计算机网络安全(第二版上)ppt.ppt

《计算机网络安全(第二版上)ppt.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全(第二版上)ppt.ppt（250页珍藏版）》请在装配图网上搜索。

1、计算机网络安全 (第二版上),引 言,Internet已成为全球规模最大、信息资源最丰富的计算机网络，它所具有的开放性、全球性、低成本和高效率的特点已成为电子商务的内在特征，并使得电子商务大大超越了作为一种新的贸易形式所具有的价值。电子商务不仅改变了企业自身的生产、经营和管理活动，而且将影响到整个社会的经济运行结构。,电子商务是以Internet为基础进行的商务活动，它通过Internet进行包括政府、商业、教育、保健和娱乐等活动。 下面是一个日常网上购物（电子商务）活动的案例。一个持有信用卡的消费者进行网上购物的流程如下：, 消费者在客户机上浏览商家的网站，查看和 浏览在线商品目录及性能等；

2、 消费者选择中意的商品（放入购物车）； 消费者填写定单，包括项目列表、单价、数量、金额、运费等； 消费者选择付款方式，如网上支付。此时开始启动安全电子交易（SET）协议； 消费者通过网络发送给商家一个完整的定单和要求付款的请求；, 商家接到定单后，通过支付网关向消费者信用卡的开户银行请求支付；在银行和发卡机构经检验确认和批准交易后，支付网关给商家返回确认信息； 商家通过网络给消费者发送定单确认信息； 商家请求银行将钱从消费者的信用卡账号中划拨到商家账号； 商家为消费者配送货物，完成订购服务。,至此，一次网上购物过程结束。该过程可以简化为如下图所示五个过程：,但网上购物涉及的这五个过程中每个过程

3、都包含一些具体操作，甚至是很复杂的具体操作。网上支付过程就涉及上述流程中的第第步。网上支付所用的安全电子交易协议SET就很复杂，它与网上购物涉及的6个实体均有联系，如下图所示。,支 付 与 授 权,订单与支付信息,支付与授权信息,确认与授权,客户,发卡 机构,CA认 证中心,支付 网关,商家,银行,信息浏览、填写订 单和支付信息处理,支付 资金 结算,协议转换和数据接 口安全及鉴别管理,商品和服务信息发布、订单 处理、支付管理、货款结算,认证 交易 各方,认证,认证,利用SET协议的网上购物流程,授权发卡、付款 卡的管理与确认,认证,从网上购物流程可见，SET协议流程的好多步骤都涉及到网上交易

4、的各方。还涉及到很复杂的网络安全管理和安全支付问题，如持卡人的数字签名、CA认证、信息的加密和鉴别、数字证书等。 由此可见，电子商务活动需要有一个安全的环境基础，以保证数据在网络中存储和传输的保密性和完整性，实现交易各方的身份验证，防止交易中抵赖行为的发生等。,除电子商务应用外，目前很多在Internet和其他网络上的应用也都涉及网络的信息安全技术，如数据加密、身份鉴别、病毒防治、网络数据库安全、访问控制、认证技术等，本课程将在此后各章介绍这些技术及其应用。,第1章 计算机网络安全概述,本章要点,网络安全的基本概念和特征 网络的脆弱性和威胁 网络安全体系结构 网络安全措施 网络安全级别 网络系

5、统安全的日常管理及操作,11 计算机网络安全的概念,1.1.1 计算机网络的概念 计算机网络是利用通信线路把多个计算机系统和通信设备相连，在系统软件及协议的支持下而形成的一种复杂的计算机系统。,11 计算机网络安全的概念,1.1.1 计算机网络的概念 计算机网络技术是由现代通信技术和计算机技术的高速发展、密切结合而产生和发展的。计算机网络技术是20世纪最伟大的科学技术成就之一，而计算机网络的发展速度又超过了世界上任何一种其他科学技术的发展速度。,11 计算机网络安全的概念,1.1.1 计算机网络的概念 从系统组成的角度看，计算机网络是由硬件和软件两大部分组成的。计算机网络硬件主要包括主机、终端

6、、用于信息变换和信息交换的通信节点设备、通信线路和网络互连设备（如网桥、路由器、交换机和网关）等。计算机网络软件包括操作系统软件、协议软件、管理软件、通信软件和应用软件等。,11 计算机网络安全的概念,1.1.2 网络安全的含义 网络安全归根到底就是两层意思，即确保计算机网络环境下信息系统的安全运行和在信息系统中存储、处理和传输的信息受到安全保护，这就是通常所说的保证网络系统运行的可靠性、确保信息的保密性、完整性和可用性。,11 计算机网络安全的概念,1.1.2 网络安全的含义 由于现代的数据处理系统都是建立在计算机网络基础上的，计算机网络安全也就是信息系统安全。 网络安全同样也包括系统安全运

7、行和系统信息安全保护两方面，即网络安全是对信息系统的安全运行和对运行在信息系统中的信息进行安全保护(包括信息的保密性、完整性和可用性保护)的统称。 信息系统的安全运行是信息系统提供有效服务(即可用性)的前提，信息的安全保护主要是确保数据信息的保密性和完整性。,11 计算机网络安全的概念,1.1.2 网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因无意或故意威胁而遭到破坏、更改、泄露，保证网络系统连续、 可靠、正常地运行。,11 计算机网络安全的概念,1.1.2 网络安全的含义 从不同角度谈网络安全： 用户：网络系统可靠运行；网络中存储和传输的信息完整、可用和保密。

8、 网络运行和管理者：网络资源安全，有访问控制措施，无“黑客”和病毒攻击。 安全保密部门：防有害信息出现，防敏感信息泄露。 社会教育和意识形态：控制有害信息的传播,11 计算机网络安全的概念,1.1.3 网络安全特征 网络系统的安全性可包括系统的可靠性、软件和数据的完整性、可用性和保密性等几个特征。 网络系统的可靠性（Reliability） 是指保证网络系统不因各种因素的影响而中断正常工作。 软件及数据的完整性（Integrity） 是指保护网络系统中存储和传输的软件（程序）及数据不被非法操作，即保证数据不被插入、替换和删除，数据分组不丢失、乱序，数据库中的数据或系统中的程序不被破坏等。 软件

