操作系统安全 .ppt_三一文库31doc.com

资源描述

《操作系统安全 .ppt》由会员分享，可在线阅读，更多相关《操作系统安全 .ppt（103页珍藏版）》请在三一文库上搜索。

1、第五章操作系统安全,内容提要,5.1 操作系统可信计算基的构成 5.2 操作系统的安全机制 5.3 Win2000/XP系统的安全机制简介,5.1 操作系统可信计算基的构成,操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台,其安全性属于系统级安全范畴操作系统是其它一切安全机制的基础，是信息系统安全的必要条件，很多安全问题都源于操作系统的安全漏洞操作系统的安全主要体现在身份认证、访问控制和信息流控制等方面。访问控制决定了用户对系统资源访问权限，是操作系统安全的核心技术,5.1 操作系统可信计算基的构成,构成操作系统可信计算基的核心是参照监视器 1.参照监视器是一种抽象

2、的概念，是访问控制的基础参照监视器依据访问控制数据库中的规则，验证主体对客体的每一次访问，按规则支持或禁止访问，并将成功与否的访问按照策略要求存入审计系统中,5.1 操作系统可信计算基的构成,2. 安全内核安全内核是实现参照监视器概念的一种技术，是指系统中与安全性实现有关的部分，包括：引用验证机制、访问控制机制、授权机制和授权管理机制等一般的，人们趋向把安全内核与参照监视器等同起来安全内核实际上可以看成一个更小的操作系统，具备了操作系统的全部能力,5.1操作系统可信计算基的构成,3. 安全内核在实现上有两种情况 1）安全内核与其它功能部分完全一体的操作系统,3. 安全内核在实现上有两

3、种情况 2）安全内核是操作系统的一部分安全内核由硬件和介于硬件和操作系统之间的一层软件组成。安全内核的软件和硬件认为是可信的，处于安全周界的内部，但操作系统和应用程序均处于安全周界之外。,5.1操作系统可信计算基的构成,5.2 操作系统的安全机制,操作系统安全的目标标识系统中的用户并进行身份鉴别依据系统安全策略对用户的操作进行存取控制监督系统运行的安全保证系统自身的安全性和完整性为了实现操作系统安全的目标，需要建立相应的安全机制，包括：隔离控制、硬件保护、用户认证、访问控制等,5.2.1 隔离机制,隔离机制是解决进程控制、内存保护的有效方法 1.隔离控制的方法有四种：物理隔离

4、。在物理设备或部件一级进行隔离，使不同的用户程序使用不同的物理对象。如不同安全级别的用户分配不同的打印机，特殊用户保密级运算可以在CPU一级进行隔离，使用专用的CPU运算时间隔离。对不同安全要求的用户进程分配不同的运行时间段。对于用户运算高密级信息时，甚至独占计算机进行运算, 逻辑隔离。多个用户进程可以同时运行，但相互之间感觉不到其他用户进程的存在这是因为操作系统限定各进程的运行区域，不允许进程访问其他未被允许的区域。加密隔离。进程把自己的数据和计算活动隐蔽起来，使他们对于其他进程是不可见的对用户的口令信息或文件数据以密码形式存储，使其他用户无法访问，也是加密隔离控制措施。这几种

5、隔离措施实现的复杂性是逐步递增的，而它们的安全性则是逐步递减的. 前两种方法的安全性是比较高的，但会降低硬件资源的利用率。后两种隔离方法主要依赖操作系统的功能实现。,5.2.1隔离机制,5.2.2 硬件的保护机制,计算机硬件的安全目标是保证其自身的可靠性并为系统提供基本的安全机制。主要包括：存储器保护、运行保护、输入/输出保护等 1. 存储器保护保护用户在存储器中的数据的安全具体要求防止用户对操作系统的影响各用户进程应相互隔离应禁止用户模式下对系统段进行写操作,(1)单用户内存保护问题用户程序运行时不能跨越地址界限寄存器（基址寄存器）无法分隔不同用户的程序,单用户内存保护,5.2

