第6章操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)內(nèi)容提要：訪問控制技術(shù)操作系統(tǒng)安全技術(shù)Unix/Linux系統(tǒng)安全技術(shù)Windows7系統(tǒng)安全技術(shù)數(shù)據(jù)庫安全概述數(shù)據(jù)庫安全機(jī)制數(shù)據(jù)庫安全技術(shù)本章小結(jié)計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第1頁。訪問控制是實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，它可以顯式地管理著對所有資源的訪問請求。根據(jù)安全策略的要求，訪問控制對每個資源請求做出許可或限制訪問的判斷，可以有效地防止非法用戶訪問系統(tǒng)資源和合法用戶非法使用資源。美國國防部的可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（TESEC）把訪問控制作為評價系統(tǒng)安全的主要指標(biāo)之一。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第2頁。在信息安全涵蓋的眾多領(lǐng)域，操作系統(tǒng)安全是信息安全的核心問題。操作系統(tǒng)安全是整個計算機(jī)系統(tǒng)安全的基礎(chǔ)，采用的安全機(jī)制主要包括兩個方面，即訪問控制和隔離控制，其中訪問控制是其安全機(jī)制的關(guān)鍵。

數(shù)據(jù)庫系統(tǒng)是對數(shù)據(jù)資料進(jìn)行管理的有效手段，許多重要的數(shù)據(jù)資料都存儲于各種類型的數(shù)據(jù)庫中。因此數(shù)據(jù)庫的安全問題在整個信息安全體系中占用重要地位。數(shù)據(jù)庫安全主要從身份認(rèn)證、訪問控制、數(shù)據(jù)加密等方面來保證數(shù)據(jù)的完整性、可用性、機(jī)密性，其中應(yīng)用最廣且最為有效的當(dāng)屬訪問控制。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第3頁。6.1訪問控制技術(shù)計算機(jī)信息系統(tǒng)訪問控制技術(shù)最早產(chǎn)生于上個世紀(jì)60年代，隨后出現(xiàn)了兩種重要的訪問控制技術(shù)，即自主訪問控制DAC和強(qiáng)制訪問控制MAC。但是，作為傳統(tǒng)訪問控制技術(shù)，它們已經(jīng)遠(yuǎn)遠(yuǎn)落后于當(dāng)代系統(tǒng)安全的要求，安全需求的發(fā)展對訪問控制技術(shù)提出了新的要求。近年來的研究工作一方面是對傳統(tǒng)訪問控制技術(shù)的不足進(jìn)行改進(jìn)，另一方面則出現(xiàn)了以基于角色的訪問控制技術(shù)RBAC為代表的新型技術(shù)手段。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第4頁。6.1.1認(rèn)證、審計與訪問控制

在討論傳統(tǒng)訪問控制技術(shù)之前，先就訪問控制與認(rèn)證、審計之間的關(guān)系，以及訪問控制的概念和內(nèi)涵進(jìn)行概要說明。

在計算機(jī)系統(tǒng)中，認(rèn)證、訪問控制和審計共同建立了保護(hù)系統(tǒng)安全的基礎(chǔ)，如圖6-1所示。其中認(rèn)證是用戶進(jìn)入系統(tǒng)的第一道防線，訪問控制則在鑒別用戶的合法身份后，通過引用監(jiān)控器控制用戶對數(shù)據(jù)信息的訪問。審計通過監(jiān)視和記錄系統(tǒng)中相關(guān)的活動，起到事后分析的作用。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第5頁。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第6頁。區(qū)別認(rèn)證和訪問控制是非常重要的。正確地建立用戶的身份標(biāo)識是由認(rèn)證服務(wù)實現(xiàn)的。在通過引用監(jiān)控器進(jìn)行訪問控制時，總是假定用戶的身份已經(jīng)被確認(rèn)，而且訪問控制在很大程度上依賴用戶身份的正確鑒別和引用監(jiān)控器的正確控制。同時要認(rèn)識到，訪問控制不能作為一個完整的策略來解決系統(tǒng)安全，它必須要結(jié)合審計而實行。審計主要關(guān)注系統(tǒng)所有用戶的請求和活動的事后分析。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第7頁。所謂訪問控制（AccessControl）就是通過某種途徑顯式地準(zhǔn)許或限制訪問能力及范圍的一種方法。通過訪問控制服務(wù)，可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。訪問控制是實現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第8頁。訪問控制系統(tǒng)一般包括：主體（subject）：指發(fā)出訪問操作、存取請求的主動方，它包括用戶、用戶組、終端、主機(jī)或一個應(yīng)用進(jìn)程，主體可以訪問客體。客體（object）：指被調(diào)用的程序或欲存取的數(shù)據(jù)訪問，它可以是一個字節(jié)、字段、記錄、程序、文件，或一個處理器、存儲器及網(wǎng)絡(luò)節(jié)點等。安全訪問政策：也稱為授權(quán)訪問，它是一套規(guī)則，用以確定一個主體是否對客體擁有訪問能力。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第9頁。在訪問控制系統(tǒng)中，區(qū)別主體與客體是比較重要的。通常主體發(fā)起對客體的操作將由系統(tǒng)的授權(quán)來決定，并且，一個主體為了完成任務(wù)可以創(chuàng)建另外的主體，并由父主體控制子主體。此外，主體與客體的關(guān)系是相對的，當(dāng)一個主體受到另一主體的訪問，成為訪問目標(biāo)時，該主體便成了客體。訪問控制規(guī)定了哪些主體可以訪問，以及訪問權(quán)限的大小，其一般原理如圖6-2所示。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第10頁。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第11頁。在主體和客體之間加入的訪問控制實施模塊，主要用來負(fù)責(zé)控制主體對客體的訪問。其中，訪問控制決策功能塊是訪問控制實施功能中最主要的部分，它根據(jù)訪問控制信息作出是否允許主體操作的決定，這里訪問控制信息可以存放在數(shù)據(jù)庫、數(shù)據(jù)文件中，也可以選擇其它存儲方法，且要視訪問控制信息的多少及安全敏感度而定。其原理如圖6-3所示。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第12頁。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第13頁。6.1.2傳統(tǒng)訪問控制技術(shù)1．自主訪問控制DAC及其發(fā)展

