安全防范系统毕业论文

随着互联网的迅猛发展，数据库系统在网络环境下的面临着一系列威胁如病毒感染、黑客攻击等。下文是我为大家搜集整理的关于网络数据库安全论文范文的内容，欢迎大家阅读参考! 网络数据库安全论文范文篇1 浅论计算机网络数据库安全 【摘 要】文章阐述了网络数据库的安全因素，并且对网络数据库的安全防范措施进行了探讨。 【关键词】计算机数据库;网络环境;分析;安全 经过目前网络环境下，网络信息安全是一个亟待解决的重要问题，而计算机数据库的安全问题，又是其核心和关键问题，它直接关系到网络信息管理系统的整体的安全性。所以，为了保证网络信息系统高效、稳定、安全的运行，科学、合理的防范措施是网络数据库技术研究的重点内容。 一、网络数据库的模型构建 网络数据库的基础是后台数据库，其访问控制功能是由前台程序所提供。查询、存储等操作的信息集合是由浏览器完成的，数据库在网络环境下，其特点是实现数据信息的共享，同时能够实现访问控制和最小冗余度，保持数据的一致性和完整性，图1是网络数据库的构建模型图如下 该模型是在网络技术结合数据库技术的基础上构建的，具体是由三层结构组成，包括数据库服务器、应用服务器和WEB服务器、浏览器等。整个系统和用户连接的接口，是通用的浏览器软件。作为第一层的客户端，浏览器的功能是为用户提供信息的输入，将代码转化为网页，提供交互功能，同时处理所提出的各种请求。而第二层的WEB服务器是作为后台，通过对相应的进程进行启动，来响应各种请求，同时生成代码处理各种结果，若数据的存取也在客户端请求的范围内，则数据库服务器必须配合WEB服务器，才能对这一请求共同进行完成。第三层数据库服务器对数据库能进行有效的管理，对不同的SQL服务器发出的请求起到协调的功能。 二、分析网络数据库安全性 1、分析数据安全性 网络数据库是信息管理系统的核心部分，其安全性能会对数据库中数据的安全起到直接的影响作用，由于很多重要的数据保存在数据库服务器上，例如一些账务数据、金融数据、还有一些工程数据、技术数据、涉及到规划和战略发展的决策性数据等等，属于机密信息，严禁非法访问，对外必须严格保密的数据等。而针对企业和公司，内部资源的筹划、对外交易的进行、日常业务的运作等等，必须依赖网络数据库进行，所以数据的安全性至关重要。 2、分析系统的安全性 网络数据库是否安全，直接决定了服务器主机和局域网的安全性能，数据库系统配置的“可从端口寻址的”，表示只要具备数据的使用权限及适合的查询工具，都可直接连接数据库及服务器端口，而针对操作系统的安全检测，可巧妙避开。而多数数据库还具有公开的密码和默认号，而这种默认账号的权限非常高，既可访问数据库的各级资源，同时还可按照指令对操作系统进行操作，甚至还能开启后门，对监听程序进行存放，进而获得相关口令，对整个局域网进行控制，产生较严重的危害性。 3、分析影响数据库的安全因素 数据库服务器是网络信息系统的核心部分，里面有大量敏感的和重要的信息存在，所以数据库的安全性对保存的数据的安全性有着直接的影响。网络数据库不仅有着较大的处理量，较集中的数据信息，同时数据有着非常频繁的更新，用户访问量也非常巨大。所以，对网络数据安全带来威胁的影响因素有： (1)用户没有执行正确的访问操作，造成数据库发生错误; (2)人为对数据库进行破坏，造成数据库不能恢复正常; (3)非法访问机密信息，而表面又不留任何痕迹; (4)通过网络，用户对数据库进行访问时，会受到各种搭线窃听技术的攻击; (5)用户采取非法手段，对信息资源进行窃取; (6)在未被授权的情况下，对数据库进行修改，造成数据失真现象严重; 面对以上种种威胁，只进行网络保护还根本不够，由于和其他系统在结构上有着本质的区别，数据库中所含有的各种数据敏感级别和重要程度不同，同时还具有共享功能，为拥有各种特权的用户提供服务，所以它对安全性的要求更广，也更为严格，不仅仅需要对联机网络、外部设备等实行物理保护，为防止敏感数据被盗用，同时对非法访问进行预防，还必须采取其他有效措施，以实现数据的一致性和完整性。 三、对网络数据库实行安全防范的措施 目前所采取的各种防范策略中，往往还不全面和具体，无法真正实现数据库的安全保障。所以在网络环境下，针对数据库的安全问题，应从日常的维护和开发，系统的设计等整体方面进行考虑和设计，建立各种安全机制，形成整体的安全策略。 