6、.2 硬件的保护机制,(2)多道程序的保护在基址寄存器基础上再增加一个寄存器保存用户程序的上边界地址使用多对基址和边界寄存器，还可把用户的可读写数据区与只读数据区和程序区互相隔离,5.2.2 硬件的保护机制,多道程序的保护,(3) 标记保护法能对每个存储单元按其内容要求进行保护，例如有的单元只读，读/写、或仅执行（代码单元）等不同要求，可以在每个内存字单元中专用几个比特来标记该字单元的属性。其中E表示执行，R表示读，W表示写，OR表示只读,5.2.2 硬件的保护机制,加标记的内存,(4) 分段与分页技术稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程），以模块为单位对程序进行

7、分段，可以实现对程序的不同片段分别保护的目标但各段长度不同，个别段还有尺寸要求增大的要求，内存管理困难分页是把目标程序与内存都划分成相同大小的片段，解决了碎片问题，但没有像段那样完整的意义无法指定各页的访问控制要求将分页与分段技术结合起来使用由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页属于相同段的页还可用密码保护，只有拥有正确的密钥才能访问页,5.2.2 硬件的保护机制,2.运行保护基本要求是：在进程运行的区域内(运行域)实行不同的安全等级的保护机制。图(a)所示的是一个两域(两环)的运行保护，图(b)是多域情况下的运行保护。两环系统的目的是隔离系统运行域与用户运行

8、域。(a)中大写字母表示系统运行域，小写表示用户的运行域,5.2.2 硬件的保护机制,3.I/O保护 I/O操作不是从系统中读，就是向系统中写，所以对I/O保护的应该是对读写的访问控制。 I/O介质输出访问控制最简单的方式是将设备看作一个客体。 4.最小特权管理特权：可违反安全策略的操作能力管理的基本思想：不应该给用户超过执行任务所需要的特权以外的特权。如将超级用户特权划分为一级粒度更细小的特权。以减少各种特权用户的权力系统管理员SSO，审计员AUD，操作员OP，安全操作员SOP，网络管理员(NET),5.2.2 硬件的保护机制,5.安全审计的实现在操作系统的安全内核内部和外部均设置

9、相关的审计点，当用户请示系统服务时，必须经过系统调用，如果能够找到系统调用的总入口(审计点)增加审计控制，就成功地完成了审计。,5.2.2 硬件的保护机制,5.2.3 用户鉴别与口令,用户认证(鉴别)的任务是确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用户。认证用户的方法一般有三种：（1）要求输入一些保密信息，如用户的姓名、通行字或加密密钥等（2）利用用户生物特征，如指纹、声音、视网膜等识别技术对用户进行唯一的识别。（3）稍微复杂一些鉴别方法，如询问应答系统、采用物理识别设备（如访问卡、钥匙或令牌标记）等方法,口令认证方法口令是一种容易实现的用户鉴别方法，破解口令是黑客

10、们攻击系统的常用手段。在实际环境中弱口令比较常见口令的种类鉴别和认证系统用户应该包含输入用户名和口令两个步骤。口令有三种类型静态口令是具有或没有有效期限制可以重用的一般口令。无论是用户自行创建还是系统自动创建，传统（静态）口令都难以记忆。动态口令可以由口令产生设备随时或者根据用户要求更改。一次性（动态）口令只能使用一次。认知口令(类似于密保问题)使用基于事实或基于选项的认知数据做为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测,5.2.3 用户鉴别与口令,是系

11、统安全防护的核心技术常规系统都采用DAC+少量的MAC 访问控制表使用居多具体技术原理参考第二章的内容,5.2.4 访问控制,5.3 Win2000(XP)系统的安全机制简介,Windows 2000(XP)操作系统是建立在一套完整的安全机制上的，因而任何一个机构，在使用Windows 2000(XP)前都必须指定它们的安全策略。这些策略详细说明该机构对登录机制、访问控制、信息保护及审核的要求。用户必须熟知这些机制才能达到安全,1Windows系统的安全组件，包括以下内容自主访问控制(Discretion Access Control) 允许对象所有者控制谁被允许访问该对象以及访问的方