DAC是目前計算機(jī)系統(tǒng)中實現(xiàn)最多的訪問控制機(jī)制，它是在確認(rèn)主體身份以及（或）它們所屬組的基礎(chǔ)上對訪問進(jìn)行限定的一種方法。傳統(tǒng)的DAC最早出現(xiàn)在上個世紀(jì)70年代初期的分時系統(tǒng)中，它是多用戶環(huán)境下最常用的一種訪問控制技術(shù)，在目前流行的Unix類操作系統(tǒng)中被普遍采用。其基本思想是，允許某個主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第14頁。2．強(qiáng)制訪問控制MAC及其發(fā)展

MAC最早出現(xiàn)在Multics系統(tǒng)中，在1983美國國防部的TESEC中被用作為B級安全系統(tǒng)的主要評價標(biāo)準(zhǔn)之一。MAC的基本思想是：每個主體都有既定的安全屬性，每個客體也都有既定安全屬性，主體對客體是否能執(zhí)行特定的操作取決于兩者安全屬性之間的關(guān)系。通常所說的MAC主要是指TESEC中的MAC，它主要用來描述美國軍用計算機(jī)系統(tǒng)環(huán)境下的多級安全策略。在多級安全策略中，安全屬性用二元組（安全級，類別集合）表示，安全級表示機(jī)密程度，類別集合表示部門或組織的集合。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第15頁。

一般的MAC都要求主體對客體的訪問滿足BLP（BellandLaPadula）安全模型的兩個基本特性：（1）簡單安全性：僅當(dāng)主體的安全級不低于客體安全及且主體的類別集合包含客體的類別集合時，才允許該主體讀該客體。（2）*–特性：僅當(dāng)主體的安全級不高于客體安全級且客體的類別集合包含主體的類別集合時，才允許該主體寫該客體。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第16頁。6.1.3新型訪問控制技術(shù)

1．基于角色的訪問控制RBACRBAC（Role-BasedAccessControl）的概念早在20世紀(jì)70年代就已經(jīng)提出，但在相當(dāng)長的一段時間內(nèi)沒有得到人們的關(guān)注。進(jìn)入90年代后，隨著安全需求的發(fā)展加之R.S.Sandhu等人的倡導(dǎo)和推動，RBAC又引起了人們極大的關(guān)注，目前美國很多學(xué)者和研究機(jī)構(gòu)都在從事這方面的研究，如NIST（NationalInstituteofStandardTechnology）和GerogeManson大學(xué)的LIST（LaboratoryofInformationSecurityTechnololy）等。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第17頁。自1995年開始，美國計算機(jī)協(xié)會ACM每年都召開RBAC的專題研討會來促進(jìn)RBAC的研究，圖6-4給出了RBAC的結(jié)構(gòu)示意圖。在RBAC中，在用戶（user）和訪問許可權(quán)（permission）之間引入了角色（role）的概念，用戶與特定的一個或多個角色相聯(lián)系，角色與一個或多個訪問許可權(quán)相聯(lián)系。這里所謂的角色就是一個或是多個用戶可執(zhí)行的操作的集合，它體現(xiàn)了RBAC的基本思想，即授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第18頁。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第19頁。迄今為止已發(fā)展了四種RBAC模型：（1）基本模型RBAC0，該模型指明用戶、角色、訪問權(quán)和會話之間的關(guān)系；（2）層次模型RBAC1，該模型是偏序的，上層角色可繼承下層角色的訪問權(quán)；（3）約束模型RBAC2，該模型除包含RBAC0的所有基本特性外，增加了對RBAC0的所有元素的約束檢查，只有擁有有效值的元素才可被接受；（4）層次約束模型RBAC3，該模型兼有RBAC1和RBAC2的特點。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第20頁。RBAC具有五個明顯的特點：（1）以角色作為訪問控制的主體（2）角色繼承（3）最小權(quán)限原則（4）職責(zé)分離（5）角色容量與DAC和MAC相比，RBAC具有明顯的優(yōu)越性，RBAC基于策略無關(guān)的特性，使其幾乎可以描述任何安全策略，甚至DAC和MAC也可以用RBAC來描述。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第21頁。