9、及数据的可用性（Availability） 是指在保证软件和数据完整性的同时，还要能使其被正常利用和操作。 软件及数据的保密性（Confidentiality） 主要是利用密码技术对软件和数据进行加密处理，保证在系统中存储和网络上传输的软件和数据不被无关人员识别。,12 计算机网络面临的不安全因素,1.2.1 网络系统的脆弱性 1操作系统的脆弱性： 网络操作系统体系结构本身就是不安全的，具体表现为： 动态联接 创建进程 空口令和RPC 超级用户,12 计算机网络面临的不安全因素,1.2.1 网络系统的脆弱性 2计算机系统本身的脆弱性 3电磁泄漏 4数据的可访问性 5通信系统和通信协议的弱点 6

10、数据库系统的脆弱性 7网络存储介质的脆弱,12 计算机网络面临的不安全因素,1.2.2 网络系统的威胁 网络系统面临的威胁主要来自外部的人为影响和自然环境的影响，它们包括对网络设备的威胁和对网络中信息的威胁。这些威胁的主要表现有：非法授权访问，假冒合法用户，病毒破坏，线路窃听，黑客入侵，干扰系统正常运行，修改或删除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。,12 计算机网络面临的不安全因素,1.2.2 网络系统的威胁 1无意威胁 无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息的完整性。无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，人为误操作，电源故障和自然灾害等。

11、 2故意威胁 故意威胁实际上就是“人为攻击”。由于网络本身存在脆弱性，因此总有某些人或某些组织想方设法利用网络系统达到某种目的，如从事工业、商业或军事情报搜集工作的“间谍”，对相应领域的网络信息是最感兴趣的，他们对网络系统的安全构成了主要威胁。,12 计算机网络面临的不安全因素,1.2.2 网络系统的威胁 对系统的攻击范围，可从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的、敏感的信息。 这些攻击又可分为被动攻击和主动攻击。,12 计算机网络面临的不安全因素,1.2.2 网络系统的威胁 被动攻击和主动攻击有以下四种具体类型： 窃取(Interception) 攻击者未经授权浏览了

12、信息资源。这是对信息保密性的威胁，例如通过搭线捕获线路上传输的数据等。 中断(Interruption) 攻击者中断正常的信息传输，使接收方收不到信息，正常的信息变得无用或无法利用，这是对信息可用性的威胁，例如破坏存储介质、切断通信线路、侵犯文件管理系统等。 篡改(Modification) 攻击者未经授权而访问了信息资源，并篡改了信息。这是对信息完整性的威胁，例如修改文件中的数据、改变程序功能、修改传输的报文内容等。,1.2.2 网络系统的威胁 伪造(Fabrication) 攻击者在系统中加入了伪造的内容。这也是对数据完整性的威胁，如向网络用户发送虚假信息、在文件中插入伪造的记录等.,12

13、计算机网络面临的不安全因素,13 计算机网络安全体系结构,网络安全体系结构是网络安全层次的抽象描述。在大规模的网络工程建设、管理及基于网络安全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功能的完备性和一致性，降低安全代价和管理开销。这样一个网络安全体系结构对于网络安全的设计、实现与管理都有重要的意义。 网络安全是一个范围较广的研究领域，人们一般都只是在该领域中的一个小范围做自己的研究，开发能够解决某种特殊的网络安全问题方案。比如，有人专门研究加密和鉴别，有人专门研究入侵和检测，有人专门研究黑客攻击等。网络安全体系结构就是从系统化的角度去理解这些安

14、全问题的解决方案，对研究、实现和管理网络安全的工作具有全局指导作用。,13 计算机网络安全体系结构,1.3.1 网络安全模型和框架 网络安全模型,13 计算机网络安全体系结构,1.3.1 网络安全模型和框架 众所周知，通信双方在网络上传输信息，需要先在发收之间建立一条逻辑通道。这就要先确定从发送端到接收端的路由，再选择该路由上使用的通信协议，如TCP/IP。信息转换报文秘密信息报文秘密信息如仲裁者，秘密信息发布者用户可信任第三方攻击者图1.2 网络安全模型用户信息转换 为了在开放式的网络环境中安全地传输信息，需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分：一是对发送的信息进行

15、安全转换，如信息加密以便达到信息的保密性，附加一些特征码以便进行发送者身份验证等；二是发收双方共享的某些秘密信息，如加密密钥，除了对可信任的第三方外，对其他用户是保密的。,13 计算机网络安全体系结构,1.3.1 网络安全模型和框架 为了使信息安全传输，通常需要一个可信任的第三方，其作用是负责向通信双方分发秘密信息，以及在双方发生争议时进行仲裁。 一个安全的网络通信必须考虑以下内容： 实现与安全相关的信息转换的规则或算法。 用于信息转换算法的秘密信息（如密钥）。 秘密信息的分发和共享。 使用信息转换算法和秘密信息获取安全服务所需的协议。,13 计算机网络安全体系结构,1.3.1 网络安全模型和

16、框架 2网络信息安全框架 网络信息安全可看成是多个安全单元的集合。其中，每个单元都是一个整体，包含了多个特性。一般，人们从三个主要特性-安全特性、安全层次和系统单元去理解安全单元。该安全单元集合可用一个三维安全空间描述，如图1.3所示。该三维安全空间反映了信息系统安全需求和安全结构的共性。,13 计算机网络安全体系结构,13 计算机网络安全体系结构,1.3.1 网络安全模型和框架 2网络信息安全框架 (1) 安全特性 安全特性指的是该安全单元可解决什么安全威胁。信息安全特性包括保密性、完整性、可用性和认证安全性。 (2) 系统单元 系统单元是指该安全单元解决什么系统环境的安全问题。对于现代网络

