信息安全概论计算机系统安全

第七章计算机系统安全

录

ContentsPage

01可信计算基

02操作系统安全

03数据库安全

04计算机病毒防护

05可信计算平台

本章主要内容

从计算机软件系统角度介绍安全问题与解决技术;

，重点介绍操作系统、数据库系统的安全机制；

，介绍计算机病毒的机理与防护。

7.1可信计算基

可信计算基(TrustedComputingBase,TCB)的概念于1979

年由G.H.Nibaldi提出，其思想是将计算机系统中所有与安全保护

有关的功能提取出来，并把它们与系统中的其他功能分离开，然后

将它们独立加以保护，防止其受到破坏，这样独立出来得到的结果

就称为可信计算基。

7.1.1访问监视器

访问监视器(ReferenceMonitor)于1972年由J.P.Anderson首次提出,

D.B.Baker于1996年再次强调了它的重要性。访问监视器是监督主体和客体

之间授权访问关系的部件。

主体(Subject)：是引起信息流动的一种实体。通常，这些实体是指

人、进程或设备等，一般是代表用户执行操作的进程。

客体(Object)：系统中主体行为的被动承担者。对一个客体的访问

隐含着对客体所包含信息的访问。

J.P.Anderson把访问监视器的具体实现称为访问验证机制(Reference

ValidationMechanism），如图7.1所示。

图7.1访问监视器的具体实现

「第七章

计算机系统

安全

访问验证数据库包含由主体访问客体及其访问方式的相关信息,

是安全策略的具体表现。访问监视器的关键是控制从主体到客体的

每一次访问，并将重要的安全事件存入审计文件中。

访问验证机制的设计和实现需要满足以下3个原则o

「第七章

计算机系统

安全

(1)必须具有自我保护能力，保证访问验证机制即使受到攻击也

能保持自身的完整性。

(2)必须总是处于活跃状态，保证主体对客体的所有访问都应得

到访问验证机制的仲裁。

(3)必须设计得足够小，以利于分析和测试，保证访问验证机制

的实现的正确性是可验证的。

可信计算基中最为关键的保护机制即为实现访问监视器思想的

访问验证机制，因此可信计算基的设计和实现也必须满足上述的3

条原则。

2女全内核方法

信

算

计

可

基

设

计

以

安

可全

于核

万

统

算

系

计

为

信

现

基

后

算

可桁

但

于

其

实

计

正

可

确性

的

标

目

所

以

达

难

到

的

安

证

验

，

核

安全

内K

实

访问

现

规

se程

基ri

安ty

CU全

本

来

访

机制

问

授

控

机

制

制

、

、

「第七章

计算机系统

安全

安全内核方法的出发点是：在一个大型的计算机系统中，只有

其中的小部分软件用于安全目的。TCSEC标准中给出了对安全内核

的权威定义：安全内核是一个可信计算基中实现访问监视器思想的

硬__件__、__1件和软件成分；它必须仲裁所有访问，必须保护自身免受

篡改，必须能被验证是正确的。

第七章

计算机系统

安全

如图7.2所示，安全内核由硬件和介于硬件和操作系统之间的

一层软件组成，其软件和硬件都是可信的，处于安全周界内，而操

作系统和应用程序处于安全周界以外。安全周界(Security

Perimeter)是指用半径来标识的空间，该空间包围着用于处理敏

感信息的设备，并在有效的物理和技术控制之下，防止未授权的进

入或敏感信息的泄露。安全内核为操作系统提供服务，同时也对操

作系统施加限制，安全策略的执行和验证完全由安全内核实现，操

作系统和应用程序的任何错误均不能破坏安全内核的安全策略。

仁

用户

<—用户接口

安全周界一

应用程序

外部

一操作系统接口

操作系统

◄—内核接口

安全周界Y

安全内核

内部

图7.2安全内核

「第七章

计算机系统

安全

安全内核作为可信计算基的设计和实现方式，同样必须遵从访

