第二章C++语言基础.ppt

第 三 章 数据库及其应用系统 的安全语义 本 章 概 要 3.1 安全的基本体系 3.2 系统安全基本原则 3.3 威胁模型 3.4 攻击树 3.1 安全的基本体系 3.1.1 安全的特征 安全的五个基本特征: 机密性：是防止信息泄漏给非授权个人、实体或过程，只允许授权用户访问的特性。 完整性：完整性是信息在未经合法授权时不能被改变的特性，也就是数据在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。完整性要求保持数据的原样，即信息的正确生成、存储和传输。 可用性：可用性是数据库系统中，在需要时允许授权用户或实体使用的特性；或者是不正常情况下能自我恢复及状态保护，为授权用户提供有效服务的特性。 非抵赖性：非抵赖性也称作不可否认性，即在数据库系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。 可控性：在授权范围内控制信息流向和行为方式，对信息的传播和信息的内容具有控制能力。 机密性、完整性和可用性是信息安全的核心三要素，也是数据库安全的三要素。 3.1.2 基本安全服务 安全服务的种类: 鉴别服务：提供对通信中对等实体和数据来源的鉴别。也称为认证服务。 访问控制服务：访问控制业务的目标是防止对任何资源的非法访问。所谓非法访问是指未经授权的使用、泄露、销毁以及发布等。包括合法授权用户的非法访问。 机密性服务：是防止信息泄漏给非授权个人、实体或过程，只允许授权用户访问的特性。 完整性服务：数据完整性业务前面已经给予简述，该业务主要是防止数据被非法增删、修改或替代，从而改变数据的价值或存在。 抗抵赖服务：限制合法授权用户的安全责任，为安全行为纠纷提供可以取证的凭据。 3.1.3 系统安全的八大机制 数据加密机制 访问控制机制 数据完整性机制 数字签名机制 鉴别交换机制 业务填充机制 路由控制机制 公证机制 一、数据加密机制 需要加密层选择、加密算法选择和密钥管理。 加密算法划分为对称密码体制和非对称密码体制。 密码管理包括密钥的产生、密钥分配、销毁、更新 二、访问控制机制 访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。 访问控制采用最小特权原则：即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。 自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC） 使用的技术是访问控制矩阵、权限、安全标记、访问时间等。 三、数据完整性机制 是保护数据，以免未授权的数据乱序、丢失、重放、插入和纂改。 数据完整性机制的两个方面 单个数据单元或字段的完整性（不能防止单个数据单元的重放） 数据单元串或字段串的完整性 四、数字签名机制 对数据单元进行签名和校验。防止数据单元 的伪造、假冒、篡改和否认。 传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 传数字签名是传统签名的数字化，基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证 五、鉴别交换机制 交换鉴别机制通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有：　 用于认证交换的技术 认证信息，如口令 密码技术 好被认证实体的特征 为防止重放攻击，常与以下技术结合使用 时间戳 两次或三次握手 数字签名 六、路由控制机制 路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的安全。其基本功能为： 路由选择 路由可以动态选择，也可以预定义，以便只用物理上安全的子网、中继或链路进行连接和/或传输； 路由连接 在监测到持续的操作攻击时，端系统可能同网络服务提供者另选路由，建立连接； 安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进行连接和/或传输。 七、业务填充机制 流量填充机制提供针对流量分析的保护。 所谓的业务填充即使在业务闲时发送无用的随机数据，制造假的通信、产生欺骗性数据单元的安全机制。该机制可用于提供对各种等级的保护，用来防止对业务进行分析，同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能，能够以假乱真。该机制只有在业务填充受到必威体育官网网址性服务时才有效。 可利用该机制不断地在网络中