17、，系统单元涉及以下五个不同环境。,13 计算机网络安全体系结构,1.3.1 网络安全模型和框架 2网络信息安全框架 (1) 安全特性 安全特性指的是该安全单元可解决什么安全威胁。信息安全特性包括保密性、完整性、可用性和认证安全性。 (2) 系统单元 系统单元是指该安全单元解决什么系统环境的安全问题。对于现代网络，系统单元涉及以下五个不同环境。,13 计算机网络安全体系结构,1.3.2 OSI网络安全体系 OSI参考模型是国际标准化组织（ISO）为解决异种机互连而制定的开放式计算机网络层次结构模型。ISO提出OSI（开放系统互连）参考模型的目的，就是要使在各种终端设备之间、计算机之间、网络之间、

18、操作系统进程之间以及人们之间互相交换信息的过程，能够逐步实现标准化。参照这种参考模型进行网络标准化的结果，就能使得各个系统之间都是“开放”的，而不是封闭的。OSI参考模型将计算机网络划分为七个层次，分别称为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。,13 计算机网络安全体系结构,1.3.2 OSI网络安全体系 ISO于1989年2月公布的ISO7498-2“网络安全体系结构”文件，给出了OSI参考模型的安全体系结构。这是一个普遍适用的安全体系结构，它对具体网络的安全体系结构具有指导意义，其核心内容是保证异构计算机系统之间远距离交换信息的安全。 OSI安全体系结构主要包括网络安

19、全机制和网络安全服务两方面的内容，并给出了OSI网络层次、安全机制和安全服务之间的逻辑关系。,13 计算机网络安全体系结构,1.3.2 OSI网络安全体系 1网络安全机制 (1) 加密机制 (2) 数字签名机制 (3) 访问控制机制 (4) 数据完整性机制 (5) 交换鉴别机制 (6) 信息量填充机制 (7) 路由控制机制 (8) 公证机制,13 计算机网络安全体系结构,1.3.2 OSI网络安全体系结构,13 计算机网络安全体系结构,1.3.2 OSI网络安全体系 2网络安全服务 (1) 鉴别服务 (2) 访问控制服务 (3) 数据完整性服务 (4) 数据保密性服务 (5) 非否认服务 (6

20、) 信息量填充机制 (7) 路由控制机制 (8) 公证机制,表1.1 与网络各层相关的OSI安全服务,13 计算机网络安全体系结构,表1.2 OSI安全服务与安全机制的关系,13 计算机网络安全体系结构,13 计算机网络安全体系结构,1.3.3 P2DR模型 一个常用的网络安全模型是P2DR模型包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整、 动态”的安全循环。,13 计算机网络安全体系结构,1.3.3 P2DR模型 1Policy(安全策略) 我们在考虑建立网络安全系统时

21、，在了解了网络信息安全系统等级划分和评估网络安全风险后，一个重要的任务就是要制订一个网络安全策略。一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。网络安全策略一般包括两部分：总体的安全策略和具体的安全规则。,13 计算机网络安全体系结构,1.3.3 P2DR模型 2Protection（防护） 防护就是根据系统可能出现的安全问题采取一些预防措施，是通过一些传统的静态安全技术及方法来实现的。通常采用的主动防护技术有：数据加密，身份验证，访问控制，授权和虚拟网络(VPN)技术；被动防护技术有：防火墙技术，安全扫描，入侵检测，路由过滤，数据备份和归档，物理安全，安全管理等。

22、,13 计算机网络安全体系结构,1.3.3 P2DR模型 3Detection（检测） 攻击者如果穿过防护系统，检测系统就会将其检测出来。如检测入侵者的身份，包括攻击源、系统损失等。防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事件，特别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就要启动检测系统进行检测,13 计算机网络安全体系结构,1.3.3 P2DR模型 4Response（响应） 系统一旦检测出入侵，响应系统则开始响应，进行事件处理。P2DR中的响应就是在已知入侵事件发生后，进行的紧急响应(事件处理)。响应工作可由特殊部门-计算机紧急响应小组负责。世界上第一个计

23、算机紧急响应小组简称CERT (Computer Emergency Response Team)，我国的第一个计算机紧急响应小组是中国教育与科研计算机网络建立的，简称“CCERT”。不同机构也有相应的计算机紧急响应小组。,14 计算机网络安全措施,1.4.1 安全立法 1国外的计算机信息安全立法 2我国的计算机信息安全立法 1.4.2 安全管理 1安全管理机构 2安全行政人事管理 3系统安全管理 1.4.3 实体安全技术 1.4.4 访问控制技术 1.4.5 数据保密技术,15 计算机网络的安全级别,1.5.1 可信计算机标准评价准则 1983年美国国防部发表的可信计算机标准评价准则（简称为

24、TCSEC）把计算机安全等级分为4类7级。根据安全性从低到高的级别，依次为D、C1、C2、B1、B2、B3、A级，每级包括它下级的所有特性，见表。,15 计算机网络的安全级别,15 计算机网络的安全级别,1.5.2 计算机信息安全保护等级划分准则 我国于2001年1月1日起实施的计算机信息系统安全保护等级划分准则将计算机安全保护等级划分为五个级别。 第一级叫用户自主保护级。该级使用户具备自主安全保护能力，保护用户和用户组信息，避免被其他用户非法读写和破坏。 第二级叫系统审计保护级。它具备第一级的保护能力，并创建和维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户及事件类型等信

25、息，使所有用户对自己的行为负责。,15 计算机网络的安全级别,1.5.2 计算机信息安全保护等级划分准则 第三级叫安全标记保护级。它具备第二级的保护能力，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。 第四级叫结构化保护级。它具备第三级的保护功能，并将安全保护机制划分为关键部分和非关键部分两层结构，其中的关键部分直接控制访问者对访问对象的访问。该级具有很强的抗渗透能力。 第五级叫安全域保护级。它具备第四级的保护功能，并增加了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。该级具有极强的抗渗透能力。,16 网络系统安全的日常管理及

