第6章-信息系統(tǒng)安全與保密技術(shù)-網(wǎng)絡(luò)10

第六章信息系統(tǒng)平安與保密技術(shù)

一.根本要求與根本知識點〔1〕掌握操作系統(tǒng)平安技術(shù)；〔2〕理解WindowsNT/2000平安；〔3〕掌握數(shù)據(jù)庫平安技術(shù)；〔4〕理解SQLServer的平安。二.教學(xué)重點與難點〔1〕操作系統(tǒng)平安與保密；〔2〕WindowsNT/2000平安模型；〔3〕數(shù)據(jù)庫平安與保密；〔4〕SQLServer的平安體系。參考資料：?計算機網(wǎng)絡(luò)平安?鄧亞平，人民郵電出版社，2004年9月；16.1操作系統(tǒng)平安技術(shù)

6.1.1平安操作系統(tǒng)的開展?fàn)顩r操作系統(tǒng)是計算機系統(tǒng)的重要系統(tǒng)軟件，它能夠?qū)τ嬎銠C的硬件和軟件資源實行統(tǒng)一的管理和控制。各種計算機應(yīng)用軟件均運行在操作系統(tǒng)提供的系統(tǒng)平臺之上，它們通過操作系統(tǒng)完成對系統(tǒng)中信息的存取和處理。因此可以說操作系統(tǒng)的平安是整個計算機系統(tǒng)平安的根底，一旦操作系統(tǒng)的防御被突破，整個計算機系統(tǒng)將會受到根本威脅。2早在20世紀(jì)60年代，平安操作系統(tǒng)的研究就引起了研究機構(gòu)〔尤其是方〕的重視，至今人們已經(jīng)在這個領(lǐng)域付出了幾十年的努力，開展了大量的工作，取得了豐碩的成果。主要有：〔1〕世界第一個平安操作系統(tǒng)是Adept-50，這是一個分時系統(tǒng)，可以實際投入使用，運行于IBM/360硬件平臺，它以一個形式化的平安模型----高水標(biāo)模型為根底，實現(xiàn)了的一個事平安系統(tǒng)模型，為給定的平安問題提供了一個比較形式化的解決方案。3〔2〕1965年，貝爾實驗室和麻省理工學(xué)院的MAC課題組等一起聯(lián)合開發(fā)一個稱為Multics的新操作系統(tǒng)，其目標(biāo)是向大的用戶團(tuán)體提供對計算機的同時訪問，支持強大的計算能力和數(shù)據(jù)存儲，并具有很高的平安性。 由于Multics設(shè)計的復(fù)雜性和理想性，結(jié)果未能到達(dá)預(yù)期目標(biāo)。雖然Multics未能成功，但它在平安操作系統(tǒng)的研究方面邁出了重要的一步，為后來的平安操作系統(tǒng)研究積累了大量經(jīng)驗。4〔3〕KSOS〔KernelizedSecureOperatingSystem〕是國防部研究方案局1977年發(fā)起的一個平安操作系統(tǒng)研制工程，目標(biāo)是為PDP-11/70機器開發(fā)一個可投放市場的平安操作系統(tǒng)，系統(tǒng)的要求如下：①與貝爾實驗室的UNIX操作系統(tǒng)兼容；②實現(xiàn)多級平安性和完整性；③正確性可以被證明。5〔4〕1983年，國防部公布了歷史上第一個計算機平安評價標(biāo)準(zhǔn)----?可信計算機系統(tǒng)評價準(zhǔn)那么?，簡稱TCSEC，因其封面為橘黃色而被稱為橘皮書。1985年，國防部對TCSEC進(jìn)行修訂。 TCSEC為計算機系統(tǒng)的可信程度劃分和評價提供了準(zhǔn)那么，將平安操作系統(tǒng)研究帶入了一個新階段。6〔5〕OSF/1是開放軟件基金會于1990年推出的一個平安操作系統(tǒng)，被國家計算機平安中心〔NCSC〕認(rèn)可為符合TCSEC的B1級，其主要平安性表現(xiàn)如下：①系統(tǒng)標(biāo)識；②口令管理；③強制存取控制和自主存取控制；④審計。7〔6〕UNIXSVR4.1ES是UI〔UNIX國際組織〕于1991年推出的一個平安操作系統(tǒng)，被國家計算機平安中心〔NCSC〕認(rèn)可為符合TCSEC的B2級，除OSF/1外的平安性主要表現(xiàn)如下：①更全面的存取控制；②更小的特權(quán)管理；③可信通路；④隱蔽通道分析和處理。8〔7〕1997年平安計算公司〔SCC〕和國家平安局〔NSA〕完成了DTOS〔DistributedTrustedOperatingSystem〕平安操作系統(tǒng)。DTOS原型系統(tǒng)以Mach為根底，具有以下設(shè)計目標(biāo)。①政策靈活性；②Mach兼容性；③DTOS內(nèi)核的性能應(yīng)該與Mach內(nèi)核的性能相近。在平安操作系統(tǒng)的研究方面，我國研究起步比較晚，近幾年開展了一系列平安操作系統(tǒng)的研制工作，通過完成有關(guān)工程，開發(fā)出多種平安操作系統(tǒng)。96.1.2平安操作系統(tǒng)的設(shè)計操作系統(tǒng)由于其在整個計算機系統(tǒng)中的地位和作用，要設(shè)計高度平安性的操作系統(tǒng)非常難。操作系統(tǒng)功能復(fù)雜，事務(wù)繁忙，要控制和管理系統(tǒng)中數(shù)據(jù)的存取、程序運行和外部設(shè)備的工作等，同時還不得不承擔(dān)起整個計算機系統(tǒng)的平安保護(hù)責(zé)任，這就使得操作系統(tǒng)的設(shè)計具有很大的難度。具有高度平安性的操作系統(tǒng)的設(shè)計，首先考慮標(biāo)準(zhǔn)通用操作系統(tǒng)的根本設(shè)計原那么，然后考慮隔離，正是通過隔離同時支持用戶域的共享和分割，接下來考察操作系統(tǒng)的“內(nèi)核〞設(shè)計方法，這是提供平安性的有效途徑，最后考慮分層結(jié)構(gòu)設(shè)計。以下分別介紹平安操作系統(tǒng)設(shè)計時，需要遵循一個根本原那么和三個性質(zhì)。101、平安操作系統(tǒng)設(shè)計的原那么薩爾哲〔Saltzer〕和史克羅德〔Sroder〕提出平安操作系統(tǒng)設(shè)計的根本原那么：〔1〕最小特權(quán)，每個用戶和程序使用盡可能少的特權(quán)，以使有意或無意的攻擊所造成的損失到達(dá)最低程度；〔2〕經(jīng)濟(jì)性，設(shè)計的操作系統(tǒng)應(yīng)盡可能地小和簡單，以便于驗證和正確執(zhí)行。目前操作系統(tǒng)不能保證平安的主要原因是它的規(guī)模太大，以至于超出了理解的范圍，并且使操作系統(tǒng)永遠(yuǎn)存在尚未糾正的錯誤的原因?！?〕開放設(shè)計，保護(hù)機制應(yīng)當(dāng)是公開的，經(jīng)受住廣泛的公開審查。11〔4〕完備的存取控制機制，對每個存取訪問，系統(tǒng)都必須進(jìn)行檢查控制。