2．基于任務(wù)的訪問控制TBACTBAC（Task-BasedAccessControl）是一種新的安全模型，從應(yīng)用和企業(yè)層角度來解決安全問題（而非已往從系統(tǒng)的角度）。它采用“面向任務(wù)”的觀點，從任務(wù)（活動）的角度來建立安全模型和實現(xiàn)安全機(jī)制，在任務(wù)處理的過程中提供動態(tài)實時的安全管理。在TBAC中，對象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，這是我們稱其為主動安全模型的原因。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第22頁。

3．基于組機(jī)制的訪問控制

1988年，R.S.Sandhu等人提出了基于組機(jī)制的NTree訪問控制模型，之后該模型又得到了進(jìn)一步擴(kuò)充，相繼產(chǎn)生了多維模型N_Grid和倒樹影模型。NTree模型的基礎(chǔ)是偏序的維數(shù)理論，組的層次關(guān)系由維數(shù)為2的偏序關(guān)系（即NTree樹）表示，通過比較組節(jié)點在NTree中的屬性決定資源共享和權(quán)限隔離。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第23頁。6.1.4訪問控制的實現(xiàn)技術(shù)

訪問控制的實現(xiàn)技術(shù)是指為了檢測和防止系統(tǒng)中的未授權(quán)訪問，對資源予以保護(hù)所采取的軟硬件措施和一系列的管理措施等手段。訪問控制一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許主體訪問客體，它貫穿于系統(tǒng)工作的全過程，是在文件系統(tǒng)中廣泛應(yīng)用的安全防護(hù)方法。訪問控制矩陣（AccessControlMatrix）是最初實現(xiàn)訪問控制技術(shù)的概念模型。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第24頁。

由于訪問控制矩陣較大，并且會因許多主體對于大多數(shù)客體不能訪問而造成矩陣變得過于稀疏，這顯然不利于執(zhí)行訪問控制操作，因此，現(xiàn)實系統(tǒng)中通常不使用訪問控制矩陣，但可在訪問控制矩陣的基礎(chǔ)上實現(xiàn)其它訪問控制模型，這主要包括：基于訪問控制表的訪問控制實現(xiàn)技術(shù)；基于能力關(guān)系表的訪問控制實現(xiàn)技術(shù)；基于權(quán)限關(guān)系表的訪問控制實現(xiàn)技術(shù)。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第25頁。6.1.5安全訪問規(guī)則（授權(quán)）的管理

授權(quán)的管理決定誰能被授權(quán)修改允許的訪問，這可能是訪問控制中最重要且又不易理解的特性之一。與訪問控制技術(shù)相對應(yīng)，通常有三類授權(quán)管理問題，即：（1）強(qiáng)制訪問控制的授權(quán)管理（2）自主訪問控制的授權(quán)管理（3）角色訪問控制強(qiáng)的授權(quán)管理返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第26頁。6.2操作系統(tǒng)安全技術(shù)隨著計算機(jī)技術(shù)的飛速發(fā)展和大規(guī)模應(yīng)用。一方面，現(xiàn)實世界依賴計算機(jī)系統(tǒng)的程度越來越高，另一方面計算機(jī)系統(tǒng)的安全問題也越來越突出。AT&T實驗室的S.Bellovin博士曾對美國CERT（ComputerEmergencyResponseTeam，CERT）提供的安全報告進(jìn)行分析，結(jié)果表明，大約有一半的計算機(jī)網(wǎng)絡(luò)安全問題是由軟件工程中的安全缺陷引起的，而操作系統(tǒng)的安全脆弱性則是問題的根源之一。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第27頁。6.2.1操作系統(tǒng)安全準(zhǔn)則

1．操作系統(tǒng)的安全需求所謂安全的系統(tǒng)是指能夠通過系統(tǒng)的安全機(jī)制控制只有系統(tǒng)授權(quán)的用戶或代表授權(quán)用戶的進(jìn)程才允許讀、寫、刪、改信息。具體來說，共有六個方面的基本需求：安全策略標(biāo)記鑒別責(zé)任保證連續(xù)保護(hù)返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第28頁。2．可信計算機(jī)系統(tǒng)評價準(zhǔn)則

