保護(hù)層”。所有的企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信都必須經(jīng)過此保護(hù)層檢查與連接，只有授權(quán)允許的通信

42、才能獲準(zhǔn)通過保護(hù)層。換句話說，防火墻相當(dāng)于一個(gè)安全網(wǎng)關(guān)，它能在一定意義下阻斷或隔離企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，防止非法的入侵行為或破壞行為。用防火墻可以阻止外界對(duì)內(nèi)部網(wǎng)資源的非法訪問，也可以防止內(nèi)部對(duì)外部的不安全訪問。實(shí)現(xiàn)防火墻的產(chǎn)品主要有兩大類：一類是網(wǎng)絡(luò)級(jí)防火墻，另一類是應(yīng)用級(jí)防火墻。現(xiàn)在的應(yīng)用往往是把這兩種技術(shù)結(jié)合起來。( l ）包過濾技術(shù)。包過濾技術(shù)是防火墻根據(jù)數(shù)據(jù)包中的包頭信息有選擇地實(shí)施允許通過或阻斷。依據(jù)防火墻內(nèi)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的頭部信息，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全

43、策略即過濾規(guī)則的設(shè)計(jì)。一般來說，不保留前后連接信息，利用包過濾技術(shù)很容易實(shí)現(xiàn)允許或禁止訪問。相應(yīng)的防火墻軟件工作在傳輸層與網(wǎng)絡(luò)層。例如，基于特定的Internet服務(wù)的服務(wù)器駐留在特定的端口號(hào)的事實(shí)（如TCP端口23用于提供Telnet服務(wù)），使包過濾器可以通過規(guī)定適當(dāng)?shù)亩丝谔?hào)來達(dá)到阻止或允許特定服務(wù)連接的目的，也可以通過規(guī)定協(xié)議號(hào)，阻止或允許協(xié)議的連接，并可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則。包過濾技術(shù)在防火墻上的應(yīng)用非常廣泛，因?yàn)镃PU 用來處理包過濾的時(shí)間相對(duì)很少，而這種防護(hù)措施對(duì)用戶透明，所以合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺不到它的存在，使用起來很方便：但是因?yàn)榘^濾技術(shù)是在TCP/IP層實(shí)現(xiàn)

44、的，所以包過濾的一個(gè)很大弱點(diǎn)是不能在應(yīng)用層級(jí)別上進(jìn)行過濾，所以防衛(wèi)方式比較單一。現(xiàn)在已經(jīng)有一些在底層重組應(yīng)用層數(shù)據(jù)的技術(shù)，可以對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行檢查，進(jìn)而辨認(rèn)一些入侵活動(dòng)，也收到了很好的防護(hù)效果。包過濾技術(shù)作為防火墻的應(yīng)用有兩類：1.路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外，同時(shí)進(jìn)行包過濾，這是目前較常用的方式。2.在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能。(2）應(yīng)用網(wǎng)關(guān)技術(shù)。目前大多采用代理服務(wù)機(jī)制，即采用一個(gè)網(wǎng)關(guān)來管理應(yīng)用服務(wù)，在其上安裝對(duì)應(yīng)于每種服務(wù)的特殊代碼（代理服務(wù)程序），在此網(wǎng)關(guān)上控制與監(jiān)督各類應(yīng)用層服務(wù)的網(wǎng)絡(luò)連接。比如對(duì)外部用戶（或內(nèi)部用戶）的FTP、TELNET、SMTP等服務(wù)

45、請(qǐng)求，檢查用戶的真實(shí)身份、請(qǐng)求合法性和源目的地的IP 地址等，從而由網(wǎng)關(guān)決定接受還是拒絕該服務(wù)請(qǐng)求，對(duì)于可接受的服務(wù)請(qǐng)求由代理服務(wù)機(jī)制連接內(nèi)部網(wǎng)與外部網(wǎng)。代理服務(wù)程序的配置由企業(yè)網(wǎng)絡(luò)管理員完成。目前常用的應(yīng)用級(jí)防火墻大致上有3 種類型，分別適合于不同規(guī)模的企業(yè)內(nèi)部網(wǎng)：雙穴主機(jī)網(wǎng)關(guān)、屏蔽主機(jī)網(wǎng)關(guān)和屏蔽子網(wǎng)網(wǎng)關(guān)。它們的共同點(diǎn)是需要有一臺(tái)主機(jī)（稱之為堡壘主機(jī)）來負(fù)責(zé)通信登記、信息轉(zhuǎn)發(fā)和控制服務(wù)提供等任務(wù)。 雙穴主機(jī)網(wǎng)關(guān)：由堡壘主機(jī)作為應(yīng)用網(wǎng)關(guān)，其中裝有兩塊網(wǎng)卡分別連接外部互聯(lián)網(wǎng)和受保護(hù)的內(nèi)部網(wǎng)，該主機(jī)運(yùn)行防火墻軟件，具有兩個(gè)IP 地址，并且能隔離內(nèi)部主機(jī)與外部主機(jī)的所有可能連接。 屏蔽主機(jī)網(wǎng)關(guān)：也稱

