文章內(nèi)容

企業(yè)系統(tǒng)層安全防護(hù)技術(shù)精要

發(fā)布時(shí)間: 2012/5/25 19:38:34

眾所周知，操作系統(tǒng)以及數(shù)據(jù)庫是現(xiàn)代計(jì)算機(jī)技術(shù)中最為底層和核心的軟件系統(tǒng)。那么，企業(yè)系統(tǒng)層次的安全問題主要來自于網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全和數(shù)據(jù)庫安全層面上。針對操作系統(tǒng)和數(shù)據(jù)庫的安全技術(shù)林林總總，也體現(xiàn)在應(yīng)用的不同層面上，本文將從保障企業(yè)系統(tǒng)層安全的核心層次出發(fā)，著重從安全操作系統(tǒng)、密碼設(shè)定策略及數(shù)據(jù)庫安全技術(shù)三方面進(jìn)行講解，其他的網(wǎng)絡(luò)層面和應(yīng)用層面與他們相關(guān)的防護(hù)技術(shù)將在后續(xù)專題中詳細(xì)講解。
　　1、選用安全操作系統(tǒng)
　　操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的最為基礎(chǔ)和重要的基礎(chǔ)軟件和系統(tǒng)軟件，起著管理計(jì)算機(jī)資源，直接利用計(jì)算機(jī)硬件為用戶提供與硬件相關(guān)、與應(yīng)用無關(guān)的使用和編程接口的作用。它是上層應(yīng)用軟件獲得高可靠性以及信息的完整性、保密性的基礎(chǔ)。沒有操作系統(tǒng)安全的支持，就沒有獲得網(wǎng)絡(luò)安全的可能。為了保證企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息的安全，有必要采用具有較高安全級別的安全操作系統(tǒng)，來作為企業(yè)穩(wěn)固的安全操作平臺。美國國防部（DoD）與1983年推出了著名的TCSEC（Trusted Computer System Evaluation Criteria，可信計(jì)算機(jī)評估準(zhǔn)則），也稱為"橙皮書"，是迄今為止評估計(jì)算機(jī)安全最有名的一個(gè)標(biāo)準(zhǔn)。它將計(jì)算機(jī)信息系統(tǒng)的安全分為四等八個(gè)級別，由低到高依次為：D、C1、C2、B1、B2、B3、A1、超A1。按照這個(gè)標(biāo)準(zhǔn)，傳統(tǒng)的操作系統(tǒng)，包括UNIX操作系統(tǒng)、Windows操作系統(tǒng)大都處于C級，他們的安全級別不是很高。而許多安全級別高的操作系統(tǒng)，比如Trusted Information Systems、Trusted XENIX、SNS等都處于實(shí)驗(yàn)室階段，尚未投入市場。另外，國內(nèi)對安全操作系統(tǒng)的研究工作也在如火如荼地進(jìn)行，我國從上世紀(jì)90年代開始研究安全操作系統(tǒng)，到目前已經(jīng)取得了一些成果。從1993年我國宣布開發(fā)成功具有B2 集功能的操作系統(tǒng)，現(xiàn)在已有眾多的公司和科研單位開始注重安全操作系統(tǒng)的研發(fā)，比如中科紅旗公司開發(fā)的紅旗Linux，南京大學(xué)的Softos，國防科大的麒麟安全操作系統(tǒng)，中科安勝公司的安勝操作系統(tǒng)等。
　　在安全操作系統(tǒng)中，對操作系統(tǒng)進(jìn)行安全加固和安全理論模型是從根本上解決操作系統(tǒng)安全性問題的兩項(xiàng)非常重要的記述。我們首先談?wù)劜僮飨到y(tǒng)安全加固技術(shù)，它有如下幾種方法：
　�。�1）虛擬機(jī)法：在現(xiàn)有的操作系統(tǒng)與硬件之間增加一個(gè)新的層次，作為安全內(nèi)核，現(xiàn)有操作系統(tǒng)幾乎可以不作任何變動(dòng)而成為虛擬機(jī)。安全內(nèi)核的接口基本與原有硬件等價(jià)，操作系統(tǒng)本身透明地在安全內(nèi)核的控制之下，它可以不變地支持現(xiàn)有的應(yīng)用程序，并且能夠很好地兼容非安全操作系統(tǒng)的將來版本。硬件特性對虛擬機(jī)的實(shí)現(xiàn)非常關(guān)鍵，它要求原系統(tǒng)的硬件和結(jié)構(gòu)都必須要支持虛擬機(jī)。因而這種加固方式的局限性比較大。