12、式客体重用(Object Reuse) 当资源(内存、磁盘等)被某应用访问时，Windows禁止所有的系统应用访问该资源强制登录(Mandatory log on) 要求所有用户必须登陆，通过认证后才可以访问资源审计(auditing) 在控制用户访问资源的同时，对这些访问做了相应的记录客体的访问控制(Control of Access to Object) 不允许直接访问系统的某些资源，必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问,5.3 Win2000(XP)系统的安全机制简介,Winlogon,GINA,LSA,SSPI,Authentication Packa

13、ges,Security Surpport Provider,Security Account Management,Netlogon,安全支持提供者的接口,提供登录接口,加载GINA，监视认证顺序,本地安全权威，加载认证包,支持额外的验证机制,管理用户账号和口令，以及用户证书的数据库,为网络认证建立安全通道,提供真正的用户校验,5.3 Win2000(XP)系统的安全机制简介,2Windows安全子系统,可用指纹、虹膜等代替,令牌策略账号权限信任关系,1) Winlogon and GINA Winlogon调用GINA DLL，并监视安全认证序列。 GINA DLL提供一个交互式界

14、面为用户登陆提供认证请求 GINA DLL被设计成一个独立的模块，可用指纹、虹膜等更强的认证方式替换之 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrent VersionWinlogon，如果存在GINA DLL键，Winlogon将使用这个DLL 这可以使用户额外配置的GINA，比如指纹读取如果不存在该键，Winlogon将使用默认值MSGINA.DLL,5.3 Win2000(XP)系统的安全机制简介,2)本地安全权威 LSA是一个被保护的子系统，负责以下任务：调用所有的认证包，检查注册表下HKLMSYSTEMCurrentCon

15、trolSetControl LSA下AuthenticationPackages下的值，并调用该DLL进行认证(MSV_1.DLL)。在4.0版本中，Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用,5.3 Win2000(XP)系统的安全机制简介,本地安全权威的功能和作用重新找回本地组的SIDs和用户的权限。创建用户的访问令牌管理本地安装的服务所使用的服务帐号存储和映射用户权限管理审核的策略和设置管理信任关系 3）安全支持提供者的接口微软的该接口很简单地遵循RFC2743和

16、RFC2744的定义，提供一些安全服务的API为应用程序和服务提供请求安全的认证连接的方法,5.3 Win2000(XP)系统的安全机制简介,4) 认证包可以为真实用户提供认证。通过GINADLL上的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。 5) 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种。 Msnsspc.dll：微软网络挑战响应认证模块 Mspsscpc.dll：分布式密码认证挑战响应模块，也可在微软网络中使用 Schannel.dll：该认证模块使用某些证书方式经常在使用SSL和P

17、CT(private communication technology)协议通信的时候用到,5.3 Win2000(XP)系统的安全机制简介,6)网络登录 Netlogon服务必须在通过认证后建立一个安全通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限 7)安全帐户管理器是用来保存用户帐号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的SAM，在域复制的过程中，SAM包将会被复制查看注册表的命令，在命令行上键入regedit,5.3

18、Win2000(XP)系统的安全机制简介,主讲教师：董庆宽研究方向：密码学与信息安全 Email ：手机：15339021227,网教院培训课程：信息系统安全,第六章网络安全,内容提要,6.1 OSI开放系统互联安全体系结构 6.3.1 Kerberos协议应用层安全协议标准 6.3.2 SSL协议传输层与应用层之间 6.3.3 IPSec协议网络层标准,该结构即著名的ISO/OSI安全体系结构。 OSI安全体系结构是一个普遍适用的安全体系结构，其核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全它是国际标准化组织ISO于1989年在对OSI开放系统互联环境的安全性进行深

19、入研究的基础上提出的ISO-7498-2(开放系统互联安全体系结构)和RFC2401/4301 (Internet安全体系结构),即IPSec） ISO-7498-2是七层协议之上的信息安全体系结构，解决互联网络安全问题,6.1 开放系统互联安全体系结构概述,OSI安全体系结构的基本思想是：为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。该体系结构具体提出设计安全信息系统的基础架构中应该包含的五类安全服务(安全功能)；能够对这五类安全服务提供支持的八类安全机制和五种普遍安全机制；三种OSI安全管

