【51CTO.com 獨(dú)家特稿】眾所周知，操作系統(tǒng)以及數(shù)據(jù)庫是現(xiàn)代計(jì)算機(jī)技術(shù)中最為底層和核心的軟件系統(tǒng)。那么，企業(yè)系統(tǒng)層次的安全問題主要來自于網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全和數(shù)據(jù)庫安全層面上。針對操作系統(tǒng)和數(shù)據(jù)庫的安全技術(shù)林林總總，也體現(xiàn)在應(yīng)用的不同層面上，本文將從保障企業(yè)系統(tǒng)層安全的核心層次出發(fā)，著重從安全操作系統(tǒng)、密碼設(shè)定策略及數(shù)據(jù)庫安全技術(shù)三方面進(jìn)行講解，其他的網(wǎng)絡(luò)層面和應(yīng)用層面與他們相關(guān)的防護(hù)技術(shù)將在后續(xù)專題中詳細(xì)講解。

1、選用安全操作系統(tǒng)

操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的最為基礎(chǔ)和重要的基礎(chǔ)軟件和系統(tǒng)軟件，起著管理計(jì)算機(jī)資源，直接利用計(jì)算機(jī)硬件為用戶提供與硬件相關(guān)、與應(yīng)用無關(guān)的使用和編程接口的作用。它是上層應(yīng)用軟件獲得高可靠性以及信息的完整性、保密性的基礎(chǔ)。沒有操作系統(tǒng)安全的支持，就沒有獲得網(wǎng)絡(luò)安全的可能。為了保證企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息的安全，有必要采用具有較高安全級別的安全操作系統(tǒng)，來作為企業(yè)穩(wěn)固的安全操作平臺。美國國防部（DoD）與1983年推出了著名的TCSEC（Trusted Computer System Evaluation Criteria，可信計(jì)算機(jī)評估準(zhǔn)則），也稱為"橙皮書"，是迄今為止評估計(jì)算機(jī)安全最有名的一個(gè)標(biāo)準(zhǔn)。它將計(jì)算機(jī)信息系統(tǒng)的安全分為四等八個(gè)級別，由低到高依次為：D、C1、C2、B1、B2、B3、A1、超A1。按照這個(gè)標(biāo)準(zhǔn)，傳統(tǒng)的操作系統(tǒng)，包括UNIX操作系統(tǒng)、Windows操作系統(tǒng)大都處于C級，他們的安全級別不是很高。而許多安全級別高的操作系統(tǒng)，比如Trusted Information Systems、Trusted XENIX、SNS等都處于實(shí)驗(yàn)室階段，尚未投入市場。另外，國內(nèi)對安全操作系統(tǒng)的研究工作也在如火如荼地進(jìn)行，我國從上世紀(jì)90年代開始研究安全操作系統(tǒng)，到目前已經(jīng)取得了一些成果。從1993年我國宣布開發(fā)成功具有B2 集功能的操作系統(tǒng)，現(xiàn)在已有眾多的公司和科研單位開始注重安全操作系統(tǒng)的研發(fā)，比如中科紅旗公司開發(fā)的紅旗Linux，南京大學(xué)的Softos，國防科大的麒麟安全操作系統(tǒng)，中科安勝公司的安勝操作系統(tǒng)等。

在安全操作系統(tǒng)中，對操作系統(tǒng)進(jìn)行安全加固和安全理論模型是從根本上解決操作系統(tǒng)安全性問題的兩項(xiàng)非常重要的記述。我們首先談?wù)劜僮飨到y(tǒng)安全加固技術(shù)，它有如下幾種方法：

(1) 虛擬機(jī)法：在現(xiàn)有的操作系統(tǒng)與硬件之間增加一個(gè)新的層次，作為安全內(nèi)核，現(xiàn)有操作系統(tǒng)幾乎可以不作任何變動而成為虛擬機(jī)。安全內(nèi)核的接口基本與原有硬件等價(jià)，操作系統(tǒng)本身透明地在安全內(nèi)核的控制之下，它可以不變地支持現(xiàn)有的應(yīng)用程序，并且能夠很好地兼容非安全操作系統(tǒng)的將來版本。硬件特性對虛擬機(jī)的實(shí)現(xiàn)非常關(guān)鍵，它要求原系統(tǒng)的硬件和結(jié)構(gòu)都必須要支持虛擬機(jī)。因而這種加固方式的局限性比較大。

