【51CTO.com 獨家特稿】眾所周知，操作系統以及數據庫是現代計算機技術中最為底層和核心的軟件系統。那么，企業系統層次的安全問題主要來自于網絡內使用的操作系統的安全和數據庫安全層面上。針對操作系統和數據庫的安全技術林林總總，也體現在應用的不同層面上，本文將從保障企業系統層安全的核心層次出發，著重從安全操作系統、密碼設定策略及數據庫安全技術三方面進行講解，其他的網絡層面和應用層面與他們相關的防護技術將在后續專題中詳細講解。

1、選用安全操作系統

操作系統作為計算機系統的最為基礎和重要的基礎軟件和系統軟件，起著管理計算機資源，直接利用計算機硬件為用戶提供與硬件相關、與應用無關的使用和編程接口的作用。它是上層應用軟件獲得高可靠性以及信息的完整性、保密性的基礎。沒有操作系統安全的支持，就沒有獲得網絡安全的可能。為了保證企業計算機網絡和信息的安全，有必要采用具有較高安全級別的安全操作系統，來作為企業穩固的安全操作平臺。美國國防部（DoD）與1983年推出了著名的TCSEC（Trusted Computer System Evaluation Criteria，可信計算機評估準則），也稱為"橙皮書"，是迄今為止評估計算機安全最有名的一個標準。它將計算機信息系統的安全分為四等八個級別，由低到高依次為：D、C1、C2、B1、B2、B3、A1、超A1。按照這個標準，傳統的操作系統，包括UNIX操作系統、Windows操作系統大都處于C級，他們的安全級別不是很高。而許多安全級別高的操作系統，比如Trusted Information Systems、Trusted XENIX、SNS等都處于實驗室階段，尚未投入市場。另外，國內對安全操作系統的研究工作也在如火如荼地進行，我國從上世紀90年代開始研究安全操作系統，到目前已經取得了一些成果。從1993年我國宣布開發成功具有B2 集功能的操作系統，現在已有眾多的公司和科研單位開始注重安全操作系統的研發，比如中科紅旗公司開發的紅旗Linux，南京大學的Softos，國防科大的麒麟安全操作系統，中科安勝公司的安勝操作系統等。

在安全操作系統中，對操作系統進行安全加固和安全理論模型是從根本上解決操作系統安全性問題的兩項非常重要的記述。我們首先談談操作系統安全加固技術，它有如下幾種方法：

(1) 虛擬機法：在現有的操作系統與硬件之間增加一個新的層次，作為安全內核，現有操作系統幾乎可以不作任何變動而成為虛擬機。安全內核的接口基本與原有硬件等價，操作系統本身透明地在安全內核的控制之下，它可以不變地支持現有的應用程序，并且能夠很好地兼容非安全操作系統的將來版本。硬件特性對虛擬機的實現非常關鍵，它要求原系統的硬件和結構都必須要支持虛擬機。因而這種加固方式的局限性比較大。

(2) 增強法：在現有的操作系統基礎上，對原有的內核以及應用程序采用一定的安全策略進行改進，并且加入相應的安全機制，形成新的操作系統內核。這樣增強后的操作系統保持了原來操作系統的用戶接口。這種方法是在已有操作系統基礎上進行的，不是對原有內核的完全地改變，因而受到原有體系結構的限制，難以達到很高的安全級別。但是這種方法并不會破壞原有系統的體系結構，開發代價小，不會影響原系統的運行效率，現在普遍采用的是這種方式。

(3) 仿真法：對現有的操作系統的內核作面向安全策略的修改，然后在安全內核與遠非安全操作系統的用戶接口中嵌入方針程序。那么，我們在建立安全內核的時候，可以不必如第二種方法一樣受到現有應用程序的限制，而且可以完全自由地定義仿真程序于安全內核之間的接口。然而，采用這種方式需要同時設計仿真程序以及安全內核，還要受到元操作系統接口的同時，開發難度大，接口復雜。

圖1 操作系統的幾種加固方式

在安全操作系統的理論模型方面，我們通常提到BLP模型。Bell & LaPadula（BLP）模型是由David Bell和Leonard La Padula于1973年提出的安全模型，它同時也是一個狀態機模型。它是定義多級安全性的基礎，被視作基本安全公理。該公理最早是在Multics安全操作系統中得到實施。雖然從商業角度來看，該操作系統并不成功，但是單從安全性角度來看，Multics邁出了安全操作系統設計的第一步，為后來的安全操作系統的研制工作積累了大量豐富的經驗。隨后它又在Secure Xenix、System V/MLS、Tunis、VAX的VMM安全核心等多種安全系統的研制中得到了廣泛的應用。

