ch6 操作系统与数据库安全技术

第六章操作系统与数据库安全技术第6章操作系统与数据库安全技术内容提要：访问控制技术操作系统安全技术Unix/Linux系统安全技术Windows2000/XP系统安全技术数据库安全概述数据库安全机制数据库安全技术本章小结第六章操作系统与数据库安全技术访问控制是实现既定安全策略的系统安全技术，它可以显式地管理着对所有资源的访问请求。根据安全策略的要求，访问控制对每个资源请求做出许可或限制访问的判断，可以有效地防止非法用户访问系统资源和合法用户非法使用资源。美国国防部的可信计算机系统评估标准（TESEC）把访问控制作为评价系统安全的主要指标之一。返回本章首页第六章操作系统与数据库安全技术在信息安全涵盖的众多领域，操作系统安全是信息安全的核心问题。操作系统安全是整个计算机系统安全的基础，采用的安全机制主要包括两个方面，即访问控制和隔离控制，其中访问控制是其安全机制的关键。数据库系统是对数据资料进行管理的有效手段，许多重要的数据资料都存储于各种类型的数据库中。因此数据库的安全问题在整个信息安全体系中占用重要地位。数据库安全主要从身份认证、访问控制、数据加密等方面来保证数据的完整性、可用性、机密性，其中应用最广且最为有效的当属访问控制。返回本章首页第六章操作系统与数据库安全技术6.1访问控制技术计算机信息系统访问控制技术最早产生于上个世纪60年代，随后出现了两种重要的访问控制技术，即自主访问控制DAC和强制访问控制MAC。但是，作为传统访问控制技术，它们已经远远落后于当代系统安全的要求，安全需求的发展对访问控制技术提出了新的要求。近年来的研究工作一方面是对传统访问控制技术的不足进行改进，另一方面则出现了以基于角色的访问控制技术RBAC为代表的新型技术手段。返回本章首页第六章操作系统与数据库安全技术6.1.1认证、审计与访问控制在讨论传统访问控制技术之前，先就访问控制与认证、审计之间的关系，以及访问控制的概念和内涵进行概要说明。在计算机系统中，认证、访问控制和审计共同建立了保护系统安全的基础，如图6-1所示。其中认证是用户进入系统的第一道防线，访问控制则在鉴别用户的合法身份后，通过引用监控器控制用户对数据信息的访问。审计通过监视和记录系统中相关的活动，起到事后分析的作用。返回本章首页第六章操作系统与数据库安全技术图6-1访问控制与其他安全服务关系模型安全管理员用户认证访问控制审计引用监控器客体授权数据库返回本章首页第六章操作系统与数据库安全技术区别认证和访问控制是非常重要的。正确地建立用户的身份标识是由认证服务实现的。在通过引用监控器进行访问控制时，总是假定用户的身份已经被确认，而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制。同时要认识到，访问控制不能作为一个完整的策略来解决系统安全，它必须要结合审计而实行。审计控制主要关注系统所有用户的请求和活动的事后分析。返回本章首页第六章操作系统与数据库安全技术所谓访问控制（AccessControl）就是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过访问控制服务，可以限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。访问控制是实现数据保密性和完整性机制的主要手段。返回本章首页第六章操作系统与数据库安全技术访问控制系统一般包括：主体（subject）：指发出访问操作、存取请求的主动方，它包括用户、用户组、终端、主机或一个应用进程，主体可以访问客体。客体（object）：指被调用的程序或欲存取的数据访问，它可以是一个字节、字段、记录、程序、文件，或一个处理器、存储器及网络节点等。安全访问政策：也称为授权访问，它是一套规则，用以确定一个主体是否对客体拥有访问能力。返回本章首页第六章操作系统与数据库安全技术在访问控制系统中，区别主体与客体是比较重要的。通常主体发起对客体的操作将由系统的授权来决定，并且，一个主体为了完成任务可以创建另外的主体，并由父主体控制子主体。此外，主体与客体的关系是相对的，当一个主体受到另一主体的访问，成为访问目标时，该主体便成了客体。访问控制规定了哪些主体可以访问，以及访问权限的大小，其一般原理如图6-2所示。返回本章首页第六章操作系统与数据库安全技术图6-2访问控制原理图访问控制实施功能客体主体决决决决决决决决决决决决决决决决返回本章首页第六章操作系统与数据库安全技术在主体和客体之间加入的访问控制实施模块，主要用来负责控制主体对客体的访问。其中，访问控制决策功能块是访问控制实施功能中最主要的部分，它根据访问控制信息作出是否允许主体操作的决定，这里访问控制信息可以存放在数据库、数据文件中，也可以选择其它存储方法，且要视访问控制信息的多少及安全敏感度而定。其原理如图6-3所示。返回本章首页第六章操作系统与数据库安全技术图6-3访问控制决策功能示意图决决决决决决决决决决决决决决决决决决决决决决决决决决决决决决决决决决决返回本章首页第六章操作系统与数据库安全技术6.1.2传统访问控制技术1．自主访问控制DAC及其发展DAC是目前计算机系统中实现最多的访问控制机制，它是在确认主体身份以及（或）它们所属组的基础上对访问进行限定的一种方法。传统的DAC最早出现在上个世纪70年代初期的分时系统中，它是多用户环境下最常用的一种访问控制技术，在目前流行的Unix类操作系统中被普遍采用。其基本思想是，允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。返回本章首页第六章操作系统与数据库安全技术上个世纪70年代末，M.H.Harrison，W.L.Ruzzo，J.D.Ullma等对传统DAC做出扩充，提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的HRU访问控制模型，并设计了安全管理员管理访问权限扩散的描述语言。到了1992年，Sandhu等人为了表示主体需要拥有的访问权限，将HRU模型发展为TAM（TypedAccessMatrix）模型，在客体和主体产生时就对访问权限的扩散做出了具体的规定。