重慶大學(xué)系統(tǒng)安全復(fù)習(xí)

第一章：相關(guān)概念：威脅、脆弱點、攻擊、控制威脅：中斷威脅：破壞信息的可用性，如拒絕服務(wù)攻擊截獲威脅：破壞信息的保密性篡改威脅：破壞信息的完整性偽造威脅：破壞信息的可認(rèn)證性脆弱點：系統(tǒng)的缺陷或漏洞關(guān)系：通過控制脆弱點阻止或減少威脅計算機(jī)信息系統(tǒng)的安全需求：CIA+*保密性、完整性、可用性、可控性、不可抵賴性、可存活性、可認(rèn)證性、實用性保密性：確保信息資源僅被合法的用戶、實體、進(jìn)程訪問，是信息不泄露給未授權(quán)的用戶、實體或進(jìn)程完整性：信息資源只能由授權(quán)方以授權(quán)的方式修改，在存儲或傳輸過程中不丟失、不被破壞可用性：信息可被合法用戶訪問并按照要求的特性使用而不遭拒絕服務(wù)可控性：保證信息和信息系統(tǒng)的認(rèn)證授權(quán)和監(jiān)控管理，確保某個實體身份的真實性，確保信息內(nèi)容的安全性和合法性，確保系統(tǒng)狀態(tài)可被授權(quán)方所控制不可抵賴性（不可否認(rèn)性）：信息發(fā)送者/接受者無法否認(rèn)已發(fā)送/已接收的信息或信息的部分內(nèi)容-一數(shù)字簽名，可信第三方認(rèn)證技術(shù)可存活性：計算機(jī)系統(tǒng)在面對各種攻擊或錯誤的情況下可以繼續(xù)提供核心服務(wù)，而且能夠及時地恢復(fù)全部的服務(wù)可認(rèn)證性：對信息的完整性、準(zhǔn)確性、和對信息所有者和發(fā)送者身份的確認(rèn)實用性：信息加密密鑰不可丟失安全需求的目標(biāo)：系統(tǒng)保護(hù)：信息保護(hù)：、單機(jī)系統(tǒng)信息保密階段：20世紀(jì)70年代：DES、IDEA、RSA、橢圓曲線離散對數(shù)密碼體制（ECC）、數(shù)字指紋、消息摘要（MD）20世紀(jì)70~80年代：1、信息安全理論：訪問控制理論信息流控制推理控制2、 安全操作系統(tǒng)的設(shè)計：安全核技術(shù)、分層結(jié)構(gòu)、環(huán)形結(jié)構(gòu)3、 系統(tǒng)安全模型：1） 訪問矩陣與監(jiān)視器模型2） 信息流多級安全模型，基于格理論3） 保密性模型（BLP模型）4） 完整性模型（Biba模型）5） 軍用安全模型4、 安全性評價準(zhǔn)則：TCSEC分7等級，CC標(biāo)準(zhǔn)二、網(wǎng)絡(luò)信息安全階段：1、 消息的安全傳輸2、 雙方共享秘密信息的分發(fā)黑客攻擊的兩類威脅：1、 信息訪問威脅：非授權(quán)用戶截獲或修改數(shù)據(jù)2、 服務(wù)威脅：服務(wù)流激增以禁止合法用戶使用對非授權(quán)訪問的安全機(jī)制分為兩道防線：1、 第一道防線：守衛(wèi)功能，包括基于口令的登錄過程以拒絕所有非授權(quán)以及邏輯以檢測、拒絕病毒、蠕蟲和其他類似攻擊2、 第二道防線：內(nèi)部的安全控制構(gòu)成，用于管理系統(tǒng)內(nèi)部各項操作和所存儲的數(shù)據(jù)分析，檢查對付未授權(quán)的入侵者玫擊者：人（如黑客）軟件（如病垂等惡意程序）信道守衛(wèi)功能計算機(jī)資源（處理器、存儲器、玫擊者：人（如黑客）軟件（如病垂等惡意程序）信道守衛(wèi)功能計算機(jī)資源（處理器、存儲器、I/O）

數(shù)據(jù)進(jìn)程軟件內(nèi)部安全控制信息丟統(tǒng)圖1-8網(wǎng)絡(luò)訪問安全模型三、信息保障階段：信息保障：通過確保信息和信息系統(tǒng)的可用性、完整性、可驗證性、保密性和不可否認(rèn)性來保護(hù)信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護(hù)、探測和響應(yīng)能力以恢復(fù)系統(tǒng)的功能。