问验证机制的以下3条基本原则o

（1）防篡改原则：安全内核必须具有防篡改的能力，可以保护自

己，防止偶然破坏和恶意攻击。

（2）完备性原则：主体访问客体必须通过安全内核进行验证，绝

不能有任何绕过安全内核访问控制检查的访问行为存在。

（3）可验证性原则：安全内核方法以指导设计和开发的一系列严

格的安全原则为基础，能够极大地提高用户对系统安全控制的信任

度，是一种最常用的构建可信计算基的设计方法。

7.1.3可信计算基

1.可信计算基的定义

1985年美国国防部颁布的可信计算机系统评价标准（TCSEC）中

就使用可信计算基作为其贯穿始终的最重要的概念，并将可信计算

基（TrustedComputingBase,TCB）定义为：”可信计算基是可信

计算系统的核心，它包含了系统中所有实施安全策略及对象（代码

和数据）隔离保护的机制，为了使得保护机制更容易被理解和验证,

可信计算基应尽量简单，并与安全策略具有一致性”。

「第七章

计算机系统

安全

在我国的国家标准GB17859—1999《计算机信息系统安全保护

等级划分准则》中，也对可信计算基给出了类似的定义：“可信计

算基是可信计算系统的核心，是计算机系统内保护装置的总体，包

括硬件、固件、软件及负责执行安全策略的组合体。它建立了一个

基本的保护环境并提供一个可信计算系统所要求的附加用户服务”。

2.可信计算基的组成

计算机系统的安全依赖于一些具体实施安全策略的可信的软件

和硬件，这些软件、硬件和负责系统安全管理的人员一起组成了系

统的可信计算基。具体来说，可信计算基由以下几个部分组成。

（1）操作系统的安全内核。

①安全内核包括具有特权的程序和命令；

②安全内核包括处理敏感信息的软件，如系统管理命令；

③安全内核包括与TCB实施安全策略有关的文件。

「第七章

计算机系统

安全

(2)其他有关的固件、硬件和设备。

(3)负责系统管理的人员。

(4)保障固件和硬件正确的程序和诊断软件O

「第七章

计算机系统

安全

其中可信计算基的软件部分是可信计算基的核心内容，它主要

完成下述工作。

①内核的良好定义和安全运行方式；

②标识系统中的每个用户；

③保持用户登录到可信计算基的可信路径；

④实施主体对客体的访问控制；

⑤维持可信计算基功能的正确性；

@监视和记录系统中的相关安全事件，进行安全审计。

「第七章

计算机系统

安全

3.可信计算基安全功能

可信计算基安全功能(TCBSecurityFunction,TSF)指的是

正确实施可信计算基安全策略的全部硬件、固件、软件所提供的功

能。每一个安全策略的实现，组成一个安全功能模块。一个可信计

算基的所有安全功能模块共同完成该可信计算基的安全功能。

可信计算基安全功能需要保证计算机系统具备物理安全、运行

安全和数据安全3个安全特性。

第七章

计算机系统

安全

（1）物理安全主要描述实体层面所涉及的硬件系统及其环境的安全,

包括环境安全、设备安全、记录介质安全及安全管理等方面内容。

（2）运行安全包括系统层面、网络层面和应用层面所涉及的操作系

统、数据库系统、网络系统和应用系统的运行安全。安全目标为身

份识别、访问控制和可用性。

（3）数据安全包括系统层面、网络层面和应用层面所涉及的操作系

统、数据库系统、网络系统和应用系统的数据安全。安全目标为数

据的机密性和完整性。

4.可信计算基安全保证

安全保证(SecurityAssurance)是为确保安全功能实现安全

性目标所采取的方法和措施。可信计算基的安全保证技术主要包括

可信计算基自身安全、可信计算基设计与实现和可信计算基安全管

理三个方面。

「第七章

计算机系统

安全

(1)根据可信计算基的抗篡改原则，必须通过一些安全保证技术

来对可信计算基自身进行安全保护，可用的机制包括物理保护、

TSF自检、TSF数据的机密性和完整性、TSF有效性检测、恢复机制。

(2)可信计算基的设计与实现则重点在可验证的安全模型和完备

性的保证上。安全管理的重点在葆证人对系统的合理使用与使用控

制方面。