1、研发信息管理人员应转变设计观念 首先研发信息管理系统的人员，必须转变观念，改变以往的只对信息管理系统功能进行重视的错误看法，综合考虑系统的安全性，彻底评估所要开发的系统和软件，从后台数据库系统及前台开发工具，以及软件和硬件的实施环境等方面，查找信息系统中潜在的安全隐患，避免因为硬件环境及开发工具的不合适，造成数据库的泄密，进而使整个系统出现不稳定现象。 2、系统管理和维护人员应综合考虑数据库安全性 系统管理和维护人员，必须对数据库的安全性进行全面的考虑，具体涵盖以下两点内容： 1)外围层的安全 主要包括网络安全和计算机系统安全，而来自病毒的侵犯是最主要的威胁，所以为了对整个系统的正常运行做出保证，必须规避外层中病毒的扩散和隐藏及入侵，采用综合治理方法，将防、杀、管结合在一起，对网络数据库系统的虚拟专用网进行构筑，采用技术，使网络路由的传输安全性和接入安全性得到保障，利用防火墙技术，实现网段间隔离及网间隔离，既避免系统遭受非法入侵，同时也使网络边界安全得到保障。 同时，网路数据库外围安全重点是在WEB服务器及操作系统上，既要进行物理保护，同时还应进行应用服务器的保护，通过加密等方式，预防在传输过程中，数据被篡改或监听。因为该层对数据库自身的加密并为涉及，所以不能直接进行文件的加密，也无法使用密钥管理。同时由于主要是以WEB浏览器服务输出进行该层的运行程序，所以在ASP等具体应用软件上，更要实现其安全性能。 2)核心层安全 在整个网路数据库系统中，应用软件和数据库是重要的核心组成部分，若滥用、非法复制、窃取、篡改、丢失软件和数据，将会对系统造成毁灭性的打击，严重的会危害到社会安全。所以，我们必须进行控制用户访问权限，从数据库的加密、恢复和备份、数据分级控制等几个方面，来进行安全防范，使数据库管理系统的完整性和独立性得到保障。数据分级是一种简单易行的操作方法，可对数据库实行信息流控制。采用加密控制，通过加密数据库文件，提供几种不同速度和安全强度的加解密算法，为用户提供合理的设置。 四、结语 伴随着计算机技术的迅猛发展和不断更新换代，各种建立在Internet及计算机上的信息管理系统已经成为重要的手段，支撑和完成各种事物的运作。在网络环境下，开发和使用信息管理系统的过程中，必须重点考虑安全问题，这样才能为整个数据库服务器的数据安全提供保障，以实现一种预期的效益，更好的为广大用户服务。 参考文献： [1]徐莉.春梅.网络数据库的安全漏洞及解决方法[J].福建电脑，2007(12). [2]钱菁.网络数据库安全机制研究[J].计算机应用研究，2010(12). 网络数据库安全论文范文篇2 浅谈网络数据库安全策略 摘 要： 主要对现今网络环境中数据库所面临的安全威胁进行详尽论述，并由此全面地分析提高网络数据库安全性的解决对策。 关键词： 网络;数据库;安全对策 随着网络在21世纪社会当中的普及发展，越来越多的企业逐渐地 参与进来，并且将企业的核心逐渐的转向互联网，在地理区域内分散的部门和公司以及厂商对于数据库的应用需求明显呈现出过旺的趋势，在数据库的管理系统当中逐渐的从单机有力的扩展到了整个网络环境，针对数据的收集和储存以及处理与后期的传播方式都从集中性迈向了全面分布式模式。企业在使用数据库管理系统的时候，尤为重视的是数据库信息的安全性。 1 网络数据库安全机制 网络数据库的基础是计算机的后台数据库，在加上前台程序所以提供的访问控制，对于数据的储存和查询以及信息之间的集合操作都可以通过有效的浏览器进行逐步完成。当前信息处理网络环境当中，有效的将大量数据信息进行多用户的共享是数据库存在的最大特点，然而与此同时对于数据的完整性以及一致性都有着有效的保障，有力的实现了最小程度的访问控制。 网络数据库所采用的两个典型的模式是B/S模式和C/S模式。C/S所采用的模式主要分为三层结构：① 首先是客户机;② 应用服务器;③ 数据库服务器，主要表现形式的是由客户机将数据传输到应用服务器，然后再次传输到数据库的服务器当中。B/S所采用的模式其主要也是分为三层结构：① 首先是浏览器;② Web服务器;③ 数据库服务器，主要表现形式如上所述。由此我们可以看出，这两种网络数据库模式在结构上存在很大程度的共同点，它们全部都涉及到了网络和系统软件以及应用软件。 2 各层安全机制详述 网络系统安全机制 如果数据库受到了外部恶意的信息的攻击侵入，首先是从网络系统开始进行攻击入侵，由此我们可以判断数据库安全的第一道保护屏障就是网络系统的正常安全。我们仅站在技术角度而言，可以将其大致的分成其防入侵检测以及协作式入侵检测技术等。