《信息保障技術(shù)框架》(IATF)：人、技術(shù)、操作三個核心要素：人：信息體系的主體技術(shù)：實現(xiàn)信息保障的具體措施和手段(PDR2)ProtectionDetectionReactionRestore操作：即運行，將人和技術(shù)緊密結(jié)合計算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)的層次結(jié)構(gòu)：應(yīng)用程序系統(tǒng)網(wǎng)絡(luò)應(yīng)用服務(wù).命等等(HTTP-,FTP)數(shù)據(jù)庫系統(tǒng)操作系統(tǒng)TCP、IP硬件層(計算機(jī)、物理鏈路)圖1-1D計算機(jī)網(wǎng)貉環(huán)境下的信息系統(tǒng)層次結(jié)構(gòu)>r/r- 第二章：一、計算機(jī)硬件的安全威脅安全缺陷：1、 PC機(jī)硬件和容易安裝和拆卸，硬盤易盜2、 硬盤或軟盤和磁介質(zhì)表面的殘留磁信息3、 內(nèi)存空間之間沒有保護(hù)機(jī)制4、 軟件的用戶身份認(rèn)證功能，如口令、軟件狗易被繞過或修改認(rèn)證數(shù)據(jù)5、 外部設(shè)備不受操作系統(tǒng)安全控制，如打印機(jī)6、 輻射電磁波，電磁波反映了計算機(jī)內(nèi)部信息的變化7、 CPU中未公布的指令代碼8、 計算機(jī)硬件和網(wǎng)絡(luò)的設(shè)備故障環(huán)境對計算機(jī)的安全威脅：1、 溫度：0°C-45°C；〉60°C；溫度每升高10°C，電子元器件可靠性降低25%；導(dǎo)磁率，21°C±3°C2、 濕度：〈40%;〉60%;〉65%;〈20%靜電；40%~60%3、 灰塵：降低機(jī)房灰塵含量4、 電磁干擾：電氣干擾一采用穩(wěn)壓電源或不間斷電源；濾波和隔離措施靜電干擾，強(qiáng)電磁干擾一按照防靜電裝修、獨立良好的接地系統(tǒng)計算機(jī)硬件安全是所有單機(jī)計算機(jī)系統(tǒng)和計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)計算機(jī)硬件安全技術(shù)是指用硬件的手段保障計算機(jī)系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)的信息安全的各種技術(shù)二、計算機(jī)硬件的安全技術(shù)PC機(jī)的物理保護(hù)：機(jī)箱鎖扣(明基)、Kensington鎖孔(宏基)、機(jī)箱電磁鎖、智能網(wǎng)絡(luò)傳感設(shè)備基于硬件的訪問控制技術(shù)：訪問控制的對象主要是計算機(jī)系統(tǒng)的軟件與數(shù)據(jù)資源PC機(jī)訪問控制系統(tǒng)的主要功能：1、 防止用戶不通過訪問控制而進(jìn)入計算機(jī)系統(tǒng)2、 控制用戶對存放敏感數(shù)據(jù)的存儲區(qū)域的訪問3、 對用戶所有的I/O操作都加以控制4、 防止用戶繞過訪問控制直接訪問可移動介質(zhì)上的文件5、 防止用戶通過程序?qū)ξ募闹苯釉L問或者通過計算機(jī)網(wǎng)絡(luò)進(jìn)行訪問6、 防止用戶對審計文件的惡意修改軟件狗可信計算機(jī)與安全芯片：通過增強(qiáng)現(xiàn)有PC終端系統(tǒng)結(jié)構(gòu)的安全性來保證整個系統(tǒng)的安全1、 可信計算的提出：計算機(jī)終端是安全的源頭2、 對于最常用的微機(jī)，從芯片、主板等硬件和BIOS、操作系統(tǒng)等底層軟件綜合采取措施可信計算的用途：風(fēng)險管理、數(shù)字版權(quán)管理、電子商務(wù)、安全監(jiān)測與應(yīng)急可信計算的概念：如果它的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)，這一個實體是可信的；可信計算(TrustedComputing,TC)目標(biāo)是提出一種能夠超越預(yù)設(shè)安全規(guī)則，執(zhí)行特殊行為的運行實體。操作系統(tǒng)將這個實體的運行環(huán)境稱為可信計算基(TrustedComputingBase，TCB)可信計算平臺(TrustedComputingPlatform)：安全協(xié)處理器、密碼加速器、個人令牌、軟件狗、可信平臺模塊(TrustedPlatformModules，TPM)以及增強(qiáng)型CPU、安全設(shè)備和多功能設(shè)備