〔5〕基于“允許〞，標(biāo)示的資源應(yīng)該是“允許存取〞的，而未標(biāo)示的資源是“不允許存取〞的。缺省條件是“不允許存取〞的?！?〕權(quán)限別離。理想情況下，對實體的存取應(yīng)該依賴多個條件，如用戶身份鑒別加上密鑰?！?〕防止信息流的潛在通道，可共享實體提供了信息流的潛在通道。系統(tǒng)設(shè)計時應(yīng)采取物理或邏輯別離的方法，防止這種潛在通道。〔8〕方便使用，存取控制機制方便使用。如不影響遵守規(guī)那么的用戶；便于用戶授權(quán)存?。槐阌谟脩艏s束存取。122、隔離設(shè)計隔離是指采用一定的措施，使系統(tǒng)某一局部的故障不影響其它的局部。設(shè)計思想是把一個大系統(tǒng)分割成假設(shè)干個互不相交的小系統(tǒng)，對一個任務(wù)來講，由幾個獨立的小系統(tǒng)各自獨立的完成自己的任務(wù)，且每兩局部之間都有“保護(hù)林〞，將錯誤或故障限制在盡可能小的范圍，使之造成的損失最小?！?〕物理隔離，各進(jìn)程使用不同的硬件設(shè)備。如敏感的計算任務(wù)在指定的系統(tǒng)中執(zhí)行，非敏感的計算任務(wù)在開發(fā)系統(tǒng)中執(zhí)行；〔2〕時間隔離，不同的時間運行不同的進(jìn)程。如事系統(tǒng)在八點到中午之間執(zhí)行非敏感任務(wù)，只在中午到下午五點執(zhí)行敏感任務(wù)；〔3〕密碼隔離，將加密技術(shù)用于隔離，使未授權(quán)用戶〔沒有密碼〕不能讀取敏感數(shù)據(jù)；〔4〕邏輯隔離，將一個用戶的對象與其他用戶的對象分割開來。133、核心設(shè)計核又稱為核心，是操作系統(tǒng)中完成最低級功能的局部。在標(biāo)準(zhǔn)的操作系統(tǒng)設(shè)計中，完成許多功能，如同步進(jìn)程通訊、信息傳遞及中斷處理等。平安核心負(fù)責(zé)完成整個操作系統(tǒng)的平安機制。平安核心在硬件、操作系統(tǒng)和計算機系統(tǒng)的其它局部間提供平安接口，如圖6-1所示。圖6-1平安操作系統(tǒng)的一般結(jié)構(gòu)14平安核心的實現(xiàn)可能降低系統(tǒng)性能。因為平安核心在用戶程序和操作系統(tǒng)資源之間增加了一道接口。平安核心的設(shè)計和用途在一定程度上取決于設(shè)計策略，一個平安核心可以當(dāng)做額外的操作系統(tǒng)，也可以作為整個操作系統(tǒng)的一局部進(jìn)行設(shè)計。一般平安核心包括在操作系統(tǒng)核內(nèi)。154、層結(jié)構(gòu)設(shè)計一個核化的操作系統(tǒng)至少由四層組成：硬件、核心、操作系統(tǒng)的其它局部和用戶。其中每一層本身可能包含一些子層?？梢杂梢幌盗型沫h(huán)來描述平安操作系統(tǒng)，其中在最內(nèi)層進(jìn)行最敏感的操作，一個過程的可信性和存取權(quán)由到中心的接近程度來決定，越可信的過程越接近中心，這樣的系統(tǒng)可用圖6-2表示。16圖6-2不同層次上的模塊操作