下面我们分别阐述： 首先，计算机系统当中都安装有防火墙，防火墙的广泛运用俨然成为了现今一种最基本的防范措施。防火墙所起到的主要作用是对可信任的网络以及不可信任的网络之间的访问渠道进行有效的监控，针对内部网络和外部网络建立一道有效的防护措施屏障，将外部网络当中的非法访问进行有效的拦截并且将内部信息进行有效的阻止防止信息外流。防火墙对于外部的入侵具有强有力的防范控制，但是对于网络内部产生的非法操作却无法进行阻拦和加以有效控制。 其次，关于入侵检测，是近几年逐渐发展壮大的一种有力的防范技术，它主要采用了统计技术和规则技术以及网络通信技术与人工智能等技术和方法进行有效的综合在一起的防范技术，入侵检测所起到的主要作用是对网络和计算机系统进行有效的监控，能够及时有效的反映出是否有被入侵或者滥用的情况。 最后，针对协作式入侵检测技术，对于以往独立的入侵检测系统的不足点和诸多方面的缺陷，协作式入侵检测技术都有着极好的弥补，其系统当中IDS是基于一种统一的规范，入侵检测组件之间的信息都有效的自动进行交换。而且通过信息的自动交换可以对入侵信息进行有效的检查，并且还能够有效的在不同的网络环境当中进行运用。 服务器操作系统安全机制 目前，市场上计算机有很大一部分都是Windows NT以及Unix操作系统，其所具有的安全级别一般的处于C1、C2级。主要的安全技术可以归纳为以下三点： ① 操作系统安全策略。主要是在本地计算机的安全设置上进行配置，主要保障的安全策略包括密码策略和账户锁定策略以及审核策略和IP安全策略等一系列的安全选项，其具体运用可以体现在用户的账户以及口令和访问权限等诸多方面。 ② 安全管理策略。主要是网络管理员对系统安全管理所采取的方法和策略。因为，操作系统和网络环境各不相同，所以需要采取的安全管理策略也都存在着各不相同的方法，但是主要核心依旧是有力的保障服务器的安全以及对各类用户的权限进行分配。 ③ 数据安全策略。这点主要具有以下几点体现：数据的加密技术和对数据进行备份以及数据储存当中的安全性等。由此可以采用的技术有很多，其中主要有：认证、IPSec ，SSL ，TLS，等技术。 数据库管理系统安全机制 数据库系统在操作系统当中都是以文件的形式进行有效的管理。所以入侵数据库的人员可以对操作系统当中的漏洞及其数据库当中的文件进行直接盗取，还可以利用OS工具进行违法操作和对数据库文件内容进行篡改。所存在的这种隐患数据库用户一般很难以察觉，针对这种漏洞进行分析被认为是BZ级别的安全技术措施。数据库的层次安全技术，主要针对当前两个层次已经被破坏的情况下进行有效的解决，保障数据库安全性。那么对于数据库的管理系统就必须要求有一套较为强有力的安全机制。 客户端应用程序安全机制 网络数据库安全性的重要方面是客户端应用程序。具有强有力和实现比较快捷方便是其主要的特点，而且还能够根据需求的变化很容易做出相对应的更改。客户端的应用程序不仅可以有效的控制用户的合法登陆以及身份的验证，而且还能够对数据进行直接的设置。想要应用系统具有更好的安全性，首先就必须在应用程序上进行行之有效的控制。另外，针对客户应用程序的编写也具有着较大的灵活性，与此同时还有很多的技巧性，可以有效全面的实现管理的灵活和安全。 3 使用DBMS安全机制防范网络攻击 有很多大型的DBMS对于数据库的安全防范技术的提供相对来讲都是非常完善的，而且针对提高数据库的安全性也有着明显的积极作用。 系统的认证和授权 认证是验证系统中请求服务的人或应用程序身份的过程;授权是将一个通过身份认证的身份映射已经授予数据库用户的许可的过程，该过程限制用户在数据库内部允许发生的行为。对SQL Server数据库服务器进行权限设置时，应该为DPeb程序单独设立一个受限的登录，指定其只能访问特定的数据库，并为该特定数据库添加一个用户，使之与该受限的登录相连，并严格设定该用户的数据库权限。 数据的备份与恢复 通过数据备份可以在系统发生故障的时候，管理员可以在最短的时间内将数据进行恢复，保持原先所处理的状态，对于数据的一个完整性和一致性有着强有力的保障。通常对于数据库的备份一般都是采取以下几种形式备份形式：其一静态备份;其二动态备份;其三逻辑备份等。然而对于数据库的恢复，可以采取磁盘镜像和数据库备份文件以及数据库在线日志等诸多方式进行有效的恢复。 全面有效的加强审查 通过有效的审查，用户可以将数据库当中所进行的所有操作都能够得以有效的自动记录，然后将所记录的信息全部保存在审查的日志当中，对于审查进行全面加强利用可以有效的跟踪信息，将数据库现有状况的一系列事件都进行充分的重现。