可信平臺模塊TPM：是一種值于計算機(jī)內(nèi)部為計算機(jī)提供可信根的芯片。該芯片規(guī)格由可信計算機(jī)組TCG制定目標(biāo)是實現(xiàn)：1、 數(shù)據(jù)的真實性2、 數(shù)據(jù)的機(jī)密性3、 數(shù)據(jù)保護(hù)和代碼的真實性4、 代碼的機(jī)密性和代碼的保護(hù)可信計算平臺原理：將BIOS引導(dǎo)塊作為完整性測量的信任的根，可信平臺模塊TPM作為完整性報告的信任的根，對BIOS、操作系統(tǒng)進(jìn)行完整性測量，保證計算環(huán)境的可信性。信任鏈通過構(gòu)建一個信任根，從信任根開始到硬件平臺、到操作系統(tǒng)、再到應(yīng)用，一級測量認(rèn)證一級，一級信任一級，從而把這種信任擴(kuò)展到整個計算機(jī)系統(tǒng)。其中信任根的安全性可有物理安全和管理安全確保；“可信計算”技術(shù)的核心稱為TPM（可信平臺模塊）的安全芯片可信根可信硬件平臺可信操作系統(tǒng)可信應(yīng)用系統(tǒng)可信根可信硬件平臺可信操作系統(tǒng)可信應(yīng)用系統(tǒng)E3-5可信計算機(jī)系統(tǒng)TPM實際上是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng)（SystemonChip,SOC）,由CPU、存儲器、I/O、密碼運算器、隨機(jī)數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成TPM技術(shù)最核心的功能在于對CPU處理的數(shù)據(jù)流進(jìn)行加密，同時檢測系統(tǒng)底層的狀態(tài)。以TPM為基礎(chǔ)的“可信計算”：1、 用戶的身份認(rèn)證2、 可信計算平臺內(nèi)部各元素之間的相互認(rèn)證3、 平臺之間的可驗證性硬件防電磁泄露：1、 TEMPEST概念：防信息輻射泄露技術(shù)2、 研究內(nèi)容：1） 電子信息設(shè)備如何輻射泄漏的2） 電子信息設(shè)備輻射泄漏的防護(hù)3） 如何從輻射信息中提取有用信息4） 信息輻射的測試技術(shù)與測試標(biāo)準(zhǔn)3、 TEMPEST威脅：1） 信息設(shè)備的電磁泄漏威脅2） 聲光的泄漏威脅具體采取什么措施，根據(jù)計算機(jī)中信息的重要程度而定4、計算機(jī)設(shè)備的防泄漏措施：（分為電子隱藏技術(shù)和物理抑制技術(shù)）1） 屏蔽：屏蔽不但能防止電磁波外泄，而且還可以防止外部的電磁波對系統(tǒng)內(nèi)部設(shè)備的干擾2） 隔離和合理布局：隔離和合理布局均為降低電磁泄露的有效手段3） 濾波：濾波是抑制傳導(dǎo)泄漏的主要方法之一4） 接地和塔接：接地和塔接是一直傳導(dǎo)泄漏的有效方法5） 使用干擾器：是一種能輻射出電磁噪聲的電子儀器。其防護(hù)的可靠性相對較差，因為設(shè)備輻射的信息量并未減少6） 使用低輻射設(shè)備：使用低輻射計算機(jī)設(shè)備是防止計算機(jī)電磁輻射泄露的較為根本的保護(hù)措施。