26、操作,1.6.1网络系统的日常管理 1口令（密码）管理 2病毒防护 3漏洞扫描 4边界控制 5实时监控 6日志审核 7应急响应 8软件和数据文件的保护,16 网络系统安全的日常管理及操作,1.6.2 网络日志管理 1网络日志是日常管理的FAQ 2网络日志是排除故障的黑匣子 3网络日志是网络升级的指示仪 4网络设备的日志管理 5网络日志便于系统运行维护管理 6日志分析工具及应用,16 网络系统安全的日常管理及操作,1.6.2 网络日志管理 6日志分析工具及应用 AWStats是一个基于Perl的Web日志分析工具。AWStats是perl语言书写的程序，所以必须先安装ActivePerl(for

27、 win32)程序。 (1) 安装ActivePerl (2) 测试ActivePerl,16 网络系统安全的日常管理及操作,1.6.2 网络日志管理 6日志分析工具及应用 (3) 安装AWStats (4) 使用AWStats 1) 设置IIS的日志选项 2) .conf文件的设置 3) 统计日志 4) 访问统计结果,图1.8 CGI 测试设置,习题和思考题,课后习题和布置作业 答疑,第2章 网络操作系统安全, 操作系统安全 访问控制的概念、类型及措施 Windows NT/2000/2003系统的完全性 UNIX和Linux系统的安全性,本章要点,21 网络操作系统简介,计算机网络是由多个

28、相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完整独立的操作系统，网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。,网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务的软件及相关规程，它是整个网络的核心，通过对网络资源的管理，使网上用户能方便、快捷、有效地共享网络资源。操作系统的主要功能包括：进程控制和调度、信息处理、存储器管理、文件管理、输入/输出管理、资源管理等。,21 网络操作系统简介,NOS是一种运行在硬件基础上的网络操作和管理软件，是网络软件系统的基础，它建立一种集成的网络系统环境，为用户方便而有效地使用和管理

29、网络资源提供网络接口和网络服务。NOS除了具有一般操作系统所具有的处理机管理、存储器管理、设备管理和文件管理功能外，还提供高效而可靠的网络通信环境和多种网络服务功能。如文件服务、打印服务、记账服务、数据库服务以及支持Internet和Intranet服务。,21 网络操作系统简介,目前，常用的网络操作系统有Windows 2000 Server、Windows NT Server、NetWare、UNIX和Linux。,21 网络操作系统简介,Windows NT是Microsoft公司在LAN Manager网络操作系统基础上于1993年推出的具有更高性能的NOS(Windows NT 3.

30、1) Windows NTS主要用于网络上的服务器，包括文件服务器、打印服务器和Windows NT网络的主域控制器等；Windows NTWS则主要服务于高档客户。从网络角度看，Windows NTS属于管理网络的主服务器软件，而Windows NTWS则用于管理特殊工作站或用户工作站。两者相比，服务器软件附带有较强的管理功能和较完善的Internet功能，如可以使用附带的IIS软件建立企业网的Internet信息服务器，而工作站软件只有较简单的单一Web服务功能。,2.1.1 Windows NT系统,Windows NT是一种32位多用户、多任务的网络操作系统，也是一种面向分布式图形应用

31、程序的完整的平台系统。 Windows NT是功能强大的网络操作系统，既适合于大型业务机构的实时、分时数据处理，又能为工作组、商业和企业的不同机构提供一种优化的文件和打印服务，其Client/Server平台还可以集成各种新技术，通过该平台为信息存取提供优越的环境。 Windows NT操作系统在其核心内置了容错技术，可以在应用软件和系统硬件故障时，保证系统能正常可靠地工作；提供了相当多的易于实施的网络管理及网络安全功能，如创建用户组和用户，用户入网安全限制，进行各种CPU和内存的测试与分析等。,2.1.1 Windows NT系统,在Windows NT之后Microsoft 公司又推出的W

32、indows 2000网络操作系统。它集Windows98和WindowsNT4.0的很多优良功能和性能于一身，超越了WindowsNT的原来含义。与Windows NT相比，Windows 2000在许多方面都做了较大的改动，在安全性、可操作性等方面都有了质的飞跃。 Windows 2000系列操作平台，继承了Windows NT的高性能，融入了Windows 9x易操作的特点，又发展了一些新的特性。Windows 2000使用了活动目录、分布式文件系统、智能镜像、管理咨询等新技术，它具备了强大的网络功能，可作为各种网络的操作平台，尤其是Windows 2000强化的网络通信、提供了强大的I

33、nternet功能。,2.1.2 Windows 2000系统,Windows 2000系列操作系统有Windows 2000 Datacenter Server、Windows 2000 Advanced Server、Windows 2000 Server和Windows 2000 Professional四个产品。Windows 2000 Datacenter Server是一个新的品种，它支持32个以上的CPU和64GB的内存，以及4个节点的集群服务Windows 2000 Server和Advanced Server分别是Windows NT Server 4.0及其企业版的升级产品

34、。Windows2000 Professional是一个商业用户的桌面操作系统，也适合移动用户，是Windows NT Workstation4.0的升级。,2.1.2 Windows 2000系统,Windows 2000平台包括了Windows 2000 Professional和Windows 2000 Server前后台的集成，它具有如下的新特性和新功能。 1活动目录 2分布式文件系统 3管理咨询 4智能镜像技术 5强化的网络通信 虚拟专用网（VPN）。 路由和远程访问服务。 路由和网关 网络地址转换。,2.1.2 Windows 2000系统,在微软的企业级操作系统中，如果说Wind

