网络与系统安全重点

广义网络安全包括：1计算机硬件与环境安全：计算机硬件防信息泄露的各种措施2操作系统安全：操作系统的各种安全机制3计算机网络安全：与网络功能有关的各种安全问题4数据库系统安全：数据库的完整性、元素的完整性、保密性等问题5应用系统安全：应用系统可能受到的程序攻击、因编程不当引起敏感信息开发的问题、隐蔽通道问题等网络安全从其本质上来讲就是网络上的信息安全。是利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性、可使用性及数据的不可否认性。 网络的安全问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。运行系统安全，即保证信息处理和传输系统的安全。 网络上系统信息的安全，包括口令鉴别、存取控制、安全审计、数据加密等。 网络上信息传播的安全，即信息传播后的安全。网络上信息内容的安全，即狭义的“信息安全”，用于保护信息的保密性、可用性、完整性、不可否认性。信息安全技术发展（三阶段）1单机系统的信息保密阶段， 1988莫里斯“蠕虫”事件前 密码算法及保密模型和安全评价准则。2网络信息安全阶段： 加密技术，针对网络环境的信息安全与防护技术（被动防御）3信息保障阶段：2000年后，信息保障框架（PDRR 模型，主动积极防御）访问控制主体：信息系统中用户或进程；系统所有的用户与进程形成主体集合，客体：系统中被处理、被控制或被访问的对象（如文件、程序、存储器等）访问控制关系：根据制定的系统安全策略，形成了主体与客体、主体与主体、客体与客体相互间的关系。 访问矩阵模型访问矩阵模型中包括三类要素：1、系统中的客体集O ，是系统中被访问的对象，如文件、程序、存储区等。每一个客体o ∈O 可由它们的名字唯一地标识与识别。2、系统中的主体集S ，是系统中访问操作的主动发起者，如用户、进程、执行域等。执行域是进程运行期间的保护环境，一个进程在运行期间可以改变执行域。每个主体s ∈S 也是可以由它们的名字唯一地标识与识别。我们假定主体也是一种类型的客体，因此有S ⊆O 。 3、访问权限集合R 是系统中允许的主体对客体的控制或操作权力。访问权说明在不同客体上可以执行的访问操作的种类。对存储区段和文件的访问权通常包括r （读）、w （写）和e （执行），append （附加），own （拥有）等权利。O 、S 和R 三者之间的关系是以矩阵A 的形式表示的：它的行对应与某个主体，列对应于某个客体。集合R 是矩阵的项（元素）的集合，P 每个项用A[s,o]表示，其中存放着主体s 对客体o 的访问权或某些特权。优点1、简明——易懂、易理解、易证明。2、通用——有能力综合不同策略和应用于多种实现。3、精确——有能力忠实地反映策略和系统形态。4、与数据式样无关。访问监控器1 Graham和Denning 建议用监控器（Monitor ）与客体联结，形成访问监控器，用以控制对客体的访问。2 当A[s,o]中不包含所需权利时，客体o 的监控器就阻止主体s 对其的访问。3 监控器可以用硬件、软件或软硬件的组合实现。4访问监控器对应操作系统中的安全核。作用：访问监控器的关键作用是要对主体对客体的每一次访问都要实施控制，并对每一次访问活动进行审计记录。访问监控器的三原则1) 完备性原则。该原则要求不通过访问监控器，主体就不能对客体进行任何访问操作。完备性原则还要求硬件支持基于安全核的系统。硬件上必须保证任何程序必须经过安全核的控制进行访问。2) 隔离性原则。实现时必须将映射访问监控器的安全核与外部系统严密的隔离起来，以防止进程对安全核进行非法修改。实现隔离性原则也需要硬件与软件的支持。3）可验证性原则。为了满足可验证性，访问监控器模型应该能够精确地定义安全的含义，并且还要证明模型中的功能与安全的定义是一致的。模型的构造方法应该有利于使模型本身的安全性得到某种相应的证明。访问监控器的不足1) 访问监控器主要还是作为单级安全模型使用的，受监视的目标要么允许被访问，要么不允许被访问。 受监控的目标只有简单的安全性，要么安全，要么不。监视器模型不适应更复杂的安全要求2）系统中所有对受监控目标的访问要求都由监控器检查核实，监控程序将被频繁调用，这将使监控器可能成为整个系统的瓶颈，影响系统效率。 3）监控器只能控制直接访问，不能控制间接访问。状态转换体现为访问控制模式的变化，依靠一套本原命令实现，这些命令用本原操作定义。1任何进程都可以创建一个文件，自动地给所创建的文件赋予所有权和对文件的r-访问权、w-访问权。这可以用以下命令表达：command create file (p, f) ， create object f ，enter own into A[p, f]， enter r into A[p, f]， enter w into A[p, f] ，end2对文件f 有所有权的进程p ，可以把对f 的任何权利（除所有权外）转授给其他进程。 例如，进程p 授予进程q 以r-访问权。command confer read (p, q, f) ， If own in A[p, f]， then enter r into A[q, f] ，end3、访问权的撤消。我们将假定一个客体的拥有者可以在任何时刻撤消对该客体的访问权。例如，进程p 可以用以下命令撤消进程q 对f 的r 访问权。command revoke read (p, q, f) ， If own in A[p, f]， Then delete r from A[q, f]， end 命令中的q 也可以是p 自身。例如，p 也可以撤消它对文件f 的r 访问权来保护文件免受意外的修改4权利转授某些系统允许主体把自己对一个客体的访问权转授给另一个主体，只要它持有这一权利而毋需具备拥有权。下面的命令从进程p 转授r-访问权给进程q ，但没有给q 进一步的转授权。命令中的“*”表示权利r 是可拷贝的标记。 command transfer read (p，q ，f) ， If r* in A[p，f]， Then enter r into A[q, f]end一个进程可以转授一个访问权，但需要没收转授者自己的这个权利，这可用唯转授标记（+）表示。下述命令描述了这一功能：command transfer-only read (p，q ，f) ， if r+ in A[p，f] ，then delete r+ from A[p, f] ，enter r+ into A[q，f] ，end 5创建进程某些系统允许一个进程产生许多下属子进程，并控制它的子进程的访问权。例如，进程p 能利用下述命令创建一个具有存储段m 的下属进程q 。command create subordinate (p，q ，m) ， create object m； enter ctrl into A[p，q]； enter r into A[q，m]； enter w into A[q，m]； enter e into A[q，m]； end 给进程 p对q 的ctrl （控制）权，允许它取用或撤消q 的权利，包括由其他进程授予q 的那些权利。例如，下述命令赋予p 可以对q 的存储段m 进行访问的r 访问权command take subordinate read (p，q ，m) ， if ctrl in A[p，q] and r in A[q，m] ， then enter r into A[p，m] ，end 6命令的组合为了方便起见，我们可以利用析取式的形式把多个命令组成一个命令。例如，可以把命令revoke read和revoke subordinate read 组成一个命令。访问权的撤消。我们将假定一个客体的拥有者可以在任何时刻撤消对该客体的访问权。 例如，进程p 可以用以下命令撤消进程q 对f 的r 访问权command revoke read (p, q, f) ， if own in A[p, f] ，then delete r from A[q, f] ，end 下述命令撤消q 对文件f 的r 访问权：command revoke subordinate read (p，q ，f) ， if ctrl in A[p，q] ， then delete r from A[q，f]endcommand revoke read (p，q ，f) ， if own in A[p, f] or ctrl in A[p, q] ，then delete rfrom A[q, f] ，end create subordinate (P2, P3, M3)；take subordinate read (P2, P3, M3)；take subordinate write (P2, P3, M3)；confer read (P2, P3, F2)；这几条命令的含义依次是：1 进程P2创建了带有存储器M3的子进程P3，由此P3拥有对M3的r/w/e权，而P2拥有对P3的ctrl 权；2,3 然后P2分别从P3获取对M3的读权与写权；4 最后是P2把对F2的读权转授给P3。 权利的撤销：1在采用拥有者（owner ）概念的场合，使用授权表方式实施访问控制的情况下，由客体的属主向其他主体转授或撤消对自己客体的访问权，是十分方便的。2在应用管理者概念的场合，若采用授权表方式去控制任何用户转授或撤消对某个客体的访问权，就不十分方便了，但任然可用。Sysauth 访问表：记录每一个批准给用户的访问权，表中说明接受权力的用户、用户被授权访问的表的名称、表的类型、授权者、授予的访问权和复制标记。 每一个访问权是用Sysauth 的一系列属性描述，并说明批准时间。TEMPEST 国际上把防信息辐射泄漏技术简称为TEMPEST （Transient ElectroMagnetic Pulse Emanations Standard Technology ）技术，这种技术主要研究与解决计算机和外部设备工作时因电磁辐射和传导产生的信息外漏问题。计算机的TEMPEST 技术是美国国家安全局（NSA ）和国防部（DoD ）共同组织领导研究与开发的项目，该项目研究如何减少或防止计算机及其他电子信息设备向外辐射造成信息泄漏的各种技术与措施。TEMPEST 研究的范围包括理论、工程和管理等方面，涉及电子、电磁、测量、信号处理、材料和化学等多学科的理论与技术。主要研究内容有以下几方面：1）电子信息设备是如何辐射泄漏的，研究电子设备辐射的途径与方式，研究设备的电气特性和物理结构对辐射的影响。2）电子信息设备辐射泄漏的如何防护，研究设备整体结构和各功能模块的布局、系统的接地、元器件的布局与连线以及各种屏蔽材料、屏蔽方法与结构的效果等问题。 3）如何从辐射信息中提取有用信息，研究辐射信号的接受与还原技术，由于辐射信号弱小、频带宽等特点，需要研究低噪音、宽频带、高增益的接收与解调技术，进行信号分析和相关分析。4）信息辐射的测试技术与测试标准，研究测试内容、测试方法、测试要求、测试仪器以及测试结果的分析方法并制定相应的测试标准。 TEMPEST技术减少计算机信息向外泄漏的技术可以分为电子隐藏技术和物理抑制技术两大类。 电子隐藏技术：利用干扰方法扰乱计算机辐射出来的信息、利用跳频技术变化计算机的辐射频率物理抑制技术：采用包括结构、工艺、材料和屏蔽等物理措施防止计算机有用信息的泄漏。计算机设备的防泄漏措施整体屏蔽、距离防护、使用干扰器、利用铁氧体磁环网络安全的增强技术1 Kerberos认证协议2 SSL安全协议：为网络应用层的通信提供认证、数据保密和数据完整性服务，较好地解决了Internet 上的数据安全传输问题3 IPSec ：即IP Security ，保证IP 数据报的安全性，有认证头AH 和封装安全净荷ESP 两个安全机制数据库安全技术：研究数据库管理系统DBMS 防止数据丢失或被破坏的办法，保证数据库完整性、元素完整性和元素准确性（元素值是正确的）的技术。但所有的解决办法都不是绝对的，因为任何控制都不能阻止一个有权用户有意、无意对数据库中数据的破坏。安全性与准确性：安全性：从保密角度出发，希望只透露非敏感数据，要拒绝任何涉及敏感字段的查询。但这样限制可能会拒绝许多合理的查询。所谓“准确性”是指应该透露尽可能多的数据使数据库用户能够访问到他们需要的数据，准确性的目标是：在保护所有敏感数据的同时，让用户从数据库获得尽可能多的非敏感数据。数据的敏感层次从高到低分为：不许暴露的数据、防止查询推测的数据、可能被查询推测的数据、可自由查询的数据。上面三层数据需要为安全性而隐蔽，下面三层数据需要为准确性而暴露