它和屏蔽手段結(jié)合使用可以有效地保護(hù)絕密級信息7） 軟件TEMPEST保護(hù)8） TEMPEST測試技術(shù)三、環(huán)境安全技術(shù)機(jī)房安全等級：A、B、C機(jī)房環(huán)境的基本要求：1）機(jī)房面積--（57）M（m2）M為機(jī)房中設(shè)備總面積2）機(jī)房面積一（4.5~5.5）K（m2）K為設(shè)備總臺數(shù)機(jī)房場地環(huán)境第四章：一、操作系統(tǒng)的安全問題操作系統(tǒng)的易用性和安全性是一對矛盾操作系統(tǒng)的面臨的安全威脅（除硬件和環(huán)境方面）：1） 惡意代碼的破壞和影響2） 惡意用戶的攻擊一隱蔽信道隱蔽信道：通過公開信道傳送秘密信息的方式就是隱蔽信道一般分為：存儲通道和時間通道閾下信道：公開合法信道中所建立的一種實現(xiàn)隱蔽信道的方式3） 用戶的誤操作操作系統(tǒng)安全的主要目標(biāo)：1） 標(biāo)識系統(tǒng)中用戶并進(jìn)行身份鑒定2） 根據(jù)系統(tǒng)安全策略對用戶的操作進(jìn)行存取控制，防止用戶對計算機(jī)資源的非法存取3） 監(jiān)督系統(tǒng)運行的安全4） 保證系統(tǒng)自身的安全性和完整性操作系統(tǒng)安全性設(shè)計:1） 隔離控制2） 存儲器保護(hù)3） 用戶認(rèn)證4） 訪問控制隔離控制：物理隔離、時間隔離、邏輯隔離、加密隔離二、存儲保護(hù)1、內(nèi)存保護(hù)內(nèi)存保護(hù)的目的：防止對內(nèi)存的未授權(quán)訪問防止對內(nèi)存的錯誤讀寫防止用戶的不當(dāng)操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)多道程序環(huán)境下防止不同用戶的內(nèi)存區(qū)域互不影響將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置常用內(nèi)存保護(hù)技術(shù)：單用戶的內(nèi)存保護(hù)技術(shù)：利用基址寄存器在內(nèi)存中規(guī)定一條區(qū)域邊界（一個內(nèi)存地址），用戶程序運行時不能跨越這個地址多道程序的保護(hù)技術(shù)：一個基址寄存器加上一個邊界寄存器

內(nèi)存標(biāo)記保護(hù)法：在每個內(nèi)存單元用幾個比特來標(biāo)記該單元的屬性，每次指令來訪問這些單元的時候，就要測試這些比特，當(dāng)訪問操作與這些比特表示的屬性不一致時就要報錯。X代碼X代碼X代碼X代碼■■■R數(shù)據(jù)RW數(shù)據(jù)E42加標(biāo)記的內(nèi)存分段與分頁保護(hù)技術(shù):分段：將內(nèi)存分為很多邏輯單元內(nèi)存內(nèi)存分頁：將目標(biāo)程序和內(nèi)存都劃分成大小相等的片段，片段稱為“頁”圖44圖44分頁將分段與分頁結(jié)合:36忖段1的貞我36忖段1的貞我頁ini乜衣項亦;存頊嘰叩用貞山I乜衣頂頃iftH去頂貝川幣崔既段3的頁表段髓述材段時甫述罰段鋪fi述省m丄門段1描述符段o插述荷11)18 9 111 3貞點的上存儲器地址前為單位》1貞畫大小： 「0-1024字1=64T0=段是分頁餉丨二段是金療頁的其他位保護(hù)位 h)2、運行保護(hù)：（安全操作系統(tǒng)很重要一點事進(jìn)行分層設(shè)計）運行域基于是保護(hù)環(huán)的等級式結(jié)構(gòu)，運行域事進(jìn)程運行的區(qū)域，在內(nèi)層具有最小環(huán)號的環(huán)具有最高特權(quán)，而最外層具有最大環(huán)號的環(huán)是最小的特權(quán)環(huán)。兩域結(jié)構(gòu)的實現(xiàn)：系統(tǒng)環(huán)和用戶環(huán)段描述符 系統(tǒng)模式 用戶模式WXWIX物理地址E4-6兩域結(jié)構(gòu)中的段描述符多級環(huán)：環(huán)界--只保存擁有某種操作能力的最低特權(quán)環(huán)號Rl、R2、R3分別表示可對該環(huán)進(jìn)行讀、寫、運行操作的環(huán)界R1R2R3^4-7多域結(jié)構(gòu)中的段描述符3、I/O保護(hù)將設(shè)備看做客體，任何一個運行I/O操作的進(jìn)程都必須受到對設(shè)備的讀寫兩種控制