　�。�2）增強(qiáng)法：在現(xiàn)有的操作系統(tǒng)基礎(chǔ)上，對原有的內(nèi)核以及應(yīng)用程序采用一定的安全策略進(jìn)行改進(jìn)，并且加入相應(yīng)的安全機(jī)制，形成新的操作系統(tǒng)內(nèi)核。這樣增強(qiáng)后的操作系統(tǒng)保持了原來操作系統(tǒng)的用戶接口。這種方法是在已有操作系統(tǒng)基礎(chǔ)上進(jìn)行的，不是對原有內(nèi)核的完全地改變，因而受到原有體系結(jié)構(gòu)的限制，難以達(dá)到很高的安全級別。但是這種方法并不會(huì)破壞原有系統(tǒng)的體系結(jié)構(gòu)，開發(fā)代價(jià)小，不會(huì)影響原系統(tǒng)的運(yùn)行效率，現(xiàn)在普遍采用的是這種方式。
　　（3）仿真法：對現(xiàn)有的操作系統(tǒng)的內(nèi)核作面向安全策略的修改，然后在安全內(nèi)核與遠(yuǎn)非安全操作系統(tǒng)的用戶接口中嵌入方針程序。那么，我們在建立安全內(nèi)核的時(shí)候，可以不必如第二種方法一樣受到現(xiàn)有應(yīng)用程序的限制，而且可以完全自由地定義仿真程序于安全內(nèi)核之間的接口。然而，采用這種方式需要同時(shí)設(shè)計(jì)仿真程序以及安全內(nèi)核，還要受到元操作系統(tǒng)接口的同時(shí)，開發(fā)難度大，接口復(fù)雜。
　　操作系統(tǒng)的幾種加固方式
　　在安全操作系統(tǒng)的理論模型方面，我們通常提到BLP模型。Bell & LaPadula（BLP）模型是由David Bell和Leonard La Padula于1973年提出的安全模型，它同時(shí)也是一個(gè)狀態(tài)機(jī)模型。它是定義多級安全性的基礎(chǔ)，被視作基本安全公理。該公理最早是在Multics安全操作系統(tǒng)中得到實(shí)施。雖然從商業(yè)角度來看，該操作系統(tǒng)并不成功，但是單從安全性角度來看，Multics邁出了安全操作系統(tǒng)設(shè)計(jì)的第一步，為后來的安全操作系統(tǒng)的研制工作積累了大量豐富的經(jīng)驗(yàn)。隨后它又在Secure Xenix、System V/MLS、Tunis、VAX的VMM安全核心等多種安全系統(tǒng)的研制中得到了廣泛的應(yīng)用。
　　該模型將計(jì)算機(jī)信息系統(tǒng)中的實(shí)體分為兩部分，主體和客體。凡是實(shí)施操作的稱為主體，比如說用戶和進(jìn)程；而被操作的對象則稱為客體，比如說文件、數(shù)據(jù)庫等。對主體和客體而言，存在著兩種最重要的安全控制方法，它們是強(qiáng)制存取控制以及自主存取控制方式：
　　強(qiáng)制存取控制：主要是通過"安全級"來進(jìn)行，安全級包含"密級"和"部門集"兩方面，密級又分為無密、秘密、機(jī)密、絕密四級。為了實(shí)施強(qiáng)制型安全控制，主體和客體均被賦予"安全級"。兩者的關(guān)系包含下述三點(diǎn)：1）主體的安全級高于課題，當(dāng)且僅當(dāng)主體的密級高于客體的密級，且主體的部門集包含客體的部門集；2）主體可以讀客體，當(dāng)且僅當(dāng)主體安全級高于或者等于課題；3）主體可以寫客體，當(dāng)且僅當(dāng)主體安全級低于或者等于客體。
　　自主存取控制：主體對其擁有的客體，有權(quán)決定自己和他人對該客體應(yīng)具有怎樣的訪問權(quán)限。
　　在這個(gè)模型當(dāng)中，每個(gè)主體有最大安全級和當(dāng)前安全級，每個(gè)客體有一個(gè)安全級。主體對客體有四種存取方式：只讀，只寫，執(zhí)行以及讀寫。該模型當(dāng)中有兩條很重要的規(guī)則（如圖2所示）：
　　（1）簡單安全特性：是指主體只能夠從下讀、向上寫。為了使主體對客體既能讀又能寫，二者的安全級別必須完全一樣；
　�。�2） *--特性：主體對客體有"只寫"權(quán)限，則客體安全級至少和主體的當(dāng)前安全級一樣高；主體對客體有"讀"權(quán)限，則客體安全級應(yīng)該小于或者等于主體當(dāng)前安全級；主體對客體有"讀寫"權(quán)限，則客體安全級等于主體的當(dāng)前安全級。
　　2、操作系統(tǒng)密碼設(shè)定
　　設(shè)定登錄密碼是一項(xiàng)非常重要的安全措施，如果用戶的密碼設(shè)定不合適，就很容易被破譯，尤其是擁有超級用戶使用權(quán)限的用戶，如果沒有良好的密碼，將給系統(tǒng)造成很大的安全漏洞。在多用戶系統(tǒng)中，如果強(qiáng)迫每個(gè)用戶選擇不易猜出的密碼，將大大提高系統(tǒng)的安全性。但如果passwd程序無法強(qiáng)迫每個(gè)上機(jī)用戶使用恰當(dāng)?shù)拿艽a，要確保密碼的安全度，就只能依靠密碼破解程序了。