准确性与安全性之间存在一定的冲突。安全性与准确性的合理组合是在维护良好的保密性的同时提供最大的准确性。实际中，常常为了保护安全性而牺牲精确性，主要是由于有些敏感数据可以从非敏感数据推测出来，因而对部分非敏感数据也需要保护，这就影响了数据库查询的准确性推理漏洞：推理控制、访问控制与信息流控制一起形成了信息安全控制的基本理论与方法，一个安全的信息系统离不开这三种控制方式的支持。对于一个安全的数据库信息管理系统推理控制是必不可少的。敏感数据：确定敏感数据的因素需要考虑以下几点：本身是敏感的字段内容本身是非常敏感的，如通信枢纽的经纬度、导弹发射井的位置、银行用户存款数等都属于高度敏感的。来源敏感数据的提供者需要保密，如果泄漏了信息来源，有可能给信息提供者带来危害。例如举报者的姓名可能泄漏举报的内容、军事情报的来源可能泄漏情报收集者的身份等。指定为敏感的数据的拥有者或数据库管理员把某些数据确定为敏感的，例如有的领导不希望自己的住宅电话和住址对外公开，数据库管理员不希望暴露数据库服务器的网络IP 地址。间接敏感的本身并不敏感，但它的泄漏会间接导致敏感信息的泄漏。与以前泄漏信息有关的敏感性以前曾经泄漏了一部分信息，如果再泄漏一部分，将会造成严重泄漏。例如平时通信要求使用部队番号与信箱号，如果在以后的通信中又使用部队的真实地址，则暴露了该部队的真实位置。又如，若以前泄漏过某个铀矿的纬度，那么该铀矿的经度就成为敏感数据了。漏洞类型1数据本身泄漏：用户可能只是向数据库系统请求了一般性的数据，但系统管理程序却把敏感数据也无意地传送给用户2范围泄漏：范围泄漏是指暴露了敏感数据的边界取值3从反面泄漏：对于敏感数据即使让别人知道其反面结果也是一种泄漏 4可能值：通过判断某个字段具有某个值的概率来判断该字段的可能值出现漏洞的原因由上面几种情况可以看出，保护敏感数据的安全不仅需要防止泄漏真实取值，而且需要保护敏感数据的特征不被泄漏，泄漏了敏感数据的特征也可能造成安全问题。另有图谋的人可以从关于敏感数据的信息推测出敏感的结果。成功的安全策略必须包括防止敏感数据的直接和间接两种泄漏。Keberos 认证协议系统1）Kerberos 系统使用56位DES 加密算法加密网络连接，并且提供用户身份的认证。2）Kerberos 环境依赖于Kerberos 认证服务器的存在，它执行密钥管理和控制的功能。Kerberos 认证服务器维护一个保存所有客户密钥的数据库。每当两个用户要进行安全通信及认证请求时，Kerberos 认证服务器就产生会话密钥。主要功能：认证 ：每个用户都可以声明一个ID 授权 ：在用户被认证后，应用服务或网络服务可以管理授权。记账：为客户支付的限额和消费的费用提供证据PKI 是Public Key Infrastructure 缩写。即公钥基础设施, 是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。PKI 技术采用证书管理公钥，通过第三方的可信任机构——认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet 上验证用户的身份基础设施就是一个普适性基础，它在一个大环境里起着基本框架的作用。 作为基础设施，需要实现“应用支撑”的功能，可以让“应用”正常工作。基础设施具有以下特性1) 具有易于使用、众所周知的界面。(2) 基础设施提供的服务可以预测并且有效。(3) 应用设备无须了解基础设施的工作原理。性能要求：透明性和易用性，可扩展性，互操作性，多用性，支持多平台PKI 实现的安全功能：认证，授权，保密性，完整性，防抵赖证书签发证书的发放分为两种方式：一是离线方式发放，即面对面发放，特别是企业高级证书，最好是面对面的离线方式发放；二是在线方式发放，即通过Internet 使用LDAP ，在i500目录服务器上下载证书。信息发布： 证书和证书撤销信息的发布可能出现很多的情形。1私下分发最简单的分发机制是私下分发。私下分发模型中，撤销信息的交换是非正式和不可靠的。撤销通知可以通过电话或者E-mail 来传送，但不能保障撤销的消息被