從80年代開始，國際上很多組織開始研究并發(fā)布計算機(jī)系統(tǒng)的安全性評價準(zhǔn)則，最有影響和代表的是美國國防部制定的可信計算機(jī)系統(tǒng)評價準(zhǔn)則，即TCSEC（TrustedComputerSystemEvaluationCriteria）。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第29頁。

根據(jù)這些需求，TCSEC將評價準(zhǔn)則劃分為四類，每一類中又細(xì)分了不同的級別：D類：不細(xì)分級別；C類：C1級，C2級；B類：B1級，B2級，B3級；A類：A1級；其中，D類的安全級別最低，A類最高，高級別包括低級別的所有功能，同時又實現(xiàn)一些新的內(nèi)容。

實際工作中，主要通過測試系統(tǒng)與安全相關(guān)的部分來確定這些系統(tǒng)的設(shè)計和實現(xiàn)是否正確與完全，一個系統(tǒng)與安全相關(guān)的部分通常稱之為可信基——TCB（TrustedComputingBase）。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第30頁。6.2.2操作系統(tǒng)安全防護(hù)的一般方法1．威脅系統(tǒng)資源安全的因素威脅系統(tǒng)資源安全的因素除設(shè)備部件故障外，還有以下幾種情況：（1）用戶的誤操作或不合理地使用了系統(tǒng)提供的命令，造成對資源的不期望的處理。（2）惡意用戶設(shè)法獲取非授權(quán)的資源訪問權(quán)。（3）惡意破壞系統(tǒng)資源或系統(tǒng)的正常運行。（4）破壞資源的完整性與保密性。（5）用戶之間的相互干擾。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第31頁。2．操作系統(tǒng)隔離控制安全措施

隔離控制的方法主要有下列四種。（1）隔離。（2）時間隔離。（3）邏輯隔離。（4）加密隔離。這幾種隔離措施實現(xiàn)的復(fù)雜性是逐步遞增的，而它們的安全性則是逐步遞減的，前兩種方法的安全性是比較高的，后兩種隔離方法主要依賴操作系統(tǒng)的功能實現(xiàn)。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第32頁。3．操作系統(tǒng)訪問控制安全措施在操作系統(tǒng)中為了提高安全級別，通常采用一些比較好的訪問控制措施以提高系統(tǒng)的整體安全性，尤其是針對多用戶、多任務(wù)的網(wǎng)絡(luò)操作系統(tǒng)。常用的訪問控制措施有：（1）自主訪問控制DAC（2）強(qiáng)制訪問控制MAC（3）基于角色的訪問控制RBAC（4）域和類型執(zhí)行的訪問控制DTE返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第33頁。6.2.3操作系統(tǒng)資源防護(hù)技術(shù)對操作系統(tǒng)的安全保護(hù)措施，其主要目標(biāo)是保護(hù)操作系統(tǒng)中的各種資源，具體地講，就是針對操作系統(tǒng)的登錄控制、內(nèi)存管理、文件系統(tǒng)這三個主要方面實施安全保護(hù)。1．系統(tǒng)登錄和用戶管理的安全（1）登錄控制要嚴(yán)格。（2）系統(tǒng)的口令管理。（3）良好的用戶管理。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第34頁。2．內(nèi)存管理的安全常用的內(nèi)存保護(hù)技術(shù)有：（1）單用戶內(nèi)存保護(hù)問題。（2）多道程序的保護(hù)。（3）標(biāo)記保護(hù)法。（4）分段與分頁技術(shù)。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第35頁。3．文件系統(tǒng)的安全（1）分組保護(hù)。（2）許可權(quán)保護(hù)。（3）指定保護(hù)。除了上面三個方面的安全保護(hù)措施之外，操作系統(tǒng)的其它資源如各種外設(shè)、網(wǎng)絡(luò)系統(tǒng)等也都需要實施比較安全的保護(hù)措施，但它們的最終安全防護(hù)可以歸結(jié)為上面三個方面的操作系統(tǒng)資源安全保護(hù)機(jī)制。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第36頁。6.2.4操作系統(tǒng)的安全模型1．安全模型的作用安全模型的幾個特性：①精確的、無歧義的；②簡易和抽象的，易于理解；③一般性的，只涉及安全性質(zhì)，不過度地抑制操作系統(tǒng)的功能或其實現(xiàn)；④是安全策略的明顯表現(xiàn)。2．監(jiān)控器模型3．多級安全模型4．信息流模型返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第37頁。6.3

Unix/Linux操作系統(tǒng)的安全Unix系統(tǒng)是當(dāng)今著名的多用戶分時操作系統(tǒng)，以其優(yōu)越的技術(shù)和性能，得到了迅速發(fā)展和廣泛應(yīng)用。Linux系統(tǒng)于1991年誕生于芬蘭赫爾辛基大學(xué)一位名叫LinusTorvalds的學(xué)生手中，作為類Unix操作系統(tǒng)，它以其開放源代碼、免費使用和可自由傳播深受人們的喜愛。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第38頁。6.3.1