三、用戶認(rèn)證用戶認(rèn)證包括標(biāo)識和鑒別標(biāo)識：系統(tǒng)要標(biāo)識用戶的身份，并授予一個系統(tǒng)可識別的用戶標(biāo)識符鑒別：將標(biāo)識符與用戶關(guān)聯(lián)的過程認(rèn)證用戶的方法：1） 用戶所知道的2） 用戶所擁有的3） 用戶本身的特征口令認(rèn)證：1、 口令質(zhì)量口令空間=人?2、 口令存儲3、 口令傳輸4、 口令管理：系統(tǒng)管理員的職責(zé)1） 初始化系統(tǒng)口令2） 初始化口令分配5、 口令審計一次性口令認(rèn)證OPT（One-TimePassword）：原理：在登錄過程中加入不確定因子，使用戶在登錄時每次輸入的口令都不同。認(rèn)證系統(tǒng)得到口令后通過相應(yīng)算法驗證用戶身份常見模式：口令序列、時間同步、時間同步、質(zhì)詢/相應(yīng)（Challenge/Response）方案S/KEYpasswordgenerationTheinitialsecretmustbediscarded!ThispasswordisstoredontheserverPasswordnHn(W)PasswordnHn(W)S/KEYpasswordgenerationTheinitialsecretmustbediscarded!ThispasswordisstoredontheserverPasswordnHn(W)PasswordnHn(W)reference■Compare(password)toffn-1password.Iftheyareequal,nS/KEYauthenticationTheuserhas Theserverknowsauthenticationsuccessful.—Storepasswordforn-1futurereference.Passwordn-1H"\W)refereneePasswordn-1H”'(W)Passwordn-2h"~2(w)Password2H(H(W))Password1H(W)時間同步方案：要求用戶和認(rèn)證服務(wù)器的時鐘必須嚴(yán)格一致，用戶持有時間令牌（動態(tài)密碼生成器），令牌內(nèi)置同步時鐘、秘密密鑰和加密算法質(zhì)詢/響應(yīng)方案又名挑戰(zhàn)/應(yīng)答方案:認(rèn)證諳求 -客質(zhì)詢服p機(jī)響應(yīng)務(wù)器 驗證結(jié)果?4-8OTP的認(rèn)證過程令牌和智能卡：令牌：一種能標(biāo)識其持有人身份的特殊標(biāo)識智能卡：一種集成電路卡將具有加密、存儲、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片，智能卡一般由微處理器、存儲器及輸入輸出設(shè)施構(gòu)成。生物特征認(rèn)證：生理特征認(rèn)證：指紋、掌紋、虹膜、面孔、視網(wǎng)膜、骨架生物行為認(rèn)證：書寫習(xí)慣、肢體運動、表情行為訪問控制和用戶認(rèn)證的區(qū)別：用戶認(rèn)證：你是誰？是真的是他么？訪問控制：你能做什么，你有什么樣的權(quán)限？四、訪問控制A、訪問控制模型：訪問控制三要素：1） 主體：訪問操作的主動發(fā)起者2） 客體：信息的載體或者從其他主體或客體接收信息的實體3） 安全訪問規(guī)則：用以確定一個主題是否對某個客體擁有某種訪問權(quán)力基本訪問控制模型：1）訪問控制矩陣（ACM,AccessControlMatrix）：基礎(chǔ)*4-1訪問控制俺陣FifelFife2Fife?Fife4User-AORWOXRUser-BRRUser-CRWORWRWUser-DX0表中O:OwnerjR:RjeadjW:WritejX:eXecute2）訪問目錄表（AccessDirectoryList）：按照訪問控制矩陣的行實施對系統(tǒng)中客體進(jìn)行訪問控制User-A目錄User-B目錄FilelORWFile3OXFile4R文件名權(quán)限FilelUser-A目錄User-B目錄FilelORWFile3OXFile4R文件名權(quán)限FilelRFile4R文件（客體）FilelFile2File3File40:0wnerX:eXecuteEl4-9訪問目錄表3）訪問控制表（AccessControlList）:按照訪問控制矩陣的列實施對系統(tǒng)中客體的訪問控制文件（客體）FilelFile2File3File4文件]客佈）目錄User-CUser-AORWUser-BRUser-CRWACL文件（客體）FilelFile2File3File4文件]客佈）目錄User-CUser-AORWUser-BRUser-CRWACL表—?Filel0RW—?File2User-AoxUser-DXfFile3User-ARUser-BRUser-CRWUser-D0fFile4g]410訪問控制表機(jī)制4） *能力機(jī)制：主體不僅能夠創(chuàng)造新的客體，而且還能指定對這些客體的操作權(quán)限。（實現(xiàn)復(fù)雜的訪問控制機(jī)制）5） 面向過程的訪問控制機(jī)制：在主體訪問客體的過程中對主題的訪問操作進(jìn)行監(jiān)視與限制總結(jié)：訪問目錄表、訪問控制表、訪問控制矩陣、能力和面向過程的控制等五種對客體的訪問控制機(jī)制的實現(xiàn)復(fù)雜性是逐步遞增的。安全性提高，系統(tǒng)響應(yīng)速度降低。安全與效率之間需要平衡。B、訪問控制技術(shù)：1）自主訪問控制（DAC,DiscretionaryAccessControl）：由客體的屬主決定是否將自己的客體的訪問權(quán)或部分訪問權(quán)授予其他主體1、基于行的訪問控制機(jī)制：每個主體對所在行上的有關(guān)客體的訪問控制信息以表的形式附加給主體1） 權(quán)限表機(jī)制（動態(tài)實現(xiàn)I可轉(zhuǎn)授）：權(quán)限表中存放著主體可以訪問的每個客體的權(quán)限（如讀、寫、執(zhí)行），主體只能按賦予的權(quán)限訪問客體2） 前綴表機(jī)制：表中存放主體可以訪問的每個客體的名字及訪問權(quán)限3） 口令機(jī)制：每個客體有一個口令，主體訪問時，需向系統(tǒng)提供該客體的口令口令機(jī)制類似權(quán)力表機(jī)制，但口令機(jī)制不是動態(tài)的2、 基于列的訪問控制機(jī)制：把每個客體所在列上的主體的控制信息以表的形式附加給客體，并以此進(jìn)行訪問控制1） 保護(hù)位機(jī)制：保護(hù)位對所有的主體、主體集以及該客體的擁有者指定了一個訪問權(quán)限的集合2） 訪問控制表（ACL）機(jī)制：每個客體附帶了訪問矩陣中可以訪問它的所有主體的訪問控制信息表（即ACL）在所有訪問技術(shù)中，ACL方式是實現(xiàn)DAC策略的最好方法3、 訪問許可權(quán)（AccessPermission）和訪問操作權(quán)：訪問操作：有權(quán)對客體進(jìn)行一些具體的操作訪問許可：可以改變訪問權(quán)限的能力或把這種能力轉(zhuǎn)授給其他主體能力（對某客體具有訪問許可權(quán)的主體可以改變該客體的ACL表，并可以把這種權(quán)利轉(zhuǎn)授給其他主體）在系統(tǒng)中，不僅主體對客體有控制關(guān)系，主體和主體之間也有控制關(guān)系，這就涉及許可權(quán)的管理的問題三種許可權(quán)控制策略：1） 層次性2） 屬主型：擁有者是唯一可以修改自己客體ACL的主體；擁有者擁有對自己客體的全部控制權(quán)，但無權(quán)將該控制權(quán)轉(zhuǎn)授給其他主體3） 自由型DAC機(jī)制的缺陷：1、 允許用戶自主的轉(zhuǎn)授訪問權(quán)2、 系統(tǒng)無法區(qū)分是合法用戶修改還是木馬程序的非法修改3、 無法阻止木馬程序利用共享客體或隱蔽信道傳送信息4、 無法解決因為用戶無意或不負(fù)責(zé)任的操作造成的敏感信息的泄漏問題2）強(qiáng)制訪問控制（MAC）：MAC一般把信息按機(jī)密程度進(jìn)行分級：實現(xiàn)MAC策略：1） 訪問控制策略要符合MAC的原則2） 