35、ows2000全面继承了NT技术，那么Windows Server 2003则是依据.Net架构对NT技术进行了重要发展和实质性改进，并部分实现了.Net战略，构筑了.Net战略中最基础的一环。Windows Server 2003作为.Net架构提出以来最重要、最基础性的产品，它的推出受到了业内人士的关注。 Windows Server 2003是一款微软推出的全新操作系统。Windows Server 2003简体中文版分Web、Standard、Enterprise和Datacenter四个版本。Enterprise版最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz

36、，内存不少于128MB。因此，Windows Server 2003具有硬件适应性面广和伸缩性强的特点。,2.1 3 Windows 2003操作系统,Windows Server 2003不仅改进了Windows2000原有的服务，提高了这些服务的性能和扩充了许多功能，而且还增加了新的服务。 1安全性 2可管理性 3系统性能 4安装和界面 5功能,2.1 3 Windows 2003操作系统,1UNIX概述 1970年，在美国电报电话公司（AT网络数据库的特性，数据库的故障类型，数据库安全性措施(层次)，数据库备份的类型及涵义，数据库系统备份性能指标；网络数据库恢复和转储的种类，数据失效的类

37、型；影响数据完整性的因素，常见的硬件故障、网络故障、软件问题和人为因素。,本章要求 网络数据库系统特性及安全 网络数据库的安全特性 网络数据库的安全保护 网络数据备份和恢复,本章分为四小节： 41网络数据库安全概述 42网络数据库的安全特性 43网络数据库的安全保护 44网络数据备份和恢复,41网络数据库安全概述,1. 数据库安全的概念 2. 数据库管理系统及特性 3. 数据库安全系统特性 4. 数据库安全的威胁,4.1.1 数据库安全的概念 1数据库安全 (1) 第一层含义是数据库系统的安全性。 硬件运行安全 物理控制安全 操作系统安全 用户有可连接数据库的授权 灾害、故障恢复,4.1.1

38、数据库安全的概念 1数据库安全 (2) 第二层含义是数据库数据的安全性 。 有效的用户名/口令鉴别 用户访问权限控制 数据存取权限、方式控制 审计跟踪 数据加密 防止电磁信息泄漏,4.1.1 数据库安全的概念 2数据库安全管理原则 (1) 管理细分和委派原则 (2) 最小权限原则 (3) 账号安全原则 (4) 有效审计原则,4.1.2 数据库管理系统及特性 1. 数据库管理系统的安全功能 数据库管理系统(DBMS)：专门负责数据库管理和维护的计算机软件系统。它是数据库系统的核心，不仅负责数据库的维护工作，还能保证数据库的安全性和完整性。,在安全方面，DBMS还具有以下职能： 保证数据的安全性和

39、完整性，抵御一定程度的物理破坏，能维护和提交数据库内容； 能识别用户，分配授权和进行访问控制，包括身份证识别和验证。,2. DBMS的安全使用特性 多用户：网络系统的数据库是为多个用户提供访问服务的； 高可靠性：多用户所使用的数据库要求一定有高可靠性； 数据频繁更新：多用户访问数据库的频率高，对数据的操作频繁； 文件大。,（1）. 数据安全性 保证数据库数据安全，通常采取以下措施： 将数据库中需要保护和不需要保护的数据分开； 采取ID号、口令和权限等访问控制； 数据加密后存于数据库。,（2）. 数据的共享性 不同的应用程序可以使用同一个数据库。 不同的应用程序可以在同一时刻去存取同一个数据。

40、数据库中的数据不但可供现有的应用程序共享，还可为新开发的应用程序使用。 应用程序可用不同的程序设计语言编写，它们可以访问同一个数据库。,（3）. 数据的结构化 基于文件的数据的主要优势就在于它利用了数据结构。数据库中的文件相互联系，并在整体上服从一定的结构形式。数据库具有复杂的结构，不仅是因为它拥有大量的数据，同时也因为在数据之间和文件之间存在着种种联系。数据库的结构使开发者避免了针对每一个应用都需要重新定义数据逻辑关系的过程。,3数据库事务 “事务”是数据库中的一个重要概念，是一系列操作过程的集合，也是数据库数据操作的并发控制单位。 DBMS在数据库操作时进行“事务”定义，要么一个“事务”应

41、用的全部操作结果都反映在数据库中（全部完成），要么就一点都没有反映在数据库中（全部撤除），数据库回到该次事务操作的初始状态。这就是说，一个数据库“事务”序列中的所有操作只有两种结果之一，即全部执行或全部撤除。,4.1.3 数据库系统的缺陷和威胁 1.数据库系统缺陷 常见的数据库的安全漏洞和缺陷有： 数据库应用程序通常都同操作系统的最高管理员密切相关； 人们对数据库安全的忽视； 部分数据库机制威胁网络低层安全；,4.1.4 数据库安全的缺陷和威胁 1. 缺陷和漏洞 常见的数据库的安全漏洞和缺陷有： 数据库应用程序通常都同操作系统的最高管理员密切相关； 人们对数据库安全的忽视； 部分数据库机制威胁

42、网络低层安全；,安全特性缺陷； 数据库账号密码容易泄漏； 操作系统后门； 木马的威胁。,2. 数据库系统的威胁形式 篡改：篡改是指对数据库中的数据未经授权地进行修改，使其失去原来的真实性。篡改是一种人为的主动攻击。进行这种人为攻击的原因可能是个人利益驱动、隐藏证据、恶作剧或无知。,损坏：损坏的表现为数据库中表和整个数据库部分或全部被删除、移走或破坏。产生损坏的原因主要有破坏、恶作剧和病毒。,窃取：窃取一般是对敏感数据进行的。窃取的手法可能是将数据复制到可移动的介质上带走或把数据打印后取走。一般，被窃取的数据可能具有很高的价值。窃取数据的对象一般是内部员工和军事及工商业间谍等。,3. 数据库系统