(3)可信计算基的安全管理(TCBSecurityManagement)指的是

对可信计算基运行中的安全管理，包括对不同的管理角色和它们之

间的相互作用(如权限分离)进行规定，对分散在多个物理分离的

部件上有关敏感标记的传播，TSF数据和功能配置等问题的处理，

以及对TCB使用者安全属性的授予、撤销等内容。

7.2操作系统安全

7.2.1操作系统安全概述

操作系统是管理计算机硬件并为上层应用软件提供接口的系统

软件，是计算机系统的核心。数据库系统、应用软件都运行在操作

系统之上，因此操作系统安全是整个计算机系统安全的基石。

「第七章

计算机系统

安全

操作系统安全要达到的主要目标如下。

(1)依据系统安全策略对用户的操作进行访问控制，防止用户对

计算机资源的非法访问(如窃取、篡改和破坏)。

(2)标识系统中的用户并进行身份识别。

(3)保证系统自身的可用性及系统数据的完整性。

(4)监督系统运行的安全性。

「第七章

计算机系统

安全

7.2.2操作系统安全机制的设计原则

J.H.Saltzer和M.D.Schroeder提出了操作系统安全保护机制应

符合下列设计原则。

(1)最小特权原则

(2)机制的经济性

(3)开放设计原则

「第七章

计算机系统

安全

(4)完全检查

(5)基于许可

(6)多重防护

(7)最少公用机制

(8)易用性

,第七章

计算机系统

安全

7.2.3操作系统安全机制

1.硬件安全机制

(1)存储保护

(2)运行保护

(3)I/O保护

2.身份鉴别

身其鉴即即用箕慷第蟹/袅份峥识与鉴别（Identification&

羽爵紫易吊蓄量旗I&A）机制,用于保证只有合法用户才能进入系统，进而

「第七章

计算机系统

安全

标识是系统要标识用户的身份，并为每个用户赋予一个系统可

识别的内部名称一用户标识符。用户标识符必须是唯一而且不能够

被伪造和篡改的，以防止一个用户冒充其他的用户。鉴别则是将用

户和用户标识符联系在一起的过程。鉴别过程主要用以识别用户的

真实身份，鉴别操作总是要求用户具有能够证明其身份的特殊信息,

并且此信息应是机密的或独一无二的，任何其他用户都不能拥有此

信息。

3.访问控制

访问控制机制一般用于控制主体对客体的访问请求，包括以

下3个任务。

（1）授权，即确定可给予哪些主体访问客体的权利。

（2）确定访问权限，在操作系统中一般是读、写、执行、删除和

追加等访问方式的组合。

（3）实施访问权限控制。

「第七章

计算机系统

安全

在强制访问控制机制下，系统中的每个进程、每个文件和每个

IPC客体（包括消息队列、信号量集合和共享存储区）都被赋予了

相应的安全属性，称为安全标签。

自主访问控制则是指客体的访问权限由此客体的拥有者或已被

授权控制客体访问的用户来自主定义。拥有者或授权用户能够决定

谁应该拥有对其客体的访问权及内容。

■

「第七章

计算机系统

安全

UNIX、Linux等操作系统实现了一种非常简单、常用而又有效

的自主访问控制模式，即在每个文件上附加有关访问控制信息的9

比特位，如图7.3所示，这些比特位反映了不同类别用户对此文件

的访问方式，分别为文件拥有者（Owner）、与文件拥有者同组的

用户（Group）及其他用户（Other）。9比特位访问控制模式非常

简单有效，但其控制的粒度比较粗糙，无法精确控制某个用户对文

件的访问权，如不能够指定与文件拥有者同组的用户A能够对该文

件具有读、写、执行权限，而与文件拥有者同组的另一用户B对该

文件不具有任何操作权限。

图7.3比特位模式

4.最小特权原则

为了保证操作系统的正常运行，系统中的某些特权进程需要具

有一些可违反系统安全策略的操作能力，一般定义一个特权就是

个可违反系统安全策略的操作能力。

:小特权原则(LeastPrivilegePrinciple)的基本思想是

系统中每一个主体只能拥有与其操作相符的必需的最小特权集，也

就是系统不应给用户超过其执行任务所需特权以外的特权，从而减

少由于特权用户口令丢失或盗用、恶意软件非法利用特权程序、特

