第五章：操作系统与数据库安全.ppt

第五章 操作系统与数据库安全 提纲 操作系统安全的基本概念Windows系统安全UNIX Linux系统安全数据库系统安全 什么是操作系统 用户使用计算机时 直接操作计算机系统硬件是不方便也不现实的 这就需要一种计算机使用者和计算机硬件间的中间媒介 操作系统就是这一媒介操作系统的功能一般包括处理器管理 存储管理 文件管理 设备管理和作业管理等处理器管理功能是根据一定的策略将处理器交替地分配给系统内等待运行的程序存储管理功能是管理内存资源 主要实现内存的分配与回收 存储保护以及内存扩充文件管理向用户提供创建文件 撤销文件 读写文件 打开和关闭文件等功能设备管理负责分配和回收外部设备 以及控制外部设备按用户程序的要求进行操作作业管理功能是为用户提供一个使用系统的良好环境 使用户能有效地组织自己的工作流程 并使整个系统高效地运行 操作系统的安全要素 操作系统的安全是计算机系统安全的基础 高安全性操作系统要求自身在任何环境下都能安全可靠地运行 对安全性的要求非常严格 通用操作系统必需的安全性功能包括 1 用户认证 Authenticationofusers 2 存储器保护 Protectionofmemory 3 文件和I O设备的访问控制 FileandI Odeviceaccesscontrol 4 对一般目标的定位和访问控制 Allocationandaccesscontroltogeneralobjects 5 共享的实现 Enforcementofsharing 6 保证公平服务 Guaranteeoffairservice 7 内部进程间通信的同步 Interprocesscommunicationandsynchronization 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 为了将无意的或恶意的攻击所造成的损失降低到最低限度 每个用户和程序必须按照 需知 原则 尽可能使用最小特权进行操作 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 系统的设计应该小而简单 且直截了当 保护系统可以被穷举测试 或者被验证 因而可以信赖 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 保护机制不能依赖于潜在攻击者的无知 保护机制应该是公开的 公开设计还可以接受广泛的公开审查 安全性不依赖于保密 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 每个存取行为必须经过检查 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 默认的条件应该是拒绝访问 保守的设计应标识哪些应该是可存取的 而不是标识哪些是不可存取的 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 理想情况下 对实体的存取应该依赖于多于一个的条件 如用户身份鉴别加上密钥 这样 侵入保护系统的攻击者将不能掌握了一个条件就拥有了对全部资源的存取权限 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 可共享实体提供了信息流的潜在通道 系统为防止这种共享的威胁应该采取物理或逻辑分离的方法 什么是安全操作系统 安全性更高的操作系统 它需要处理更多的任务 要控制和管理系统中数据的存取 程序的运行和外部设备的工作 还要使负载最小以至于不减慢计算的速度设计安全操作系统应该遵循的一些原则最小特权操作系统中保护机制的经济性开放设计严密完整的检查基于许可的模式特权分离最少的通用机制便于使用 设计的安全机制应尽可能方便用户使用 Windows系统安全 Windows系统帐号管理WindowNT资源安全管理Windows网络安全管理 Windows系统安全 Windows系统帐号管理WindowNT资源安全管理Windows网络安全管理 Windows系统登录流程 注册 WinLogon 模块产生WinLogon进程 显示对话框 要求用户输入用户名 密码 服务器 域名系统将用户信息通过安全系统传输到SAM 并对用户身份进行确认安全帐号管理器把用户的登录信息与服务器里的安全帐号管理数据库进行比较 如果两者匹配 服务器将通知工作站允许用户进行访问Winlogon进程将调用Win32子系统 子系统为用户产生一个新的进程LSA开始构建访问令牌 AccessToken 