因此，就可以有效的找出非法存取数据的人员以及存取信息的时间和内容等线索，这样就方便有效的追查有关责任，与此同时关于系统安全方面的弱点和漏洞审查也可以有效的进行发现。 4 总结 现代社会正处于一个不断发展的阶段，网络信息技术也有着空前的发展。然而互联网技术的不断高速发展，其网络数据库的安全性更是当今不断发展的主要问题，随着现代网络入侵系统手段的不断提高，其所采用的安全技术也在不断的进一步提升。只有对所出现的问题进行不断的分析和研究，总结经验进而全面有效的处理出现的一系列的新问题。总之，计算机网络数据库的安全防范是新时期一个永久性的重要问题，只有全面的通过科学合理的安全防范手段以及在后期的发展过程中进行不断的改进和完善，才能够更好的将系统的安全可靠性进行有效的全面提高。 参考文献： [1]周世忠，浅谈网络数据库安全研究与应用[J].电脑知识与技术，2010(05). [2]戴雪蕾，基于SQL SERVER的网络数据库安全管理[J].网络安全技术与应用，2009(04). [3]梁建民，网络数据库的安全因素分析和预防措施探讨[J].光盘技术，2008(09). 猜你喜欢： 1. 网络数据库安全论文 2. 关于安全教育论文范文 3. 数字图书馆论文参考范文 4. 优秀毕业论文范文 5. 技术类论文范文

在写作科学的论文过程中，适当的引用一些参考文献，能有利于提高论文的质量。下面是我带来的关于科学论文参考文献的内容，欢迎阅读参考!科学论文参考文献(一) [1] 刘文帅. 关于暗物质与暗能量统一的研究[D]. 云南师范大学 2014 [2] 梁周昌. 怒江少数民族地区高中物理合作学习教学的实践研究[D]. 云南师范大学 2014 [3] 张云. focus on form对中学 英语口语 课堂教学的意义[D]. 华东师范大学 2009 [4] 赵婧. 乌海市高中英语课堂 文化 教学现状的调查与 反思 [D]. 内蒙古师范大学 2012 [5] 赵瑶瑶. 复数的历史与教学[D]. 华东师范大学 2007 [6] 潘婧. 高中英语课堂中文化教学现状的调查[D]. 东北师范大学 2010 [7] 赵瑶瑶. 复数的历史与教学[D]. 华东师范大学 2007 [8] 祝露. 高中写作教学设计探究[D]. 海南师范大学 2013 [9] 李玉飞. 计算机辅助语言教学在初中英语教学中的应用调查研究[D]. 河南师范大学 2013 [10] 卫晓丽. 中外籍教师在高中英语教学中教学风格的调查研究[D]. 山西师范大学 2013 [11] 莫雷主编. 教育 心理学[M]. 广东高等教育出版社， 2002 [12] 冯忠良等着.教育心理学[M]. 人民教育出版社， 2000 [13] 杨治良，罗承初 编写.心理学问答[M]. 甘肃人民出版社， 1986 [14] 江桂苹. 高中英语教学中的西方文化渗透研究[D]. 哈尔滨师范大学 2012 [15] 张春燕. 初中数学 专业英语 教学的实践与探索[D]. 上海师范大学 2013 [16] 张云. focus on form对中学英语口语课堂教学的意义[D]. 华东师范大学 2009 [17] 潘婧. 高中英语课堂中文化教学现状的调查[D]. 东北师范大学 2010 [18] 李玉飞. 计算机辅助语言教学在初中英语教学中的应用调查研究[D]. 河南师范大学 2013 [19] 卫晓丽. 中外籍教师在高中英语教学中教学风格的调查研究[D]. 山西师范大学 2013 [20] 王萍. 高中英语小班化分层教学的实验研究[D]. 华东师范大学 2011 科学论文参考文献(二) [1] 赵荣生. 车辆核材料检测装置的研制[J]. 中国原子能科学研究院年报. 2003(00) [2] 王国华，陈敬贤，梁梁. 系统评估研究现状及发展评述[J]. 现代管理科学. 2011(10) [3] 陈合权，魏莲芳. 论视频监控系统在公安工作中的应用[J]. 湖北警官学院学报. 2011(05) [4] 张旺勋，龚时雨，李康伟. 装备系统可靠性维修性保障性仿真策略研究[J]. 计算机仿真. 2011(09) [5] 魏莲芳. 当前群防群治工作存在的问题及对策探究[J]. 湖北警官学院学报. 2011(03) [6] 潘科，王洪德，石剑云. 多级可拓评价 方法 在地铁运营安全评价中的应用[J]. 铁道学报. 2011(05) [7] 吕海涛. 