可靠地传送到每一个相关的个体，也不存在一个软件可以在用户收到撤销消息的时候帮用户决定下一步最合适的活动。2. 信息分发 最为人所知和最普遍的证书和证书撤销信息分发的方法是信息发布。信息发布是将PKI 的信息放在一个大家都知道的、公开且容易访问的地点。对于范围大的用户群，发布的吸引力是很大的，一般来说，这个群体内的人们互相之间并不认识，也就是说，PKI 的信息是没有必要分发给每个人的国外PKI/CA现状美国联邦PKI 体系机加拿大政府PKI 体系结构

两种体系的比较1）体系结构上：美国联邦PKI 体系结构比较

复杂，联邦的桥CA 仅是一个桥梁；而加拿大政府PKI 体系结构比较简单，中央认证机构仿佛是一个根CA 。2）在信任关系的建立上：美国联邦PKI 体系结构中的联邦的桥CA 是各信任域建立信任关系的桥梁；在加拿大政府PKI 体系中，各信任域之间建立信任关系必须经过中央认证机构。 3）采用的技术上：美国联邦PKI 体系中的成员采用多种不同的PKI 产品和技术；而加拿大政府PKI 体系中强调使用Entrust 公司的技术。4）在组成成员上：美国联邦PKI 体系中除了各级政府，不同的政府机构外，

还可包括与政府或政府机构有商业往来的合作

伙伴；而加拿大政府PKI 体系中的成员都是联

邦的各级政府或政府机构 信任锚：信任模型

中，当可以确定一个身份或者有一个足够可信

的身份签发这个证明其签发的身份时，我们才能作出信任那个身份的决定。这个可信的实体称为信任锚。信任锚：“直接”、“间接”信

任模型1严格层次结构认证机构的严格层次可

以描绘为一棵倒转的树，根代表一个对整个PKI

域的所有实体都有特别意义的CA ，作为信任锚。

在根CA 的下面是零层或多层中间CA （子CA ），

从中间结点再伸出分支。与非子CA 的PKI 实体相对应的树叶通常称做终端实体或简称为终端用户2分布式

信任结构分布式信任结构把信任分散到两个或更多个CA 上3 Web模型依赖于流行的浏览器，将许多CA 的公钥预装在正在使用的标准浏览器上。这些公钥确定了一组CA ，浏览器用户最初信任这些CA ，并把它们

作为证书检验的根4以用户为中心的信任每个用户自己负责信赖哪个证书，拒绝哪个证书Kerbero 不足1它增加了网络环境管理的复杂性2如果Kerberos 认证服务器遭到入侵，整个网络的安全性就被破坏3配置文件的维护复杂且耗时4实现对多用户系统不安全5无法防止拒绝

服务的攻击6无法防止口令破解程序的攻击Kerberos 认证过程1 Client向AS 发送身份信息，申请TGT 2 AS向

Client 发送TGT 3 Client向TGS 发送TGT ，申请Ticket 4 TGS向Client 发送Ticket 5 Client向Server 发送Ticket ，