層次設(shè)計策略被認(rèn)為是一種較好的操作系統(tǒng)設(shè)計策略。每一層都可以調(diào)用更中心層的效勞，并為外層提供一定的效勞。這樣即使剝?nèi)ヒ粚?，仍然是一個完整的系統(tǒng)，只是功能上有所減少。176.1.3操作系統(tǒng)的平安效勞操作系統(tǒng)的平安機制主要表達(dá)在身份認(rèn)證和訪問控制兩個方面。身份認(rèn)證是要保護(hù)合法的用戶使用系統(tǒng)，防止非法侵入。訪問控制是要保證授權(quán)和受控的訪問、使用系統(tǒng)資源。一般而言，訪問控制效勞和身份認(rèn)證效勞是緊密結(jié)合在一起的：一個用戶或用戶的進(jìn)程在訪問系統(tǒng)資源之前，必須要經(jīng)過正確的身份認(rèn)證，然后再根據(jù)自己的授權(quán)情況，受控制地使用系統(tǒng)資源。181、用戶管理的平安性 〔1〕身份認(rèn)證機制身份認(rèn)證機制必須是強有力的，即在用戶登錄時，與系統(tǒng)的交互過程必須有平安保護(hù)。身份認(rèn)證是對用戶身份的識別和驗證，通常采用賬號/口令的方式。用戶賬號必須是唯一的，系統(tǒng)依據(jù)用戶賬號識別出用戶之后，還需通過口令對其進(jìn)行驗證，驗證其是否為真實用戶。用戶賬號和口令是同時使用的，但二者的使用是不同的，用戶賬號是公開的，用于對用戶的識別，而口令是保密的，用于驗證用戶的真?zhèn)巍?9 〔2〕用戶口令的加密機制用戶口令的加密算法必須有足夠的平安強度，用戶的口令存放必須平安，不能被輕易竊取。 〔3〕用戶的賬號管理通常對用戶賬號進(jìn)行分組管理，并且這種分組管理應(yīng)該針對平安性問題而考慮的分組。也即應(yīng)當(dāng)根據(jù)不同的平安級別將用戶分成假設(shè)干等級，每一等級的用戶只能訪問與其等級相應(yīng)的系統(tǒng)資源和數(shù)據(jù)，執(zhí)行指定范圍內(nèi)的程序。202、訪問控制經(jīng)過計算機系統(tǒng)身份驗證之后，合法的用戶進(jìn)入系統(tǒng)，但并不意味著它具有對系統(tǒng)所有資源的訪問權(quán)限。還需要通過訪問控制，根據(jù)一定的原那么對合法用戶的訪問權(quán)限進(jìn)行控制，以決定用戶可以訪問哪些資源，以及以什么樣的方式訪問資源。21訪問控制系統(tǒng)一般包括以下幾個實體。主體〔Subject〕：發(fā)出訪問操作，是存取要求的主動方。通?？梢允怯脩簟⑦M(jìn)程和設(shè)備等。客體〔Object〕：被訪問的對象，是訪問需要進(jìn)行控制的資源。通?？梢允潜徽{(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。平安訪問政策：它是一套規(guī)那么，用以確定一個主體是否對客體擁有訪問的能力。由此，訪問控制的目的是：限制主體對客體的訪問權(quán)限，從而使計算機系統(tǒng)的資源在合法范圍內(nèi)被使用。22訪問控制常用的實現(xiàn)方法主要有：〔1〕訪問控制表〔AccessControlList〕一個對象有一個表，用來指出主體對對象的訪問權(quán)限。還可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)。訪問控制表ACL是目前采用最多的一種方式，如圖6-3所示。23圖6-3訪問控制列表24〔2〕訪問控制矩陣〔AccessMatrix〕用一個矩陣的形式表示訪問控制，行表示主體，列表示客體，行列交叉點表示某個主體對某個客體的訪問權(quán)限。如表6.1所示：表6.1訪問控制矩陣 〔其中R---讀，W---寫，X---執(zhí)行，Own---擁有〕25〔3〕授權(quán)關(guān)系表AuthorizationRelationsList〕用每一行〔或稱為一個元組〕表示主體和客體的一個權(quán)限關(guān)系，如表6.2所示。授權(quán)關(guān)系表可以實現(xiàn)最小化權(quán)限原那么及復(fù)雜的平安策略。26表6.2授權(quán)關(guān)系表

27在訪問控制策略方面，計算機系統(tǒng)常采用以下兩種策略?！?〕自主訪問控制〔DiscretionaryAccessControl，DAC〕自主訪問控制是一種最為普遍的訪問控制手段，是指對某個客體具有擁有權(quán)的主體能夠?qū)υ摽腕w的一種訪問權(quán)或多種訪問權(quán)自主的授予其他主體，并在隨后的任何時刻將這些權(quán)限收回。這種控制是自主的，是一種比較寬松的訪問控制。Windows、UNIX操作系統(tǒng)都采用了自主訪問控制策略。28〔2〕強制訪問控制〔MandatoryAccessControl，MAC〕強制訪問控制是“加強〞給訪問主體的，即系統(tǒng)強制主體服從事先制定的訪問控制規(guī)那么，這種策略是強制性規(guī)定的，用戶或用戶的程序不能加以修改。如果系統(tǒng)認(rèn)為某用戶不適合訪問某個文件，那么任何人〔包括文件擁有者〕都無法使該用戶具有訪問該文件的權(quán)利。MAC主要用于多層次平安級別的事應(yīng)用中。296.2WindowsNT/2000的平安在個人計算機領(lǐng)域，Windows操作系統(tǒng)占據(jù)了大多數(shù)市場份額，而在網(wǎng)絡(luò)效勞領(lǐng)域，WindowsNT/2000是最流行的桌面操作系統(tǒng)，其友好的操作界面，眾多強大的網(wǎng)絡(luò)應(yīng)用程序和開發(fā)工具，以及更為強大的系統(tǒng)平安性，使得很多企業(yè)將WindowsNT/2000作為網(wǎng)管或效勞器的平臺。WindowsNT是一個平安的操作系統(tǒng)，它通過了國防部TCSECC2級平安認(rèn)證，具有身份鑒別、具有自主訪問控制、客體共享和平安審計等平安特性。Windows2000是微軟公司于2000年在WindowsNT操作系統(tǒng)的技術(shù)之上，開發(fā)的新一代Windows操作系統(tǒng)。在平安性方面，Windows2000繼承了很多NT特性，但與NT比較，它提供了更多更為強大的平安特性。306.2.1WindowsNT/2000的平安模型WindowsNT/2000的平安模型主要由登錄過程、本地平安認(rèn)證、平安賬號管理器和平安參考監(jiān)督器構(gòu)成，如圖6-4所示。31圖6-4WindowsNT/2000的平安模型