43、威胁的来源 数据库安全的威胁主要来自 物理和环境的因素； 事务内部故障； 系统故障； 人为破坏； 介质故障； 并发事件； 病毒与黑客。,42 网络数据库的安全特性,为了保证数据库数据的安全可靠和正确有效，DBMS必须提供统一的数据保护功能。数据保护也称为数据控制，主要包括数据库的安全性、完整性、并发控制和恢复。下面以多用户数据库系统Oracle为例，阐述数据库的安全特性。,4.2.1 数据库的安全性 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。在数据库系统中有大量的计算机系统数据集中存放，为许多用户所共享，这样就使安全问题更为突出。在一般的计算机系统中，安全措施

44、是一级一级设置的。,1数据库的存取控制 (1) 数据库的安全机制 多用户数据库系统(如Oracle)提供的安全机制可做到： 防止非授权的数据库存取； 防止非授权的对模式对象的存取； 控制磁盘使用； 控制系统资源使用； 审计用户动作。,(2) 模式和用户机制 Oracle使用多种不同的机制管理数据库安全性，其中有模式和用户两种机制。 模式机制。模式为模式对象的集合，模式对象如表、视图、过程和包等。,用户机制。每一个Oracle数据库有一组合法的用户，可运行一数据库应用和使用该用户连接到定义该用户的数据库。当建立一个数据库用户时，对该用户建立一个相应的模式，模式名与用户名相同。一旦用户连接一个数据

45、库，该用户就可存取相应模式中的全部对象，一个用户仅与同名的模式相联系，所以用户和模式是类似的。,2特权和角色 特权 特权是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有系统特权和对象特权两类特权。,系统特权。系统特权是执行一种特殊动作或者在对象类型上执行一种特殊动作的权力。系统特权可授权给用户或角色。系统可将授予用户的系统特权授给其他用户或角色，同样，系统也可从那些被授权的用户或角色处收回系统特权。 对象特权。对象特权是指在表、视图、序列、过程、函数或包上执行特殊动作的权利。对于不同类型的对象，有不同类型的对象特权。,(2) 角色 角色是相关特权的命名组。数据库系统利用角色可更容易

46、地进行特权管理。 角色管理的优点 减少特权管理。 动态特权管理。 特权的选择可用性。 应用可知性。 专门的应用安全性。,一般，建立角色有两个目的，一是为数据库应用管理特权，二是为用户组管理特权，相应的角色分别称为应用角色和用户角色。 应用角色是系统授予的运行一组数据库应用所需的全部特权。一个应用角色可授给其它角色或指定用户。一个应用可有几种不同角色，具有不同特权组的每一个角色在使用应用时可进行不同的数据存取。 用户角色是为具有公开特权需求的一组数据库用户而建立的。, 数据库角色的功能 一个角色可被授予系统特权或对象特权。 一个角色可授权给其它角色，但不能循环授权。 任何角色可授权给任何数据库用

47、户。 授权给一个用户的每一角色可以是可用的，也可是不可用的。 一个间接授权角色(授权给另一角色的角色)对一个用户可明确其可用或不可用。 在一个数据库中，每一个角色名是唯一的。,3审计 审计是对选定的用户动作的监控和记录，通常用于审查可疑的活动，监视和收集关于指定数据库活动的数据。,(1) Oracle支持的三种审计类型 语句审计。语句审计是指对某种类型的SQL语句进行的审计，不涉及具体的对象。这种审计既可对系统的所有用户进行，也可对部分用户进行。,特权审计。特权审计是指对执行相应动作的系统特权进行的审计，不涉及具体对象。这种审计也是既可对系统的所有用户进行，也可对部分用户进行。 对象审计。对象

48、审计是指对特殊模式对象的访问情况的审计，不涉及具体用户，是监控有对象特权的SQL语句。,(2) Oracle允许的审计选择范围 审计语句的成功执行、不成功执行，或其两者都包括。 对每一用户会话审计语句的执行审计一次或对语句的每次执行审计一次。,对全部用户或指定用户的活动的审计。 当数据库的审计是可能时，在语句执行阶段产生审计记录。审计记录包含有审计的操作、用户执行的操作、操作的日期和时间等信息。审计记录可存放于数据字典表(称为审计记录)或操作系统审计记录中。,4.2.2 数据库的完整性 数据库的完整性是指保护数据库数据的正确性和一致性。它反映了现实中实体的本来面貌。数据库系统要提供保护数据完整

49、性的功能。系统用一定的机制检查数据库中的数据是否满足完整性约束条件。Oracle应用于关系型数据库的表的数据完整性有下列类型：,空与非空规则：在插入或修改表的行时允许或不允许包含有空值的列； 唯一列值规则：允许插入或修改表的行在该列上的值唯一； 引用完整性规则； 用户对定义的规则。,Oracle允许定义和实施每一种类型的数据完整性规则，如空与非空规则、唯一列值规则和引用完整性规则等，这些规则可用完整性约束和数据库触发器来定义。,1完整性约束 (1) 完整性约束条件 完整性约束条件是作为模式的一部分，对表的列定义的一些规则的说明性方法。具有定义数据完整性约束条件功能和检查数据完整性约束条件方法的

50、数据库系统可实现对数据完整性的约束。,完整性约束有数值类型与值域的完整性约束、关键字的约束、数据联系(结构)的约束等。这些约束都是在稳定状态下必须满足的条件，叫静态约束。相应地还有动态约束，就是指数据库中的数据从一种状态变为另一种状态时，新旧数值之间的约束，例如更新人的年龄时，新值不能小于旧值等。,(2) 完整性约束的优点 利用完整性约束实施数据完整性规则有以下优点： 定义或更改表时，不需要程序设计便可很容易地编写程序并可消除程序性错误，其功能是由Oracle控制。,对表所定义的完整性约束被存储在数据字典中，所以由任何应用进入的数据都必须遵守与表相关联的完整性约束。 具有最大的开发能力。当由完