申请服务AS 认证服务器；TGT 票据授权票据；TGS 票据授权服务器网络多级安全技术1可信网络基建立在每

个主机内，可信网络接口连接每个上网主机和网络，功能是通信和负责所在主机的安全性，每个网络主机必

须完成的功能：对发送到网络的数据作上标记；每个主机应确保把数据发送到合法的与可信的接受者；必须

采取某些保证数据在传输过程中完整性的措施。应用：在每个主机内增加可信网络接口；不同安全级别的主

机不能进行通信2安全通信服务器实现在不同安全级别主机和不可信主机网络中实现多级安全的问题，避免

“下写”问题。应用：不同安全级别主机通信；可信与不可信主机通信3多级安全信道把可信的网络接口分

隔成不同安全级别的通信子信道，每个子信道的输出端连接的模块的安全级别不能高于其输入端连接的模块

的安全级别PKI 系统构成1认证机构：证书的签发机构，它是PKI 的核心，是PKI 应用中权威的、可信任的、

公正的第三方机构2证书库：证书的集中存放地，提供公众查询3 密钥备份及恢复系统：对用户的解密密钥

进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复4证书撤销处理系统：证书由于某种原因需要作

废，终止使用，将通过证书撤销列表CRL 来实现5PKI 应用接口系统：为各种各样的应用提供安全、一致、可

信任的方式与PKI 交互，确保所建立起来的网络环境安全可靠，并降低管理成本信任如果一个实体假定另一个实体会严格地像它期望的那样行动，那么就称它信任那个实体信任域公共控制下或服从一组公共策略的系统

集网络安全保护技术1主动防御技术：数据加密、身份认证、访问控制、虚拟专用网络2被动防御技术：防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护及安全管理八类安全机制加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由控制机制、公证机制计算机安全等级D 级(MS-DOS):最低安全级，无安全保护, 整个系统不可信C1级:自主安全保护级, 自主访问控制C2级(达到企业级安全要求，可作为最低军用安全级别):可控访问保护, 可控的自主访问控制与审计B1级(Bell-LaPadula模型, 支持军用安全策略):标记安全保护, 强制访问控制，敏感度标记B2级:可机构化保护, 形式化模型、隐蔽信道约束B3级: 安全区域保护，安全内核、高抗渗透性能力A1级(SCOMP系统): 可验证性保护, 形式化安全验证、隐蔽信道分析环境对硬件的影响：计算机的运行环境对计算机的影响非常大，环境影响因素主要有温度、湿度、灰尘、腐蚀、电气与电磁干扰等。这些因素从不同侧面影响计算机的可靠工作网络安全的增强技术1温度一般电子元器件的工作温度范围是0℃~45℃，当环境温度超过60℃时，计算机系统就不能正常工作。元器件可靠性降低将影响计算机的正确运算；温度过高或过低都会使磁介质的导磁率降低，影响磁头读写正确性；温度会使磁带、磁盘表面热胀冷缩发生变化，造成数据的读写错误。计算机工作的环境温度：21℃±3℃2湿度当相对湿度超过65%以后，就会在元器件的表面附着一层很薄的水膜，造成元器件各引脚之间的漏电。若水膜中含有杂质，它们会附着在元器件引脚、导线、接头表面，造成表面发霉和触点腐蚀；磁性介质在相对湿度高的情况下会受潮，导致磁率下降，造成信息读写错误；在高湿度的情况下，打印纸会吸潮变厚，影响打印操作；当相对湿度低于20%时，极易产生很高的静电；过分干燥的空气也会破坏磁介质上的信息，会使纸张变脆、印刷电路板变形。计算机正常的工作湿度：40%—60% 3灰尘放在无防尘措施空气中的光盘表面经常会带有许多看不见的灰尘，即使用干净的布梢用力擦抹也会在盘面上形成划痕。如果灰尘中包含导电尘埃和腐蚀性尘埃，且机房空气湿度较大，会造成短路或腐蚀裸露的金属表面；灰尘在器件表面的堆积会降低器件的散热能力。对进入机房的新鲜空气应进行一次或两次过滤，采取严格的机房卫生制度，降低机房灰尘含量。4电气干扰常见的电气干扰是指电压的瞬间较大幅度的变化、突发的尖脉冲或电压不足甚至掉电。这些干扰一般容易破坏信息的完整性，有时还会损坏计算机设备。采用稳压电源或不间断电源，对电源增加滤波和隔离措施防止突发的电源尖脉冲5电磁干扰对计算机正常运转影响较大的电磁干扰有静电干扰、周边环境的强电磁场干扰和设备等产生的强电磁干扰。机房应该按防静电要求装修，整个机房应该有一个独立的和良好的接地系统常见技术：①两阶段提交：为了保证数据更新结果的正确性，必须防止在数据更新过程中发生处理程序中断或出现错误。②纠错与恢复: 1）附加检错纠错码2）使用镜像技术 3）利用日志恢复③并发访问控制：根据一个事务处理的原则，前者操作没有完成之前，不考虑接受第二个人的更新请求④触发器：用于监视正在输入或修改的值是否破坏数据库的完整性。网络安全的主要威胁：人为的疏忽、

人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄漏或丢失、破坏数据完整性。网络安全问题：①网络的系统安全，②网络的信息安全。最终目的：

保护网络的信息安全。网络安全：利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性、可使用性及数据的不可否认性。机密性：对信息资源开放范围的控制，不让不应涉密的人涉及秘密信息。完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”问控制：访问矩阵模型；信息流控制：格模型（BLP 模型、Biba 模型、军用安全模型）推理控制：解决数据库应用系统中的信息泄漏问题。安全策略关于信息系统安全性的最高层次的指导原则，是根据用户的需求、设备情况、单位章程和法律约束等要求选定的。包括企事业级安全决策、行政管理方面的安全决策、有关数据处理设备及其运行环境的安全决策、操作系统的安全决策、数据库系统的安全决策等内容。计算机系统及其网络系统，如果它们所管理的信息仅能用它们的安全策略所授权的方法来操作，那么它们是安全的。主要有两种安全策略：访问策略与信息流策略。访问策略说明系统认可的访问，即指定主体对含有信息的客体能够有访问权。信息流策略说明系统认可的信息流，即指定的客体能够存储的安全类（如密级）和客体安全类间允许的关系。访问控制的规范策略:①最小权限策略②最大共享策略③访问的开放与封闭④离散访问控制⑤自主访问控制⑥强制访问控制。保护机制的设计原则①最小特权原则②机制的经济性③完全中介④开放式设计⑤特权的分隔⑥公共机制最小化⑦心理可接受性。可信计算基（TCB ）：是软件、硬件与固件的有机集合，根据访问控制策略处理主体集合对客体集合的访问。硬件访问控制技术①