安全防范系统效能评估关键技术研究[D]. 武汉大学 2014 [8] 鲍君忠. 面向综合安全评估的多属性专家决策模型研究[D]. 大连海事大学 2011 [9] 孙爱军. 工业园区事故风险评价研究[D]. 南开大学 2011 [10] 郭熹. 基于风险熵模型的安防系统风险与效能评估技术研究[D]. 武汉大学 2011 [11] 邬长城. 安全管理体系质量评估方法研究[D]. 中国矿业大学(北京) 2012 [12] 孙亚华，李式巨，李彬. 核电站实物保护系统的量化评估[J]. 核动力工程. 2009(01) [13] 陈志华. 试论安全防范系统的效能评估[J]. 中国人民公安大学学报(自然科学版). 2006(04) [14] 魏莲芳，陈志华. 浅谈安防系统中的风险评估[J]. 中国安防产品信息. 2005(04) [15] 徐哲，贾子君. 基于仿真的武器装备研制系统性能风险评估[J]. 系统工程与电子技术. 2011(04) 科学论文参考文献(三) [1] 董保良，张国辉，李鑫，李晓燕，杨新旺. 基于信息熵的指挥信息系统效能评估研究[J]. 电子世界. 2013(15) [2] 孙国强. 浅谈出入口控制系统的建设、使用与发展[J]. 中国公共安全. 2013(15) [3] 李爱民. 中国半城镇化研究[J]. 人口研究. 2013(04) [4] 王赐江. 群体性事件现实考察与学理分析--从三起具有“标本意义”的群体性事件谈起[J]. 中国社会公共安全研究 报告 . 2013(01) [5] 冯文林，帅娟，姚红，邓波，魏莲芳，汪小林，冯荣. 四川特种行业治安管理创新调查研究报告[J]. 四川警察学院学报. 2013(01) [6] 李林. 中国法治的现状、挑战与未来发展[J]. 新视野. 2013(01) [7] 徐田坤，梁青槐，任星辰. 基于故障树模型的地铁750V牵引供电 系统安全 风险评估[J]. 北京交通大学学报. 2012(06) [8] 黄毅峰. 转型期中国群体性事件的征象考察与调控路径分析[J]. 成都理工大学学报(社会科学版). 2013(04) [9] 苗强，张文良，宗波，步立新，尹洪河，方忻. 核电站实物保护系统有效性评估方法研究工作进展[J]. 中国原子能科学研究院年报. 2012(00) [10] 王华安. 大安防时代：需要多元化发展战略[J]. 中国公共安全. 2013(12) [11] 何穆. 某大学图书馆安全防范系统设计[J]. 建筑电气. 2013(05) [12] 张苏. 司法中的量刑分析与操作--以石柏魁故宫盗窃案为例[J]. 中国检察官. 2013(10) [13] 杜治国，赵兴涛，李培岳. 美国安全管理专业解析[J]. 中国人民公安大学学报(自然科学版). 2013(02) [14] 唐海. 个性化概念图在网络自主学习中的应用研究[D]. 武汉大学 2010 [15] 杜治国，赵兴涛，李锦涛. 安全防范系统效能评估仿真模型研究[J]. 中国人民公安大学学报(自然科学版). 2012(01) 猜你喜欢： 1. 什么可以作为参考文献 2. 中国茶文化参考文献 3. 毕业论文参考文献范文 4. 高新技术论文参考文献 5. 成本管理论文参考文献大全 6. 历史学术论文参考文献

摘要：本文介绍了BLP、DTE和RBAC三种安全策略访问模型，并结合这三种安全策略模型，形成一个适应各类安全产品的实用操作系统。此设计方案遵循GB17859-1999[1]中规定的结构化保护级（相当于《TCSEC》标准的B2级[2]）的安全要求进行设计，并在Linux操作系统上得以实现。 关键字：安全技术；安全模型；Linux操作系统中图分类号：TP309 文献标识码：② 文章编号：1. 引言随着社会信息化的发展，计算机安全问题日益严重，建立安全防范体系的需求越来越强烈。操作系统是整个计算机信息系统的核心，操作系统安全是整个安全防范体系的基础，同时也是信息安全的重要内容。本课题将通过研究操作系统的安全策略访问模型，结合国内、外的相关安全标准和已有的先进技术，将密码服务与高级别存取控制机制有机地结合起来，探索适合国情的安全操作系统结构，最终形成一个适应各类安全产品系统安全需求的结构化保护级（相当于TCSEC中规定的B2级）实用操作系统。并且通过推动安全操作系统的应用，取得良好的经济效益和社会效益。2. 安全模型该类模型是从安全策略和访问控制的角度描述安全系统，主要针对系统中主体对客体的访问及其安全控制。