46、甄別主機(jī)網(wǎng)關(guān)。在外部因特網(wǎng)與被保護(hù)的企業(yè)內(nèi)部網(wǎng)之間插入了堡壘主機(jī)和路由器通常是由IP分組過濾路由器過濾或甄別出可能的不安全連接，再把所有授權(quán)的應(yīng)用服務(wù)連接轉(zhuǎn)向應(yīng)用網(wǎng)關(guān)的代理服務(wù)機(jī)制。 屏蔽子網(wǎng)網(wǎng)關(guān)：也稱甄別子網(wǎng)網(wǎng)關(guān)，適合于較大規(guī)模的網(wǎng)絡(luò)使用。即在外部因特網(wǎng)與被保護(hù)的企業(yè)內(nèi)部網(wǎng)之間插了一個(gè)獨(dú)立的子網(wǎng)，比如在子網(wǎng)中有兩個(gè)路由器和一臺(tái)堡壘主機(jī)（其上運(yùn)行防火墻軟件作為應(yīng)用網(wǎng)關(guān)），內(nèi)部網(wǎng)與外部網(wǎng)一方各有一個(gè)分組過濾路由器，可根據(jù)不同的甄別規(guī)則接受或拒絕網(wǎng)絡(luò)通信，子網(wǎng)中的堡壘主機(jī)（或其他可供共享的服務(wù)器資源）是外部網(wǎng)與內(nèi)部網(wǎng)都可能訪問的唯一系統(tǒng)。防火墻能提供較好的安全性防護(hù)，但也帶來了一些問題，比如：&#

47、183; 堡壘主機(jī)或路由器本身的安全性至關(guān)重要，也可能成為影響網(wǎng)絡(luò)性能的瓶頸。· 防火墻在一定程度上限制了服務(wù)的類型和用戶應(yīng)用的靈活性，有時(shí)會(huì)阻斷一些常用的服務(wù)。· 防火墻難以防止內(nèi)部人員的攻擊，也不能防止從后門進(jìn)入內(nèi)部網(wǎng)的非法訪問（如通過撥號(hào)SLIP / PPP 連接）。對(duì)一些人們不熟悉的應(yīng)用或軟件（包括病毒），防火墻也缺乏防護(hù)的方法。l         系統(tǒng)的安全性設(shè)計(jì)8 . 6 系統(tǒng)安全管理與安全工程8 . 6 . 1 安全管理的必要性各類安全技術(shù)和產(chǎn)品（如防火墻、安全審計(jì)、入侵檢測(cè)、病毒

48、防治、數(shù)據(jù)加密、漏洞掃描、身份認(rèn)證、訪問控制等）在計(jì)算機(jī)應(yīng)用系統(tǒng)中逐步得到應(yīng)用，并且在不斷得到豐富和完善，但僅通過技術(shù)手段獲得的安全能力是有限的，主要體現(xiàn)在以一下3個(gè)方面。(l）許多安全技術(shù)和產(chǎn)品遠(yuǎn)沒有達(dá)到人們需要的水準(zhǔn)。例如UNIX、Windows NT等常見的企業(yè)級(jí)操作系統(tǒng)，大都只達(dá)到了美國(guó)國(guó)防部TCSEC C2級(jí)安全認(rèn)證，而且核心技術(shù)和知識(shí)產(chǎn)權(quán)都掌握在外國(guó)人手里，不能滿足國(guó)家涉密信息系統(tǒng)或商業(yè)敏感信息系統(tǒng)的需求。再如，在計(jì)算機(jī)病毒與病毒防治軟件的對(duì)抗過程中，經(jīng)常是在新的計(jì)算機(jī)病毒出現(xiàn)并已經(jīng)造成大量損失后，才開發(fā)出查殺該病毒的軟件，也就是說，技術(shù)往往落后于新風(fēng)險(xiǎn)的出現(xiàn)。(2）即使某些安全技