与用户进行的所有操作相连 用户进行的操作与访问令牌一起构成一个主体当用户要求访问一个对象时 主体的访问令牌的内容将与对象的存取控制列表通过一个有效性访问程序进行比较 这个程序将决定接受或拒绝用户的访问要求 Windows系统帐号管理 Windows系统的用户帐号 UserAccounts 安全是Windows系统安全的核心 每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号 而一个用户可以拥有一个或几个帐号 以不同的访问等级和访问权限共享工作组或域中的资源 Windows系统的用户帐号有两种基本类型 全局帐号 GlobalAccounts 本地帐号 LocalAccounts 全局帐号有时又称为域帐号 DomainAccounts 全局帐号主要是用于网络环境中的操作系统用户认证如果有多个域可用 网络中的每个用户在一个域中最好只有一个全局帐号 这样用户只需要一个密码 Windows系统帐号管理 Windows系统的用户帐号 UserAccounts 安全是Windows系统安全的核心 每个要访问Windows系统控制的资源的用户必须由系统管理员建立一个帐号 而一个用户可以拥有一个或几个帐号 以不同的访问等级和访问权限共享工作组或域中的资源 Windows系统的用户帐号有两种基本类型 全局帐号 GlobalAccounts 本地帐号 LocalAccounts 本地帐号是在用户本地域使用的帐号 也是用户日常使用最频繁的系统本机帐号 本地用户组 域用户组 用户组 Windows系统中将相同性质的帐号归类成一个组 即用户组本地用户组本地组的一部分 也可以叫标准本地组具有相同权限的本地用户帐号的集合域用户组具有相同权限的域用户帐号的集合关系都是Windows系统中用户组概念的具体延伸 没有交叉关系Windows的用户组组可以分为全局组 本地组和特殊组 除去本地组中的一部分认为是本地用户组外 其他主要是在域环境下使用的 都是域用户组 WindowNT资源安全管理 文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份 文件系统的安全分为四个基本部分 共享权限 SharePermisson 目录权限 DirectoryPermission 审计 Auditing 所有者 Ownership 其中安全性要求最高的是共享权限的设置远程访问共享目录中的目录和文件 必须能够同时满足共享的权限设置和文件目录自身的权限设置 用户对共享所获得的最终访问权限将取决于共享的权限设置和目录的本地权限设置中最严格的条件 应用程序安全建立一个或少许几个应用程序的安装和工作目录 然后赋予这些目录以较为严格的权限管理 建议赋予这些目录以下的权限 用户组AppUsers以Read的权限用户组AppInstallers以Change的权限用户组Administrator以FullControl的权限用户主目录安全建立一个公共的目录作为用户主目录的根目录 分别建立用户的子目录 采用用户的简称等易于识别的名字作为用户子目录名 再赋予以下权限 用户 组 UserName以FullControl的权限用户 组 Administrator以FullControl的权限 WindowNT资源安全管理 文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份 WindowNT资源安全管理 文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份 保障注册表安全可以归结为三条删除注册表编辑器设置注册表本地访问权限限制注册表远程访问HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SecurePipeServers Winreg如果这个关键字存在 那么就将考虑强制限制远程的注册表编辑权限 以防止用户对注册表的不适当远程访问 WindowNT资源安全管理 文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份 WindowNT资源安全管理 文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份 Windows系统中的审计日志分为三种 系统日志 SystemLog 安全日志 SecurityLog 应用程序日志 ApplicationsLog 系统日志是Windows系统组件记录的事件日志安全日志记录安全事件的事件日志 