系統(tǒng)安全之漏洞掃描課件

系統(tǒng)安全之漏洞掃描陳威2009年11月海南省2009年政府信息安全培訓(xùn)

系統(tǒng)安全之漏洞掃描陳威海南省2009年政府信息安全培訓(xùn)目錄常見系統(tǒng)漏洞簡介漏洞掃描系統(tǒng)介紹數(shù)據(jù)庫的安全管理目錄常見系統(tǒng)漏洞簡介

漏洞源自“vulnerability”（脆弱性）。一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

標(biāo)準(zhǔn)化組織CVE（CommonVulnerabilitiesandExposures,即“公共漏洞與暴露”）致力于所有安全漏洞及安全問題的命名標(biāo)準(zhǔn)化，安全產(chǎn)品對漏洞的描述與調(diào)用一般都與CVE兼容。漏洞的概念信息安全的“木桶理論”對一個信息系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。漏洞源自“vulnerability”（脆弱性）。一般認(rèn)漏洞的發(fā)現(xiàn)一個漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。這個工作主要是由以下三個組織之一來完成的：黑客、破譯者、安全服務(wù)商組織。每當(dāng)有新的漏洞出現(xiàn)，黑客和安全服務(wù)商組織的成員通常會警告安全組織機(jī)構(gòu)；破譯者也許不會警告任何官方組織，只是在組織內(nèi)部發(fā)布消息。根據(jù)信息發(fā)布的方式，漏洞將會以不同的方式呈現(xiàn)在公眾面前。通常收集安全信息的途徑包括：新聞組、郵件列表、Web站點(diǎn)、FTP文檔。

網(wǎng)絡(luò)管理者的部分工作就是關(guān)心信息安全相關(guān)新聞，了解信息安全的動態(tài)。管理者需要制定一個收集、分析以及抽取信息的策略，以便獲取有用的信息。漏洞的發(fā)現(xiàn)一個漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對系統(tǒng)的威脅，因?yàn)橹挥欣糜布?、軟件和策略上最薄弱的環(huán)節(jié)，惡意攻擊者才可以得手。目前，因特網(wǎng)上已有3萬多個黑客站點(diǎn)，而且黑客技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)800多種。目前我國95％的與因特網(wǎng)相連的網(wǎng)絡(luò)管理中心都遭到過境內(nèi)外攻擊者的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。國內(nèi)乃至全世界的網(wǎng)絡(luò)安全形勢非常不容樂觀。漏洞可能影響一個單位或公司的生存問題。

漏洞對系統(tǒng)的威脅漏洞對系統(tǒng)的威脅體現(xiàn)在惡意攻擊行為對系漏洞掃描的必要性幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況對資產(chǎn)進(jìn)行風(fēng)險評估的依據(jù)安全配置的第一步向領(lǐng)導(dǎo)上報數(shù)據(jù)依據(jù)漏洞掃描的必要性幫助網(wǎng)管人員了解網(wǎng)絡(luò)安全狀況系統(tǒng)脆弱性分析

信息系統(tǒng)存在著許多漏洞，如IIS的安全性、CGI的安全性、DNS與FTP協(xié)議的安全性、緩沖區(qū)溢出問題、拒絕服務(wù)和后門。由于網(wǎng)絡(luò)的飛速發(fā)展，越來越多的漏洞也必將隨之出現(xiàn)。IIS安全問題