20、理方式该体系还将这些服务和机制与七层协议进行映射,6.1 开放系统互联安全体系结构概述,作为网络协议安全体系架构，主要针对的是数据安全，所以提供的五个安全服务也都是针对数据的,6.1 开放系统互联安全体系结构概述,各层安全协议详图,6.2 Kerberos协议,这个过程可以通过如下的例子来理解把西电网络看成一个提供网页、邮件、FTP、数据库等多个服务的网络有一个认证中心在网络中心，负责对每一个用户的登陆认证每一个西电用户都在认证中心注册了自己的账号有一个票据服务器也在网络中心，用于对每一种服务的接入授权。用户必须持有认证中心颁发的票据才能访问票据服务器,6.2 Kerberos协议,

21、用户Alice想要访问西电的FTP服务器，则采用如下步骤（1）如果Alice还未登陆系统，则首先向认证中心认证，完成登陆认证。并请求访问票据许可服务器，认证中心在检验了用户身份后发给Alice一个访问票据许可服务器的票据，如果已经登陆则不需此步骤（2）如果Alice要访问一个服务，如FTP，但还没有被授权访问，则将认证中心的票据及要访问的服务提交给票据许可服务器，认证后票据许可服务器发给Alice一个服务许可票据，用于访问FTP服务器，如果已经有有效票据则不需此步骤。（3）Alice要访问FTP服务，在每次会话建立前，将服务许可票据提交给FTP服务器，验证后即可访问资源,6.2 Kerb

22、eros协议,6.3 安全套接字层SSL协议,SSL(Security Socket Layer)是Netscape公司于1996年推出的基于Web应用的安全协议，它为网络应用层的通信提供了认证、数据保密和数据完整性的服务，较好地解决了Internet上数据安全传输的问题。 SSL的主要目的是为网络环境中两个通信应用进程（Client与Server）之间提供一个安全通道。目前已推出2.0和3.0版本采用公钥密码体制和X.509数字证书技术，进行实体身份认证和会话密钥协商采用对称密码算法加密当前流行的客户端软件(Netcape Navigater,IE)、绝大多数服务器应用(Netsca

23、pe, Microsoft, Apache,Oracle,NSCA)以及证书授权(CA)如VeriSign等都支持SSL,SSL提供的面向连接的安全性的三个基本性质：连接是秘密的(所有C/S间的数据都对称加密) 可认证的(基于公钥的认证) 可靠的(消息的MAC认证),6.3 安全套接字层SSL协议,主讲教师：董庆宽研究方向：密码学与信息安全 Email ：手机：15339021227,网教院培训课程：信息系统安全,第七章应用安全,内容提要,7.1 应用系统中的安全问题概述 7.2 Web安全 7.3 数据库安全,7.1 应用系统中的安全问题概述,应用层是信息系统直接面向用户的层面，保

24、证应用层面的安全应该说是信息系统的最终目的。应用层安全主要是两方面：一是系统提供服务的安全二是相关数据的安全与之相关的是系统应用软件本身的安全和数据的安全,7.1 应用系统中的安全问题概述,应用系统的安全威胁恶意代码是最普遍的威胁；黑客（详见1.3节）在应用系统中，组织为完成自身的业务战略，必然要开发相应的应用软件，独立系统的应用软件的脆弱性可能会表现在三个方面：软件开发过程中的安全问题软件的漏洞管理方面的安全问题,7.1 应用系统中的安全问题概述,1. 软件开发过程的安全问题 (1)开发过程的管理。开发过程主要存在的安全问题有：在开发过程中会泄漏甲方的一些信息；将开发好的软

25、件程序代码泄漏；恶意的软件人员在软件中插入恶意代码或故意留下后门；使软件存在各类错误 (2)开发过程中的技术安全问题。包括开发平台的选择、中间件的选择，开发语言的选择，是否采用了模块化的开发方法，模块大小与集成问题等；安全机制的设置等 (3)分发过程中的安全问题(如何提交给用户) (4)升级维护过程,2.应用软件本身的脆弱性 (1)陷门；(2)漏洞；(3)错误 (4)隐蔽信道：不被用户察觉或不正确的通信路径 (5)由开发工具带来的安全隐患 (6)软件缺少必要的安全机制 (7)脚本语言和程序带来漏洞 (8)在软件中设置逻辑炸弹 (9)缓冲区溢出 3. 可能导致管理方面的安全问题,7.1 应用系统