　　實(shí)際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統(tǒng)（/etc/passwd）或者Windows系統(tǒng)的密碼文件（SAM）相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。
　　在網(wǎng)絡(luò)上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執(zhí)行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。
　　目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設(shè)定不當(dāng)，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設(shè)定密碼，這樣，黑客可能通過字典攻擊或者是社會(huì)工程的手段來破解密碼。所以建議用戶在設(shè)定密碼的過程中，應(yīng)盡量使用非字典中出現(xiàn)的組合字符，并且采用數(shù)字與字符相結(jié)合、大小寫相結(jié)合的密碼設(shè)置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護(hù)自己的登錄密碼。
　　具體列出幾條參考原則如下（幾個(gè)需要遵循）：
　　口令長度至少為八個(gè)字符：口令越長越好。若使用MD5口令，它應(yīng)該至少有15個(gè)字符。若使用DES口令，使用最長長度（8個(gè)字符）。
　　混和大小寫字母：Linux區(qū)分大小寫，因此混和大小寫會(huì)增加口令的強(qiáng)健程度。
　　混和字母和數(shù)字：在口令中添加數(shù)字，特別是在中間添加（不只在開頭和結(jié)尾處）能夠加強(qiáng)口令的強(qiáng)健性。
　　包括字母和數(shù)字以外的字符：&、$、和 > 之類的特殊字符可以極大地增強(qiáng)口令的強(qiáng)健性（若使用 DES 口令則不能使用此類字符）。
　　挑選一個(gè)你可以記住的口令：如果你記不住你的口令，那么它再好也沒有用；使用簡寫或其它記憶方法來幫助你記憶口令。
　　另外，還有一些原則需要牢記（幾個(gè)不要）：
　　不要只使用單詞或數(shù)字，決不要在口令中只使用單詞或數(shù)字。
　　不要使用現(xiàn)成詞匯：像名稱、詞典中的詞匯、甚至電視劇或小說中的用語，即使在兩端使用數(shù)字，都應(yīng)該避免使用。
　　不要使用外語中的詞匯：口令破譯程序經(jīng)常使用多種語言的詞典來檢查其詞匯列表。依賴外語來達(dá)到保護(hù)口令的目的通常不起作用。
　　不要使用黑客術(shù)語。
　　不要使用個(gè)人信息：千萬不要使用個(gè)人信息。如果攻擊者知道你的身份，推導(dǎo)出你所用口令的任務(wù)就會(huì)變得非常容易。以下是你在創(chuàng)建口令時(shí)應(yīng)該避免使用的信息類型。
　　不要倒轉(zhuǎn)現(xiàn)存詞匯：優(yōu)秀的口令破譯者總是倒轉(zhuǎn)常用詞匯，因此倒轉(zhuǎn)薄弱口令并不會(huì)使它更安全。
　　不要筆錄你的口令：決不要把口令寫在紙上。把它牢記在心才更為安全。
　　不要在所有機(jī)器上都使用同樣的口令：在每個(gè)機(jī)器上使用不同的口令是及其重要的。這樣，如果一個(gè)系統(tǒng)泄密了，所有其它系統(tǒng)都不會(huì)立即受到威脅3、數(shù)據(jù)庫安全技術(shù)
　　企業(yè)數(shù)據(jù)庫往往存儲著許多敏感性數(shù)據(jù)，例如企業(yè)機(jī)密資料、公司的客戶信息資料等等。"黑客"利用操作系統(tǒng)和數(shù)據(jù)庫的漏洞，能輕易的獲取你數(shù)據(jù)庫中的數(shù)據(jù)（經(jīng)營策略、客戶資料、設(shè)計(jì)資料、人事資料等），這些文件一旦被潛在的黑客或競爭對手竊取，必將給國家或企業(yè)帶來極大的危害。而且這種危害的嚴(yán)重性在于它是潛在的，根本無法被覺察。不像現(xiàn)實(shí)社會(huì)中物品的失竊，就能很快察覺到，而數(shù)據(jù)、電子信息一旦被竊，是很難發(fā)現(xiàn)的，并且不會(huì)留下任何痕跡。也許你的機(jī)密資料已經(jīng)不知不覺的被竊取，落入競爭對手或不法分子的手中，你卻完全不知，數(shù)據(jù)的失密將對國家的安全和企業(yè)的競爭力產(chǎn)生潛在的，無法估量的威脅。針對這種情況，可以從如下幾方面進(jìn)行安全防護(hù)：