對每個主體與客體要根據(jù)總體安全策略與需要分配一個特殊的安全屬性3）基于角色的訪問控制模型（RBAC，Role-BasedAccessControl）基本元素：用戶、角色和權(quán)限圖乩11基于角色的訪問控制RBAC與DAC的區(qū)別：用戶不能自主地將訪問權(quán)限轉(zhuǎn)授給別的用戶RBAC與MAC的區(qū)別：MAC是基于多級安全需求的，RBAC不是RBAC的模型：1） RBAC96模型2） RBAC97模型3） NISTRBAC建議標(biāo)準(zhǔn)RBAC的特點：1、 以角色作為訪問控制的對象2、 角色繼承3、 最小特權(quán)原則4、 職責(zé)分離（主體與角色的分離）5、 角色分離4）新型訪問控制：1、 基于任務(wù)的訪問控制（TBAC）2、 基于對象的訪問控制（OBAC）五、Windows系統(tǒng)安全1）Windows安全子系統(tǒng)的結(jié)構(gòu)：本店安全授權(quán)（LSA）、安全賬戶管理（SAM）和安全引用監(jiān)視器（SRM）等模塊組成閤牛12Windows子系統(tǒng)結(jié)構(gòu)Windows安全子系統(tǒng)的組件：1、 安全標(biāo)識符SID2、 訪問令牌(AccessToken)3、 安全描述符4、 訪問控制列表ACL5、 訪問控制項ACEWindows安全機(jī)制1、 Windows認(rèn)證機(jī)制：本地認(rèn)證&網(wǎng)絡(luò)認(rèn)證2、 Windows訪問控制機(jī)制：圖車19WindowsNT/XP問控制示意圖Windows審計/日志機(jī)制Windows協(xié)議過濾和防火墻Windows文件加密系統(tǒng)Windows登錄驗證：驗證機(jī)制：1、 NTLM2、 KerberosV53、 PKI登陸及身份驗證的過程(4步)Windows中，用戶登錄成功以后，只要用戶未注銷，其在系統(tǒng)中的權(quán)力就以SID為準(zhǔn)一、數(shù)據(jù)庫安全概述1、 數(shù)據(jù)庫概念：關(guān)系結(jié)構(gòu)模型層次結(jié)構(gòu)模型網(wǎng)狀結(jié)構(gòu)模型2、 數(shù)據(jù)庫3、 DBMS/DBMS職能4、 數(shù)據(jù)庫安全的重要性5、 數(shù)據(jù)庫面臨的威脅6、 數(shù)據(jù)庫的安全需求：1） 訪問控制與用戶認(rèn)證：不僅要防止直接的泄漏，而且要防止推理泄漏2） 保密性與可用性3） 物理完整性1） 物理完整性2） 邏輯完整性3） 元素完整性4） 可審計性：審計粒度和審計對象的選擇7、 數(shù)據(jù)庫的安全策略：1） 安全管理策略2） 訪問控制策略二、數(shù)據(jù)庫安全控制1、 數(shù)據(jù)庫的安全性1） 系統(tǒng)安全性：系統(tǒng)級控制數(shù)據(jù)庫的存取和使用的機(jī)制用戶匸―°）DBMSL_-廿OSL~-上I也

用戶認(rèn)證 存取控制 操作環(huán)境 加密存儲安全保護(hù)圖6-4數(shù)據(jù)庫安全控制模型2） 數(shù)據(jù)安全性：在對象級控制數(shù)據(jù)庫的存取和使用的機(jī)制2、 數(shù)據(jù)庫的完整性：數(shù)據(jù)的完整性和安全性是兩個不同的概念數(shù)據(jù)庫完整性：防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，防止錯誤信息的輸入輸出數(shù)據(jù)庫安全性：保護(hù)數(shù)據(jù)庫防止惡心的破壞和非法的存取DBMS中檢查數(shù)據(jù)是否滿足完整性條件的機(jī)制稱為完整性檢查1） 設(shè)置觸發(fā)器2） 兩階段提交3） 糾錯與恢復(fù)3、 數(shù)據(jù)庫的并發(fā)控制：數(shù)據(jù)不一致的因素：對數(shù)據(jù)的修改和并發(fā)操作的發(fā)生并發(fā)操作帶來不一致性：1） 丟失修改2） 不可重復(fù)讀3） 讀“臟”數(shù)據(jù)4、 數(shù)據(jù)庫的備份與恢復(fù)：把數(shù)據(jù)庫從一錯誤狀態(tài)恢復(fù)到一已知正確狀態(tài)1） 故障種類2） 恢復(fù)原理：