Windows的IIS服務(wù)器存在著很多漏洞，如拒絕服務(wù)、泄露信息、泄露源代碼、獲得更多權(quán)限、目錄遍歷、執(zhí)行任意命令、緩沖區(qū)溢出執(zhí)行任意代碼等。系統(tǒng)脆弱性分析信息系統(tǒng)存在著許多漏洞，如IIS的安全性緩沖區(qū)溢出Bufferoverflowattack緩沖區(qū)溢出攻擊緩沖區(qū)溢出漏洞大量存在于各種軟件中利用緩沖區(qū)溢出的攻擊，會導(dǎo)致系統(tǒng)當(dāng)機(jī)，獲得系統(tǒng)特權(quán)等嚴(yán)重后果。最早的攻擊1988年UNIX下的Morrisworm最近的攻擊Codered利用IIS漏洞SQLServerWorm利用SQLServer漏洞Blaster利用RPC漏洞Sasser利用LSASS漏洞緩沖區(qū)溢出Bufferoverflowattack向緩沖區(qū)寫入超過緩沖區(qū)長度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，達(dá)到攻擊的目的。原因：程序中缺少錯誤檢測:voidfunc(char*str){ charbuf[16];strcpy(buf,str);}如果str的內(nèi)容多于16個非0字符，就會造成buf的溢出，使程序出錯。緩沖區(qū)溢出向緩沖區(qū)寫入超過緩沖區(qū)長度的內(nèi)容，造成緩沖區(qū)溢出，破壞程序的類似函數(shù)有strcat、sprintf、vsprintf、gets、scanf等一般溢出會造成程序讀/寫或執(zhí)行非法內(nèi)存的數(shù)據(jù)，引發(fā)segmentationfault異常退出.如果在一個suid程序中特意構(gòu)造內(nèi)容，可以有目的的執(zhí)行程序，如/bin/sh，得到root權(quán)限。緩沖區(qū)溢出類似函數(shù)有strcat、sprintf、vsprintf、g對于使用C語言開發(fā)的軟件，緩沖區(qū)溢出大部分是數(shù)組越界或指針非法引用造成的。有時并不引發(fā)溢出也能進(jìn)行攻擊?，F(xiàn)存的軟件中可能存在緩沖區(qū)溢出攻擊，因此緩沖區(qū)溢出攻擊短期內(nèi)不可能杜絕。緩沖區(qū)溢出的危害很大:可以植入并運(yùn)行攻擊代碼比大部分DoS攻擊危害嚴(yán)重緩沖區(qū)溢出對于使用C語言開發(fā)的軟件，緩沖區(qū)溢出大部分是數(shù)組越界或指針非在進(jìn)程的地址空間安排適當(dāng)?shù)拇a通過適當(dāng)?shù)某跏蓟拇嫫骱蛢?nèi)存，跳轉(zhuǎn)到以上代碼段執(zhí)行利用進(jìn)程中存在的代碼傳遞一個適當(dāng)?shù)膮?shù)如程序中有exec(arg)，只要把a(bǔ)rg指向“/bin/sh”就可以了植入法把指令序列放到緩沖區(qū)中堆、棧、數(shù)據(jù)段都可以存放攻擊代碼，最常見的是利用棧緩沖區(qū)溢出在進(jìn)程的地址空間安排適當(dāng)?shù)拇a利用進(jìn)程中存在的代碼緩沖區(qū)溢出拒絕服務(wù)攻擊

軟件弱點(diǎn)是包含在操作系統(tǒng)或應(yīng)用程序中與安全相關(guān)的系統(tǒng)缺陷，這些缺陷大多是由于錯誤的程序編制，粗心的源代碼審核，無心的副效應(yīng)或一些不適當(dāng)?shù)慕壎ㄋ斐傻摹８鶕?jù)錯誤信息所帶來的對系統(tǒng)無限制或者未經(jīng)許可的訪問程度，這些漏洞可以被分為不同的等級。

典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過載。當(dāng)一個對資源的合理請求大大超過資源的支付能力時就會造成拒絕服務(wù)攻擊（例如，對已經(jīng)滿載的Web服務(wù)器進(jìn)行過多的請求。）拒絕服務(wù)攻擊還有可能是由于軟件的弱點(diǎn)或者對程序的錯誤配置造成的。區(qū)分惡意的拒絕服務(wù)攻擊和非惡意的服務(wù)超載依賴于請求發(fā)起者對資源的請求是否過份，從而使得其他的用戶無法享用該服務(wù)資源。

錯誤配置也會成為系統(tǒng)的安全隱患。這些錯誤配置通常發(fā)生在硬件裝置，系統(tǒng)或者應(yīng)用程序中。如果對網(wǎng)絡(luò)中的路由器，防火墻，交換機(jī)以及其他網(wǎng)絡(luò)連接設(shè)備都進(jìn)行正確的配置會減小這些錯誤發(fā)生的可能性。如果發(fā)現(xiàn)了這種漏洞應(yīng)當(dāng)請教專業(yè)的技術(shù)人員來修理這些問題。拒絕服務(wù)攻擊軟件弱點(diǎn)是包含在操作系統(tǒng)或應(yīng)用程序中與安全