权用户误操作等因素引起的损失。

生行细分的方颜

1

D

T

弟相耨港然刎蜩氏负责笠颁麻胡版浜o

对系统M别机

义用户和自主此

访问控制的用户组为用户赋予安级一制

通道是，

1指

系统安全策略的传送信息的通信信置这通

共享资源和执行时间等间接形成活动的

,机制擎

「第七章

计算机系统

安全

(2)安全审计员：负责安全审计系统的控制，与系统安全管理员

形成一个“检查平衡”，系统安全管理员负责实施安全策略，而安

全审计员控制审计信息，审核安全策略是否被正确实施。

(3)操作员：完成常规的、非关键的安全操作，不能进行影响安

全级的操作。

「第七章

计算机系统

安全

(4)安全操作员：完成与操作员类似职责的日常例行活动，但其

中的一些活动对安全性是关键的，如安全级定义。

(5)网络管理员：负责所有网络服务及通信的管理。

5.可信通道

可信通道(TrustedPath)机制即终端人员能借以直接与可信

计算基通信的一种机制。该机制只能由有关终端操作人员或可信计

算基启动，并且不能被不可信软件模拟。

Li翌x操作系统对用户建立可信通道的一种常见的方案是基于

安全提示键(SecurityAttentionKey,SAK)实现。安全提示健

是由终端驱动程序检测到的一个击键的特殊组合，每当系统识别到

用户在一个终端上输入安全提示键，便会终止对应到该终端的所有

用户进程，启动可信的会话过程，从而保证用户能够看到安全内核

提供的真正的登录提示，防止中间的不可信软件窃取用户口令。

第七章

计算机系统

安全

6.安全审计

一个系统的安全审计是对系统中有关安全的活动进行记录、检

查或审核。安全审计的主要目的是检测进而阻止非法用户对计算抗

系统的入侵行为，以及合法用户的误操作。安全审计主要作为一种

事后追查的手段来保证系统的安全，它对涉及安全的关键操作进行

完整的记录，为安全事故发生后事故原因、责任人的追查定位，以

及正确地进行实时处理提供详细、可靠的依据和支持。另外，安全

审计也可以与实时检测和报警功能相结合，以审计日志为检测和报

警的数据源，从而能够实时发现违反系统安全策略的恶意操作或涉

及系统安全的重要操作，及时向系统安全管理员发送相应的报警信

息。

计算机系统

安全

安全审计是操作系统安全的一个重要方面，安全操作系统也都

要求用审计方法监视安全相关的活动。

安全审计机制的实现一般是一个独立的过程，应与系统其他功

能相隔离，同时要求操作系统必须能够生成、维护及保护审计过程,

使其免遭修改、非法访问及毁坏。

审计事件是安全审计机制最基本的单位，系统将所有要求审计

或可以审计的用户动作归纳成一个不可区分、可识别、可标识的用

户行为和可记录的审计事件。审计事件一般可分为注册事件、使用

系统事件和利用隐蔽通道的事件3大类，也是用户身份鉴别机制的

使用、拊客体引入到用户的地址空间或从地址空间删除客体、特权

用户所发生的动作以及利用隐蔽通道的事件。

「第七章

计算机系统

安全

审计记录是安全操作系统对审计事件的记录信息，一般包括如

下信息：事件的日期和时间、代表正在进行事件的主体的唯一标识

符、事件的类型、事件的成功与失败等。审计日志是存放审计记录

的二进制码结构文件，每次审计进程开启后，都会按照设定好的路

径和命名规则产生一个新的日志文件。

「第七章

计算机系统

安全

安全审计机制的实现方式如图7.4所示，一般在用户程序和操

作系统的唯一接口一系统调用上设置审计点，从而对安全内核外部

的所有使用内核服务的事件进行审计。另外安全内核内部的特权命

令也必须设置审计点，对其进行审计。内核审计进程对审计事件产

生审计记录，并完成写入循环缓冲区、写入磁盘文件、归档等操作。

另外，审计机制应当提供灵活的选择手段，使审计员可以开启/关

闭审计机制、增加/减少审计事件类型以及修改审计参数等。

特权命令审计点内核审计进程

系统调用审计点

审计

日志

文件

图7.4安全审计机制的实现方式

'第七章

计算机系统

安全