51、整性约束所实施的事务规则改变时，管理员只需改变完整性约束的定义，所有应用自动地遵守所修改的约束。,完整性约束存储在数据字典中，数据库应用可利用这些信息，在SQL语句执行之前或Oracle检查之前，就可立即反馈信息。 完整性约束说明的语义被清楚地定义，对于每一指定说明规则可实现性能优化。,完整性约束可临时地使其不可用，使之在装入大量数据时避免约束检索的开销。当数据库装入完成时，完整性约束可容易地使其可用，任何破坏完整性约束的新记录可在另外表中列出。,2数据库触发器 触发器的定义 数据库触发器是使用非说明方法实施的数据单元操作过程。利用数据库触发器可定义和实施任何类型的完整性规则。,Oracle允

52、许定义过程，当对相关的表进行Insert、Update或Delete语句操作时，这些过程被隐式地执行，这些过程称为数据库触发器。触发器类似于存储过程，可包含SQL语句和PL/SQL语句，可调用其它的存储过程。过程与触发器差别在于调用方法：过程由用户或应用显式地执行；而触发器是为一个激发语句(Insert、Update、Delete)发出而由Oracle隐式地触发。一个数据库应用可隐式地触发存储在数据库中的多个触发器。,(2) 触发器的组成 一个触发器由三部分组成：触发事件或语句、触发限制和触发器动作。触发事件或语句是指引起激发触发器的SQL语句，可为对一个指定表的Insert、Update或D

53、elete语句。触发限制是指定一个布尔表达式，当触发器激发时该布尔表达式必须为真。触发器作为过程，是PL/SQL块，当触发语句发出、触发限制计算为真时该过程被执行。,(3) 触发器的功能 一般触发器用于： 自动地生成导出列值。 实施复杂的安全审核。 在分布式数据库中实施跨节点的完整性引用。 实施复杂的事务规则。 提供透明的事件记录。 提供高级的审计。 收集表存取的统计信息。,4.2.3 数据库的并发控制 1一致性和实时性 一致性的数据库就是指并发数据处理响应过程已完成的数据库。例如：一个会计数据库，当它的记入借方与相应的贷方记录相匹配的情况下，它就是数据一致的。 数据库日志被用来在故障发生后恢

54、复数据库时可保证数据库的一致性和实时性。,2数据的不一致现象 事务并发控制不当，可能产生丢失修改、读无效数据、不可重复读等数据不一致现象。,3并发控制的实现 并发控制的实现途径有多种，如果DBMS支持，当然最好是运用其自身的并发控制能力。如果系统不能提供这样的功能，可以借助开发工具的支持，还可以考虑调整数据库应用程序，而且有的时候可以通过调整工作模式来避开这种会影响效率的并发操作。,4.2.4 数据库的恢复 1操作系统备份 不管为Oracle数据库设计成什么样的恢复模式，数据库数据文件、日志文件和控制文件的操作系统备份都是绝对需要的，它是保护介质故障的策略。操作系统备份有完全备份和部分备份。,

55、2介质故障的恢复 介质故障是当一个文件、文件的一部分或一块磁盘不能读或不能写时出现的故障。介质故障的恢复有以下两种形式，决定于数据库运行的归档方式。,(1) 完全介质恢复 完全介质恢复可恢复全部丢失的修改。仅当所有必要的日志可用时才可能这样做。可使用不同类型的完全介质恢复，这要取决于损坏的文件和数据库的可用性。 关闭数据库的恢复。当数据库可被装配却是关闭时，完全不能正常使用，此时可进行全部的或单个损坏数据文件的完全介质恢复。,打开数据库的离线表空间的恢复。当数据库是打开的，完全介质恢复可以处理。未损的数据库表空间是在线时可以使用，而当受损空间离线时，其所有数据文件可作为完全介质恢复的单位。,当

56、数据库是打开状态，完全介质恢复可以对其处理。未损的数据库表空间处于在线状态时，也可以使用完全介质恢复，而受损的表空间处于离线状态时，该表空间指定的单个受损数据文件可被恢复。 使用备份控制文件的恢复。当控制文件的所有拷贝由于磁盘故障而受损时，可使用备份控制文件进行完全介质恢复而不丢失数据。,(2) 不完全介质恢复 不完全介质恢复是在完全介质恢复不可能或不要求时进行的介质恢复。可使用不同类型的不完全介质恢复，重构受损的数据库，使其恢复到介质故障前或用户出错前事务的一致性状态。根据具体受损数据的不同，可采用不同的不完全介质恢复。,基于撤消的不完全介质恢复。在某种情况，不完全介质恢复必须被控制，DBA

57、可撤消在指定点的操作。可在一个或多个日志组(在线的或归档的)已被介质故障所破坏，不能用于恢复过程时使用基于撤消的恢复。介质恢复必须控制，以致在使用最近的、未受损的日志组于数据文件后中止恢复操作。,基于时间和基于修改的恢复。如果DBA希望恢复到过去的某个指定点，不完全介质恢复是理想的。当用户意外地删除一个表，并注意到错误提交的估计时间，DBA可立即关闭数据库，利用基于时间的恢复，恢复其到用户错误之前时刻。当出现系统故障而使一个在线日志文件的部分被破坏时，所有活动的日志文件突然不能使用，实例被中止，此时需要利用基于修改的介质恢复。在这两种恢复情况下，不完全介质恢复的终点可由时间点或系统修改号(SC

58、N)来指定。,43 网络数据库的安全保护,4.3.1. 数据库的安全保护层次 数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此从广义上讲，数据库系统的安全框架可以划分为三个层次： 网络系统层次； 操作系统层次； 数据库管理系统层次。,这三个层次构筑成数据库系统的安全体系，与数据库安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。,1. 网络系统层次安全 从广义上讲，数据库的安全首先倚赖于网络系统。网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大的作用离不开网络系统的支持，数据库系统的异地和分布式