以下的兩種情況最容易導(dǎo)致拒絕服務(wù)攻擊：

由于程序員對程序錯誤的編制，導(dǎo)致系統(tǒng)不停的建立進(jìn)程，最終耗盡資源，只能重新啟動機(jī)器。不同的系統(tǒng)平臺都會采取某些方法可以防止一些特殊的用戶來占用過多的系統(tǒng)資源，我們也建議盡量采用資源管理的方式來減輕這種安全威脅。

還有一種情況是由磁盤存儲空間引起的。假如一個用戶有權(quán)利存儲大量的文件的話，他就有可能只為系統(tǒng)留下很小的空間用來存儲日志文件等系統(tǒng)信息。這是一種不良的操作習(xí)慣，會給系統(tǒng)帶來隱患。這種情況下應(yīng)該對系統(tǒng)配額作出考慮。拒絕服務(wù)攻擊以下的兩種情況最容易導(dǎo)致拒絕服務(wù)攻擊：

由于程序基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊：

（1）PingofDeath發(fā)送長度超過65535字節(jié)的ICMPEchoRequest數(shù)據(jù)包導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死機(jī)或重啟現(xiàn)有的操作系統(tǒng)基本上都能正確處理這種異常數(shù)據(jù)包，不會出現(xiàn)問題（2）Teardrop發(fā)送特別構(gòu)造的IP數(shù)據(jù)包導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死鎖現(xiàn)有的操作系統(tǒng)基本上都能正確處理這種異常數(shù)據(jù)包，不會出現(xiàn)問題拒絕服務(wù)攻擊基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊：拒絕服務(wù)攻擊基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊

(續(xù))

（3）Synflooding發(fā)送大量的SYN包系統(tǒng)中處于SYN_RECV狀態(tài)的socket

（4）Land發(fā)送一個TCPSYN包，包的SRC/DSTIP相同，SPORT/DPORT相同導(dǎo)致目標(biāo)機(jī)TCP/IP協(xié)議棧崩潰，系統(tǒng)死機(jī)或失去響應(yīng)現(xiàn)有的操作系統(tǒng)基本上都能正確處理這種異常數(shù)據(jù)包，不會出現(xiàn)問題拒絕服務(wù)攻擊基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊(續(xù))拒絕服務(wù)攻擊

基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊

(續(xù))

（5）Smurf攻擊者冒充服務(wù)器向一個網(wǎng)段的廣播地址發(fā)送ICMPecho包整個網(wǎng)段的所有系統(tǒng)都向此服務(wù)器回應(yīng)一個icmpreply包

（6）Winnuke發(fā)送特別構(gòu)造的TCP包，使得Windows機(jī)器籃屏

（7）分布式拒絕服務(wù)攻擊

使得分散在因特網(wǎng)各處的機(jī)器共同完成對一臺主機(jī)攻擊的操作，從而使主機(jī)看起來好像是遭到了不同位置的許多主機(jī)的攻擊。拒絕服務(wù)攻擊基于網(wǎng)絡(luò)的拒絕服務(wù)攻擊(續(xù))拒絕服務(wù)攻擊DNS的安全性

對DNS服務(wù)器的攻擊主要有三種方法：地址欺騙、遠(yuǎn)程漏洞入侵和拒絕服務(wù)。

1）地址欺騙。地址欺騙攻擊利用了RFC標(biāo)準(zhǔn)協(xié)議中的某些不完善的地方，達(dá)到修改域名指向的目的。

2）遠(yuǎn)程漏洞入侵。BIND服務(wù)器軟件的許多版本存在緩沖區(qū)溢出漏洞，黑客可以利用這些漏洞遠(yuǎn)程入侵BIND服務(wù)器所在的主機(jī)，并以root身份執(zhí)行任意命令。