一般数量不多应用程序日志是由应用程序记录的事件日志 WindowNT资源安全管理 文件系统和共享资源的安全设置应用程序和用户主目录安全打印机安全注册表安全审核策略及日志硬盘空间管理和数据备份 用户磁盘控件限制数据备份 Windows网络安全管理 网络连接安全Windows防火墙远程访问设置 关闭不必要的服务 端口IIS的安全管理 网络连接安全 隐藏网上邻居注册表中的HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer表项中的DWORD串值命名为NoNetHood 同时值设为1隐藏网络图标打开系统文件control ini 在 don tload 设置段处 输入 netcpl cpl no 禁用网上邻居属性移除c windows system下的netcpl cpl或者给netcpl cpl改名取消网络访问权限注册表HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Network表项中的DWORD串值命名为NoNetHood 同时值设为1 Windows防火墙 Windows防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机 可以准许阻止或取消阻止某些连接请求 可以创建安全日志用作故障诊断工具 但该防火墙不能检测或禁用计算机病毒和蠕虫 如果计算机已经感染 也不能阻止用户打开带有危险附件的电子邮件 不能阻止垃圾邮件或主动提供的电子邮件出现在收件箱中 所以Windows防火墙不能完全取代防病毒软件或反垃圾邮件软件的作用 远程访问 在Windows系统中 通过将 路由和远程访问 配置为远程访问服务器 可以将远程或移动工作人员连接到组织网络上 但远程访问服务从产生开始就存在一些安全隐患 在给远程合法用户提供方便的同时 也给黑客们提供了一条远程入侵系统的路径 所以必须要制定远程访问控制方案确保远程访问权限的安全性确保远程交换数据的完整性确保敏感数据传输的机密性确保事件能够安全审计做好安全策略设置 设置 关闭不必要的服务 端口 计算机使用中 用户安装的许多软件会在系统启动时自动加载一些服务 运行services msc可以看到 Windows系统本身也有一些这样的服务 正常情况下 不会使用所有服务 如果加载的服务过多不但会引起计算机资源的浪费 更为严重的是 其中的某些服务一旦开放 存在着严重的安全漏洞 IIS的安全管理 Internet信息服务 InternetInformationServices 简称IIS 是Windows系统中集成的Web服务器 IIS支持HTTP FTP NNTP NetworkNewsTransportPtotocol 网络新闻传输协议 简称NNTP SMTP协议 保障IIS安全的主要方式有以下几种 利用NTFS与IIS相结合的权限管理方式限制 匿名 Web访问者的权限 禁用所有不必要的服务 Web开放服务以外 并关闭相应端口 保护Web站点主目录wwwroot 删除IIS安装中的额外目录 UNIX Linux系统安全 UNIX Linux帐号管理UNIX Linux访问控制UNIX Linux资源安全管理UNIX Linux网络服务安全 UNIX的系统结构 由用户层 内核层和硬件层三个层次组成两个执行态 核心态和用户态用户态下的进程只能存取它自己的指令和数据 而不能存取内核和其它进程的指令和数据保证特权指令只能在核心态执行 像中断 异常等在用户态下不能使用用户程序可以通过系统调用进入核心 运行系统调用后 又返回用户态 安全性 Linux系统vsWindows系统 开发方式 错误暴露 开放vs不公开远程程序调用 防火墙设置 限制vs大量使用权限 被利用 某些第三方Windows应用软件需要管理员的权限才能正确运行软件 利用这些软件发起的病毒攻击的破坏性极大Windows具有易学易用性 同时需要兼容不安全的老版本的软件 这些对于系统安全也是一个不利的因素 安全漏洞数量 美国计算机应急反应小组测评报告表明Windows似乎安全漏洞更多微软的Windows出现了250次安全漏洞 其中有39个安全漏洞的危险程度达到了40分或者40分以上 40分以上为危险性极大的系统漏洞 RedHatLinux同时间只发现46次安全漏洞 其中只有3个安全漏洞的危险程度在40分以上 帐号管理 Root帐号root帐号被操作系统用来执行基本的任务 比如登录 记录审计信息或者访问I O设备等特权用户几乎可以做任何事情 特权用户可以变为任何别的用户 