Unix/Linux安全基礎(chǔ)Unix/Linux是一種多任務(wù)多用戶的操作系統(tǒng)，其基本功能是防止使用同一臺計算機(jī)的不同用戶之間相互干擾。因此，Unix/Linux操作系統(tǒng)在設(shè)計理念上已對安全問題進(jìn)行了考慮。Unix/Linux系統(tǒng)結(jié)構(gòu)由用戶、內(nèi)核和硬件三個層次組成，通過中斷、系統(tǒng)調(diào)用、異常為用戶提供功能。Unix/Linux操作系統(tǒng)具有兩個執(zhí)行狀態(tài)：核心態(tài)和用戶態(tài)。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第39頁。6.3.2

Unix/Linux安全機(jī)制Unix/Linux操作系統(tǒng)的安全機(jī)制主要包括：PAM機(jī)制入侵檢測機(jī)制文件加密機(jī)制安全日志文件機(jī)制防火墻機(jī)制返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第40頁。PAM是一套共享庫，可以提供一個框架和一套編程接口，它將認(rèn)證工作由程序員交給管理員，允許管理員在多種認(rèn)證方法之間做出選擇，并能夠改變本地認(rèn)證方法而不需要重新編譯與認(rèn)證相關(guān)的應(yīng)用程序。PAM機(jī)制的主要功能是：（a）口令加密；（b）按照需要限制用戶對系統(tǒng)資源的使用；（c）允許使用Shadow口令；（d）按照需要，限制指定的用戶只能在指定時間從指定地址登錄；（e）利用“ClientPlug-inAgents”概念，使PAM在C/S結(jié)構(gòu)中對“機(jī)器-機(jī)器”認(rèn)證成為可能。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第41頁。6.3.3

Unix/Linux安全措施

Linux網(wǎng)絡(luò)系統(tǒng)既可能受到來自網(wǎng)絡(luò)外部黑客的攻擊，也可能遇到網(wǎng)絡(luò)內(nèi)部合法用戶的越權(quán)使用，Linux網(wǎng)絡(luò)系統(tǒng)管理員一定要為網(wǎng)絡(luò)系統(tǒng)制定有效的安全策略，只有采取有效的防范措施，才能保證網(wǎng)絡(luò)系統(tǒng)的安全。1.Linux系統(tǒng)的安全策略Linux網(wǎng)絡(luò)系統(tǒng)必須采用清晰明確的安全策略，只有這樣系統(tǒng)管理員才可知道要保護(hù)什么，才可決定系統(tǒng)中的哪些資源允許別人訪問。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第42頁。2．Linux系統(tǒng)安全的防范措施按“最小權(quán)限”原則設(shè)置每個內(nèi)部用戶賬戶的權(quán)限。確保用戶口令文件的安全。充分利用防火墻機(jī)制。定期對Linux網(wǎng)絡(luò)進(jìn)行安全檢查。充分利用日志安全機(jī)制，記錄所有網(wǎng)絡(luò)訪問。嚴(yán)格限制Telnet服務(wù)的權(quán)限。完全禁止finger服務(wù)。禁止系統(tǒng)對ping命令的回應(yīng)。禁止IP源路徑路由。禁止所有控制臺程序的使用。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第43頁。6.4

Windows7系統(tǒng)安全技術(shù)

2009年10月，微軟公司推出Windows7操作系統(tǒng)，它解決了WindowsVista中的許多問題并得到廣泛使用，相對于以往的系統(tǒng)Windows7的錯誤診斷和修復(fù)機(jī)制更為強(qiáng)大，能夠在用戶最少的干預(yù)下完成修復(fù)工作，開機(jī)和關(guān)機(jī)速度更快，改善了用戶體驗度。Windows7因其創(chuàng)新的性能、出色的兼容性和卓越的使用體驗，獲得了業(yè)界的廣泛好評，系統(tǒng)具有下列特點：更加簡單、更加安全、更好的連接、更低的成本。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第44頁。6.4.1