3）拒絕服務(wù)。一種攻擊針對DNS服務(wù)器軟件本身；另一種攻擊的目標(biāo)不是DNS服務(wù)器，而是利用DNS服務(wù)器作為中間的“攻擊放大器”，去攻擊其他Internet上的主機(jī)。DNS的安全性對DNS服務(wù)器的攻擊主要有三種方法：地址欺FTP協(xié)議漏洞分析

1）FTP反彈(FTPBounce)。

FTP的代理服務(wù)特性，形成FTP反彈漏洞。

2）有限制的訪問(RestrictedAccess)。可能形成控制連接是可信任的，而數(shù)據(jù)連接卻不是。

3）保護(hù)密碼(ProtectingPasswords)。漏洞：①在FTP標(biāo)準(zhǔn)[PR85]中，F(xiàn)TP服務(wù)器允許無限次輸入密碼；②“PASS”命令以明文傳送密碼。

4）端口盜用(PortSteaUng)。漏洞：當(dāng)使用操作系統(tǒng)相關(guān)的方法分配端口號時，通常都是按增序分配。

FTP協(xié)議漏洞分析1）FTP反彈(FTPBounce后門

后門通常是一個服務(wù)端程序，它可能由黑客編寫，被惡意攻擊者通過一定手段放在目標(biāo)主機(jī)上以達(dá)到非法目的；也可能是目標(biāo)主機(jī)正在運(yùn)行的授權(quán)應(yīng)用軟件，其本身具有可被攻擊者利用的特性。更形象地說，第一種情況是小偷趁主人度假期間，在房主院子后面為自己打造了一個后門，并稍加裝飾，使人輕易發(fā)現(xiàn)不了他的杰作；第二種情況可能是主人為了方便，本來就在院子后面留有一門，但由于疏忽竟然忘了上鎖，這就給小偷以可乘之機(jī)。當(dāng)然，在第一種情況下，若小偷在主人眼皮底下開工，自然需要更高超的技術(shù)，通常人們所說的特洛伊木馬就是這種情況。

很多網(wǎng)管軟件也有類似的功能，若被誤用或?yàn)E用，后果會非常嚴(yán)重。

后門后門通常是一個服務(wù)端程序，它可能由黑客編寫，被惡意8.1.2漏洞的發(fā)現(xiàn)

8.1.2漏洞的發(fā)現(xiàn)目錄常見系統(tǒng)漏洞簡介漏洞掃描系統(tǒng)介紹數(shù)據(jù)庫的安全管理目錄常見系統(tǒng)漏洞簡介掃描技術(shù)與原理

掃描是檢測Internet上的計算機(jī)當(dāng)前是否是活動的、提供了什么樣的服務(wù)，以及更多的相關(guān)信息，主要使用的技術(shù)有Ping掃描、端口掃描和操作系統(tǒng)識別。掃描所收集的信息主要可以分為以下幾種：

1）標(biāo)識主機(jī)上運(yùn)行的TCP／UDP服務(wù)。

2）系統(tǒng)的結(jié)構(gòu)(SPARC、ALPHA、X86)。

3）經(jīng)由INTERNET可以到達(dá)主機(jī)的詳細(xì)IP地址信息。

4）操作系統(tǒng)的類型。掃描的幾個分類Ping掃描：ICMPTCP掃描UDP掃描端口掃描掃描技術(shù)與原理掃描是檢測Internet上的計算機(jī)當(dāng)掃描器的類型和組成

掃描器的作用就是用檢測、掃描系統(tǒng)中存在的漏洞或缺陷。目前主要有兩種類型的掃描工具，即主機(jī)掃描器和網(wǎng)絡(luò)掃描器，它們在功能上各有側(cè)重。

1．主機(jī)掃描器

主機(jī)掃描器又稱本地掃描器，它與待檢查系統(tǒng)運(yùn)行于同一節(jié)點(diǎn)，執(zhí)行對自身的檢查。它的主要功能為分析各種系統(tǒng)文件內(nèi)容，查找可能存在的對系統(tǒng)安全造成威脅的漏洞或配置錯誤。