321、登錄過程〔LogonProcess〕登錄過程用以確認(rèn)用戶身份是否合法，從而確定用戶對系統(tǒng)資源的訪問權(quán)限。登錄過程把用戶輸入的登錄信息，通過平安系統(tǒng)傳輸?shù)狡桨操~號管理器，由平安賬號管理器把此信息同平安賬號數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行比較，如果二者匹配，那么允許用戶進(jìn)行訪問。然后本地平安認(rèn)證開始構(gòu)造訪問令牌，將訪問令牌與用戶進(jìn)行的所有操作相連接，構(gòu)成一個主體。主體訪問一個對象時，將由訪問令牌的內(nèi)容決定是否能夠訪問。登錄過程可以接受本地用戶的本地登錄請求，也可以接受遠(yuǎn)程用戶的登錄請求。33

〔1〕本地登錄過程如圖6-5所示。①用戶按Ctrl+Alt+Del鍵，引起硬件中斷，被系統(tǒng)捕獲，這樣使操作系統(tǒng)激活WinLogon進(jìn)程。②WinLogon進(jìn)程通過調(diào)用標(biāo)識與鑒別DLL，將登錄窗口〔賬號名和口令登錄提示符〕展示在用戶面前。③WinLogon進(jìn)程發(fā)送賬號名和加密口令到本地平安認(rèn)證〔LSA〕。④如果用戶具有有效的用戶名和口令，那么本地平安認(rèn)證產(chǎn)生一個訪問令牌，包括用戶賬號SID和用戶工作組SID。⑤WinLogon進(jìn)程傳送訪問令牌到Win32模塊，同時發(fā)出一個請求，以便為用戶建立登錄進(jìn)程。⑥登錄進(jìn)程建立用戶環(huán)境，包括啟動DesktopExplorer和顯示背景等。34圖6-5本地登錄過程

35〔2〕網(wǎng)絡(luò)登錄過程如圖6-6所示。①用戶將用戶名和口令輸入到網(wǎng)絡(luò)客戶機軟件的登錄窗口。②該客戶機軟件翻開NetBIOS，連接到效勞器的NetLogon效勞上，該客戶機軟件對口令加密，發(fā)送登錄證書到效勞器的WinLogon進(jìn)程。③效勞器的WinLogon進(jìn)程發(fā)送賬號名和加密口令到本地平安認(rèn)證。④如果用戶具有有效的用戶名和口令，那么本地平安認(rèn)證產(chǎn)生一個訪問令牌，包括用戶賬號SID和用戶工作組SID。訪問令牌也得到用戶的特權(quán)〔LUID〕，然后該訪問令牌傳送回WinLogon進(jìn)程。⑤WinLogon進(jìn)程將訪問令牌傳送到WindowsNT/2000的Server效勞，它將訪問令牌與被客戶機翻開的NetBIOS連接聯(lián)系起來。在具有訪問令牌所建證書的效勞器上，可完成任何在NetBIOS連接時所發(fā)送的其他操作〔如讀文件、打印請求等〕。36圖6-6網(wǎng)絡(luò)登錄WindowsNT/2000效勞器過程

372、本地平安認(rèn)證本地平安認(rèn)證〔LocalSecurityAuthority，LSA〕是WindowsNT/2000平安模型的核心，它通過確認(rèn)平安賬號管理器中的數(shù)據(jù)信息來處理用戶從本地或遠(yuǎn)程的登錄。本地平安認(rèn)證確保用戶有存取系統(tǒng)的權(quán)限，從而產(chǎn)生訪問令牌，管理本地策略并提交交換式的用戶認(rèn)證效勞。它同時還控制審計方案和將平安參考監(jiān)督器的審計信息記入日記。38圖6-4WindowsNT/2000的平安模型

393、平安賬號管理器

平安賬號管理器〔SecurityAccountManager，SAM〕維護(hù)平安賬號數(shù)據(jù)庫，即SAM數(shù)據(jù)庫。該數(shù)據(jù)庫包含所有用戶和組的賬號信息。平安賬號管理器提供用戶登錄認(rèn)證，負(fù)責(zé)對用戶輸入的信息與SAM數(shù)據(jù)庫的信息比照，并為用戶賦予一個平安標(biāo)示符〔SID〕。根據(jù)網(wǎng)絡(luò)配置的不同，SAM數(shù)據(jù)庫可能存在于一個或多個WindowsNT/2000系統(tǒng)中。40圖6-4WindowsNT/2000的平安模型