26、中的安全问题概述,互联网上基于Web的应用层出不穷，安全问题也十分严重，网页篡改、信用卡号被盗、Web服务器上机密信息泄漏、客户端被恶意攻击等等 1. Web安全概述三类安全威胁： 1对Web服务器的安全威胁服务器的操作系统、相关软件存在安全漏洞；服务器端的错误配置 2对Web客户端的安全威胁随意下载；利用浏览器扩展性的攻击(如ActiveX等插件) 3对通信信道的安全威胁 Sniff嗅探破坏机密性，DoS破坏完整性和可用性,7.2 Web安全,2.Web安全控制的基本框架从Web应用程序的基本体系结构方面来说，其安全主要包括3个环节（1）Web服务器及其存储数据的安全如网页防篡改

27、(动态网页、静态网页)，网页数据库安全等等（2）Web服务器和Web浏览器之间的信息传输安全该类安全控制中，一般主要使用SSL协议（3）用户计算机的安全即客户端的安全,7.2 Web安全,3.服务器安全控制 Web服务器安全是Web应用程序安全控制的重点内容，下面讨论几种基本措施。（1）部署防火墙保护Web服务器将Web服务器置于DMZ区是一种主流解决方案（2）Web服务器安全配置(以 Windows IIS5.0为例) 1）IIS的安全机制:以Windows2000 Server操作系统和NTFS文件系统的安全性为基础，提供强大的安全管理和控制功能。访问控制和身份认证是其主要内

28、容。有3种基本途径可以实现服务器资源访问控制：WEB服务器权限控制、文件系统权限控制以及主机访问控制,7.2 Web安全,2）主机访问控制 3）用户身份验证在IIS上有4中身份验证方法：匿名访问；基本身份验证(帐户口令)；摘要身份验证(digest，hash); 集成Windows身份验证(Kerberos v5) 4）Web服务器权限控制读、写、执行、脚本资源访问、目录浏览、日志访问、索引资源等7项控制,7.2 Web安全,4. 客户端安全控制保障Web浏览器的安全性 1）浏览器安全 IE浏览器提供了基本的安全控制功能，如划分安全区域、限制浏览器对某些站点的访问和管理用户信息等

29、。具体如：设置安全选项和内容选项，浏览器插件安全控制； 2）Cookie安全控制是在HTTP协议下，用服务器或脚本维护客户工作站上信息的一种方式，Cookie是由Web服务器保存在用户主机上的小文本文件，可以包含有关用户的信息(如身份识别号码、密码、用户在Web站点购物方式或用户访问该站点的次数)，一般认为这侵犯了用户隐私，但仍广泛的应用随时下载升级或补丁程序，确保不存在任何形式的bug,7.2 Web安全,7.3 数据库系统安全,7.3.1 数据库安全概述 7.3.2 数据库安全控制 7.3.3 数据库的完整性 7.3.4 数据库的并发机制 7.3.5 数据库的备份与恢复,7.3.1数据

30、库安全概述,数据库系统是应用领域最为广泛使用的技术之一。数据库安装在操作系统之上，并为应用层提供直接服务信息系统中的数字信息的安全，多数情况下是指数据库中产生和保存的数据。因此数据库的安全非常重要数据完整性和合法存取会受到很多方面的安全威胁，这些都严重危害信息系统的安全性。因此数据库系统作为信息处理系统中重要系统必须具备高安全性,数据库系统的结构应用层：访问和读取数据的程序和人员管理与控制：对数据库的各种管理功能，认证、访问控制等逻辑结构层：用户视图物理结构层：把概念数据库描述成物理存储数据库方式模式与子模式(视图),7.3.1数据库安全概述,DBMS是数据库管理系统,数据库面