2．網(wǎng)絡(luò)掃描器

網(wǎng)絡(luò)掃描器又稱遠(yuǎn)程掃描器，一般它和待檢查系統(tǒng)運(yùn)行于不同的節(jié)點(diǎn)上，通過網(wǎng)絡(luò)遠(yuǎn)程探測目標(biāo)節(jié)點(diǎn)，檢查安全漏洞。遠(yuǎn)程掃描器檢查網(wǎng)絡(luò)和分布式系統(tǒng)的安全漏洞。掃描器的類型和組成掃描器的作用就是用檢測、掃描系統(tǒng)中存掃描器的組成

一般說來，掃描器由以下幾個模塊組成：用戶界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫、掃描輸出報告等。整個掃描過程是由用戶界面驅(qū)動的，首先由用戶建立新會話，選定掃描策略后，啟動掃描引擎，根據(jù)用戶制訂的掃描策略，掃描引擎開始調(diào)度掃描方法，掃描方法將檢查到的漏洞填入數(shù)據(jù)庫，最后由報告模塊根據(jù)數(shù)據(jù)庫內(nèi)容組織掃描輸出結(jié)果。掃描器的組成一般說來，掃描器由以下幾個模塊組成：用戶界面典型漏洞掃描系統(tǒng)典型漏洞掃描系統(tǒng)目錄常見系統(tǒng)漏洞簡介漏洞掃描系統(tǒng)介紹數(shù)據(jù)庫的安全管理目錄常見系統(tǒng)漏洞簡介背景知識：數(shù)據(jù)庫安全標(biāo)準(zhǔn)1985年，可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（TCSEC）的頒布，為計算機(jī)安全產(chǎn)品的評測提供了測試和方法，指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用。背景知識：數(shù)據(jù)庫安全標(biāo)準(zhǔn)1985年，可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（1987年，美國國家計算機(jī)安全中心為TCSEC桔皮書提出可信網(wǎng)絡(luò)解釋（TNI），通常被稱作紅皮書。1991年，美國國家計算機(jī)安全中心（NCSC）為TCSEC桔皮書提出可依賴數(shù)據(jù)庫管理系統(tǒng)解釋（TDI）。CC（CommonCriteria）:通用標(biāo)準(zhǔn)，很多產(chǎn)品開始申請CC證書，比如ORACLE9i，已經(jīng)通過EAL4級認(rèn)證。1987年，美國國家計算機(jī)安全中心為TCSEC桔皮書提出可信TCSEC-TDI基本內(nèi)容（一）R1安全策略（SecurityPolicy）

R1.1自主存取控制（DiscretionaryAccessControl，簡記為DAC）

R1.2客體重用（ObjectReuse）

R1.3標(biāo)記（Labels）

R1.3.1標(biāo)記完整性（LabelIntegrity）

R1.3.2標(biāo)記信息的擴(kuò)散（LabeledInformationExploration）

R1.3.3主體敏感度標(biāo)記（SubjectSensitivityLabels）

R1.3.4設(shè)備標(biāo)記（DeviceLabels）

R1.4強(qiáng)制存取控制（MandatoryAccessControl，簡記為MAC）TCSEC-TDI基本內(nèi)容（一）R1安全策略（SecuriTCSEC-TDI基本內(nèi)容（二）R2責(zé)任（Accountability）

R2.1標(biāo)識與鑒別（Identification&Authentication）

R2.1.1可信路徑（TrustedPath）

R2.2審計（Audit）

TCSEC-TDI基本內(nèi)容（二）R2責(zé)任（AccountaTCSEC-TDI基本內(nèi)容（三）R3保證（Assurance）

R3.1操作保證（OperationalAssurance）

R3.1.1系統(tǒng)體系結(jié)構(gòu)（SystemArchitecture）

R3.1.2系統(tǒng)完整性（SystemIntegrity）

R3.1.3隱蔽信道分析（CovertChannelAnalysis）

R3.1.4可信設(shè)施管理（TrustedFacilityManagement）

R3.1.5可信恢復(fù)（TrustedRecovery）

R3.2生命周期保證（LifeCycleAssurance）

R3.2.1安全測試（SecurityTesting）

R3.2.2設(shè)計規(guī)范和驗(yàn)證（DesignSpecification&Verification）

R3.2.3配置管理（ConfigurationManagement）

R3.2.4可信分配（TrustedDistribution）TCSEC-TDI基本內(nèi)容（三）R3保證（AssurancTCSEC-TDI基本內(nèi)容（四）R4文檔（Documentation）