59、用户也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。,2操作系统层次安全 操作系统是大型数据库系统的运行平台，为数据库系统提供了一定程度的安全保护。Windows NT 和Unix系统的安全级别通常为C2级。主要安全技术有访问控制安全策略、系统漏洞分析与防范、操作系统安全管理等。访问控制策略用于配置本地计算机的安全设置，具体可以体现在用户账户、口令、访问权限、审计等方面。,3数据库管理系统层次安全 数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统的安全性机制非常强大，则数据库系统的安全性能就好。目前市场上流行的

60、是关系型数据库管理系统，其安全性功能较弱，这就导致数据库系统的安全性存在一定的威胁。,数据库管理系统层次安全技术主要是用来解决当前面两个层次已经被突破的情况下仍能保障数据库数据的安全的问题，这就要求数据库管理系统必须有一套强有力的安全机制。采取对数据库文件进行加密处理是解决该层次安全的有效方法。,4.3.2. 数据库的审计 对于数据库系统，数据的使用、记录和审计是同时进行的。审计的主要任务是对应用程序或用户使用数据库资源的情况进行记录和审查，一旦出现问题，审计人员对审计事件记录进行分析，查出原因。因此，数据库审计可作为保证数据库安全的一种补救措施。,安全系统的审计过程是记录、检查和回顾系统安全

61、相关行为的过程。通过对审计记录的分析，可以明确责任个体，追查违反安全策略的违规行为。审计过程不可省略，审计记录也不可更改或删除。,数据库审计有用户审计和系统审计两种方式： 用户审计。进行用户审计时，DBMS的审计系统记录下所有对表和视图的访问及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在数据字典中，利用这些信息可以进行审计分析。 系统审计。系统审计由系统管理员进行，其审计内容主要是系统一级命令及数据库客体的使用情况。,数据库系统的审计工作主要包括设备安全审计、操作审计、应用审计和攻击审计等方面。设备安全审计主要审查系统资源的安全策略、安全保护措施和故障恢复计划等；操作审计是对

62、系统的各种操作进行记录和分析；应用审计是审计建立于数据库上整个应用系统的功能、控制逻辑和数据流是否正确；攻击审计是指对已发生的攻击性操作和危害系统安全的事件进行检查和审计。,4.3.3 数据库的加密保护 大型DBMS的运行平台一般都具有用户注册、用户识别、任意存取控制、审计等安全功能。虽然DBMS在操作系统的基础上增加了不少安全措施，但操作系统和DBMS对数据库文件本身仍然缺乏有效的保护措施。有经验的网上黑客也会绕过一些防范措施，直接利用操作系统工具窃取或篡改数据库文件内容。这种隐患被称为通向DBMS的“隐秘通道”，它所带来的危害一般数据库用户难以觉察。,对数据库中存储的数据实现加密是一种保护

63、数据库数据安全的有效方法。数据库的数据加密一般是在通用的数据库管理系统之上，增加一些加密/解密控件，来完成对数据本身的控制。与一般通信中加密的情况不同，数据库的数据加密通常不是对数据文件加密，而是对记录的字段加密。当然，在数据备份到离线的介质上送到异地保存时，也有必要对整个数据文件加密。,实现数据库加密以后，各用户(或用户组)的数据由用户使用自己的密钥加密，数据库管理员对获得的信息无法随意进行解密，从而保证了用户信息的安全。另外，通过加密，数据库的备份内容成为密文，从而能减少因备份介质失窃或丢失而造成的损失。由此可见，数据库加密对于企业内部安全管理，也是不可或缺的。,1.数据库加密的要求 一个

64、良好的数据库加密系统应该满足以下基本要求： 字段加密 密钥动态管理 合理处理数据 不影响合法用户的操作,2.不同层次的数据库加密 可以考虑在操作系统层、DBMS内核层和DBMS外层三个不同层次实现对数据库数据的加密。 在操作系统层，无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，也无法进行合理的密钥管理和使用。所以，在操作系统层对数据库文件进行加密，对于大型数据库来说，目前还难以实现。,在DBMS内核层实现加密，是指数据在物理存取之前完成加/解密工作。这种方式势必造成DBMS和加密器(硬件或软件)之间的接口需要DBMS开发商的支持。这种加密方式的优点是加密功能强，并且加密功能几乎不会影

65、响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。但这种方式的缺点是在服务器端进行加/解密运算，加重了数据库服务器的负载。,比较实际的做法是将数据库加密系统做成DBMS的一个外层工具。采用这种加密方式时，加/解密运算可以放在客户端进行，其优点是不会加重数据库服务器的负载并可实现网上传输加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差 。,数据库加密的有关问题 数据库加密系统首先要解决系统本身的安全性和可靠性问题，在这方面，可以采用以下几项安全措施： 在用户进入系统时进行两级安全控制 防止非法拷贝 安全的数据抽取方式,数据库加密系统结构,44 数据备份与恢复,

66、数据库的故障严重时会导致数据库系统瘫痪，从而导致计算机系统不能正常工作。因此，既要提高数据库系统的可靠性，又要采取措施在数据库出现故障时尽快恢复到数据库的原始状态。这就要采用数据库备份与恢复技术。,4.4.1 数据备份 1数据备份的概念 数据备份就是指为防止系统出现操作失误或系统故障导致数据丢失，而将全系统或部分数据集合从应用主机的硬盘或阵列中复制到其它存储介质上的过程。计算机系统中的数据备份，通常是指将存储在计算机系统中的数据复制到磁带、磁盘、光盘等存储介质上，在计算机以外的地方另行保管。,数据备份的目的就是为了系统数据崩溃时能够快速的恢复数据，使系统迅速恢复运行。那么就必须保证备份数据和源数据的一致性和完整性，消除系统使用者的后顾之忧。其关键是在于保障系统的高可用性，即操作失误或系统故障发生后，能够保障系统的正常运行。,2 数据备份的类型 常用的数据库备份方法有冷备份、热备份和逻辑备份三种。 冷备份：关闭数据库系统，在没有任何用户对数据库进行访问的情况下进行的备份。,热备份：在数据库正常运行时进行的备份。