[3] 多级安全及自主访问策略模型多级安全及自主访问策略模型的每个主体在替代用户之前，必须被配置最大安全级及标签范围；除某些可信客体外，每一个客体都要配置标签范围。Bell&Lapadula(BLP)模型[4,5]是最典型的信息保密性多级安全模型，包括强制访问控制和自主访问控制两部分。强制访问控制中的安全特性，要求对给定安全级别的主体，仅被允许对同一安全级别和较低安全级别上的客体进行“读”，对给定安全级别上的主体，仅被允许向相同安全级别或较高安全级别上的客体进行“写”，任意访问控制允许用户自行定义是否让个人或组织存取数据。 多域安全策略模型多域策略的基本思想是：赋予保护对象一种抽象的数据类型，该类型表明了保护对象要保护的完整性属性，然后规定只有经授权的主动进程能替代用户访问这一完整性属性，并限制该主动进程的活动范围，使其获得它应该完成目标以外的能力极小化。DTE （Domain and Type Enforcement）模型[6]是近年来被较多的作为实现信息完整性保护的模型。该模型定义了多个域（Domain）和型（Type），并将系统中的主体分配到不同的域中，不同的客体分配到不同的型中，通过定义不同的域对不同的型的访问权限，以及主体在不同的域中进行转换的规则来达到保护信息完整性的目的。 基于角色的访问控制模型基于角色的访问控制模型的目的就是通过域隔离，确保对系统的完整性破坏的极小化。RBAC模型[6]是基于角色的访问控制模型。该模型主要用于管理特权，在基于权能的访问控制中实现职责隔离及极小特权原理。其基本要素之间的关系如图1所示：图1 RBAC基本要素关系 the relationship of basic elements in RBAC在本系统中，将实现基于角色的授权和控制，支持角色互斥，不支持角色的继承，不支持同一个用户的多个角色。3. 安全系统的设计 安全模型的设计本系统中的安全服务器将遵循改进的BLP模型、DTE模型以及RBAC模型来实现系统的安全策略。其中，BLP模型保护信息的机密性；DTE模型保护信息的完整性；RBAC模型是授权模型。通过三种模型的相互作用和制约，保证系统中的信息以及系统自身的安全性。图2为本系统中三种模型以及重要功能的相互关系。图2 模型间的相互关系 the relationship of models如图2所示，授权策略RBAC是整个系统的基础，它通过为用户设置特定角色，影响IA控制、特权控制、多域访问控制和强制访问控制等基本功能，达到控制系统中用户/主体对客体/对象的访问目的。在本系统中，每个用户都有且只有一个角色。为某个用户给定一个角色，相当于给定该用户的最大特权集、安全标记范围、DTE域范围和最小审计掩码。该用户的上述属性只能够在给定角色的范围内指定。RBAC是通过最小特权、强制访问控制（包括MAC机密性保护和DTE完整性保护）和安全审计等功能组合实现的。而多域策略DTE和多级安全策略BLP则是在授权策略授权的基础上，调用多域访问控制和强制访问控制功能，实现对客体/对象信息的完整性和机密性保护。本系统在BLP模型的基础上进行了一些改动：1. 对BLP模型“上写下读”的信息流规则进行了限制，将其中的“上写”改为：低安全等级的主体可以创建高安全等级的客体或向高安全等级的客体中添加信息，但是不能修改或删除高安全等级客体中的原有信息。例如，低安全等级的主体可以在高安全等级目录下（在通过了DAC和DTE检查的情况下）创建新的文件（包括子目录、命名管道等），但是不能删除原有的文件（包括子目录、命名管道等），也不能改写高安全等级文件的内容；2. 引入可信主体的概念，即：所谓可信主体，就是拥有多个安全级或一个安全级范围的主体；3. 引入可信客体的概念，即：所谓可信客体，就是拥有多个安全级或一个安全级范围的客体。本系统中DTE实现采用为主体/客体指定域/型标识（统称为DTE标识）的方法，DTE策略将通过为主体赋“域”（Domain），为客体赋“型”（Type），并定义“域”和“型”之间的访问权限实现DTE完整性保护，并采用DTEL（DTE Language）语言进行描述，通过命令设置到系统核心。核心中将为每个主体维护一个“域”标记，为每个文件维护一个“型”标记。当操作发生时，系统将根据主体“域”标记、文件“型”标记以及访问控制表判断是否允许操作发生。原则上，构造一个安全系统必须同时兼顾用户应用系统、O/S服务系统、Linux 内核、硬件这四个子系统，使它们都获得有效的保护；但本系统主要关心用户应用系统和Linux 内核系统，因为它们与Linux 系统安全联系最直接。