随后，为了描述访问权限需要动态变化的系统安全策略，TAM发展为ATAM（AugmentedTAM）模型。返回本章首页第六章操作系统与数据库安全技术2．强制访问控制MAC及其发展MAC最早出现在Multics系统中，在1983美国国防部的TESEC中被用作为B级安全系统的主要评价标准之一。MAC的基本思想是：每个主体都有既定的安全属性，每个客体也都有既定安全属性，主体对客体是否能执行特定的操作取决于两者安全属性之间的关系。通常所说的MAC主要是指TESEC中的MAC，它主要用来描述美国军用计算机系统环境下的多级安全策略。在多级安全策略中，安全属性用二元组（安全级，类别集合）表示，安全级表示机密程度，类别集合表示部门或组织的集合。返回本章首页第六章操作系统与数据库安全技术一般的MAC都要求主体对客体的访问满足BLP（BellandLaPadula）安全模型的两个基本特性：（1）简单安全性：仅当主体的安全级不低于客体安全及且主体的类别集合包含客体的类别集合时，才允许该主体读该客体。（2）*–特性：仅当主体的安全级不高于客体安全级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。返回本章首页第六章操作系统与数据库安全技术为了增强传统MAC的完整性控制，美国SecureComputing公司提出了TE（TypeEnforcement）控制技术，TE技术在SecureComputing公司开发的安全操作系统LOCK6中得到了应用。ChineseWall模型是Brewer和Nash开发的用于商业领域的访问控制模型，该模型主要用于保护客户信息不被随意泄漏和篡改。它是应用在多边安全系统中的安全模型。返回本章首页第六章操作系统与数据库安全技术6.1.3新型访问控制技术1．基于角色的访问控制RBACRBAC（Role-BasedAccessControl）的概念早在20世纪70年代就已经提出，但在相当长的一段时间内没有得到人们的关注。进入90年代后，随着安全需求的发展加之R.S.Sandhu等人的倡导和推动，RBAC又引起了人们极大的关注，目前美国很多学者和研究机构都在从事这方面的研究，如NIST（NationalInstituteofStandardTechnology）和GerogeManson大学的LIST（LaboratoryofInformationSecurityTechnololy）等。返回本章首页第六章操作系统与数据库安全技术自1995年开始，美国计算机协会ACM每年都召开RBAC的专题研讨会来促进RBAC的研究，图6-4给出了RBAC的结构示意图。在RBAC中，在用户（user）和访问许可权（permission）之间引入了角色（role）的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系。这里所谓的角色就是一个或是多个用户可执行的操作的集合，它体现了RBAC的基本思想，即授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。返回本章首页第六章操作系统与数据库安全技术图6-4RBAC的结构示意图约束角色用户项目角色项目权限角色分层用户分配会话项目角色分层用户分配项目权限分配权限权限分配返回本章首页第六章操作系统与数据库安全技术迄今为止已发展了四种RBAC模型：（1）基本模型RBAC0，该模型指明用户、角色、访问权和会话之间的关系；（2）层次模型RBAC1，该模型是偏序的，上层角色可继承下层角色的访问权；（3）约束模型RBAC2，该模型除包含RBAC0的所有基本特性外，增加了对RBAC0的所有元素的约束检查，只有拥有有效值的元素才可被接受；（4）层次约束模型RBAC3，该模型兼有RBAC1和RBAC2的特点。返回本章首页第六章操作系统与数据库安全技术RBAC具有五个明显的特点：（1）以角色作为访问控制的主体（2）角色继承（3）最小权限原则（4）职责分离（5）角色容量与DAC和MAC相比，RBAC具有明显的优越性，RBAC基于策略无关的特性，使其几乎可以描述任何安全策略，甚至DAC和MAC也可以用RBAC来描述。返回本章首页第六章操作系统与数据库安全技术2．基于任务的访问控制TBACTBAC（Task-BasedAccessControl）是一种新的安全模型，从应用和企业层角度来解决安全问题（而非已往从系统的角度）。它采用“面向任务”的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。在TBAC中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化，这是我们称其为主动安全模型的原因。返回本章首页第六章操作系统与数据库安全技术3．基于组机制的访问控制1988年，R.S.Sandhu等人提出了基于组机制的NTree访问控制模型，之后该模型又得到了进一步扩充，相继产生了多维模型N_Grid和倒树影模型。NTree模型的基础是偏序的维数理论，组的层次关系由维数为2的偏序关系（即NTree树）表示，通过比较组节点在NTree中的属性决定资源共享和权限隔离。返回本章首页第六章操作系统与数据库安全技术6.1.4访问控制的实现技术访问控制的实现技术是指为了检测和防止系统中的未授权访问，对资源予以保护所采取的软硬件措施和一系列的管理措施等手段。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体，它贯穿于系统工作的全过程，是在文件系统中广泛应用的安全防护方法。访问控制矩阵（AccessControlMatrix）是最初实现访问控制技术的概念模型。返回本章首页第六章操作系统与数据库安全技术由于访问控制矩阵较大，并且会因许多主体对于大多数客体不能访问而造成矩阵变得过于稀疏，这显然不利于执行访问控制操作，因此，现实系统中通常不使用访问控制矩阵，但可在访问控制矩阵的基础上实现其它访问控制模型，这主要包括：基于访问控制表（AccessCont