《现代计算机系统的数据安全.ppt》由会员分享,可在线阅读,更多相关《现代计算机系统的数据安全.ppt(24页珍藏版)》请在三一办公上搜索。
1、现代计算机系统的数据安全2012.4南京大学教授徐洁磐(),一、引言1.现代计算机系统 现代计算机系统(简称计算机)包括:计算机硬件计算机网络计算机软件计算机软件数 据环 境2.现代计算机系统的安全计算机所产生的经济/社会效益与安全问题是一对矛盾。计算机安全问题是计算机自身固有的、先天性的弊病、也是后天环境所养成,是一定须面对、不能规避的问题。唯一方法是采取有效措施,3、现代计算机系统的数据安全计算机运行、操作目标数据;计算机效益之所在数据;整个现代计算机系统的各部分都是以数据为核心的;数据安全是计算机系统安全的核心,它表现为不受破坏,可不受非法访问;数据安全有时也称信息安全;程序(软件)也是
2、一种数据,因此数据安全也包括了程序。,硬件,网络,程序,环境,二、数据安全探源1.过度共享数据共享带来的效益共享效应共享过度带来了安全隐患如何解决这对矛盾?2.恶意破坏政治恶意经济恶意社会恶意3.非恶意破坏误输入误操作误故障,三、数据安全隐患排除方法1.排除方法之一技术2.排除方法之二标准3.排除方法之三管理,四、数据安全隐患排除之技术手段1.技术手段的思想(1)过度共享的排除主体与客体,它们间的访问定位以定位深度:属被动应付身份鉴别访问控制数据加密(2)恶意破坏的排除主动防范与被动应对相结合;预防与补救相结合审计非法入侵检测 镜像技术,定期拷贝与故障恢复(3)主动发现非恶意破坏的排除完整性控
3、制并发性控制,2.技术手段之涉及范围(1)数据库(2)文件系统(3)应用系统(4)硬件设备,3.技术手段内容(1)身份鉴别最基本、有效的入门性限制第一级限制口令是最原始的,还可用:指纹、IC卡、语音、虹膜等范围:数据库、文件系统、应用系统一般以应用系统为主各类OS、DB产品都有此功能;应用系统须开发商实现,(2)自主访问控制第二级入门性限制访问权限限制主体与客体的区分用户与数据体访问权限读/写/改/删访问矩阵按矩阵规定访问范围:数据库、文件系统、应用系统DB有、OS无、应用系统须开发,(3)强制访问控制第三级入门性限制网络中的访问限制通过带权主、客体的计算模型实现范围数据库、文件系统、应用系统
4、。一般以数据库为主少量DB产品有此功能;OS无;应用系统须开发商实现(4)数据加密主要用于网络中可用加密卡实现,(5)审计主动防范第一道门槛记录每个访问轨迹,用于主动发现及被动协助的作用范围数据库、文件、应用系统,一般以数据库为主DB产品有此功能,OS无,应用须开发商实现(6)非法入侵检测主动防范第二道门槛网络中的入侵检测门槛设定多个检测关;设置多种分析方法范围网络应用开发商实现,(7)定期拷贝与故障恢复数据补救技术之一拷贝与故障恢复(脱机恢复技术)定期拷贝+故障恢复技术范围数据库各类DB产品都有此功能(8)镜像技术数据补救技术之二(联机恢复技术)双机镜像备份范围:数据库部分DB产品,如ORA
5、CLE有此功能,(9)完整性控制主动发现技术之一数据间存在逻辑关联数据链,利用数据链发现非法增/删/改范围数据库、文件及应用系统。一般以数据库为主DB产品有此功能,OS无,应用经开发商实现(10)并发控制主动发现技术之二多用户操作所出现非法行为范围数据库、文件。一般以数据库为主DB产品有此功能,OS无,应用系统,数据库,文件,4.10大技术的评价(1)每种技术都是独立的;(2)10大技术间都是关联的;(3)10大技术是全面的,可保证系统的安全;(4)有些技术与网络安全技术是兼容的;(5)数据安全两个层次:(6)DB安全性好,OS其次,应用系统安全须开发;(7)10大技术包括主动/被动、预防/补
6、救、分析存疑/发现等多种手段。,五、技术标准1.为什么须标准?标准是什么?(1)不同系统(单位、部门)安全要求是不同的;(2)技术实现是有代价的时间代价、金钱代价、技术代价、管理代价;(3)不是施行的技术越多越好;(4)技术是有层次的;(5)按不同安全要求分成若干个技术档次,用不同技术以保证该档次的安全性标准;(6)用户按标准中档次选用技术;(7)不是技术施行越多越好,而是合适的就是好的。,2.安全标准(1)国际标准ISO标准美国国防部标准:TC/SEC(2)中国标准GB两个国家标准(3)部门标准(4)重点是TC/SEC以及基于TC/SEC的国家标准,3.TC/SEC标准框架(1)TC/SEC
7、分多个子标准横向:网络标准设备标准数据库标准操作系统标准应用系统标准综合标准(2)TC/SEC四类7级纵向,4.TC/SEC(数据)安全标准介绍:无安全要求:身份鉴别 自主访问控制技术(数据加密)数据完整性技术:审计 故障恢复技术(或镜像技术):强制访问控制:可核查通道技术:独立的访问监督控制器:安全形式化,5.基于TC/SEC的国家标准介绍五级标准一级标准用户自主保护级,相当于二级标准系统审计保护级,相当于三级标准安全标记保护级,相当于四级标准结 构 化保护级,相当于五级标准访问验证保护级,相当于目前常用的是一、二、三级。,六、数据安全管理1.管理的重要性技术、管理、思想三位一体管理是关键思想的具体化是管理技术的落实是关键管理分:技术管理主要关注点行政管理,2.技术管理介绍(1)按标准确定级别(2)按级别配置技术(3)制订相应规章制度(4)系统建设中安全因素的考虑(5)人员的设立安全管理员SA(6)数据集中管理,七、数据安全总结(1)数据安全10大技术(2)技术按需求划分档次标准(3)技术的实现管理(4)技术、管理与思想是一体的(5)数据安全与网络安全及设备安全及综合安全是关联的、统一的,谢谢,