构筑安全Linux 系统的最终目标就是支持各种安全应用，如果系统在构造之初就没有区别地对待不同的应用，或者说不采取隔离的方式对待不同的应用，那么这样的系统是不实用的，因为不同的应用对系统安全可能造成的威胁是不同的。对用户应用系统的控制，我们主要采用角色模型与DTE技术的结合；而对Linux 内核的控制，则通过权能访问控制、增强的BLP模型及DTE策略来实现。 安全系统的结构设计图3 Linux 结构化保护级安全服务器系统结构图 the structure chart of Linux structure protection security server 图3说明了本系统的体系结构。如图3，用户请求的系统操作进入核心后，首先经过安全策略执行点，调用相应的安全策略执行模块，安全策略执行模块读取相关的系统安全信息和主/客体安全属性，并调用安全策略判定模块进行安全判定，决定是否允许用户请求的操作继续执行；当用户请求的系统操作得到允许并执行结束后，再次通过安全策略执行点，进行相关安全信息/属性的设置和安全审计。安全服务器中的功能模块与原有的系统操作是相对独立的，双方通过hook函数进行联系。通过改变hook函数的指向，可以启用不同的安全服务器。不同的安全服务器可以选择不同的安全策略，从而达到支持多安全策略的目的。 安全系统的功能特性安全系统在原有Linux操作系统基础上，新增了的强制访问控制、最小特权管理、可信路径、隐通道分析和加密卡支持等功能组成，系统的主要功能如下：1. 标识与鉴别标识与鉴别功能用于保证只有合法的用户才能存取系统资源。本系统的标识与鉴别部分包括角色管理、用户管理和用户身份鉴别等三个部分： 角色管理是实现RBAC模型的重要部分，将角色配置文件存放在/etc/security/role文件中，角色管理就是对角色配置文件的维护。 用户管理就是对用户属性文件的维护，是在系统原有用户管理的基础上修改和扩充而来；本系统改变了原有系统集中存放用户属性的方式，在/etc/security/ia目录下为每个用户创建一个属性文件。 用户身份鉴别过程就是控制用户与系统建立会话的过程；本系统将修改原有系统的pam模块和建立会话的程序，增加对管理员用户的强身份鉴别（使用加密卡），增加为用户设置初始安全属性（特权集、安全标记、域、审计掩码）的功能。2. 自主访问控制（DAC）用于进行按用户意愿的存取控制。使用DAC，用户可以说明其资源允许系统中哪个(些)用户使用何种权限进行共享。本系统在自主访问控制中加入ACL机制。利用ACL，用户能够有选择地授予其他用户某些存取权限，来对信息进行保护，防止信息被非法提取。3. 强制访问控制（MAC）提供基于数据保密性的资源存取控制方法。MAC是多级安全及自主访问策略的具体应用，通过限制一个用户只能在低级别上读访问信息、只能在自身的级别上写访问信息，来加强对资源的控制能力，从而提供了比DAC更严格的访问约束。4. 安全审计审计是模拟社会监督机制而引入到计算机系统中，用于监视并记录系统活动的一种机制。审计机制的主要目标是检测和判定对系统的渗透，识别操作并记录进程安全级活动的情况。本系统中的审计事件分为可信事件与系统调用。系统对每个用户审计的内容不同，需要设置系统的审计事件掩码和用户的审计事件掩码。在形成审计记录时，核心将根据审计掩码进行选择。5. 客体重用客体重用是指TSF必须确保受保护资源内的任何信息，在资源被重用时不会被泄露。客体重用功能可以防止重要的客体介质在重新分配给其他主体的时候产生信息泄漏。在本系统中，出于系统效率和可靠性的考虑，只实现对核心重要数据结构剩余信息的自动清除和文件内容的人工清除。6. 最小特权管理根据《TESCE》B2级中提出的最小特权原理，系统中的每个进程只应具有完成其任务和功能所需要的最小特权。因此，在本系统中开发了一种灵活的特权管理机制，把超级用户的特权划分成一组细粒度特权的集合，通过对系统中用户和进程特权的赋值、继承和传递的控制，将其中的部分特权赋给系统中的某个用户，从而使系统中的普通用户也能具有部分特权来操作和管理系统。7. 可信路径可信路径要求为用户提供与系统交互的可信通道。可信路径的实现方法是通过核心对安全注意键的监控，并退出当前终端下的所有应用程序，启动新的可信登陆程序。根据《TESEC》B2级对可信通路的要求，在本系统中开发了可信通路机制，以防止特洛伊木马等欺诈行为的发生。