Windows7安全基礎(chǔ)為應(yīng)對傳統(tǒng)的針對Windows操作系統(tǒng)的攻擊方式，Windows7引入了一整套的防御體系。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第45頁。內(nèi)存保護(hù)模塊中使用的主要安全技術(shù)有：地址空間隨機(jī)化分布（AddressSpaceLayoutRandomization，ASLR）、安全結(jié)構(gòu)化異常處理（SafeStructuralExceptionHandling，SafeSEH）、數(shù)據(jù)執(zhí)行防護(hù)（DataExecutionProtection，DEP）、安全堆管理、GS棧保護(hù)等。這些技術(shù)用以阻止攻擊者使用一些特殊攻擊程序或惡意代碼對系統(tǒng)進(jìn)行破壞，彌補內(nèi)存處理方面的諸多安全威脅，如堆棧緩沖區(qū)溢出、堆棧函數(shù)指針覆蓋以及堆溢出等，有效保護(hù)操作系統(tǒng)內(nèi)核和Microsoft內(nèi)置應(yīng)用程序的安全。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第46頁。為提高系統(tǒng)內(nèi)核的安全性和可信度，Windows7在內(nèi)核完整性防護(hù)模塊中使用的主要安全技術(shù)有：代碼完整性（CodeIntegrity）驗證、強(qiáng)制驅(qū)動簽名（MandatoryDriverSigning）和內(nèi)核保護(hù)（PatchGuard）。代碼完整性驗證技術(shù)用于確定系統(tǒng)內(nèi)核是否因為偶然因素或惡意攻擊被篡改，主要通過校驗數(shù)字簽名和與內(nèi)核模塊有關(guān)聯(lián)的Hash散列函數(shù)以發(fā)現(xiàn)內(nèi)核是否被篡改。強(qiáng)制驅(qū)動簽名技術(shù)要求所有內(nèi)核驅(qū)動都必須進(jìn)行數(shù)字簽名，未經(jīng)簽名的任何驅(qū)動程序都無法進(jìn)入內(nèi)核地址空間。內(nèi)核保護(hù)技術(shù)也稱為KernelPatch保護(hù)技術(shù)，用于防止未經(jīng)許可的軟件修改Windows7系統(tǒng)內(nèi)核。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第47頁。系統(tǒng)和用戶態(tài)防護(hù)模塊的主要用途是，使程序運行時只擁有所需的最小權(quán)限，并且在已經(jīng)劃分的內(nèi)存空間中運行，防止所有的程序都以管理員權(quán)限運行，從而減少惡意程序自動威脅整個Windows7系統(tǒng)的能力。采用的主要安全技術(shù)有：用戶帳戶控制（UAC）、BitLocker技術(shù)、Windows防火墻、系統(tǒng)進(jìn)程分離、WindowsDefender、限制服務(wù)、Windows資源保護(hù)（WRP）等。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第48頁。6.4.2

Windows7安全機(jī)制Windows7是基于微軟的安全開發(fā)生命周期（SDL）框架開發(fā)的，完善了審計、監(jiān)控和數(shù)據(jù)加密的功能，加強(qiáng)了對遠(yuǎn)程通信的支持。在系統(tǒng)底層的實現(xiàn)方面進(jìn)行了改進(jìn)，使得Windows7的內(nèi)核修復(fù)保護(hù)、服務(wù)強(qiáng)化、數(shù)據(jù)執(zhí)行防御、地址空間隨機(jī)化等可以更好地抵御攻擊行為。概括起來，Windows7主要采用內(nèi)核完整性、內(nèi)存保護(hù)、系統(tǒng)完整性及用戶空間防護(hù)等安全機(jī)制對系統(tǒng)進(jìn)行保護(hù)。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第49頁。1．內(nèi)存保護(hù)機(jī)制Windows7的內(nèi)存保護(hù)機(jī)制可以分為兩大類：一類是用于檢測內(nèi)存泄露的，包括GS棧溢出檢測、結(jié)構(gòu)化異常處理覆蓋保護(hù)（StructuredExceptionHandlingOverwriteProtection，SEHOP）和堆溢出檢測。另一類是用于阻止攻擊代碼運行的，包括GS變量重定位、安全結(jié)構(gòu)化異常處理SafeSEH、數(shù)據(jù)執(zhí)行保護(hù)DEP、地址空間隨機(jī)化分布ASLR。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第50頁。2．權(quán)限控制機(jī)制Windows7權(quán)限控制機(jī)制主要包括：用戶帳戶控制機(jī)制UACWindows防火墻WindowsDefender反間諜軟件BitLocker加密限制服務(wù)WindowsUpdate返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第51頁。3．內(nèi)核完整性保證機(jī)制內(nèi)核完整性保證機(jī)制主要包括代碼完整性驗證、強(qiáng)制驅(qū)動簽名和PatchGuard三個方面，其中PatchGuard只應(yīng)用于64位操作系統(tǒng)，主要在系統(tǒng)運行過程中動態(tài)檢查關(guān)鍵的數(shù)據(jù)結(jié)構(gòu)和內(nèi)核代碼的完整性，防止非授權(quán)軟件修改系統(tǒng)內(nèi)核，可以阻止對進(jìn)程列表等核心信息的惡意修改。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第52頁。6.4.3

Windows7安全措施為確保Windows7在使用過程中的系統(tǒng)安全，除積極采用上述安全技術(shù)和安全機(jī)制外，用戶還應(yīng)根據(jù)使用環(huán)境要求針對性做好安全配置和系統(tǒng)管理工作，盡可能提升Windows7的安全性能。常用的Windows7安全配置措施和方法有：返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第53頁。設(shè)置安全密碼和屏保密碼增加管理員用戶禁用GUEST用戶注冊表安全設(shè)置關(guān)閉不必要的服務(wù)禁止自動播放返回本章首頁禁止運行腳本動態(tài)監(jiān)控威脅安裝反病毒木馬軟件及時備份數(shù)據(jù)堵住補丁漏洞計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第54頁。6.5