(2) 增強(qiáng)法：在現(xiàn)有的操作系統(tǒng)基礎(chǔ)上，對原有的內(nèi)核以及應(yīng)用程序采用一定的安全策略進(jìn)行改進(jìn)，并且加入相應(yīng)的安全機(jī)制，形成新的操作系統(tǒng)內(nèi)核。這樣增強(qiáng)后的操作系統(tǒng)保持了原來操作系統(tǒng)的用戶接口。這種方法是在已有操作系統(tǒng)基礎(chǔ)上進(jìn)行的，不是對原有內(nèi)核的完全地改變，因而受到原有體系結(jié)構(gòu)的限制，難以達(dá)到很高的安全級別。但是這種方法并不會破壞原有系統(tǒng)的體系結(jié)構(gòu)，開發(fā)代價(jià)小，不會影響原系統(tǒng)的運(yùn)行效率，現(xiàn)在普遍采用的是這種方式。

(3) 仿真法：對現(xiàn)有的操作系統(tǒng)的內(nèi)核作面向安全策略的修改，然后在安全內(nèi)核與遠(yuǎn)非安全操作系統(tǒng)的用戶接口中嵌入方針程序。那么，我們在建立安全內(nèi)核的時(shí)候，可以不必如第二種方法一樣受到現(xiàn)有應(yīng)用程序的限制，而且可以完全自由地定義仿真程序于安全內(nèi)核之間的接口。然而，采用這種方式需要同時(shí)設(shè)計(jì)仿真程序以及安全內(nèi)核，還要受到元操作系統(tǒng)接口的同時(shí)，開發(fā)難度大，接口復(fù)雜。

圖1 操作系統(tǒng)的幾種加固方式

在安全操作系統(tǒng)的理論模型方面，我們通常提到BLP模型。Bell & LaPadula（BLP）模型是由David Bell和Leonard La Padula于1973年提出的安全模型，它同時(shí)也是一個(gè)狀態(tài)機(jī)模型。它是定義多級安全性的基礎(chǔ)，被視作基本安全公理。該公理最早是在Multics安全操作系統(tǒng)中得到實(shí)施。雖然從商業(yè)角度來看，該操作系統(tǒng)并不成功，但是單從安全性角度來看，Multics邁出了安全操作系統(tǒng)設(shè)計(jì)的第一步，為后來的安全操作系統(tǒng)的研制工作積累了大量豐富的經(jīng)驗(yàn)。隨后它又在Secure Xenix、System V/MLS、Tunis、VAX的VMM安全核心等多種安全系統(tǒng)的研制中得到了廣泛的應(yīng)用。

該模型將計(jì)算機(jī)信息系統(tǒng)中的實(shí)體分為兩部分，主體和客體。凡是實(shí)施操作的稱為主體，比如說用戶和進(jìn)程；而被操作的對象則稱為客體，比如說文件、數(shù)據(jù)庫等。對主體和客體而言，存在著兩種最重要的安全控制方法，它們是強(qiáng)制存取控制以及自主存取控制方式：

強(qiáng)制存取控制：主要是通過"安全級"來進(jìn)行，安全級包含"密級"和"部門集"兩方面，密級又分為無密、秘密、機(jī)密、絕密四級。為了實(shí)施強(qiáng)制型安全控制，主體和客體均被賦予"安全級"。兩者的關(guān)系包含下述三點(diǎn)：1）主體的安全級高于課題，當(dāng)且僅當(dāng)主體的密級高于客體的密級，且主體的部門集包含客體的部門集；2）主體可以讀客體，當(dāng)且僅當(dāng)主體安全級高于或者等于課題；3）主體可以寫客體，當(dāng)且僅當(dāng)主體安全級低于或者等于客體。

自主存取控制：主體對其擁有的客體，有權(quán)決定自己和他人對該客體應(yīng)具有怎樣的訪問權(quán)限。

在這個(gè)模型當(dāng)中，每個(gè)主體有最大安全級和當(dāng)前安全級，每個(gè)客體有一個(gè)安全級。主體對客體有四種存取方式：只讀，只寫，執(zhí)行以及讀寫。該模型當(dāng)中有兩條很重要的規(guī)則（如圖2所示）：