R4.1安全特性用戶指南（SecurityFeaturesUser’sGuide）

R4.2可信設(shè)施手冊（TrustedFacilityManual）

R4.3測試文檔（TestDocumentation）

R4.4設(shè)計文檔（DesignDocumentation）TCSEC-TDI基本內(nèi)容（四）R4文檔（Document數(shù)據(jù)庫系統(tǒng)安全級別根據(jù)計算機(jī)系統(tǒng)對上述各項(xiàng)指標(biāo)的支持情況，TCSEC-TDI將數(shù)據(jù)庫系統(tǒng)劃分為四類七個等級，依次是D、C（C1，C2）、B（B1，B2，B3）、A（A1），按系統(tǒng)可信程度逐漸增高，如下表所示。數(shù)據(jù)庫系統(tǒng)安全級別根據(jù)計算機(jī)系統(tǒng)對上述各項(xiàng)指標(biāo)的支持情況，TTCSEC-TDI安全級別劃分A1驗(yàn)證設(shè)計（VerifiedDesign）B3安全域（SecurityDomains）B2結(jié)構(gòu)化保護(hù)（StructuralProtection）B1

標(biāo)記安全保護(hù)（LabeledSecurityProtection）C2受控的存取保護(hù)（ControlledAccessProtection）C1自主安全保護(hù)（DiscretionarySecurityProtection）D最小保護(hù)（MinimalProtection）TCSEC-TDI安全級別劃分A1驗(yàn)證設(shè)計（VerifiedD級D級是最低級別。保留D級的目的是為了將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)，統(tǒng)統(tǒng)歸于D組，在安全性方面幾乎沒有什么專門的機(jī)制來提供保障。D級D級是最低級別。保留D級的目的是為了將一切不符合更高標(biāo)準(zhǔn)C1級只提供了非常初級的自主安全保護(hù)。能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播?，F(xiàn)有的商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。C1級只提供了非常初級的自主安全保護(hù)。能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的C2級實(shí)際是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)，即將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實(shí)施審計和資源隔離。很多商業(yè)產(chǎn)品已得到該級別的認(rèn)證，如Oracle公司的Oracle7，Sybase公司的SQLServer11.0.6等。C2級實(shí)際是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)，即將C1B1級標(biāo)記安全保護(hù)。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）以及審計等安全機(jī)制。B1級能夠較好地滿足大型企業(yè)或一般政府部門對于數(shù)據(jù)的安全需求，這一級別的產(chǎn)品才認(rèn)為是真正意義上的安全產(chǎn)品。滿足此級別的產(chǎn)品前一般多冠以“安全”(Security)或“可信的”(Trusted)字樣，作為區(qū)別于普通產(chǎn)品的安全產(chǎn)品出售，如Oracle公司的TrustedOracle7和ORACLE9i，Sybase公司的SecureSQLServerversion11.0.6等。B1級標(biāo)記安全保護(hù)。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客B2級結(jié)構(gòu)化保護(hù)。建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC?，F(xiàn)在還沒有符合B2標(biāo)準(zhǔn)的數(shù)據(jù)庫產(chǎn)品。B2級結(jié)構(gòu)化保護(hù)。建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主B3級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。B3級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤A1級驗(yàn)證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。A1級驗(yàn)證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說小結(jié)B2以上的系統(tǒng)標(biāo)準(zhǔn)更多地還處于理論研究階段，產(chǎn)品化以至商品化的程度都不高，其應(yīng)用也多限于一些特殊的部門如軍隊等。但美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別或更高安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。