访问控制技术②令牌或智能卡③生物特征认证方法。SSL 协议主要目的是为网络环境中两个通信应用进程之间提供一个安全通道缺点：认证和加解密速度慢; 不提供抗抵赖性服务; 不提供网络运行可靠性功能。强制访问控制：任何主体无权改变其目标的访问权限。在这种访问控制中，主体与客体都有固定的安全属性，这些属性都刻画在主、客体的安全性标记中。可否访问的决策是根据请求访问的主、客体的安全性标记作出的。自主访问控制：目标的主体可以自主地确定其他主体对其目标的访问权限。在这种访问控制中，客体的属主可以自主决定哪个用户能够访问他的客体。一个用户（或进程）可以有选择地与其他用户共享它的文件。

广义网络安全包括：1计算机硬件与环境安全：计算机硬件防信息泄露的各种措施2操作系统安全：操作系统的各种安全机制3计算机网络安全：与网络功能有关的各种安全问题4数据库系统安全：数据库的完整性、元素的完整性、保密性等问题5应用系统安全：应用系统可能受到的程序攻击、因编程不当引起敏感信息开发的问题、隐蔽通道问题等网络安全从其本质上来讲就是网络上的信息安全。是利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性、可使用性及数据的不可否认性。 网络的安全问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。运行系统安全，即保证信息处理和传输系统的安全。 网络上系统信息的安全，包括口令鉴别、存取控制、安全审计、数据加密等。 网络上信息传播的安全，即信息传播后的安全。网络上信息内容的安全，即狭义的“信息安全”，用于保护信息的保密性、可用性、完整性、不可否认性。信息安全技术发展（三阶段）1单机系统的信息保密阶段， 1988莫里斯“蠕虫”事件前 密码算法及保密模型和安全评价准则。2网络信息安全阶段： 加密技术，针对网络环境的信息安全与防护技术（被动防御）3信息保障阶段：2000年后，信息保障框架（PDRR 模型，主动积极防御）访问控制主体：信息系统中用户或进程；系统所有的用户与进程形成主体集合，客体：系统中被处理、被控制或被访问的对象（如文件、程序、存储器等）访问控制关系：根据制定的系统安全策略，形成了主体与客体、主体与主体、客体与客体相互间的关系。 访问矩阵模型访问矩阵模型中包括三类要素：1、系统中的客体集O ，是系统中被访问的对象，如文件、程序、存储区等。每一个客体o ∈O 可由它们的名字唯一地标识与识别。2、系统中的主体集S ，是系统中访问操作的主动发起者，如用户、进程、执行域等。执行域是进程运行期间的保护环境，一个进程在运行期间可以改变执行域。每个主体s ∈S 也是可以由它们的名字唯一地标识与识别。我们假定主体也是一种类型的客体，因此有S ⊆O 。 3、访问权限集合R 是系统中允许的主体对客体的控制或操作权力。访问权说明在不同客体上可以执行的访问操作的种类。对存储区段和文件的访问权通常包括r （读）、w （写）和e （执行），append （附加），own （拥有）等权利。O 、S 和R 三者之间的关系是以矩阵A 的形式表示的：它的行对应与某个主体，列对应于某个客体。集合R 是矩阵的项（元素）的集合，P 每个项用A[s,o]表示，其中存放着主体s 对客体o 的访问权或某些特权。优点1、简明——易懂、易理解、易证明。2、通用——有能力综合不同策略和应用于多种实现。3、精确——有能力忠实地反映策略和系统形态。4、与数据式样无关。访问监控器1 Graham和Denning 建议用监控器（Monitor ）与客体联结，形成访问监控器，用以控制对客体的访问。2 当A[s,o]中不包含所需权利时，客体o 的监控器就阻止主体s 对其的访问。3 监控器可以用硬件、软件或软硬件的组合实现。4访问监控器对应操作系统中的安全核。作用：访问监控器的关键作用是要对主体对客体的每一次访问都要实施控制，并对每一次访问活动进行审计记录。访问监控器的三原则1) 完备性原则。该原则要求不通过访问监控器，主体就不能对客体进行任何访问操作。完备性原则还要求硬件支持基于安全核的系统。硬件上必须保证任何程序必须经过安全核的控制进行访问。2) 隔离性原则。实现时必须将映射访问监控器的安全核与外部系统严密的隔离起来，以防止进程对安全核进行非法修改。实现隔离性原则也需要硬件与软件的支持。3）可验证性原则。为了满足可验证性，访问监控器模型应该能够精确地定义安全的含义，并且还要证明模型中的功能与安全的定义是一致的。模型的构造方法应该有利于使模型本身的安全性得到某种相应的证明。访问监控器的不足1) 访问监控器主要还是作为单级安全模型使用的，受监视的目标要么允许被访问，要么不允许被访问。 受监控的目标只有简单的安全性，要么安全，要么不。监视器模型不适应更复杂的安全要求2）系统中所有对受监控目标的访问要求都由监控器检查核实，监控程序将被频繁调用，这将使监控器可能成为整个系统的瓶颈，影响系统效率。 3）监控器只能控制直接访问，不能控制间接访问。状态转换体现为访问控制模式的变化，依靠一套本原命令实现，这些命令用本原操作定义。1任何进程都可以创建一个文件，自动地给所创建的文件赋予所有权和对文件的r-访问权、w-访问权。这可以用以下命令表达：command create file (p, f) ， create object f ，enter own into A[p, f]， enter r into A[p, f]， enter w into A[p, f] ，end2对文件f 有所有权的进程p ，可以把对f 的任何权利（除所有权外）转授给其他进程。 例如，进程p 授予进程q 以r-访问权。command confer read (p, q, f) ， If own in A[p, f]， then enter r into A[q, f] ，end3、访问权的撤消。我们将假定一个客体的拥有者可以在任何时刻撤消对该客体的访问权。例如，进程p 可以用以下命令撤消进程q 对f 的r 访问权。command revoke read (p, q, f) ， If own in A[p, f]， Then delete r from A[q, f]， end 命令中的q 也可以是p 自身。例如，p 也可以撤消它对文件f 的r 访问权来保护文件免受意外的修改4权利转授某些系统允许主体把自己对一个客体的访问权转授给另一个主体，只要它持有这一权利而毋需具备拥有权。下面的命令从进程p 转授r-访问权给进程q ，但没有给q 进一步的转授权。命令中的“*”表示权利r 是可拷贝的标记。 