31、临的安全威胁：凡造成数据库内存储数据的非授权访问或写入(增加、删除、修改等)，以及令正常用户不能得到数据服务的情况都是对数据库的威胁，可分为如下几类： 1偶然的，无意的侵犯或破坏，如自然灾害 2软硬件故障/错误导致的数据丢失 3人为失误，如误操作，不正确使用 4蓄意攻击，授权用户滥用权限，黑客(内部、外部)对信息的非正常修改，破坏数据一致性的非法修改以及删除 5病毒、木马、后门、隐蔽通道 6信息非正常扩散，如泄密，利用推理获取机密信息 7绕过DBMS直接对数据进行读写 8. 干扰DBMS正常工作状态，造成DoS,7.3.1数据库安全概述,7.3.2 数据库安全控制,为了保证数据库的安全可靠和

32、正确有效，数据库管理系统DBMS必须提供统一的数据保护功能。数据保护也称为数据控制，主要包括数据库的安全性、完整性、并发控制和恢复 1. 数据库的安全性由于数据库系统的数据量庞大且为多用户存取，安全问题尤其突出。其安全性问题主要是指保护数据库以防止不合法的使用造成数据泄露、更改或破坏数据库安全可分为二类：系统安全性和数据安全性,1. 系统安全性：指在系统级控制数据库的存取和使用的机制。包含: 1) 用户标识和鉴别 2) 存取控制与视图机制基于ACM矩阵的访问控制；基于BLP模型处理多级安全问题(考虑信息流控制) 3) OS环境安全防护,7.3.2 数据库安全控制,4) 视图有了

33、视图机制，就可以在设计数据库应用系统时，对不同的用户定义不同的视图，使机密数据不出现在不应看到这些数据的用户视图上。即通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内。 2数据的安全性：指在对象级控制数据库的存取和使用的机制包含哪些用户可存取指定的模式对象及在对象上允许做哪些操作类型主要方法是加密存储,7.3.2 数据库安全控制,（1）数据库密码系统的选择:可采用对称加密体制（2）数据库加密的范围要能够随机读取，不能对整个数据库文件整体加密如使用CTR分组链接模式数据库中不能加密的部分包括：索引字段、关系运算的比较字段、表间的连接码字段（

34、3）数据库加密对数据库管理系统原有功能的影响加密后DBMS的一些功能将无法使用如无法实现排序、分组和分类等,7.3.2 数据库安全控制,7.3.3 数据库的完整性,数据库的完整性是指数据的正确性和相容性。如学号的唯一性，性别的二元性，年龄有范围等数据的完整性和安全性是两个不同的概念。前者是为了防止数据库中存在不符合语义的数据，防止错误信息的输入和输出，而后者是保护数据库防止恶意的破坏和非法的存取。因此，安全性措施的防范对象是非法用户和非法操作，完整性措施的防范对象是不合语义的数据，二者密切相关 DBMS中检查数据是否满足完整性条件的机制称为完整性检查。增加对字段值的录入或更新的检查功能

35、完整性控制包含三个方面：设置触发器、两阶段提交、纠错与恢复,1设置触发器触发器可以完成以下功能：（1）检查取值类型与范围：检查每个字段输入数据的类型与该字段的类型是否一致；（2）依据状态限制：指为保证整个数据库的完整性而设置的一些限制，数据库的值在任何时候都不应该违反这些限制；如一个班中只能有一个是班长，学号不能重复等（3）依据业务限制：指为了使数据库的修改满足数据库存储内容的业务要求，而作出相应的限制。如一个班的人数上限将限制增加新的录入人员的数目,7.3.3 数据库的完整性,2两阶段提交为了保证数据更新结果的正确性，必须防止在数据更新过程中发生处理程序中断或出现错误，