可以改变系统时钟 可以绕过施加于他的某些限制正是由于特权用户如此强大 因此它也成为UNIX的一个主要弱点处于特权用户状态的攻击者实际上接管了整个系统 必须采取每一个可能的防范措施来控制普通用户获得特权用户状态禁止预置帐号组管理策略用户密码安全 帐号管理 Root帐号禁止预置帐号Linux操作系统中也存在一些不必要的预置帐号 如果不需要这些帐号 就把它们删掉系统中有越多这样的帐号 就越容易受到攻击组管理策略用户密码安全 帐号管理 Root帐号禁止预置帐号组管理策略将用户分组是UNIX Linux系统对权限进行管理的一种方式早期的系统中一个用户只能属于某一个组 后来的系统中 一个用户可以同时属于多个用户组用户隶属于一个或多个组文件 etc group包括了属组的列表 其中的表项格式 groupname grouppassword GID listofusers用户密码安全 帐号管理 Root帐号禁止预置帐号组管理策略用户密码安全密文存放在 etc passwd文件中 username encryptedpassword userID groupID IDstring homedirectory loginshell字段IDstring是用户的全名userID UID 是指用户的IDgroupID GID 指的是组的ID 最后两个字段指明了用户的主目录和成功登录后可用的Shell 要点 Windows系统帐号的分类WindowNT资源管理Windows网络服务的设置UNIX Linux帐号管理 数据库安全 数据库安全概述数据库基本安全机制数据库加密数据库安全性管理数据库安全级别主流数据库的安全常见的数据库攻击与防范数据库恢复 数据库安全概述 数据库 分为两个部分来理解 一部分是数据库 指按一定的方式组织和存放数据另一部分是数据库管理系统 DatabaseManagementSystem 简称DBMS 为用户及应用程序提供数据访问界面 并具有对数据库进行管理 维护等多种功能数据库安全的两个层次数据库系统运行的安全 采取一系列措施保障DBMS的正常运行 如机房 硬件 操作系统等数据库系统的信息安全 保障数据库存放的信息的私有性 如认证 审计 访问控制等 第一个层次的安全含义 主要侧重在保障数据的完整性或者数据安全的环境因素方面 第二个层次的安全 则更多和数据的私有性相关 侧重于怎样保证只有合法的 或经授权的用户才能访问到数据 数据库基本安全机制 数据库系统安全在技术上可以依赖于两种方式 DBMS安全 本身提供的用户认证 基于角色访问控制 数据访问授权以及审计等管理措施应用程序安全 实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计 用户名 口令证书 数据库基本安全机制 数据库系统安全在技术上可以依赖于两种方式 DBMS安全 本身提供的用户认证 基于角色访问控制 数据访问授权以及审计等管理措施应用程序安全 实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计 数据库登录权限类只能查阅部分数据库信息 不能改动数据库中的任何数据资源管理权限类创建数据库表 索引 在权限允许的范围内修改 查询数据库等数据库管理员权限类具有数据库管理的全部权限不同的DBMS 可能对用户角色的定义不尽相同 权限划分的细致程度也远超过上面三种基本的类型 数据库基本安全机制 数据库系统安全在技术上可以依赖于两种方式 DBMS安全 本身提供的用户认证 基于角色访问控制 数据访问授权以及审计等管理措施应用程序安全 实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计 基于角色的访问控制对数据对象的访问控制数据库级别 表级 行级 属性级访问控制的两个基本原则隔离原则 用户只能存取他所有的和已经取得授权的数据对象控制原则 用户只能按他所取得的数据存取方式存取数据 不能越权存取权限Read Update Alter Insert Delete Drop 数据库基本安全机制 数据库系统安全在技术上可以依赖于两种方式 DBMS安全 本身提供的用户认证 基于角色访问控制 数据访问授权以及审计等管理措施应用程序安全 实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计 视图可以被看成是虚拟表或存储查询 通过定义不同的视图及有选择地授予视图上的权限 可以将用户 