49、術(shù)和產(chǎn)品在指標(biāo)上達(dá)到了實(shí)際應(yīng)用的某些安全需求，如果配置和管理不當(dāng)，還是不能真正滿足安全需求。例如，由于風(fēng)險(xiǎn)分析欠缺、安全策略不明或是系統(tǒng)管理人員培訓(xùn)不足等原因，雖然在網(wǎng)絡(luò)邊界設(shè)置了防火墻，但如果防火墻的配置出現(xiàn)嚴(yán)重漏洞，其安全功效也將會(huì)大打折扣。( 3 ）目前大部分單個(gè)的網(wǎng)絡(luò)安全管理工具比較分散，各項(xiàng)安全功能需要分別進(jìn)行配置，不同的管理工具之間缺乏連通性。例如，防火墻設(shè)備需要用廠商提供的專用配置管理軟件進(jìn)行管理，IDS系統(tǒng)要采用廠商的控制端軟件實(shí)現(xiàn)系統(tǒng)狀態(tài)監(jiān)控，身份驗(yàn)證系統(tǒng)需要采用相應(yīng)的控制中心進(jìn)行管理。管理員如果要實(shí)現(xiàn)整體安全策略還需要對(duì)不同的設(shè)備分別進(jìn)行設(shè)置，并根據(jù)不同設(shè)備的日志和報(bào)警信息

50、進(jìn)行管理，難度較大，特別是當(dāng)全局安全策略需要進(jìn)行調(diào)整時(shí)，很難考慮周全和實(shí)現(xiàn)全局的一致性。傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)所支持的協(xié)議大多以SNMP為主，因而存在下面的一些問題：( l ）很多的安全設(shè)備、安全設(shè)施，并不支持SNMP 協(xié)議。( 2 ）多數(shù)安全設(shè)備、安全設(shè)施并不存在管理信息庫(kù)MIB，或者說并不存在這樣的標(biāo)準(zhǔn)。( 3 ) SNMP協(xié)議本身并不適合大數(shù)據(jù)量的傳輸，很多安全事件、日志等安全信息不適合用SNMP 來傳送。( 4 ) SNMP 不支持聯(lián)動(dòng)和協(xié)同特性，而這一點(diǎn)隨著網(wǎng)絡(luò)的日趨復(fù)雜而顯得更加重要。特別是最后一點(diǎn)，在各類安全技術(shù)與產(chǎn)品逐步走向成熟的同時(shí)，在系統(tǒng)建設(shè)時(shí)就必須考慮各種安全產(chǎn)品、安全技術(shù)之

51、間的協(xié)作與聯(lián)動(dòng)，使得安全技術(shù)與產(chǎn)品能夠形成一個(gè)有機(jī)的整體。安全管理系統(tǒng)。在現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)中加入計(jì)算機(jī)全面安全管理職能單元的必要性在于：( 1 ）實(shí)現(xiàn)各類計(jì)算機(jī)安全技術(shù)、產(chǎn)品之間的協(xié)作與聯(lián)動(dòng)，實(shí)現(xiàn)有機(jī)化。( 2 ）充分發(fā)揮各類安全技術(shù)和產(chǎn)品的功能，大幅度提高整體安全能力。( 3 ）實(shí)現(xiàn)計(jì)算機(jī)安全手段與現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的一體化。( 4 ）使全網(wǎng)安全事件的準(zhǔn)確定位以及全網(wǎng)安全策略的制定成為可能。8 . 6 . 2 系統(tǒng)安全管理我國(guó)的信息安全標(biāo)準(zhǔn)化工作也得到了相關(guān)部門的重視。目前，該委員會(huì)已正式成立了以下4個(gè)工作組。（1）信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WGI)：研究信息安全標(biāo)準(zhǔn)體系；跟

52、蹤國(guó)際信息安全標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)；研究、分析國(guó)內(nèi)信息安全標(biāo)準(zhǔn)的應(yīng)用需求；研究并提出新工作項(xiàng)目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項(xiàng)目。(2) PKI/PMI 工作組（WG4)：國(guó)內(nèi)外PKFPMI 標(biāo)準(zhǔn)體系的分析；研究PKI/PMI 標(biāo)準(zhǔn)體系；國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研；完成一批PKI/PMI基礎(chǔ)性標(biāo)準(zhǔn)的制定工作。(3）信息安全評(píng)估工作組（WG5) ：調(diào)研國(guó)內(nèi)外測(cè)評(píng)標(biāo)準(zhǔn)的現(xiàn)狀與發(fā)展趨勢(shì)；研究提出我國(guó)統(tǒng)一測(cè)評(píng)標(biāo)準(zhǔn)體系的思路和框架；研究提出信息系統(tǒng)和網(wǎng)絡(luò)的安全測(cè)評(píng)標(biāo)準(zhǔn)思路和框架；研究提出急需的測(cè)評(píng)標(biāo)準(zhǔn)項(xiàng)目和制定計(jì)劃。(4）信息安全管理工作組（WG7）：信息安全管理標(biāo)準(zhǔn)體系的研究；國(guó)內(nèi)急用的標(biāo)準(zhǔn)調(diào)研；完成一批信息安全