7.2.4UNIX操作系统的安全机制

1.运行保护

UNIX操作系统具有两个执行态：核心态和用户态。运行内核中

程序的进程处于核心态，而运行内核外程序的进程处于用户态。系

统保证用户态下的进程只能访问它自己的指令和数据，而不能访问

内莪和其他进程的指令和数据，并且保证特权指令只能在核心态时

执行。用户程序可以使用系统调用进入内核，运行完系统调用再返

回用户态。系统调用是用户程序进入UNIX操作系统内核的唯一入口,

因此用户对系统资源中信息的访问都要通过系统调用才能完成。

「第七章

计算机系统

安全

2.身份鉴别

在UNIX操作系统中为每个用户分配一个唯一的标识号一UID,

而每个用户可以属于一个或多个用户组，每个用户组由GID唯一标

识。系统的超级用户(root)的GID和root组的GID均为0。UNIX操

作系统采用口令机制对用户身份进行鉴别，系统所需要知道的关于

每个用户的信息存在/etc/passwd文件中(加密口令也可能存于

/etc/shadow文件中)。/etc/passwd文件中包含用户的登录名、经

过加密的口令、用户号、用户组号、用户注释、用户主目录和用户

所使用的shell终端。

3.访问控制

UNIX操作系统的访问控制机制在文件系统中实现，采取9

比特位访问控制模式。每个文件的9比特位访问权限分为3组，分别

用于指出文件拥有者、同组用户和其他用户对该文件的访问权限，

访问权限有允许读、允许写和允许执行3种类型。

1s命令可列出文件（或目录）及不同用户对系统的访问权限，

chmod命令可以用来改变文件的访问权限，Umask命令则用以控制该

用户新建文件的访问权限。

「第七章

计算机系统

安全

4.最小特权原则

UNIX操作系统最初没有实现最小特权原则，超级用户拥有全部特

权。在基于UNIX操作系统上开发的一些安全操作系统，如UNIX

SVR4.1ES实现了最小特权原则，从而降低了由于超级用户口令被破解

或其误操作所带来的安全风险。

5.安全审计

UNIX操作系统的安全审计机制监控系统中发生的安全关键事件,

以保证安全机制正确工作并及时对系统异常情况进行报警。

UNIX操作系统的审计日志主要包括如下内容。

(1)acct或pacct：记录每个用户使用过的命令历史列表。

(2)lastlog：记录每个用户最后一次成功登录的时间和最后一次

登录失败的时间。

(3)loginlog：记录失败的登录尝试记录。

「第七章

计算机系统

安全

(4)messages：记录输出到系统主控台以及由syslog系统服务产

生的信息。

(5)sulog：记录su命令的使用情况。

(6)utmp或utmpx：记录当前登录的每个用户。

(7)wtmp或wtmpx：记录每一次用户登录和注销的历史信息，以及

系统关闭和启动的信息。

6.网络安全性

网络安全性的目标是通过防止本机或本网被非法入侵、访问，

从而达到保护本系统可靠、安全运行的目的。UNIX操作系统通过以

下配置文件选择性地允许用户和主机与其他主机之间的网络连接，

从而对网络访问控制提供强有力的安全支持。

•/etc/inetd.conf文件：控制系统提供哪些网络服务。

•/etc/services文件：罗列了各种网络服务的端口号、协议和对

应的网络服务名称。

•/etc/hosts.allow和/etc/hosts.deny两个文件：控制哪些IP地

址被禁止登录，哪些被允许登录。

7.3数据库安全

7.3.1数据库系统概念

数据库由数据和规则组成，规则指定了数据之间的关系。用户

通过规则描述数据的逻辑格式，数据存储在文件中，但用户并不需

要关心这些文件的实际物理格式。数据库管理员负责定义数据库中

的数据规则，同时控制对数据各个部分的访问权限。用户通过数据

库管理系统(DatabaseManagementSystem,DBMS)来访问数据库

的数据。

「第七章

计算机系统

安全

1.数据库系统的组成

数据库系统主要包括两个核心：一个是按一定规则组织的数据

集合本身；另一个是数据库管理系统，为用户提供访问接口并且具