該模型將計算機信息系統中的實體分為兩部分，主體和客體。凡是實施操作的稱為主體，比如說用戶和進程；而被操作的對象則稱為客體，比如說文件、數據庫等。對主體和客體而言，存在著兩種最重要的安全控制方法，它們是強制存取控制以及自主存取控制方式：

強制存取控制：主要是通過"安全級"來進行，安全級包含"密級"和"部門集"兩方面，密級又分為無密、秘密、機密、絕密四級。為了實施強制型安全控制，主體和客體均被賦予"安全級"。兩者的關系包含下述三點：1）主體的安全級高于課題，當且僅當主體的密級高于客體的密級，且主體的部門集包含客體的部門集；2）主體可以讀客體，當且僅當主體安全級高于或者等于課題；3）主體可以寫客體，當且僅當主體安全級低于或者等于客體。

自主存取控制：主體對其擁有的客體，有權決定自己和他人對該客體應具有怎樣的訪問權限。

在這個模型當中，每個主體有最大安全級和當前安全級，每個客體有一個安全級。主體對客體有四種存取方式：只讀，只寫，執行以及讀寫。該模型當中有兩條很重要的規則（如圖2所示）：

(1) 簡單安全特性：是指主體只能夠從下讀、向上寫。為了使主體對客體既能讀又能寫，二者的安全級別必須完全一樣；

(2) *--特性：主體對客體有"只寫"權限，則客體安全級至少和主體的當前安全級一樣高；主體對客體有"讀"權限，則客體安全級應該小于或者等于主體當前安全級；主體對客體有"讀寫"權限，則客體安全級等于主體的當前安全級。

圖2 BLP模型安全規則示意圖

#p#

2、操作系統密碼設定

設定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設定不合適，就很容易被破譯，尤其是擁有超級用戶使用權限的用戶，如果沒有良好的密碼，將給系統造成很大的安全漏洞。在多用戶系統中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當的密碼，要確保密碼的安全度，就只能依靠密碼破解程序了。

實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統（/etc/passwd）或者Windows系統的密碼文件（SAM）相比較，如果發現有吻合的密碼，就可以求得明碼了。

在網絡上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。

目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設定密碼的過程中，應盡量使用非字典中出現的組合字符，并且采用數字與字符相結合、大小寫相結合的密碼設置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。

具體列出幾條參考原則如下（幾個需要遵循）：

#p#

3、數據庫安全技術

企業數據庫往往存儲著許多敏感性數據，例如企業機密資料、公司的客戶信息資料等等。"黑客"利用操作系統和數據庫的漏洞，能輕易的獲取你數據庫中的數據（經營策略、客戶資料、設計資料、人事資料等），這些文件一旦被潛在的黑客或競爭對手竊取，必將給國家或企業帶來極大的危害。而且這種危害的嚴重性在于它是潛在的，根本無法被覺察。不像現實社會中物品的失竊，就能很快察覺到，而數據、電子信息一旦被竊，是很難發現的，并且不會留下任何痕跡。也許你的機密資料已經不知不覺的被竊取，落入競爭對手或不法分子的手中，你卻完全不知，數據的失密將對國家的安全和企業的競爭力產生潛在的，無法估量的威脅。針對這種情況，可以從如下幾方面進行安全防護：

（1）數據庫用戶安全管理

企業數據庫是個極為復雜的系統，因此很難進行正確的配置和安全維護，當然，必須首先要保證的就是數據庫用戶的權限的安全性。在企業門戶網站中，當用戶通過Web方式要對數據庫中的對象(表、視圖、觸發器、存儲過程等)進行操作時，必須通過數據庫訪問的身份認證。多數數據庫系統還有眾所周知的默認賬號和密碼，可支持對數據庫資源的各級訪問。因此，很多重要的數據庫系統很可能受到威協。用戶存取權限是指不同的用戶對于不同的數據對象有不同的操作權限。存取權限由兩個要素組成：數據對象和操作類型。定義一個用戶的存取權限就是要定義這個用戶可以在哪些數據對象上進行哪些類型的操作。權限分系統權限和對象權限兩種。系統權限由DBA授予某些數據庫用戶，只有得到系統權限，才能成為數據庫用戶。對象權限是授予數據庫用戶對某些數據對象進行某些操作的權限，它既可由DBA授權，也可由數據對象的創建者授予。

（2）嚴格定義用戶訪問視圖

為不同的用戶定義不同的視圖，可以限制用戶的訪問范圍。通過視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來，可以對數據庫提供一定程度的安全保護。實際應用中常將視圖機制與授權機制結合起來使用，首先用視圖機制屏蔽一部分保密數據，然后在視圖上進一步進行授權。