(1) 簡單安全特性：是指主體只能夠從下讀、向上寫。為了使主體對客體既能讀又能寫，二者的安全級別必須完全一樣；

(2) *--特性：主體對客體有"只寫"權(quán)限，則客體安全級至少和主體的當(dāng)前安全級一樣高；主體對客體有"讀"權(quán)限，則客體安全級應(yīng)該小于或者等于主體當(dāng)前安全級；主體對客體有"讀寫"權(quán)限，則客體安全級等于主體的當(dāng)前安全級。

圖2 BLP模型安全規(guī)則示意圖

#p#

2、操作系統(tǒng)密碼設(shè)定

設(shè)定登錄密碼是一項(xiàng)非常重要的安全措施，如果用戶的密碼設(shè)定不合適，就很容易被破譯，尤其是擁有超級用戶使用權(quán)限的用戶，如果沒有良好的密碼，將給系統(tǒng)造成很大的安全漏洞。在多用戶系統(tǒng)中，如果強(qiáng)迫每個(gè)用戶選擇不易猜出的密碼，將大大提高系統(tǒng)的安全性。但如果passwd程序無法強(qiáng)迫每個(gè)上機(jī)用戶使用恰當(dāng)?shù)拿艽a，要確保密碼的安全度，就只能依靠密碼破解程序了。

實(shí)際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統(tǒng)（/etc/passwd）或者Windows系統(tǒng)的密碼文件（SAM）相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。

在網(wǎng)絡(luò)上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執(zhí)行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。

目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設(shè)定不當(dāng)，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設(shè)定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設(shè)定密碼的過程中，應(yīng)盡量使用非字典中出現(xiàn)的組合字符，并且采用數(shù)字與字符相結(jié)合、大小寫相結(jié)合的密碼設(shè)置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護(hù)自己的登錄密碼。

具體列出幾條參考原則如下（幾個(gè)需要遵循）：

#p#

3、數(shù)據(jù)庫安全技術(shù)

企業(yè)數(shù)據(jù)庫往往存儲著許多敏感性數(shù)據(jù)，例如企業(yè)機(jī)密資料、公司的客戶信息資料等等。"黑客"利用操作系統(tǒng)和數(shù)據(jù)庫的漏洞，能輕易的獲取你數(shù)據(jù)庫中的數(shù)據(jù)（經(jīng)營策略、客戶資料、設(shè)計(jì)資料、人事資料等），這些文件一旦被潛在的黑客或競爭對手竊取，必將給國家或企業(yè)帶來極大的危害。而且這種危害的嚴(yán)重性在于它是潛在的，根本無法被覺察。不像現(xiàn)實(shí)社會中物品的失竊，就能很快察覺到，而數(shù)據(jù)、電子信息一旦被竊，是很難發(fā)現(xiàn)的，并且不會留下任何痕跡。也許你的機(jī)密資料已經(jīng)不知不覺的被竊取，落入競爭對手或不法分子的手中，你卻完全不知，數(shù)據(jù)的失密將對國家的安全和企業(yè)的競爭力產(chǎn)生潛在的，無法估量的威脅。針對這種情況，可以從如下幾方面進(jìn)行安全防護(hù)：

（1）數(shù)據(jù)庫用戶安全管理

企業(yè)數(shù)據(jù)庫是個(gè)極為復(fù)雜的系統(tǒng)，因此很難進(jìn)行正確的配置和安全維護(hù)，當(dāng)然，必須首先要保證的就是數(shù)據(jù)庫用戶的權(quán)限的安全性。在企業(yè)門戶網(wǎng)站中，當(dāng)用戶通過Web方式要對數(shù)據(jù)庫中的對象(表、視圖、觸發(fā)器、存儲過程等)進(jìn)行操作時(shí)，必須通過數(shù)據(jù)庫訪問的身份認(rèn)證。多數(shù)數(shù)據(jù)庫系統(tǒng)還有眾所周知的默認(rèn)賬號和密碼，可支持對數(shù)據(jù)庫資源的各級訪問。因此，很多重要的數(shù)據(jù)庫系統(tǒng)很可能受到威協(xié)。用戶存取權(quán)限是指不同的用戶對于不同的數(shù)據(jù)對象有不同的操作權(quán)限。存取權(quán)限由兩個(gè)要素組成：數(shù)據(jù)對象和操作類型。定義一個(gè)用戶的存取權(quán)限就是要定義這個(gè)用戶可以在哪些數(shù)據(jù)對象上進(jìn)行哪些類型的操作。權(quán)限分系統(tǒng)權(quán)限和對象權(quán)限兩種。系統(tǒng)權(quán)限由DBA授予某些數(shù)據(jù)庫用戶，只有得到系統(tǒng)權(quán)限，才能成為數(shù)據(jù)庫用戶。對象權(quán)限是授予數(shù)據(jù)庫用戶對某些數(shù)據(jù)對象進(jìn)行某些操作的權(quán)限，它既可由DBA授權(quán)，也可由數(shù)據(jù)對象的創(chuàng)建者授予。