數(shù)據(jù)庫安全概述信息技術(shù)的核心是信息處理，而數(shù)據(jù)庫技術(shù)正是當(dāng)前信息處理的中流砥柱，擔(dān)負(fù)著儲存和操縱信息的使命。越來越多的政府部門和商業(yè)企業(yè)都將大量有價值的信息存儲于計算機(jī)數(shù)據(jù)庫中，這些信息關(guān)系到國家的興亡、企業(yè)的成敗。

保障數(shù)據(jù)庫的安全就是保障數(shù)據(jù)庫中信息的安全。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第55頁。6.5.1

數(shù)據(jù)庫安全的基本概念數(shù)據(jù)庫安全是指數(shù)據(jù)庫的任何部分都沒有受到侵害，或者沒有受到未經(jīng)授權(quán)的存取和修改。1．?dāng)?shù)據(jù)庫安全的內(nèi)涵數(shù)據(jù)庫安全主要包括數(shù)據(jù)庫系統(tǒng)安全和數(shù)據(jù)庫數(shù)據(jù)安全兩層含義。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第56頁。（1）數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全是指在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用機(jī)制，應(yīng)盡可能地堵住各種潛在的漏洞，防止非法用戶利用這些漏洞危害數(shù)據(jù)庫系統(tǒng)的安全；同時保證數(shù)據(jù)庫系統(tǒng)不因軟硬件故障和災(zāi)害的影響而不能正常運行。數(shù)據(jù)庫系統(tǒng)安全包括：硬件運行安全；物理控制安全；操作系統(tǒng)安全；用戶連接數(shù)據(jù)庫需授權(quán)；災(zāi)害、故障恢復(fù)等。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第57頁。（2）數(shù)據(jù)庫數(shù)據(jù)安全數(shù)據(jù)庫數(shù)據(jù)安全是指在對象級控制數(shù)據(jù)庫的存取和使用的機(jī)制，哪些用戶可以存取指定的模式對象及在對象上允許有哪些操作。數(shù)據(jù)庫數(shù)據(jù)安全包括：有效的用戶名/口令鑒別；用戶訪問權(quán)限控制；數(shù)據(jù)存取權(quán)限、方式控制；審計跟蹤；數(shù)據(jù)加密等。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第58頁。2.數(shù)據(jù)庫安全管理原則對數(shù)據(jù)庫系統(tǒng)進(jìn)行安全管理規(guī)劃時一般要遵循以下原則：（1）管理細(xì)分和委派原則（2）最小權(quán)限原則（3）帳號安全原則（4）有效審計原則返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第59頁。6.5.2

數(shù)據(jù)庫管理系統(tǒng)簡介DBMS是專門負(fù)責(zé)數(shù)據(jù)庫管理和維護(hù)的計算機(jī)軟件系統(tǒng)，是數(shù)據(jù)庫系統(tǒng)的核心，不僅負(fù)責(zé)數(shù)據(jù)庫的維護(hù)工作，還負(fù)責(zé)數(shù)據(jù)庫的安全性和完整性。DBMS是與文件系統(tǒng)類似的軟件系統(tǒng)，通過DBMS，應(yīng)用程序和用戶可以取得所需的數(shù)據(jù)。與文件系統(tǒng)不同的是DBMS還定義了所管理的數(shù)據(jù)之間的結(jié)構(gòu)和約束關(guān)系，還提供了一些基本的數(shù)據(jù)管理和安全功能。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第60頁。6.5.3數(shù)據(jù)庫系統(tǒng)的缺陷與威脅1.數(shù)據(jù)庫系統(tǒng)的缺陷數(shù)據(jù)庫系統(tǒng)的安全缺陷主要體現(xiàn)在以下幾個方面：數(shù)據(jù)庫系統(tǒng)安全通常與操作系統(tǒng)安全密切相關(guān)數(shù)據(jù)庫系統(tǒng)安全通常被忽視數(shù)據(jù)庫帳號和密碼容易泄露返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第61頁。2.數(shù)據(jù)庫系統(tǒng)面臨的威脅數(shù)據(jù)庫系統(tǒng)面臨的安全威脅主要來自以下幾個方面：物理和環(huán)境的因素事務(wù)內(nèi)部故障存儲介質(zhì)故障人為破壞病毒與黑客未經(jīng)授權(quán)的數(shù)據(jù)讀寫與修改對數(shù)據(jù)的異常訪問造成數(shù)據(jù)庫系統(tǒng)故障數(shù)據(jù)庫權(quán)限設(shè)置錯誤，造成數(shù)據(jù)的越權(quán)訪問返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第62頁。6.6