（3）采用數據加密

數據安全隱患無處不在。一些機密數據庫、商業數據等必須防止它人非法訪問、修改、拷貝。為了保證數據的安全，數據加密是應用最廣、成本最低廉而相對最可靠的方法。數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。數據加密系統包括對系統的不同部分要選擇何種加密算法、需要多高的安全級別、各算法之間如何協作等因素。在系統的不同部分要綜合考慮執行效率與安全性之間的平衡。因為一般來講安全性總是以犧牲系統效率為代價的。如果要在Internet上的兩個客戶端傳遞安全數據，這就要求客戶端之間可以彼此判斷對方的身份，傳遞的數據必須加密，當數據在傳輸中被更改時可以被發覺。

（4）完善的事務管理和故障恢復機制

事務管理和故障恢復主要是對付系統內發生的自然因素故障，保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。在網絡數據庫系統中，分布事務首先要分解為多個子事務到各個站點上去執行，各個服務器之間還必須采取合理的算法進行分布式并發控制和提交，以保證事務的完整性。事務運行的每一步結果都記錄在系統日志文件中，并且對重要數據進行復制，發生故障時根據日志文件利用數據副本準確地完成事務的恢復。

（5）作好數據庫備份與恢復

計算機同其他設備一樣，都可能發生故障。計算機故障的原因多種多樣，包括磁盤故障、電源故障、軟件故障、災害故障以及人為破壞等。一旦發生這種情況，就可能造成數據庫的數據丟失。因此數據庫系統必須采取必要的措施，以保證發生故障時，可以恢復數據庫。數據庫管理系統的備份和恢復機制就是保證在數據庫系統出故障時，能夠將數據庫系統還原到正常狀態。加強數據備份非常重要，數據庫擁有很多關鍵的數據，這些數據一旦遭到破壞后果不堪設想，而這往往是入侵者真正關心的東西。不少管理員在這點上作得并不好，不是備份不完全，就是備份不及時。數據備份需要仔細計劃，制定出一個策略測試后再去實施，備份計劃也需要不斷地調整。

（6）設定審計追蹤機制

審計追蹤機制是指系統設置相應的日志記錄，特別是對數據更新、刪除、修改的記錄，以便日后查證。日志記錄的內容可以包括操作人員的名稱、使用的密碼、用戶的IP地址、登錄時間、操作內容等。若發現系統的數據遭到破壞，可以根據日志記錄追究責任，或者從日志記錄中判斷密碼是否被盜，以便修改密碼，重新分配權限，確保系統的安全。

（7）重點做好服務器防護

在網絡時代，我們所談論的企業數據庫的安全主要體現在Web數據庫的層面上。我們知道，基本上Web數據庫的三層體系結構中，數據存放在數據庫服務器中，大部分的事務處理及商業邏輯處理在應用服務器中進行，由應用服務器提出對數據庫的操作請求。理論上，既可以通過Web頁面調用業務處理程序來訪問數據庫，也可以繞過業務處理程序，使用一些數據庫客戶端工具直接登錄數據庫服務器，存取操作其中的數據。所以，數據庫服務器的安全設置至關重要。用IDS(入侵檢測系統)保衛數據庫安全逐步普及，這種安全技術將傳統的網絡和操作系統級入侵探測系統(IDS)概念應用于數據庫。應用IDS提供主動的、針對SQL的保護和監視，可以保護預先包裝或自行開發的Web應用。

（8）做好數據庫升級和打補丁工作

在當今的信息時代，作為跟操作系統有著同等重要地位的系統軟件，數據庫的升級和打補丁工作也是一項長期而不容為企業忽視的工作。隨著數據庫管理系統的功能設計的日益復雜和全面化，其內在的漏洞也在不斷地暴露出來。據賽門鐵克今年的統計數據表明，在漏洞攻擊中，記錄到了Oracle數據庫168個漏洞，其在主要數據庫中居然位居第一，充分反映了當前數據庫在安全方面所表現出來的薄弱性和受關注程度。幸運的是，當前的各大數據庫廠商都有一支專門的隊伍在對數據庫可能出現的漏洞和問題在做升級和補丁工作，企業的數據庫管理員則需要及時地從數據庫廠商和網上獲得最新的數據庫升級和補丁程序對現有的系統進行更新和升級，從而保證在瞬息萬變的網絡世界中，企業數據庫能夠以較好的安全性能來應對各種攻擊和挑戰。

【51CTO.com獨家特稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】