支持自主存取控制的DBMS大致屬于C級，而支持強(qiáng)制存取控制的DBMS則可以達(dá)到B1級。小結(jié)B2以上的系統(tǒng)標(biāo)準(zhǔn)更多地還處于理論研究階段，產(chǎn)品化以至商數(shù)據(jù)庫安全技術(shù)訪問控制加密、證書標(biāo)識和鑒別購買：關(guān)鍵業(yè)務(wù)少使用MS的產(chǎn)品；安裝：不要使用缺省配置部署：多層部署；開發(fā)：開發(fā)環(huán)境與業(yè)務(wù)環(huán)境隔離；不要硬編碼口令應(yīng)用具有IDS+IPS功能，恢復(fù)，日志，硬拷貝一定不要自己設(shè)計加密算法和公式！數(shù)據(jù)庫安全技術(shù)訪問控制數(shù)據(jù)庫安全策略

數(shù)據(jù)庫安全策略是應(yīng)該重視的關(guān)鍵問題之一，為了對抗常見的威脅，可以在如下幾個方面選擇安全策略：1.1數(shù)據(jù)備份策略1.2漏洞彌補(bǔ)策略1.3數(shù)據(jù)安全性策略1.4用戶安全性策略1.5數(shù)據(jù)庫管理員安全性策略1.6應(yīng)用程序開發(fā)人員的安全性策略1.7系統(tǒng)安全性策略數(shù)據(jù)庫安全策略 數(shù)據(jù)庫安全策略是應(yīng)該重視的關(guān)鍵問題之一，為了數(shù)據(jù)備份策略確保當(dāng)系統(tǒng)當(dāng)機(jī)、存儲介質(zhì)受到破壞、用戶誤操作時，數(shù)據(jù)信息不至于丟失。數(shù)據(jù)備份策略確保當(dāng)系統(tǒng)當(dāng)機(jī)、存儲介質(zhì)受到破壞、用戶誤操作時，數(shù)據(jù)備份策略

可以采取的策略有：

機(jī)器備份 介質(zhì)備份 應(yīng)用備份 網(wǎng)絡(luò)備份 異地備份數(shù)據(jù)備份策略 可以采取的策略有：漏洞彌補(bǔ)策略掃描并彌補(bǔ)潛在漏洞，有專人跟蹤漏洞發(fā)布情況?？隙ù嬖诓恢赖幕蛘卟荒荞R上彌補(bǔ)的漏洞，要在其他方面積極采取措施來應(yīng)對這種情況，以使整個業(yè)務(wù)系統(tǒng)正常運(yùn)行。

漏洞彌補(bǔ)策略掃描并彌補(bǔ)潛在漏洞，有專人跟蹤漏洞發(fā)布情況。數(shù)據(jù)安全性策略數(shù)據(jù)安全性策略應(yīng)建立在數(shù)據(jù)重要性基礎(chǔ)上。如果數(shù)據(jù)不是很重要，那么數(shù)據(jù)安全性策略可以稍松一些。如果很重要，則應(yīng)該有謹(jǐn)慎的安全性策略來維護(hù)對數(shù)據(jù)對象的有效控制。

數(shù)據(jù)安全性策略數(shù)據(jù)安全性策略應(yīng)建立在數(shù)據(jù)重要性基礎(chǔ)上。用戶安全性策略1)一般用戶的安全性(口令與權(quán)限)

A.口令的安全性。如果用戶是通過數(shù)據(jù)庫進(jìn)行用戶身份的確認(rèn)，那么建議使用口令加密的方式與數(shù)據(jù)庫進(jìn)行連接，舉例：

ORACLE系統(tǒng)的設(shè)置方法如下：

在客戶端的oracle.ini文件中設(shè)置ora_encrypt_login數(shù)為true； 在服務(wù)器端的initORACLE_SID.ora文件中設(shè)置dbling_encypt_ login參數(shù)為true。用戶安全性策略1)一般用戶的安全性(口令與權(quán)限)用戶安全性策略1)一般用戶的安全性

B.權(quán)限管理。對于那些用戶很多，應(yīng)用程序和數(shù)據(jù)對象很豐富的數(shù)據(jù)庫，應(yīng)充分利用“角色”這個機(jī)制對權(quán)限進(jìn)行有效管理。用戶安全性策略1)一般用戶的安全性用戶安全性策略2)終端用戶的安全性(權(quán)限)