414、平安參考監(jiān)督器

平安參考監(jiān)督器〔SecurityReferenceMonitor，SRM〕運行在內(nèi)核模式，它負(fù)責(zé)訪問控制和審查策略。平安參考監(jiān)督器提供對客體〔文件、目錄〕的存取權(quán)限，檢查主體〔用戶賬號〕的訪問權(quán)限，阻止非授權(quán)用戶訪問對象。為了在整個系統(tǒng)中對不同類型對象提供一致的保護(hù)，平安參考監(jiān)督器在系統(tǒng)中只保存一個有效訪問代碼的拷貝。另外，平安參考監(jiān)督器還負(fù)責(zé)實施審計生成策略，它在驗證對象存取的合法性和檢查主體〔用戶賬號〕權(quán)限的同時，生成必要的審計信息。426.2.2WindowsNT/2000的訪問控制對系統(tǒng)資源的訪問限制，防止用戶非授權(quán)訪問系統(tǒng)資源即為訪問控制。1、WindowsNT/2000的訪問控制WindowsNT/2000的平安性到達(dá)了橘皮書C2級，實現(xiàn)了用戶級自主訪問控制，它的訪問控制機制如圖6-7所示。43 當(dāng)一個進(jìn)程請求Win32執(zhí)行對象的一種操作時，Win32借助平安參考監(jiān)督器SRM進(jìn)行校驗。平安參考監(jiān)督器首先查看用戶的權(quán)限，將進(jìn)程的訪問令牌與對象的訪問控制列表進(jìn)行比較，以此決定進(jìn)程是否可以訪問該對象。圖6-7WindowsNT客體訪問示意圖