有对数据库的管理、维护功能，保证数据库的安全性、可靠性和完

整性。数据库系统示意图如图7.5所示。

图7.5数据库系统示意图

2.数据库的历史

数据库技术是现代信息系统的基础和核心。数据库技术最初产

生于20世纪60年代中期。根据数据模型的发展，数据库的发展可以

划分为三个阶段。

第一代数据库的数据模型代表是1969年IBM公司研制的层次模

型和20世纪70年代美国的数据系统语言协会C0DASYL下属数据库任

务组DBTG提议的网状模型。

第二代数据库的主要特征是关系数据模型。

第三代面向对象的数据库产生于20世纪80年代，第三代数据库

支持多种数据模型（如关系模型和面向对象的模型）。

3.数据库的特性

数据库除了具有多用户、高可靠性、频繁的更新和数据文件大

等特性外，还具有以下技术特性。

（1）数据共享。

（2）减少数据冗余。

（3）数据的一致性。

（4）数据的独立性。

(5)数据保密性。

(6)数据的完整性。

(7)并发控制。

(8)故障恢复。

「第七章

计算机系统

安全

7.3.2数据库安全技术

1.安至威丽

在考虑系统安全问题时，需要发现威胁安全的因素并制定保障

安全的措施，这是安全问题的两个方面。对数据库系统安全的威胁

包括对数据本身的损坏、篡改、窃取和阻碍系统正常提供数据服务

两部分，可以用机密性、完整性和可用性来概括。

如图7.6所示，数据库安全威胁主要表现在以下一些方面。

通信线路窃听系统:全漏洞

数据库管理员

制定错误的安全策略、管理失误

数据库服务器/

数据库用户

EmXV/岛可系累擀

内部人员

恶意窃取、破坏W®

网络黑客攻击

图7.6数据库安全威胁示意图

「第七章

计算机系统

安全

(1)偶然的、无意的损坏。

(2)系统软、硬件错误和故障导致数据丢失。

(3)人为的失误。

(4)对信息的非正常修改，包括破坏数据一致性的修改和删除。

(5)蓄意的攻击和破坏。

「第七章

计算机系统

安全

(6)病毒入侵造成的数据的丢失和损坏。

(7)由合法访问的数据，推理出不应访问的敏感数据。

(8)后门、隐蔽通道。

(9)其他的通过各种方法干扰系统的正常运行，使合法用户不能

及时得到数据服务。

2.安全策略

数据库的安全策略是数据库操作人员合理设置和管理数据库的

目标，各种安全策略是由数据库安全机理来具体实现的。它包括以

下几方面。

(1)最小权限策略。

(2)最大共享策略。

(3)粒度适当策略。

(4)开放系统和封闭系统策略。

「第七章

计算机系统

安全

(5)按内容访问控制策略。

(6)按类型访问控制策略。

(7)按上下文访问控制策略。

(8)根据历史的访问控制策略

昌

「第七章

计算机系统

安全

3.安全需求

保证数据库的安全，先要保证数据库系统的两个核心部件的安

全：数据库系统本身的数据文件的安全和数据库管理系统的安全。

客观上需要一个安全的操作系统和一个运行可靠的数据库管理系统。

对操作系统的安全要求包括：应能防止对数据库管理系统和用

户程序的非法修改；应能保护存储的数据文件不被非法修改；应能

识别数据库的合法用户，当非法用户访问时能及时报警。

第七章

计算机系统

安全

对数据库管理系统的要求包括：有正确的编译功能，能正确地

执行规定的操作；能正确地执行数据库命令；能保证数据的机密性

和完整性，能抵御一定的物理破坏，能维护数据库逻辑的完整性,

能恢复数据库中的内容，对数据的修改不影响其他数据；能识别用

户，按照授权进行访问控制；保证数据库系统的可用性，用户能顺

利访问被授权的信息，不会出现拒绝服务，同时保证通信安全。

一保证数据库本身和数据库管理系统安全的安全需求如表7.1所

zKo

表7」数据库安全需求

安全性问题注释

物理完整性预防数据库物理方面的问题，不受掉电等情况的影响，并可重建被灾难破坏掉的数据

逻辑完整性保护数据库的结构，如一个字段的修改不会影响其他字段

元素完整性包含在每个元素中的数据都是正确的