數(shù)據(jù)庫安全機(jī)制數(shù)據(jù)庫安全作為信息系統(tǒng)安全的一個子集，必須在遵循信息安全總體目標(biāo)（即保密性、完整性和可用性）的前提下，建立安全模型、構(gòu)建體系結(jié)構(gòu)、確定安全機(jī)制。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第63頁。6.6.1數(shù)據(jù)庫安全的層次分布一般來說，數(shù)據(jù)庫安全涉及五個層次。（1）物理層：必須物理地保護(hù)計算機(jī)系統(tǒng)所處的所有節(jié)點，以防入侵者強(qiáng)行闖入或暗中潛入；（2）人員層：要謹(jǐn)慎用戶授權(quán)，以減少授權(quán)用戶接受賄賂而給入侵者提供訪問機(jī)會的可能；（3）操作系統(tǒng)層：操作系統(tǒng)安全性方面的弱點總是可能成為對數(shù)據(jù)庫進(jìn)行未授權(quán)訪問的手段；返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第64頁。

（4）網(wǎng)絡(luò)層：幾乎所有數(shù)據(jù)庫系統(tǒng)都允許通過終端或網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問，網(wǎng)絡(luò)層安全性和物理層安全性一樣重要；（5）數(shù)據(jù)庫系統(tǒng)層：數(shù)據(jù)庫中有重要程度和敏感程度不同的各種數(shù)據(jù)，并為擁有不同授權(quán)的用戶所共享，數(shù)據(jù)庫系統(tǒng)必須遵循授權(quán)限制。為了保證數(shù)據(jù)庫安全，必須在上述所有層次上進(jìn)行安全性保護(hù)。如果較低層次上安全性存在缺陷，那么，即使是很嚴(yán)格的高層安全性措施也可能被繞過。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第65頁。6.6.2安全DBMS體系結(jié)構(gòu)

通常所說的可信DBMS指MLS（多級安全）DBMS。因其存儲的數(shù)據(jù)具有不同的敏感性（安全）級別，MLSDBMS中的關(guān)系也稱多級關(guān)系。目前研究的可信DBMS體系結(jié)構(gòu)基本上分為兩大類：TCB子集DBMS體系和可信主體DBMS體系。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第66頁。1．TCB子集DBMS體系結(jié)構(gòu)

TCB子集DBMS使用位于DBMS外部的可信計算基（通常是可信操作系統(tǒng)或可信網(wǎng)絡(luò)）執(zhí)行對數(shù)據(jù)庫客體的強(qiáng)制訪問控制。該體系把多級數(shù)據(jù)庫客體按安全屬性分解成單級斷片（屬性相同的數(shù)據(jù)庫客體屬于同一個斷片），分別物理隔離存儲在操作系統(tǒng)客體中。每個操作系統(tǒng)客體的安全屬性就是存儲于其中的數(shù)據(jù)庫客體的安全屬性。然后，TCB對這些隔離的單級客體實施MAC。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第67頁。

這種體系的最簡單方案是把多級數(shù)據(jù)庫分解成單級元素，安全屬性相同的元素存儲在一個單級操作系統(tǒng)客體中。使用時，先初始化一個運行于用戶安全級的DBMS進(jìn)程，通過操作系統(tǒng)實施的強(qiáng)制訪問控制策略，DBMS僅訪問不超過該級別的客體。然后，DBMS從同一個關(guān)系中把元素連接起來，重構(gòu)成多級元組，返回給用戶。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第68頁。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第69頁。

2．可信主體DBMS體系結(jié)構(gòu)可信主體DBMS體系結(jié)構(gòu)與TCB子集DBMS體系結(jié)構(gòu)大不相同，它自己執(zhí)行強(qiáng)制訪問控制。該體系按邏輯結(jié)構(gòu)分解多級數(shù)據(jù)庫，并存儲在若干個單級操作系統(tǒng)客體中。但每個單級操作系統(tǒng)客體中可同時存儲多種級別的數(shù)據(jù)庫客體（如數(shù)據(jù)庫、關(guān)系、視圖、元組或元素），并與其中最高級別數(shù)據(jù)庫客體的敏感性級別相同。

返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第70頁。下圖是可信主體DBMS體系結(jié)構(gòu)的一種簡單方案。DBMS軟件仍然運行于可信操作系統(tǒng)之上，所有對數(shù)據(jù)庫的訪問都必須經(jīng)由可信DBMS。返回本章首頁計算機(jī)網(wǎng)絡(luò)安全6-操作系統(tǒng)與數(shù)據(jù)庫安全技術(shù)全文共80頁，當(dāng)前為第71頁。6.6.3數(shù)據(jù)庫安全機(jī)制根據(jù)各安全機(jī)制主要針對的目標(biāo)，下表對其進(jìn)行了粗略分類。

返回本章首頁安全機(jī)制保密性完整性可用性身份識別和認(rèn)證√√√強(qiáng)制訪問控制