command transfer read (p，q ，f) ， If r* in A[p，f]， Then enter r into A[q, f]end一个进程可以转授一个访问权，但需要没收转授者自己的这个权利，这可用唯转授标记（+）表示。下述命令描述了这一功能：command transfer-only read (p，q ，f) ， if r+ in A[p，f] ，then delete r+ from A[p, f] ，enter r+ into A[q，f] ，end 5创建进程某些系统允许一个进程产生许多下属子进程，并控制它的子进程的访问权。例如，进程p 能利用下述命令创建一个具有存储段m 的下属进程q 。command create subordinate (p，q ，m) ， create object m； enter ctrl into A[p，q]； enter r into A[q，m]； enter w into A[q，m]； enter e into A[q，m]； end 给进程 p对q 的ctrl （控制）权，允许它取用或撤消q 的权利，包括由其他进程授予q 的那些权利。例如，下述命令赋予p 可以对q 的存储段m 进行访问的r 访问权command take subordinate read (p，q ，m) ， if ctrl in A[p，q] and r in A[q，m] ， then enter r into A[p，m] ，end 6命令的组合为了方便起见，我们可以利用析取式的形式把多个命令组成一个命令。例如，可以把命令revoke read和revoke subordinate read 组成一个命令。访问权的撤消。我们将假定一个客体的拥有者可以在任何时刻撤消对该客体的访问权。 例如，进程p 可以用以下命令撤消进程q 对f 的r 访问权command revoke read (p, q, f) ， if own in A[p, f] ，then delete r from A[q, f] ，end 下述命令撤消q 对文件f 的r 访问权：command revoke subordinate read (p，q ，f) ， if ctrl in A[p，q] ， then delete r from A[q，f]endcommand revoke read (p，q ，f) ， if own in A[p, f] or ctrl in A[p, q] ，then delete rfrom A[q, f] ，end create subordinate (P2, P3, M3)；take subordinate read (P2, P3, M3)；take subordinate write (P2, P3, M3)；confer read (P2, P3, F2)；这几条命令的含义依次是：1 进程P2创建了带有存储器M3的子进程P3，由此P3拥有对M3的r/w/e权，而P2拥有对P3的ctrl 权；2,3 然后P2分别从P3获取对M3的读权与写权；4 最后是P2把对F2的读权转授给P3。 权利的撤销：1在采用拥有者（owner ）概念的场合，使用授权表方式实施访问控制的情况下，由客体的属主向其他主体转授或撤消对自己客体的访问权，是十分方便的。2在应用管理者概念的场合，若采用授权表方式去控制任何用户转授或撤消对某个客体的访问权，就不十分方便了，但任然可用。Sysauth 访问表：记录每一个批准给用户的访问权，表中说明接受权力的用户、用户被授权访问的表的名称、表的类型、授权者、授予的访问权和复制标记。 每一个访问权是用Sysauth 的一系列属性描述，并说明批准时间。TEMPEST 国际上把防信息辐射泄漏技术简称为TEMPEST （Transient ElectroMagnetic Pulse Emanations Standard Technology ）技术，这种技术主要研究与解决计算机和外部设备工作时因电磁辐射和传导产生的信息外漏问题。计算机的TEMPEST 技术是美国国家安全局（NSA ）和国防部（DoD ）共同组织领导研究与开发的项目，该项目研究如何减少或防止计算机及其他电子信息设备向外辐射造成信息泄漏的各种技术与措施。TEMPEST 研究的范围包括理论、工程和管理等方面，涉及电子、电磁、测量、信号处理、材料和化学等多学科的理论与技术。主要研究内容有以下几方面：1）电子信息设备是如何辐射泄漏的，研究电子设备辐射的途径与方式，研究设备的电气特性和物理结构对辐射的影响。2）电子信息设备辐射泄漏的如何防护，研究设备整体结构和各功能模块的布局、系统的接地、元器件的布局与连线以及各种屏蔽材料、屏蔽方法与结构的效果等问题。 3）如何从辐射信息中提取有用信息，研究辐射信号的接受与还原技术，由于辐射信号弱小、频带宽等特点，需要研究低噪音、宽频带、高增益的接收与解调技术，进行信号分析和相关分析。4）信息辐射的测试技术与测试标准，研究测试内容、测试方法、测试要求、测试仪器以及测试结果的分析方法并制定相应的测试标准。 TEMPEST技术减少计算机信息向外泄漏的技术可以分为电子隐藏技术和物理抑制技术两大类。 电子隐藏技术：利用干扰方法扰乱计算机辐射出来的信息、利用跳频技术变化计算机的辐射频率物理抑制技术：采用包括结构、工艺、材料和屏蔽等物理措施防止计算机有用信息的泄漏。计算机设备的防泄漏措施整体屏蔽、距离防护、使用干扰器、利用铁氧体磁环网络安全的增强技术1 Kerberos认证协议2 SSL安全协议：为网络应用层的通信提供认证、数据保密和数据完整性服务，较好地解决了Internet 上的数据安全传输问题3 IPSec ：即IP Security ，保证IP 数据报的安全性，有认证头AH 和封装安全净荷ESP 两个安全机制数据库安全技术：研究数据库管理系统DBMS 防止数据丢失或被破坏的办法，保证数据库完整性、元素完整性和元素准确性（元素值是正确的）的技术。但所有的解决办法都不是绝对的，因为任何控制都不能阻止一个有权用户有意、无意对数据库中数据的破坏。安全性与准确性：安全性：从保密角度出发，希望只透露非敏感数据，要拒绝任何涉及敏感字段的查询。但这样限制可能会拒绝许多合理的查询。所谓“准确性”是指应该透露尽可能多的数据使数据库用户能够访问到他们需要的数据，准确性的目标是：在保护所有敏感数据的同时，让用户从数据库获得尽可能多的非敏感数据。数据的敏感层次从高到低分为：不许暴露的数据、防止查询推测的数据、可能被查询推测的数据、可自由查询的数据。上面三层数据需要为安全性而隐蔽，下面三层数据需要为准确性而暴露