　�。�1）數(shù)據(jù)庫用戶安全管理
　　企業(yè)數(shù)據(jù)庫是個(gè)極為復(fù)雜的系統(tǒng)，因此很難進(jìn)行正確的配置和安全維護(hù)，當(dāng)然，必須首先要保證的就是數(shù)據(jù)庫用戶的權(quán)限的安全性。在企業(yè)門戶網(wǎng)站中，當(dāng)用戶通過Web方式要對數(shù)據(jù)庫中的對象（表、視圖、觸發(fā)器、存儲過程等）進(jìn)行操作時(shí)，必須通過數(shù)據(jù)庫訪問的身份認(rèn)證。多數(shù)數(shù)據(jù)庫系統(tǒng)還有眾所周知的默認(rèn)賬號和密碼，可支持對數(shù)據(jù)庫資源的各級訪問。因此，很多重要的數(shù)據(jù)庫系統(tǒng)很可能受到威協(xié)。用戶存取權(quán)限是指不同的用戶對于不同的數(shù)據(jù)對象有不同的操作權(quán)限。存取權(quán)限由兩個(gè)要素組成：數(shù)據(jù)對象和操作類型。定義一個(gè)用戶的存取權(quán)限就是要定義這個(gè)用戶可以在哪些數(shù)據(jù)對象上進(jìn)行哪些類型的操作。權(quán)限分系統(tǒng)權(quán)限和對象權(quán)限兩種。系統(tǒng)權(quán)限由DBA授予某些數(shù)據(jù)庫用戶，只有得到系統(tǒng)權(quán)限，才能成為數(shù)據(jù)庫用戶。對象權(quán)限是授予數(shù)據(jù)庫用戶對某些數(shù)據(jù)對象進(jìn)行某些操作的權(quán)限，它既可由DBA授權(quán)，也可由數(shù)據(jù)對象的創(chuàng)建者授予。
　�。�2）嚴(yán)格定義用戶訪問視圖
　　為不同的用戶定義不同的視圖，可以限制用戶的訪問范圍。通過視圖機(jī)制把需要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，可以對數(shù)據(jù)庫提供一定程度的安全保護(hù)。實(shí)際應(yīng)用中常將視圖機(jī)制與授權(quán)機(jī)制結(jié)合起來使用，首先用視圖機(jī)制屏蔽一部分保密數(shù)據(jù)，然后在視圖上進(jìn)一步進(jìn)行授權(quán)。
　�。�3）采用數(shù)據(jù)加密
　　數(shù)據(jù)安全隱患無處不在。一些機(jī)密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等必須防止它人非法訪問、修改、拷貝。為了保證數(shù)據(jù)的安全，數(shù)據(jù)加密是應(yīng)用最廣、成本最低廉而相對最可靠的方法。數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的有效手段。數(shù)據(jù)加密系統(tǒng)包括對系統(tǒng)的不同部分要選擇何種加密算法、需要多高的安全級別、各算法之間如何協(xié)作等因素。在系統(tǒng)的不同部分要綜合考慮執(zhí)行效率與安全性之間的平衡。因?yàn)橐话銇碇v安全性總是以犧牲系統(tǒng)效率為代價(jià)的。如果要在Internet上的兩個(gè)客戶端傳遞安全數(shù)據(jù)，這就要求客戶端之間可以彼此判斷對方的身份，傳遞的數(shù)據(jù)必須加密，當(dāng)數(shù)據(jù)在傳輸中被更改時(shí)可以被發(fā)覺。
　�。�4）完善的事務(wù)管理和故障恢復(fù)機(jī)制
　　事務(wù)管理和故障恢復(fù)主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障，保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進(jìn)行日志記錄和數(shù)據(jù)復(fù)制。在網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)中，分布事務(wù)首先要分解為多個(gè)子事務(wù)到各個(gè)站點(diǎn)上去執(zhí)行，各個(gè)服務(wù)器之間還必須采取合理的算法進(jìn)行分布式并發(fā)控制和提交，以保證事務(wù)的完整性。