44為了實現(xiàn)進(jìn)程間的平安訪問，WindowsNT/2000中的對象采用了平安性描述符〔SecurityDescription〕。平安性描述符主要由用戶SID〔Owner〕、工作組SID〔Group〕、訪問控制列表〔DACL〕和系統(tǒng)訪問控制列表〔SACL〕組成，平安性描述符的構(gòu)成如圖6-8所示。圖6-8平安性描述符45當(dāng)某個進(jìn)程要訪問一個對象時，進(jìn)程的SID與對象的訪問控制列表比較，決定是否可以訪問該對象。訪問控制列表由訪問控制項〔ACE〕組成，每個訪問控制項標(biāo)識用戶和工作組對該對象的訪問權(quán)限。通常，訪問控制列表有3種訪問控制項，分別代表如下含義：拒絕對該對象的訪問；允許對該對象讀取和寫入；允許執(zhí)行該對象。46訪問控制列表首先列出拒絕訪問的訪問控制項，然后才是允許的訪問控制項。對訪問控制列表判斷的規(guī)那么如下：①從訪問控制列表的第一項開始，檢查每個訪問控制項，看是否顯式地拒絕用戶或工作組的訪問。②繼續(xù)檢查，看進(jìn)程所要求的訪問類型是否顯式地授予用戶或工作組。③重復(fù)步驟〔1〕、〔2〕，直到遇到拒絕訪問，或是累計到所有請求的權(quán)限均被滿足為止。④如果對某個請求的訪問權(quán)限在訪問控制表中既沒有授權(quán)也沒有拒絕，那么拒絕訪問。472、NTFS文件系統(tǒng)在WindowsNT/2000中支持多種文件系統(tǒng)，其中使用最普遍的是：FAT(Table)文件系統(tǒng)NTFS〔NT〕文件系統(tǒng)FAT文件系統(tǒng)較簡單，所占容量與開銷很少，幾乎所有計算機均支持它。但該文件系統(tǒng)不支持訪問控制，使操作系統(tǒng)存在較大的不平安性。因此WindowsNT引進(jìn)了更為平安的文件系統(tǒng)，即NTFS文件系統(tǒng)。NTFS文件系統(tǒng)主要采用兩種措施對文件系統(tǒng)進(jìn)行平安性保護(hù)：對文件和目錄的權(quán)限設(shè)置；對文件內(nèi)容進(jìn)行加密。48①文件和目錄的權(quán)限NTFS文件系統(tǒng)上的每一個文件和目錄在創(chuàng)立時創(chuàng)立人就被指定為擁有者。擁有者控制著文件或目錄的權(quán)限設(shè)置，并能賦予其它用戶訪問權(quán)限。通過對文件或目錄的權(quán)限設(shè)置，用戶可以共享相應(yīng)權(quán)限的文件數(shù)據(jù)，不僅為不同用戶完成共同任務(wù)提供了根底，而且還節(jié)省了大量磁盤空間。49②文件內(nèi)容的加密Windows2000增強了文件系統(tǒng)的平安性，采用了加密文件系統(tǒng)〔EFS，Encrypted〕技術(shù)。加密文件系統(tǒng)提供的文件加密技術(shù)可以將加密的NTFS文件存儲到磁盤上。如果用戶要訪問一個加密的NTFS文件，并且有這個文件的密鑰，那么用戶就能翻開這個文件。沒有該文件密鑰的用戶對文件的訪問將被拒絕。506.2.3WindowsNT/2000的平安管理WindowsNT/2000的平安性到達(dá)了橘皮書C2級，在實現(xiàn)登錄過程和訪問控制機制的同時，還提供一定的平安管理機制。以下簡單介紹WindowsNT/2000的一些平安管理機制。1、用戶和用戶組在WindowsNT/2000中，每個用戶必須有一個賬號，賬號是系統(tǒng)平安的核心。在登錄計算機時，系統(tǒng)將用戶賬號信息同用戶的平安數(shù)據(jù)庫進(jìn)行比較，假設(shè)匹配，那么允許登錄；在用戶訪問系統(tǒng)資源時，用戶賬號決定著對資源的訪問權(quán)限。51一般有兩種類型的用戶賬號：管理員賬號〔Administrator〕，管理員賬號可以利用系統(tǒng)工具來創(chuàng)立。訪問者賬號〔Guest〕從范圍角度看，用戶賬號還可以分成兩種類型賬號：全局賬號，又稱域賬號，可以在整個域內(nèi)應(yīng)用；本地賬號，只能在生成它的本機上使用。WindowsNT/2000還支持用戶組，通過用戶組為一組相關(guān)的用戶同時設(shè)置權(quán)限。有兩種類型的用戶組：全局工作組，可以在系統(tǒng)中相互信任的域中使用；本地工作組，只能在本地的系統(tǒng)或域內(nèi)使用。522、域和委托〔1〕域在WindowsNT/2000中有兩種類型的網(wǎng)絡(luò)配置：工作組和域。工作組是單獨的系統(tǒng)，在工作組中系統(tǒng)各自獨立管理自己的用戶賬號和組賬號以及它們的平安賬號管理數(shù)據(jù)庫，不與別的系統(tǒng)共享這些信息。工作組適合于小型網(wǎng)絡(luò)環(huán)境。域模型是WindowsNT網(wǎng)絡(luò)系統(tǒng)的核心，所有WindowsNT的相關(guān)內(nèi)容都是圍繞著域來組織的，域模型在平安方面更具優(yōu)越性。53域是一些效勞器的集合，這些效勞器被歸為一組并共享同一個平安策略和用戶賬號數(shù)據(jù)庫。域由主域效勞器、備份域效勞器、效勞器和工作站組成。域是由主域控制器或備份域控制器來控制的。每個域中只能有一個主域控制器，而備份域控制器有一個或多個。主域控制器作為域中用戶的認(rèn)證中心，可以由系統(tǒng)管理員建立和其它域的委托關(guān)系；備份域控制器存有域中平安賬號管理數(shù)據(jù)庫的備份，也能驗證用戶登錄上網(wǎng)。一旦主域控制器崩潰，備份域控制器可以提升為主域控制器，使域的機構(gòu)體系繼續(xù)保持穩(wěn)定和統(tǒng)一。平安賬號管理數(shù)據(jù)庫的原件放在主域控制器上，并且只能在主域控制器上對數(shù)據(jù)進(jìn)行維護(hù)。在備份域控制器中，不允許對數(shù)據(jù)進(jìn)行任何改動。54〔2〕委托WindowsNT的域間可以建立委托關(guān)系。委托是一種管理方法，它將兩個域連接在一起，并允許域中的用戶相互訪問。委托分為兩局部：受托域，就是賬號所在域，也稱賬號域。委托域，含有可用的資源，也稱資源域。委托關(guān)系可以使用戶賬號和用戶組能夠在建立它們的域之外的域中使用資源。由此，用戶只需要一個用戶賬號和口令就可以訪問多個域。域之間的委托關(guān)系主要有兩種：單向的和雙向的。在單向的域委托關(guān)系中，域B委托另一個域A，但域A并不信任域B。在雙向的域委托關(guān)系中，兩個域之間是相互委托的，即域A委托域B，域B委托域A。553、活動目錄〔ActiveDirectory〕活動目錄是Windows2000的核心，它提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄效勞。目錄是存儲各種對象的一個物理上的容器，目錄管理的根本對象是用戶計算機、文件及打印機等資源。而目錄效勞使目錄中所有信息和資源發(fā)揮作用的效勞，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)效勞、基于網(wǎng)絡(luò)的應(yīng)用管理等。因此通過活動目錄使得組織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。同時目錄效勞在網(wǎng)絡(luò)平安方面也扮演著中心授權(quán)機構(gòu)的角色，使操作系統(tǒng)可以輕松驗證用戶身份，并控制其對資源的訪問。下面介紹活動目錄的結(jié)構(gòu)和活動目錄的平安效勞。56〔1〕活動目錄的結(jié)構(gòu)活動目錄允許組織機構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯π畔?，并提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機制。①層次式組織活動目錄是由對象、容器、樹和森林構(gòu)成的層次。以對象表示用戶、組、主機、設(shè)備和應(yīng)用程序等資源；以容器表示組織機構(gòu)或相關(guān)對象的集合；將信息組織成為由對象和容器組成的樹結(jié)構(gòu)，并且多個樹結(jié)構(gòu)構(gòu)成森林。57②面向?qū)ο蟠鎯顒幽夸浻脤ο蟮男问酱鎯τ嘘P(guān)網(wǎng)絡(luò)元素的信息。每個對象可以設(shè)置屬性，用于描述對象的特征。③多主復(fù)制為在分布式環(huán)境中提供高性能、可用和靈活等效勞，活動目錄使用多主復(fù)制機制。這種機制允許組織機構(gòu)創(chuàng)立多個目錄拷貝，并放置在網(wǎng)絡(luò)的不同位置上。網(wǎng)絡(luò)中任一個位置上的變更都將自動被復(fù)制到整個網(wǎng)絡(luò)上。58〔2〕活動目錄的平安性效勞活動目錄使用以下方法增強平安性。①通過向網(wǎng)絡(luò)資源提供單一的集成、高性能且對終端用戶透明的平安效勞，改進(jìn)密碼的平安性和管理。②通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置，來防止對特定客戶主機操作進(jìn)行訪問，保證桌面系統(tǒng)的功能性，例如軟件安裝或注冊項編輯。③通過提供對平安的Internet標(biāo)準(zhǔn)協(xié)議和身份驗證機制的內(nèi)建支持，如Kerberos，公開密鑰根底設(shè)施〔PKI〕和平安套接字協(xié)議層〔SSL〕之上的輕量目錄訪問協(xié)議〔LDAP〕，加速電子商務(wù)的部署。④通過對目錄對象和構(gòu)成它們的單獨數(shù)據(jù)元素設(shè)置訪問控制特權(quán)來控制訪問。594、平安審計到達(dá)C2級的系統(tǒng)必須具有平安審計功能。WindowsNT/2000系統(tǒng)的審計消息被記錄在日志文件中，它包括3類日志：系統(tǒng)日志、應(yīng)用日志和平安日志。系統(tǒng)日志和應(yīng)用日志是系統(tǒng)和應(yīng)用程序生成的錯誤警告和其它信息，任何人都可以查看，而平安日志對應(yīng)審計數(shù)據(jù)，只能由審計管理員查看和管理。審計數(shù)據(jù)文件的每條記錄都包含有事件發(fā)生的時間、事件源、事件號和所屬類別、機器名、應(yīng)戶名和事件本身的詳細(xì)描述等信息。60用戶登錄系統(tǒng)時，WinLogon進(jìn)程為用戶創(chuàng)立訪問令牌，包括用戶及所屬組的平安標(biāo)示符〔SID〕，作為用戶的身份標(biāo)識。文件等客體那么包含有自主訪問控制列表〔DACL〕，標(biāo)明誰有權(quán)訪問，還含有系統(tǒng)訪問控制列表〔SACL〕，標(biāo)明哪些主體的訪問需要被記錄。用戶進(jìn)程訪問客體對象時，通過Win32子系統(tǒng)請求訪問效勞，核心的平安參考監(jiān)督器〔SRM〕將訪問令牌與客體的DACL進(jìn)行比較，確定是否擁有訪問權(quán)限，同時檢查客體的SACL，確定本次訪問是否落在既定的審計訪問內(nèi)。假設(shè)是，那么送至審計子系統(tǒng)。616.3數(shù)據(jù)庫平安技術(shù)