准确性与安全性之间存在一定的冲突。安全性与准确性的合理组合是在维护良好的保密性的同时提供最大的准确性。实际中，常常为了保护安全性而牺牲精确性，主要是由于有些敏感数据可以从非敏感数据推测出来，因而对部分非敏感数据也需要保护，这就影响了数据库查询的准确性推理漏洞：推理控制、访问控制与信息流控制一起形成了信息安全控制的基本理论与方法，一个安全的信息系统离不开这三种控制方式的支持。对于一个安全的数据库信息管理系统推理控制是必不可少的。敏感数据：确定敏感数据的因素需要考虑以下几点：本身是敏感的字段内容本身是非常敏感的，如通信枢纽的经纬度、导弹发射井的位置、银行用户存款数等都属于高度敏感的。来源敏感数据的提供者需要保密，如果泄漏了信息来源，有可能给信息提供者带来危害。例如举报者的姓名可能泄漏举报的内容、军事情报的来源可能泄漏情报收集者的身份等。指定为敏感的数据的拥有者或数据库管理员把某些数据确定为敏感的，例如有的领导不希望自己的住宅电话和住址对外公开，数据库管理员不希望暴露数据库服务器的网络IP 地址。间接敏感的本身并不敏感，但它的泄漏会间接导致敏感信息的泄漏。与以前泄漏信息有关的敏感性以前曾经泄漏了一部分信息，如果再泄漏一部分，将会造成严重泄漏。例如平时通信要求使用部队番号与信箱号，如果在以后的通信中又使用部队的真实地址，则暴露了该部队的真实位置。又如，若以前泄漏过某个铀矿的纬度，那么该铀矿的经度就成为敏感数据了。漏洞类型1数据本身泄漏：用户可能只是向数据库系统请求了一般性的数据，但系统管理程序却把敏感数据也无意地传送给用户2范围泄漏：范围泄漏是指暴露了敏感数据的边界取值3从反面泄漏：对于敏感数据即使让别人知道其反面结果也是一种泄漏 4可能值：通过判断某个字段具有某个值的概率来判断该字段的可能值出现漏洞的原因由上面几种情况可以看出，保护敏感数据的安全不仅需要防止泄漏真实取值，而且需要保护敏感数据的特征不被泄漏，泄漏了敏感数据的特征也可能造成安全问题。另有图谋的人可以从关于敏感数据的信息推测出敏感的结果。成功的安全策略必须包括防止敏感数据的直接和间接两种泄漏。Keberos 认证协议系统1）Kerberos 系统使用56位DES 加密算法加密网络连接，并且提供用户身份的认证。2）Kerberos 环境依赖于Kerberos 认证服务器的存在，它执行密钥管理和控制的功能。Kerberos 认证服务器维护一个保存所有客户密钥的数据库。每当两个用户要进行安全通信及认证请求时，Kerberos 认证服务器就产生会话密钥。主要功能：认证 ：每个用户都可以声明一个ID 授权 ：在用户被认证后，应用服务或网络服务可以管理授权。记账：为客户支付的限额和消费的费用提供证据PKI 是Public Key Infrastructure 缩写。即公钥基础设施, 是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。PKI 技术采用证书管理公钥，通过第三方的可信任机构——认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet 上验证用户的身份基础设施就是一个普适性基础，它在一个大环境里起着基本框架的作用。 作为基础设施，需要实现“应用支撑”的功能，可以让“应用”正常工作。基础设施具有以下特性1) 具有易于使用、众所周知的界面。(2) 基础设施提供的服务可以预测并且有效。(3) 应用设备无须了解基础设施的工作原理。性能要求：透明性和易用性，可扩展性，互操作性，多用性，支持多平台PKI 实现的安全功能：认证，授权，保密性，完整性，防抵赖证书签发证书的发放分为两种方式：一是离线方式发放，即面对面发放，特别是企业高级证书，最好是面对面的离线方式发放；二是在线方式发放，即通过Internet 使用LDAP ，在i500目录服务器上下载证书。信息发布： 证书和证书撤销信息的发布可能出现很多的情形。1私下分发最简单的分发机制是私下分发。私下分发模型中，撤销信息的交换是非正式和不可靠的。撤销通知可以通过电话或者E-mail 来传送，但不能保障撤销的消息被

可靠地传送到每一个相关的个体，也不存在一个软件可以在用户收到撤销消息的时候帮用户决定下一步最合适的活动。2. 信息分发 最为人所知和最普遍的证书和证书撤销信息分发的方法是信息发布。信息发布是将PKI 的信息放在一个大家都知道的、公开且容易访问的地点。对于范围大的用户群，发布的吸引力是很大的，一般来说，这个群体内的人们互相之间并不认识，也就是说，PKI 的信息是没有必要分发给每个人的国外PKI/CA现状美国联邦PKI 体系机加拿大政府PKI 体系结构

两种体系的比较1）体系结构上：美国联邦PKI 体系结构比较

复杂，联邦的桥CA 仅是一个桥梁；而加拿大政府PKI 体系结构比较简单，中央认证机构仿佛是一个根CA 。2）在信任关系的建立上：美国联邦PKI 体系结构中的联邦的桥CA 是各信任域建立信任关系的桥梁；在加拿大政府PKI 体系中，各信任域之间建立信任关系必须经过中央认证机构。 3）采用的技术上：美国联邦PKI 体系中的成员采用多种不同的PKI 产品和技术；而加拿大政府PKI 体系中强调使用Entrust 公司的技术。4）在组成成员上：美国联邦PKI 体系中除了各级政府，不同的政府机构外，

还可包括与政府或政府机构有商业往来的合作

伙伴；而加拿大政府PKI 体系中的成员都是联

邦的各级政府或政府机构 信任锚：信任模型

中，当可以确定一个身份或者有一个足够可信

的身份签发这个证明其签发的身份时，我们才能作出信任那个身份的决定。这个可信的实体称为信任锚。信任锚：“直接”、“间接”信

任模型1严格层次结构认证机构的严格层次可

以描绘为一棵倒转的树，根代表一个对整个PKI

域的所有实体都有特别意义的CA ，作为信任锚。

在根CA 的下面是零层或多层中间CA （子CA ），

从中间结点再伸出分支。与非子CA 的PKI 实体相对应的树叶通常称做终端实体或简称为终端用户2分布式

信任结构分布式信任结构把信任分散到两个或更多个CA 上3 Web模型依赖于流行的浏览器，将许多CA 的公钥预装在正在使用的标准浏览器上。这些公钥确定了一组CA ，浏览器用户最初信任这些CA ，并把它们