组或角色限制在不同的数据子集内将访问限制在基表中行的子集内将访问限制在基表中列的子集内将访问限制在基表中列和行的子集内将访问限制在符合多个基表联接的行内将访问限制在基表中数据的统计汇总内将访问限制在另一个视图的子集内或视图和基表组合的子集内 数据库基本安全机制 数据库系统安全在技术上可以依赖于两种方式 DBMS安全 本身提供的用户认证 基于角色访问控制 数据访问授权以及审计等管理措施应用程序安全 实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计 审计 Audit 是一种事后监督的手段 它用来监视用户对数据库施加的动作对数据对象的访问控制根据审计对象的区分 有两种方式的审计 用户审计 记下所有对自己表或视图进行访问的企图及每次操作的用户名 时间 操作代码等信息系统审计 记录系统一级命令以及数据对象的使用情况 数据库加密 加密机制对称密码系统vs公钥密码系统多级密钥结构 库名 表名 记录名和字段名加密范围索引字段一般不加密关系运算的比较字段一般不加密表间的连接码字段一般不加密加密对DBMS的影响无法实现对数据制约因素的定义密文数据的排序 分组和分类SQL语言中的内部函数将对加密数据失去作用DBMS的一些应用开发工具的使用受到限制 主流数据库安全 主流数据库包括 Oracle SQLServer Sybase国内安全数据库可信COBASE 达梦安全数据库 LOIS安全数据库 Softbase 南京大学 OpenbaseSecure 东大阿尔派 着重于多级安全方面 引入了多级安全模型 传统的关系模型必须做出一定改进 各种逻辑数据对象被强制赋予安全标记属性强制访问控制的功能被大大加强 使得数据库系统的身份认证和访问控制机制更加严格 Oracle的安全机制 身份认证访问控制数据库审计 Oracle的身份认证有两种方式 外部身份认证和DBMS认证外部身份认证使用OracleDBMS以外的系统对用户身份予以认证 DBMS信任这种认证的结果 外部系统 通常指的是操作系统好处 无需输入帐号 口令 避免口令信息因传输 存储不当而引发泄露DBMS认证传统的帐号 口令方式的认证OracleDBMS在系统表空间中保存已有用户的帐号 口令等信息 并以此为依据认证用户的身份 Oracle的安全机制 身份认证访问控制数据库审计 Oracle全面实现了RBAC机制 按其应用范围可分为 系统级权限对整体数据库的各种操作以及对某类群体对象的使用权 通常由数据库管理员负责授权提供了90多种系统级权限 如创建会话 SESSION 创建表 TABLE 创建用户 USER 等对象级权限对数据库单一对象的使用权 通常由该对象的拥有者负责授权 Oracle的安全机制 身份认证访问控制数据库审计 SQLServer的安全机制 SQLServer的身份认证机制与Oracle有显著区别它引入了 登录ID 的概念 将登录身份和具体的用户身份剥离开来从登录到访问数据 要经过两次身份认证登录认证在DBMS身份认证模式下 访问者必须提供一个有效的登录ID和口令才能继续向前有三种模式 WindowsNT集成认证 SQLServer认证和二者的混和认证访问数据库认证当访问者通过上述验证后 登录ID必须与目标数据库中的某个用户ID相联系 才可以拥有相应的访问权限 SQLServer登录认证模式配置 登录ID与用户ID的关联 SQLServer的访问控制 SQLServer检测用户ID是否具有访问服务器中特定对象的权限这种权限由管理员直接赋予用户ID或者某个角色 可以细化到字段的粒度 赋予用户对象级权限 赋予用户字段级权限 常见的数据库攻击与防范 SQL注入攻击 攻击者提交一段数据库查询代码 根据程序返回的结果 获得某些他想得知的数据 这就是所谓的SQLInjection 即SQL注入攻击 途径 主要通过基于Web的应用程序进行原因 程序员在编码时 没有考虑对来自客户端的输入数据的合法性进行判断 使得应用程序存在安全隐患难于发现 从正常WWW端口访问 而且表面看起来跟一般的Web页面访问没什么区别 所以目前市面的防火墙都不会对SQL注入发出警报 如果管理员没有查看IIS日志的习惯 可能被入侵很长时间都不会发觉 SQL注入攻击的原理 第一步 判断是否存在SQL注入漏洞第二步 判断数据库类型第三步 实施攻击 从客户端提交特殊的代码 Web应用程序如果没做严格检查就将其形成SQL命令发送给数据库 则从数据库的返回信息中攻击者可以获得程序及服务器的信息 从而进一步获得其它资料 SQL注入攻击的原理 第一步 判断是否存在SQL注入漏洞第二步 判断数据库类型第三步 实施攻击 SQL注入攻击的原理 第一步 判断是否存在SQL注入漏洞第二步 判断