36、导致仅更新了部分字节等情况。解决这个问题的办法是在DBMS中采用两阶段提交(更新)技术。第一阶段称为准备阶段。收集为完成更新所需要的信息和其他资源，为最后更新做好准备，但不对数据库做实际更改。最后提交需要向数据库写的一个提交标志给DBMS，如果中断该过程可重复第二阶段的工作是对需要更新的字段进行真正地修改，这种修改是永久性的。如果更新出现问题，DBMS对所有操作都撤销，并恢复到本次修改前的状态，这样数据库又是完整的了两个阶段合称一个“事务”，事务是指一个逻辑操作单元，使数据从一个状态变换到另一个状态,3纠错与恢复许多DBMS提供数据库数据的纠错功能，主要方法是采用冗余的办法，下面介

37、绍几种冗余纠错的技术：（1）附加校验纠错码在单个字段或整个数据库后附加一段冗余信息，用作奇偶校验位、海明校验码或循环冗余校验(CRC)，需要的冗余存储空间最小。（2）使用镜像技术对整个字段、整个记录或整个数据库做备份，安全性强，但需要双倍存储空间（3）建立数据库日志记录用户每次访问数据库的情况以及数据库记录每次发生的改变。安全特性更好，但更为复杂，需要的存储空间更多,7.3.3 数据库的完整性,7.3.4 数据库的并发控制,数据库系统通常支持多用户同时访问数据库，为了有效地利用数据库资源，可能多个程序或一个程序的多个进程并行地运行，这就是数据库的并发操作。当多个用户同时读写同一

38、个字段的时候，会存取不正确的数据，或破坏数据库数据的一致性。DBMS提供解决冲突的机制。如加锁/解锁。数据不一致总是由两个因素造成：一是对数据的修改，二是并发操作的发生。,并发操作带来的数据不一致性包括三类： 1丢失修改(Lost Update) 两个事务T1和T2读入同一数据并修改，T2提交的结果破坏了T1提交的结果，导致T1修改消失 2不可重复读(Non-Repeatable Read) 事务T1读取数据后，事务T2执行更新操作，使T1无法再现前一次读取的结果。T2修改的影响导致三种情况： T1再次读取时，得到值与前一次不同；按相同条件再次读取时发现某些记录消失；或者多了一些记录；

39、后两种情况也称为幻影现象phantom row,7.3.4 数据库的并发控制,3读“脏”数据(Dirty Read) 事务T1修改某一数据，写回磁盘，T2读取同一数据后，T1由于某种原因被撤销，其修改的数据被恢复原值，T2读到的数据与数据库中的数据不一致，读到的数据被称为“脏”数据并发控制的主要技术是封锁locking，即为读、写用户分别定义“读锁”和“写锁”，加了读锁则其它用户只能读目标。加了写锁则任何其它用户都不能读写目标。封锁也会导致死锁,7.3.4 数据库的并发控制,7.3.5 数据库的备份与恢复,数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态(亦称为一致状态或完整

40、状态)的功能，这就是数据库的恢复 2 恢复的实现技术恢复机制涉及两个关键问题：如何建立冗余数据；如何利用这些冗余数据实施恢复。建立冗余的常用方法是数据转储和登记日志，二者结合,（1）数据转储定期保存副本。分为静态转储(在系统中无运行事务时进行)和动态转储；也可分为海量转储(每次转储全部数据库)和增量转储；以上两种分类方式组合，可得四种转储方式：如动态海量转储（2）登记日志以记录为单位的日志文件或以数据块为单位的日志文件为保证可恢复性，登记日志文件必须遵循两条原则：严格按并发事务执行的时间次序；必须先写日志文件，后写数据库,7.3.5 数据库的备份与恢复,（3）数据库的镜像mir

41、ror 大型数据库一般对关键数据和日志文件镜像对于介质故障具有很好的防御作用关键数据库可实施远程备份只要DBMS保持一切事务的原子性、一致性、隔离性和持续性，就保持了数据库处于一致的状态登记日志和镜像合起来安全性最高,7.3.5 数据库的备份与恢复,主讲教师：董庆宽研究方向：密码学与信息安全 Email ：手机：15339021227,网教院培训课程：信息系统安全,第八章管理安全,内容提要,8.1 BS7799标准与信息系统安全管理 8.2 风险评估,8.1 BS7799标准与信息系统安全管理,信息安全管理概述 BS7799标准简介信息安全管理实施细则信息安全管理体系规范