53、管理相關(guān)基礎(chǔ)性標(biāo)準(zhǔn)的制定工作。2 安全管理模型安全管理的最終目標(biāo)是將系統(tǒng)（即管理對(duì)象）的安全風(fēng)險(xiǎn)降低到用戶可接受的程度，保證系統(tǒng)的安全運(yùn)行和使用。風(fēng)險(xiǎn)的識(shí)別與評(píng)估是安全管理的基礎(chǔ)，風(fēng)險(xiǎn)的控制是安全管理的目的，從這個(gè)意義上講，安全管理實(shí)際上是風(fēng)險(xiǎn)管理的過程。安全問題是動(dòng)態(tài)的，是隨著新的風(fēng)險(xiǎn)和系統(tǒng)的安全需求的不斷變化而變化的。因此，安全管理應(yīng)該是一個(gè)不斷改進(jìn)的持續(xù)發(fā)展過程。安全管理模型遵循管理的一般循環(huán)模式，即計(jì)劃、執(zhí)行、檢查和行動(dòng)的持續(xù)改進(jìn)模式，簡(jiǎn)稱PDCA模式。每一次的安全管理活動(dòng)循環(huán)都是在已有的安全管理策略指導(dǎo)下進(jìn)行的，每次循環(huán)都會(huì)通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動(dòng)予以改進(jìn)，從而形成了安

54、全管理策略和活動(dòng)的螺旋式提升。計(jì)算機(jī)信息系統(tǒng)安全管理也遵循PDCA 持續(xù)改進(jìn)模式。安全管理策略包括管理的任務(wù)、目標(biāo)、對(duì)象、原則、程序和方法。安全管理活動(dòng)包括制定計(jì)劃、建立機(jī)構(gòu)、落實(shí)政策、開展培訓(xùn)、檢查效果和實(shí)施改進(jìn)等，簡(jiǎn)要說明如下。( l ）制定計(jì)劃：制定信息安全管理的具體實(shí)施、運(yùn)行和維護(hù)計(jì)劃。( 2 ）建立機(jī)構(gòu)：建立相應(yīng)的安全管理機(jī)構(gòu)。( 3 ）落實(shí)措施：選擇適當(dāng)?shù)陌踩夹g(shù)和產(chǎn)品并實(shí)施。( 4 ）開展培訓(xùn)：對(duì)所有相關(guān)人員進(jìn)行必要的安全教育和培訓(xùn)。( 5 ）檢查效果：對(duì)所構(gòu)建的信息安全管理體系進(jìn)行綜合性檢查。( 6 ）實(shí)施改進(jìn)：對(duì)檢查結(jié)果進(jìn)行評(píng)審，評(píng)價(jià)現(xiàn)有信息安全管理體系的有效性，針對(duì)存在的問

55、題采取改進(jìn)措施。3 安全管理策略系統(tǒng)的安全管理策略應(yīng)包括系統(tǒng)安全管理的任務(wù)、目標(biāo)、對(duì)象、原則、程序和方法等內(nèi)容。( l ）安全管理的任務(wù)信息系統(tǒng)安全管理的任務(wù)是保證信息的使用和信息載體的運(yùn)行安全。信息的使用安全是通過實(shí)現(xiàn)信息的機(jī)密性、完整性和可用性這些安全屬性來保證的。信息載體包括處理載體、傳輸載體、存儲(chǔ)載體和輸出載體。其運(yùn)行安全就是指計(jì)算系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、存儲(chǔ)系統(tǒng)和外設(shè)系統(tǒng)能夠安全地運(yùn)行。( 2 ）安全管理的目標(biāo)信息安全管理的目標(biāo)是達(dá)到信息系統(tǒng)所需的安全級(jí)別，將風(fēng)險(xiǎn)控制在用戶可接受的程度。( 3 ）安全管理的對(duì)象信息系統(tǒng)安全管理的對(duì)象從內(nèi)涵上講是指信息及其載體 信息系統(tǒng)，從外延上說其范圍由實(shí)際