用户无论在系统的什么状态下，只要激活一个安全注意键（一般设置为Ctrl-Alt-A），就可以进入一个安全的登录界面。另外，本系统还采用了管理员用户的强身份认证和建立加密通道等技术，也可以保证用户与系统间交互的安全性。8. 隐蔽通道分析我国《计算机信息系统安全保护等级划分准则》[1]要求第四级及以上级别安全信息系统产品必须分析与处理隐蔽通道。本系统掩蔽通道分析将基于源代码，采用下列方法进行：分析所有操作，列出操作及其涉及的共享资源（客体属性） 列出操作与共享资源的关系图 找出所有可能的存储隐蔽通道 分析、标识每个存储隐蔽通道，并给出带宽9. 加密卡支持 本系统基于国产密码硬件资源，实现的密码服务主要包括三个方面：文件存储加解密：在命令层为用户提供一套SHELL命令，实现文件的机密性、完整性保护，同时提供一套接口库函数，供用户编程使用。特权用户强身份认证：结合RBAC、DTE策略，对特权（角色）用户实施强身份认证。数据传输加解密：在核心提供一套函数接口，用于实现数据的机密性和完整性。4. 结论本方案通过对Linux核心结构和操作系统域外层安全体系的层次结构的研究，遵循国内、外的相关安全标准，将三种安全策略模型和已有的先进技术有机地结合起来，增加了强制访问控制、最小特权、可信路径等安全功能，成功的在Linux操作系统上得已实现，基本达到了GB17859-1999中规定的结构化保护级（相当于《TCSEC》标准的B2级）的要求。操作系统安全增强技术作为信息安全的关键部分，得到了国内、外的普遍重视。在安全领域，系统的安全性总是相对的。因此，对安全模型的研究和建模以及信息安全系统体系和方案设计的研究还有待进一步的深入。本设计方案已经在Linux操作系统上得到具体的实现，还有待于在实际应用中对安全操作系统进一步的考验和完善。 参考文献[1] GB17859-1999, 计算机信息系统安全保护等级划分准则[S].[2] DoD 5200. 28-STD, Department of Defense Trusted Computer System Evaluation Criteria[S]. Department of Defense, Washington,DC, 1985.[3] 石文昌, 孙玉芳. 计算机安全标准演化与安全产品发展[J]. 广西科学, 2001, 8 (3): 168-171.[4] BELL D E, LaPADULA L J. Secure computer system: mathematical foundation and model[R]. Bedford MA: Mitre Corp, 1973. M74-244.[5] 石文昌, 孙玉芳, 梁洪亮. 经典BLP安全公理的一种适应性标记实施方法及其正确性[J]. 计算机研究与发展, 2001,11 (38): 1366~1371[6] 季庆光，唐柳英.《结构化保护级》安全操作系统安全策略模型[R]. 北京：中科院信息安全技术工程研究中心，中软网络技术股份有限公司， Research and Design of Security Model LI Fang， HU Zhi-xing(Information Engineering Institute, University of Science and Technology Beijing, Beijing 100083, China)Abstract: After study of BLP model, DTE model and RBAC model, and combination of the three security models, an implementation scheme of security system and its components and functions is provided, which achieves the structure protection of GB17859 (as the level B2 of TCSEC standard). The scheme is implemented on Linux operating system successfully. Key words: security techniques; security model; Linux operating system