42、BS7799认证过程,8.1.1 信息安全管理概述,信息安全的成败取决于两个因素：技术和管理。三分技术，七分管理安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。信息安全管理（Information Security Management）信息安全管理作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。,基于风险分析的安全管理方法是当前的主流方法首先制定信息安全策略方针，为信息安全管理提供导向和支持进行风险评估和风险管理安全控制的要求应针对每项资产所面临的威胁、存在

43、的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。这是信息安全管理的基础控制目标和方式选择，应以风险评估为基础风险控制和处理上考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平需要全员参与来保证安全保证,8.1.1 信息安全管理概述,信息安全管理要遵循管理的一般模式 PDCA信息安全管理模型,根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施，改进安全状况。,依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。,8.1.1 信息安全管理概述,什么是BS7799？英国标准协会（

44、British Standards Institute，BSI）制定的信息安全标准。由信息安全方面的最佳惯例组成的一套全面的控制集。信息安全管理方面最受推崇的国际标准 BS 7799的目的 “为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信“。,8.1.2 BS7799标准简介,8.1.3 信息安全管理实施细则,信息安全策略安全组织资产分类和控制人员安全物理和环境安全通信和操作管理访问控制系统获得、开发和维护信息安全事件管理业务连续性管理符合性,ISO 177

45、99:2005内容框架,第一部分是信息安全管理实施细则（Code of Practice for Information Security Management），,8.1.3 信息安全管理实施细则,1. 信息安全策略,目标：信息安全策略为信息安全提供与业务需求和法律法规相一致的管理指示及支持安全策略应该做到：对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则、标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程,8.1.3 信息安全管理实施细则,2. 安全组织,目标：信息安全基础设施在组织内部管理信息安全外部组织保持

46、组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全包含的内容：建立管理委员会，定义安全管理的角色和责任对软硬件的采购建立授权过程与第三方签订的协议中应覆盖所有相关的安全要求。外包合同中的安全需求包括内部组织和外部伙伴,8.1.3 信息安全管理实施细则,3. 资产管理,目标：资产责任实现并保持组织资产的适当保护信息分类确保对信息资产的保护达到恰当的水平包含的内容：组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。按照信息资产所属系统或所在部门列出资产清单。所有的信息资产都应该具有指定的属主并且可以被追溯责任。信息应该被分类，以标明其需求、优先级和保

47、护程度。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。,8.1.3 信息安全管理实施细则,4. 人力资源安全,目标：雇佣前确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。雇佣中确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。解聘和变更确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。包含的内容：故意或者无意的人为活动可能给数据和系统造成风险在正式的工作描述中建立安全责任，员工入职审查,8.1.3

48、信息安全管理实施细则,5. 物理和环境安全,目标：安全区域防止非授权访问、破坏和干扰业务运行的前提条件及信息。设备安全预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。包含的内容：应该建立带有物理入口控制的安全区域应该配备物理保护的硬件设备应该防止网络电缆被塔线窃听将设备搬离场所，或者准备报废时，应考虑其安全,8.1.3 信息安全管理实施细则,6. 通信和操作管理,目标：操作程序和责任确保信息处理设施的正确和安全操作。第三方服务交付管理实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。系统规划与验收减少系统失效带来的风险。防范恶意代码和移动代码保护软件和

49、信息的完整性。备份保持信息和信息处理设施的完整性和可用性网络安全管理确保对网络中信息和支持性基础设施的安全保护。介质处理和安全防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。信息和软件的交换应保持组织内部或组织与外部组织之间交换信息和软件的安全。电子商务服务确保电子商务的安全及他们的安全使用。监督检测未经授权的信息处理活动。包含的内容：防病毒，防恶意软件；进行变更控制做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性电子邮件安全性；保护传输中的数据,8.1.3 信息安全管理实施细则,7. 访问控制,目标：访问控制的业务需求控制对信息的访问。用户访问管理确保授权用户的访问，并预防信息系统的非授权访问。用户责任预防未授权用户的访问，信息和信息处理设施的破坏或被盗。网络访问控制防止对网络服务未经授权的访问。操

展开阅读全文