56、應(yīng)用環(huán)境來界定。( 4 ）安全管理的原則信息系統(tǒng)安全管理遵循如下基本原則: · 策略指導(dǎo)原則：所有的信息系統(tǒng)安全管理活動(dòng)都應(yīng)該在統(tǒng)一的策略指導(dǎo)下進(jìn)行。· 風(fēng)險(xiǎn)評(píng)估原則：信息系統(tǒng)安全管理策略的制定要依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果。·預(yù)防為主原則：在信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、采購(gòu)、集成和安裝中要同步考慮信息安全問題，不可心存僥幸或事后彌補(bǔ)。· 適度安全原則：要平衡安全控制的費(fèi)用與風(fēng)險(xiǎn)危害的損失，注重實(shí)效，將風(fēng)險(xiǎn)降至用戶可接受的程度即可，沒有必要追求絕對(duì)的、高昂代價(jià)的安全，實(shí)際上也沒有絕對(duì)的安全。· 立足國(guó)內(nèi)原則：考慮到國(guó)家安全和經(jīng)濟(jì)利益，安全技術(shù)和產(chǎn)品首先要立足國(guó)

57、內(nèi)，不能未經(jīng)許可、未經(jīng)消化改造直接使用境外的安全保密技術(shù)和產(chǎn)品設(shè)備，信息安全方面的關(guān)鍵技術(shù)和核心技術(shù)尤其如此。· 成熟技術(shù)原則：盡量選用成熟的技術(shù)，以得到可靠的安全保證。采用新技術(shù)時(shí)要慎重，要重視技術(shù)的成熟程度。·規(guī)范標(biāo)準(zhǔn)原則：安全系統(tǒng)要遵循統(tǒng)一的操作規(guī)范和技術(shù)標(biāo)準(zhǔn)，以保證互連通性和互操作性，否則，就會(huì)形成一個(gè)個(gè)安全孤島，沒有整體安全可言。·均衡防護(hù)原則：安全防護(hù)如同木桶裝水。一方面，只要木桶的木板有一塊壞板，水就會(huì)從里面泄漏出來；另一方面，木桶中的水只和最低一塊木板看齊，其他木板再高也沒有用。所以，安全防護(hù)措施要注意均衡性，注意是否存在薄弱環(huán)節(jié)或漏洞。·

58、; 分權(quán)制衡原則：關(guān)鍵部位的管理權(quán)限不應(yīng)交給一個(gè)人管理，否則，一旦出現(xiàn)問題將全線崩潰分權(quán)可以相互制約，提高安全性。·全體參與原則：安全問題不只是安全管理人員的事情，全體相關(guān)人員都有責(zé)任。如果安全管理人員制定的安全制度和措施得不到相關(guān)人員的切實(shí)執(zhí)行，安全隱患依然存在，安全問題就無法得到真正解決。· 應(yīng)急恢復(fù)原則：安全管理要有應(yīng)急響應(yīng)預(yù)案，并且要執(zhí)行必要的演練，一旦出現(xiàn)問題就能夠馬上采取應(yīng)急措施，阻止風(fēng)險(xiǎn)的蔓延和惡化，將損失降低到最低程度。此外，要在災(zāi)難不能同時(shí)波及的地區(qū)設(shè)立備份中心，保持備份中心與全系統(tǒng)數(shù)據(jù)的一致性。一旦主系統(tǒng)遇到災(zāi)難而癱瘓，便可立即啟動(dòng)備份系統(tǒng)，使系統(tǒng)從災(zāi)難

59、中恢復(fù)，從而保證系統(tǒng)的連續(xù)工作。· 持續(xù)發(fā)展原則：為了應(yīng)對(duì)新的風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)要實(shí)施動(dòng)態(tài)管理。因此，要求安全系統(tǒng)具有延續(xù)性、可擴(kuò)充性，并能夠持續(xù)改進(jìn)，始終將風(fēng)險(xiǎn)控制在用戶可接受的水平。( 5 ）安全管理的程序信息系統(tǒng)安全管理的程序遵循PDCA 循環(huán)模式的4 大基本步驟介紹如下。 計(jì)劃（Plan ) ：制定工作計(jì)劃，明確責(zé)任分工，安排工作進(jìn)度，突出工作重點(diǎn)，形成工作文件。 執(zhí)行（Do )：按照計(jì)劃展開各項(xiàng)工作，包括建立權(quán)威的安全機(jī)構(gòu)，落實(shí)必要的安全措施，開展全員安全培訓(xùn)等。 檢查（Check)：對(duì)上述工作所構(gòu)建的信息安全管理體系進(jìn)行符合性檢查，包括是否符合法律法規(guī)的要求，是否符合安全管理的原則，是否符合安全技術(shù)的標(biāo)