6.3.1數(shù)據(jù)庫系統(tǒng)的組成計算機系統(tǒng)的數(shù)據(jù)組織主要有文件和數(shù)據(jù)庫兩種形式。文件組織形式的數(shù)據(jù)缺乏共享性，而數(shù)據(jù)庫組織形式的數(shù)據(jù)具有共享性、獨立性、一致性、完整性和訪問控制性，因而得到廣泛應(yīng)用，成為數(shù)據(jù)存儲的主要形式。數(shù)據(jù)庫系統(tǒng)由兩局部組成：數(shù)據(jù)庫，是按一定的方式存取的數(shù)據(jù)集合；數(shù)據(jù)庫管理系統(tǒng)，使用戶及應(yīng)用程序建立、使用和管理數(shù)據(jù)庫。操作系統(tǒng)的保護(hù)的對象是文件系統(tǒng)，它并不能直接提供對數(shù)據(jù)庫系統(tǒng)的保護(hù)，數(shù)據(jù)庫文件的保護(hù)主要由數(shù)據(jù)庫管理系統(tǒng)完成。626.3.2數(shù)據(jù)庫的數(shù)據(jù)保護(hù)

數(shù)據(jù)庫保護(hù)主要是指數(shù)據(jù)庫的平安性、完整性、并發(fā)控制和數(shù)據(jù)庫恢復(fù)。1、數(shù)據(jù)庫的平安性在一般計算機系統(tǒng)中，平安措施是分級和分層設(shè)置的，其數(shù)據(jù)庫平安控制模型如圖6-10所示。圖6-10數(shù)據(jù)庫平安控制模型63〔1〕用戶標(biāo)識和鑒定通過核對用戶的賬號(ID)，決定該用戶對系統(tǒng)的使用權(quán)。數(shù)據(jù)庫系統(tǒng)不允許一個未經(jīng)授權(quán)的用戶對數(shù)據(jù)庫進(jìn)行操作?！?〕存取控制對于獲得訪問權(quán)的用戶還要根據(jù)預(yù)先定義好的用戶權(quán)限進(jìn)行存取控制。將定義好的用戶權(quán)限存儲在數(shù)據(jù)字典中，每當(dāng)用戶發(fā)出數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典。假設(shè)用戶的操作請求超出了定義的權(quán)限，那么系統(tǒng)拒絕此操作。對數(shù)據(jù)庫的操作權(quán)限一般包括查詢權(quán)、記錄的修改權(quán)、索引的建立權(quán)、數(shù)據(jù)庫的創(chuàng)立權(quán)等。把這些權(quán)限按一定的規(guī)那么授予用戶，以保證不同的用戶對象有不同的操作權(quán)力。64〔3〕數(shù)據(jù)庫加密有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進(jìn)行加密處理，以實現(xiàn)數(shù)據(jù)存儲的平安保護(hù)。對數(shù)據(jù)庫的加密主要有：庫內(nèi)加密，即對數(shù)據(jù)庫的數(shù)據(jù)元素加密。如將一條記錄的某個屬性作為一個文件進(jìn)行加密，或?qū)⒁粭l記錄作為一個文件進(jìn)行加密。整個數(shù)據(jù)庫加密，即將整個數(shù)據(jù)庫包括數(shù)據(jù)庫結(jié)構(gòu)及其內(nèi)容當(dāng)做一個文件進(jìn)行加密。652、數(shù)據(jù)庫中數(shù)據(jù)的完整性