（2）嚴(yán)格定義用戶訪問視圖

為不同的用戶定義不同的視圖，可以限制用戶的訪問范圍。通過視圖機(jī)制把需要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，可以對數(shù)據(jù)庫提供一定程度的安全保護(hù)。實(shí)際應(yīng)用中常將視圖機(jī)制與授權(quán)機(jī)制結(jié)合起來使用，首先用視圖機(jī)制屏蔽一部分保密數(shù)據(jù)，然后在視圖上進(jìn)一步進(jìn)行授權(quán)。

（3）采用數(shù)據(jù)加密

數(shù)據(jù)安全隱患無處不在。一些機(jī)密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等必須防止它人非法訪問、修改、拷貝。為了保證數(shù)據(jù)的安全，數(shù)據(jù)加密是應(yīng)用最廣、成本最低廉而相對最可靠的方法。數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的有效手段。數(shù)據(jù)加密系統(tǒng)包括對系統(tǒng)的不同部分要選擇何種加密算法、需要多高的安全級別、各算法之間如何協(xié)作等因素。在系統(tǒng)的不同部分要綜合考慮執(zhí)行效率與安全性之間的平衡。因?yàn)橐话銇碇v安全性總是以犧牲系統(tǒng)效率為代價(jià)的。如果要在Internet上的兩個(gè)客戶端傳遞安全數(shù)據(jù)，這就要求客戶端之間可以彼此判斷對方的身份，傳遞的數(shù)據(jù)必須加密，當(dāng)數(shù)據(jù)在傳輸中被更改時(shí)可以被發(fā)覺。

（4）完善的事務(wù)管理和故障恢復(fù)機(jī)制

事務(wù)管理和故障恢復(fù)主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障，保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進(jìn)行日志記錄和數(shù)據(jù)復(fù)制。在網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)中，分布事務(wù)首先要分解為多個(gè)子事務(wù)到各個(gè)站點(diǎn)上去執(zhí)行，各個(gè)服務(wù)器之間還必須采取合理的算法進(jìn)行分布式并發(fā)控制和提交，以保證事務(wù)的完整性。事務(wù)運(yùn)行的每一步結(jié)果都記錄在系統(tǒng)日志文件中，并且對重要數(shù)據(jù)進(jìn)行復(fù)制，發(fā)生故障時(shí)根據(jù)日志文件利用數(shù)據(jù)副本準(zhǔn)確地完成事務(wù)的恢復(fù)。

（5）作好數(shù)據(jù)庫備份與恢復(fù)

計(jì)算機(jī)同其他設(shè)備一樣，都可能發(fā)生故障。計(jì)算機(jī)故障的原因多種多樣，包括磁盤故障、電源故障、軟件故障、災(zāi)害故障以及人為破壞等。一旦發(fā)生這種情況，就可能造成數(shù)據(jù)庫的數(shù)據(jù)丟失。因此數(shù)據(jù)庫系統(tǒng)必須采取必要的措施，以保證發(fā)生故障時(shí)，可以恢復(fù)數(shù)據(jù)庫。數(shù)據(jù)庫管理系統(tǒng)的備份和恢復(fù)機(jī)制就是保證在數(shù)據(jù)庫系統(tǒng)出故障時(shí)，能夠?qū)?shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。加強(qiáng)數(shù)據(jù)備份非常重要，數(shù)據(jù)庫擁有很多關(guān)鍵的數(shù)據(jù)，這些數(shù)據(jù)一旦遭到破壞后果不堪設(shè)想，而這往往是入侵者真正關(guān)心的東西。不少管理員在這點(diǎn)上作得并不好，不是備份不完全，就是備份不及時(shí)。數(shù)據(jù)備份需要仔細(xì)計(jì)劃，制定出一個(gè)策略測試后再去實(shí)施，備份計(jì)劃也需要不斷地調(diào)整。