必須針對終端用戶制定安全性策略。例如，對于一個有很多用戶的大規(guī)模數(shù)據(jù)庫，安全管理員可以決定用戶組分類，為這些用戶組創(chuàng)建角色，把所需的權(quán)限授予每一個角色，然后為用戶分配相應(yīng)角色。當(dāng)處理特殊的應(yīng)用要求時，安全管理員也必須明確地把一些特定的權(quán)限要求授予用戶。用戶安全性策略2)終端用戶的安全性(權(quán)限)數(shù)據(jù)庫管理員安全性策略(1)及時更改有高權(quán)限用戶的缺省口令 當(dāng)數(shù)據(jù)庫創(chuàng)建好以后，立即更改有管理權(quán)限的用戶的口令(如ORACLE的sys和system的口令)，防止非法用戶訪問數(shù)據(jù)庫。因?yàn)橛泄芾頇?quán)限的用戶連入數(shù)據(jù)庫后可以用各種方式對數(shù)據(jù)庫進(jìn)行改動，威脅很大。數(shù)據(jù)庫管理員安全性策略(1)及時更改有高權(quán)限用戶的數(shù)據(jù)庫管理員安全性策略(2)保護(hù)管理者與數(shù)據(jù)庫的連接

應(yīng)該只有數(shù)據(jù)庫管理員才能用管理權(quán)限連入數(shù)據(jù)庫。

(3)使用角色對管理者權(quán)限進(jìn)行管理

應(yīng)該合理設(shè)置和分配角色給用戶，做到權(quán)力制衡。數(shù)據(jù)庫管理員安全性策略(2)保護(hù)管理者與數(shù)據(jù)庫的連接應(yīng)用開發(fā)人員安全性策略(1)應(yīng)用程序開發(fā)人員和他們的權(quán)限

(2)應(yīng)用程序開發(fā)人員的環(huán)境(3)自由和受控的應(yīng)用程序開發(fā)(4)應(yīng)用程序開發(fā)人員的角色和權(quán)限(5)加強(qiáng)應(yīng)用程序開發(fā)人員的空間限制(6)應(yīng)用開發(fā)安全管理應(yīng)用開發(fā)人員安全性策略(1)應(yīng)用程序開發(fā)人員和他們的權(quán)限應(yīng)用開發(fā)人員和權(quán)限應(yīng)用程序開發(fā)人員是唯一一類需要特殊權(quán)限組才能完成自己工作的數(shù)據(jù)庫用戶

開發(fā)者需要諸如createtable等系統(tǒng)權(quán)限。為了限制開發(fā)者對數(shù)據(jù)庫的操作，只應(yīng)該把一些特定的系統(tǒng)權(quán)限授予開發(fā)者。應(yīng)用開發(fā)人員和權(quán)限應(yīng)用程序開發(fā)人員是唯一一類需要特殊權(quán)限組應(yīng)用開發(fā)人員的環(huán)境A.程序開發(fā)者不應(yīng)與終端用戶競爭數(shù)據(jù)庫資源B.應(yīng)用程序開發(fā)人員不能損害數(shù)據(jù)庫其他應(yīng)用產(chǎn)品應(yīng)用開發(fā)人員的環(huán)境A.程序開發(fā)者不應(yīng)與終端用戶競爭數(shù)據(jù)庫資自由和controlled應(yīng)用開發(fā)應(yīng)用程序開發(fā)人員有以下兩種權(quán)限：自由開發(fā)和受控開發(fā)

A.自由開發(fā) 允許應(yīng)用程序開發(fā)人員創(chuàng)建自己的模式對象，包括table,index,procedure,package等，允許應(yīng)用程序開發(fā)人員開發(fā)獨(dú)立于其他對象的應(yīng)用程序。

自由和controlled應(yīng)用開發(fā)應(yīng)用程序開發(fā)人員有以下兩自由和controlled應(yīng)用開發(fā)應(yīng)用程序開發(fā)人員有以下兩種權(quán)限：

B.受控開發(fā)

不允許應(yīng)用程序開發(fā)人員創(chuàng)建自己的模式對象，所有需要的table,procedure等