數(shù)據(jù)的完整性指：防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，防止錯誤信息的輸入和輸出。數(shù)據(jù)完整性包括：數(shù)據(jù)正確性、有效性和一致性。數(shù)據(jù)庫中的所有數(shù)據(jù)都必須滿足自己的完整性約束條件，這些約束包括以下幾種：〔1〕數(shù)據(jù)類型與值域的約束〔字符型、整型、實型〕；〔2〕關(guān)鍵字約束〔主關(guān)鍵字、外關(guān)鍵字〕；〔3〕數(shù)據(jù)聯(lián)系的約束〔靜態(tài)約束與動態(tài)約束，如年齡更新舊值不能大于新值〕。663、數(shù)據(jù)庫并發(fā)控制大型多用戶數(shù)據(jù)庫中的數(shù)據(jù)資源必須是共享的，為了充分利用數(shù)據(jù)庫資源，應(yīng)允許多個用戶并行操作的數(shù)據(jù)庫。數(shù)據(jù)庫必須對這種并行操作進(jìn)行控制，即并發(fā)控制，以保證數(shù)據(jù)在不同用戶使用時的一致性。并發(fā)控制的主要采用封鎖技術(shù)〔Locking〕：當(dāng)事務(wù)修改數(shù)據(jù)時，將數(shù)據(jù)封鎖，這樣事務(wù)讀取和修改數(shù)據(jù)時，其他事務(wù)不能對數(shù)據(jù)進(jìn)行讀取和修改，直到事務(wù)解除封鎖。

674、數(shù)據(jù)庫的恢復(fù)任何一個系統(tǒng)，無論其可靠性有多高，故障的發(fā)生也是不可防止的。在系統(tǒng)發(fā)生故障后，把數(shù)據(jù)庫恢復(fù)到原來狀態(tài)的技術(shù)，稱為恢復(fù)技術(shù)。數(shù)據(jù)庫的恢復(fù)技術(shù)有如下兩種：〔1〕單純以備份為根底的恢復(fù)技術(shù)；〔2〕以備份和日志為根底的恢復(fù)技術(shù)。686.3.3數(shù)據(jù)庫的備份

數(shù)據(jù)庫系統(tǒng)如果發(fā)生故障可能會導(dǎo)致數(shù)據(jù)喪失，要恢復(fù)喪失的數(shù)據(jù)，必須對數(shù)據(jù)庫系統(tǒng)進(jìn)行備份。備份是指在某種介質(zhì)上〔如磁帶、磁盤等〕，存儲數(shù)據(jù)庫或局部數(shù)據(jù)庫的拷貝。69數(shù)據(jù)庫的備份大致有三種類型：〔1〕冷備份：冷備份是在沒有最終用戶訪問它的情況下關(guān)閉數(shù)據(jù)庫，并將其備份，這是保持?jǐn)?shù)據(jù)完整性的最好方法。〔2〕熱備份：熱備份是在數(shù)據(jù)庫在被寫入新的數(shù)據(jù)時進(jìn)行。熱備份依賴于日志文件，在進(jìn)行備份時，日志文件需要將作更新或更改的業(yè)務(wù)指令“堆起來〞，而不真正將任何數(shù)據(jù)值寫入數(shù)據(jù)庫記錄。〔3〕邏輯備份：邏輯備份使用軟件技術(shù)從數(shù)據(jù)庫提取數(shù)據(jù)并將結(jié)果寫入一個輸出文件。如大多數(shù)客戶機/效勞器數(shù)據(jù)庫中，SQL語句既可用來創(chuàng)立輸出文件。706.4SQLServer的平安管理與策略

6.4.1SQLServer的平安體系和平安認(rèn)證MicrosoftSQLServer是一個高性能、多用戶的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，它的內(nèi)置數(shù)據(jù)復(fù)制功能、強大的管理工具和開放式的體系結(jié)構(gòu)，為基于事務(wù)的企業(yè)及管理方案提供了一個卓越的平臺。SQLServer與網(wǎng)絡(luò)操作系統(tǒng)WindowsNT構(gòu)成一個集成環(huán)境，SQLServer是WindowsNT平臺上最好的數(shù)據(jù)庫管理系統(tǒng)。

1、SQLServer的平安體系SQLServer的平安體系允許使用操作系統(tǒng)的平安管理機制，同時擁有自身的平安技術(shù)。SQLServer的平安體系如圖5-12所示。71圖5-12SQLServer的平安體系

726.4.1SQLServer的平安體系和平安認(rèn)證SQLServer的平安性是從下面三個層次來實現(xiàn)的：第一層是數(shù)據(jù)庫平安管理，包括登錄和用戶授權(quán)、存儲過程管理等，確保對效勞器的訪問平安性；第二層是操作系統(tǒng)平安管理，包括檢測日志記錄、管理員帳號的管理等；第三層是網(wǎng)絡(luò)平安管理，通過端口設(shè)置、防火墻技術(shù)等網(wǎng)絡(luò)技術(shù)來實現(xiàn)數(shù)據(jù)的平安性。2.SQLServer的平安認(rèn)證平安認(rèn)證是用來確認(rèn)登錄SQLServer的用戶登錄賬號和口令的正確性，由此來驗證其是否具有連接SQLServer的權(quán)限。73當(dāng)SQLServer在Windows環(huán)境中運行時，SQLServer2000提供了下面兩種確認(rèn)用戶的認(rèn)證模式：〔1〕Windows認(rèn)證模式 Windows認(rèn)證模式利用Windows操作系統(tǒng)對用戶登錄和帳號管理的平安機制，允許SQLS