可审计性能够追踪到谁修改和访问过数据库中的元素以及修改或访问过哪些元素___________________

访问控制限制用户只能访问被授权的数据，限制不同的用户有不同的访问模式（如读或写）

机密性保证授权用户对数据存储和传输的机密性

用户鉴别确保每个用户都被正确识别，可以进行审计跟踪，同时也可进行授权访问

可用性用户一般可以正常访问被授权的数据

4.安全技术

根据上述安全需求，相应的数据库安全技术主要有以下几种。

(1)用户标识和鉴别

用户标识信息是公开信息，一般用用户名和用户ID实现。

通常数据库是作为一个应用程序运行在操作系统中的，在没有

很好的可信通道下，DBMS不能信任操作系统的任何请求，必须自己

进行用户的鉴别。

「第七章

计算机系统

安全

(2)访问控制

访问控制是限制和检查哪些用户能够以哪些方式访问哪些数据

对象。

(3)数据完整性

数据库中存在各种来源的数据，DBMS需要正确地维护数据库中

的数据，保证所提供的数据是可信的。数据的完整性主要是防止数

据库中存在不符合语义的数据，防止错误信息的输入和输出。数据

的完整性包括数据的正确性、有效性和一致性。数据库的完整性可

以用物理完整性、逻辑完整性和元素完整性三个级别来控制。

「第七章

计算机系统

安全

(4)审计

审计的主要任务是对应用程序或用户使用的数据库资源的情况

进行记录和审查，发现问题，查找问题原因。审计记录包括对记录、

字段和数据元素一级的访问(审计事件见表7.2),这些记录可以协

助维持数据的完整性，或者可以事后发现什么人在什么时候修改了

什么数据。

「第七章

计算机系统

安全

表7.2典型的审计痕迹事件类型

事件类型审计数据

最终用户由最终用户导致的DBMS中的所有动作

数据库管理员操作员和数据库管理员控制或配置DBMS运行的动作

数据库安全管理员对权限和允许的授予和回收以及对标记的设置

数据库兀数据关系到数据库结构的操作

数据库系统级别实用命令，死锁检测，事务的回滚，恢复等

操作系统接口在OS和DBMS之间的实用工具的使用和配置的变化

应用特定应用的安全相关事件

「第七章

计算机系统

安全

数据库系统的审计工作主要包括如下几种。

①设备安全审计：主要审查系统资源的安全策略、安全保护措施

及故障恢复计划等。

②操作审计：对系统中的各种操作进行记录、分析，特别是敏感

信息的操作。

③应用审计：审计建于数据库之上的整个应用系统的功能、控制

逻辑、数据流是否正确。

④攻击审计：对已经发生的攻击性操作及危害系统安全的事件和

企图进行检测和审计。

数据库的加密可以在操作系统层、DBMS内核层和DBMS外层来进

行。

（6）数据库备份

数据库备份是应对数据库故障，特别是灾难性故障最完整、最

安全的手段，如系统软、硬件的故障导致数据的丢失、系统数据的

毁灭性破坏等。数据库备份需要根据数据库中保存的数据的特点制

定相应的备份策略，主要包括备份周期、备份方式、备贵的数据范

围、备份存储的介质以及数据库备份的保存地点等。从技术方面来

讲，数据库备份主要包括冷备份、热备份和逻辑备份3种方式。

「第七章

计算机系统

安全

7.4计算机病毒防护

计算机病毒是恶意软件的一种。恶意软件是按计算机攻击者的

意图执行以达到恶意目标的指令集。根据执行方式、传播方式和所

造成的影响可以把恶意软件分为计算机病毒、蠕虫、恶意移动代码、

特洛伊木马、后门等。

7.4.1恶意软件简介

恶意软件（Malware）是使计算机按照攻击者的意图执行以达

到恶意目标的指令集。恶意软件与传统的恶意代码概念基本等同。

1.攻击目的

恶意软件典型的攻击目的包括但不局限于以下几点O

（1）单纯的技术炫耀，或恶作剧。

（2）坪程控制被攻击主机，使之能成为攻击者的傀儡主机（也称

僵尸主机），满足其实施跳板攻击或进一步传播恶意软件的需要。

（3）窃取私人信息（如用户账号/密码、信用卡信息等）或机密信

息（如商业机密、政治军事机密等）。

（4）窃取计算、存储、带宽资源。

（5）拒绝服务、进行破坏活动（如破坏文件/硬盘/BIOS等）。

2.分类

恶意软件可以