（6）設(shè)定審計(jì)追蹤機(jī)制

審計(jì)追蹤機(jī)制是指系統(tǒng)設(shè)置相應(yīng)的日志記錄，特別是對數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。日志記錄的內(nèi)容可以包括操作人員的名稱、使用的密碼、用戶的IP地址、登錄時(shí)間、操作內(nèi)容等。若發(fā)現(xiàn)系統(tǒng)的數(shù)據(jù)遭到破壞，可以根據(jù)日志記錄追究責(zé)任，或者從日志記錄中判斷密碼是否被盜，以便修改密碼，重新分配權(quán)限，確保系統(tǒng)的安全。

（7）重點(diǎn)做好服務(wù)器防護(hù)

在網(wǎng)絡(luò)時(shí)代，我們所談?wù)摰钠髽I(yè)數(shù)據(jù)庫的安全主要體現(xiàn)在Web數(shù)據(jù)庫的層面上。我們知道，基本上Web數(shù)據(jù)庫的三層體系結(jié)構(gòu)中，數(shù)據(jù)存放在數(shù)據(jù)庫服務(wù)器中，大部分的事務(wù)處理及商業(yè)邏輯處理在應(yīng)用服務(wù)器中進(jìn)行，由應(yīng)用服務(wù)器提出對數(shù)據(jù)庫的操作請求。理論上，既可以通過Web頁面調(diào)用業(yè)務(wù)處理程序來訪問數(shù)據(jù)庫，也可以繞過業(yè)務(wù)處理程序，使用一些數(shù)據(jù)庫客戶端工具直接登錄數(shù)據(jù)庫服務(wù)器，存取操作其中的數(shù)據(jù)。所以，數(shù)據(jù)庫服務(wù)器的安全設(shè)置至關(guān)重要。用IDS(入侵檢測系統(tǒng))保衛(wèi)數(shù)據(jù)庫安全逐步普及，這種安全技術(shù)將傳統(tǒng)的網(wǎng)絡(luò)和操作系統(tǒng)級入侵探測系統(tǒng)(IDS)概念應(yīng)用于數(shù)據(jù)庫。應(yīng)用IDS提供主動的、針對SQL的保護(hù)和監(jiān)視，可以保護(hù)預(yù)先包裝或自行開發(fā)的Web應(yīng)用。

（8）做好數(shù)據(jù)庫升級和打補(bǔ)丁工作

在當(dāng)今的信息時(shí)代，作為跟操作系統(tǒng)有著同等重要地位的系統(tǒng)軟件，數(shù)據(jù)庫的升級和打補(bǔ)丁工作也是一項(xiàng)長期而不容為企業(yè)忽視的工作。隨著數(shù)據(jù)庫管理系統(tǒng)的功能設(shè)計(jì)的日益復(fù)雜和全面化，其內(nèi)在的漏洞也在不斷地暴露出來。據(jù)賽門鐵克今年的統(tǒng)計(jì)數(shù)據(jù)表明，在漏洞攻擊中，記錄到了Oracle數(shù)據(jù)庫168個(gè)漏洞，其在主要數(shù)據(jù)庫中居然位居第一，充分反映了當(dāng)前數(shù)據(jù)庫在安全方面所表現(xiàn)出來的薄弱性和受關(guān)注程度。幸運(yùn)的是，當(dāng)前的各大數(shù)據(jù)庫廠商都有一支專門的隊(duì)伍在對數(shù)據(jù)庫可能出現(xiàn)的漏洞和問題在做升級和補(bǔ)丁工作，企業(yè)的數(shù)據(jù)庫管理員則需要及時(shí)地從數(shù)據(jù)庫廠商和網(wǎng)上獲得最新的數(shù)據(jù)庫升級和補(bǔ)丁程序?qū)ΜF(xiàn)有的系統(tǒng)進(jìn)行更新和升級，從而保證在瞬息萬變的網(wǎng)絡(luò)世界中，企業(yè)數(shù)據(jù)庫能夠以較好的安全性能來應(yīng)對各種攻擊和挑戰(zhàn)。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】