作为证书检验的根4以用户为中心的信任每个用户自己负责信赖哪个证书，拒绝哪个证书Kerbero 不足1它增加了网络环境管理的复杂性2如果Kerberos 认证服务器遭到入侵，整个网络的安全性就被破坏3配置文件的维护复杂且耗时4实现对多用户系统不安全5无法防止拒绝

服务的攻击6无法防止口令破解程序的攻击Kerberos 认证过程1 Client向AS 发送身份信息，申请TGT 2 AS向

Client 发送TGT 3 Client向TGS 发送TGT ，申请Ticket 4 TGS向Client 发送Ticket 5 Client向Server 发送Ticket ，

申请服务AS 认证服务器；TGT 票据授权票据；TGS 票据授权服务器网络多级安全技术1可信网络基建立在每

个主机内，可信网络接口连接每个上网主机和网络，功能是通信和负责所在主机的安全性，每个网络主机必

须完成的功能：对发送到网络的数据作上标记；每个主机应确保把数据发送到合法的与可信的接受者；必须

采取某些保证数据在传输过程中完整性的措施。应用：在每个主机内增加可信网络接口；不同安全级别的主

机不能进行通信2安全通信服务器实现在不同安全级别主机和不可信主机网络中实现多级安全的问题，避免

“下写”问题。应用：不同安全级别主机通信；可信与不可信主机通信3多级安全信道把可信的网络接口分

隔成不同安全级别的通信子信道，每个子信道的输出端连接的模块的安全级别不能高于其输入端连接的模块

的安全级别PKI 系统构成1认证机构：证书的签发机构，它是PKI 的核心，是PKI 应用中权威的、可信任的、

公正的第三方机构2证书库：证书的集中存放地，提供公众查询3 密钥备份及恢复系统：对用户的解密密钥

进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复4证书撤销处理系统：证书由于某种原因需要作

废，终止使用，将通过证书撤销列表CRL 来实现5PKI 应用接口系统：为各种各样的应用提供安全、一致、可

信任的方式与PKI 交互，确保所建立起来的网络环境安全可靠，并降低管理成本信任如果一个实体假定另一个实体会严格地像它期望的那样行动，那么就称它信任那个实体信任域公共控制下或服从一组公共策略的系统

集网络安全保护技术1主动防御技术：数据加密、身份认证、访问控制、虚拟专用网络2被动防御技术：防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护及安全管理八类安全机制加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由控制机制、公证机制计算机安全等级D 级(MS-DOS):最低安全级，无安全保护, 整个系统不可信C1级:自主安全保护级, 自主访问控制C2级(达到企业级安全要求，可作为最低军用安全级别):可控访问保护, 可控的自主访问控制与审计B1级(Bell-LaPadula模型, 支持军用安全策略):标记安全保护, 强制访问控制，敏感度标记B2级:可机构化保护, 形式化模型、隐蔽信道约束B3级: 安全区域保护，安全内核、高抗渗透性能力A1级(SCOMP系统): 可验证性保护, 形式化安全验证、隐蔽信道分析环境对硬件的影响：计算机的运行环境对计算机的影响非常大，环境影响因素主要有温度、湿度、灰尘、腐蚀、电气与电磁干扰等。这些因素从不同侧面影响计算机的可靠工作网络安全的增强技术1温度一般电子元器件的工作温度范围是0℃~45℃，当环境温度超过60℃时，计算机系统就不能正常工作。元器件可靠性降低将影响计算机的正确运算；温度过高或过低都会使磁介质的导磁率降低，影响磁头读写正确性；温度会使磁带、磁盘表面热胀冷缩发生变化，造成数据的读写错误。计算机工作的环境温度：21℃±3℃2湿度当相对湿度超过65%以后，就会在元器件的表面附着一层很薄的水膜，造成元器件各引脚之间的漏电。若水膜中含有杂质，它们会附着在元器件引脚、导线、接头表面，造成表面发霉和触点腐蚀；磁性介质在相对湿度高的情况下会受潮，导致磁率下降，造成信息读写错误；在高湿度的情况下，打印纸会吸潮变厚，影响打印操作；当相对湿度低于20%时，极易产生很高的静电；过分干燥的空气也会破坏磁介质上的信息，会使纸张变脆、印刷电路板变形。计算机正常的工作湿度：40%—60% 3灰尘放在无防尘措施空气中的光盘表面经常会带有许多看不见的灰尘，即使用干净的布梢用力擦抹也会在盘面上形成划痕。如果灰尘中包含导电尘埃和腐蚀性尘埃，且机房空气湿度较大，会造成短路或腐蚀裸露的金属表面；灰尘在器件表面的堆积会降低器件的散热能力。对进入机房的新鲜空气应进行一次或两次过滤，采取严格的机房卫生制度，降低机房灰尘含量。4电气干扰常见的电气干扰是指电压的瞬间较大幅度的变化、突发的尖脉冲或电压不足甚至掉电。这些干扰一般容易破坏信息的完整性，有时还会损坏计算机设备。采用稳压电源或不间断电源，对电源增加滤波和隔离措施防止突发的电源尖脉冲5电磁干扰对计算机正常运转影响较大的电磁干扰有静电干扰、周边环境的强电磁场干扰和设备等产生的强电磁干扰。机房应该按防静电要求装修，整个机房应该有一个独立的和良好的接地系统常见技术：①两阶段提交：为了保证数据更新结果的正确性，必须防止在数据更新过程中发生处理程序中断或出现错误。②纠错与恢复: 1）附加检错纠错码2）使用镜像技术 3）利用日志恢复③并发访问控制：根据一个事务处理的原则，前者操作没有完成之前，不考虑接受第二个人的更新请求④触发器：用于监视正在输入或修改的值是否破坏数据库的完整性。网络安全的主要威胁：人为的疏忽、

人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄漏或丢失、破坏数据完整性。网络安全问题：①网络的系统安全，②网络的信息安全。最终目的：

保护网络的信息安全。网络安全：利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性、可使用性及数据的不可否认性。机密性：对信息资源开放范围的控制，不让不应涉密的人涉及秘密信息。完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”问控制：访问矩阵模型；信息流控制：格模型（BLP 模型、Biba 模型、军用安全模型）推理控制：解决数据库应用系统中的信息泄漏问题。安全策略关于信息系统安全性的最高层次的指导原则，是根据用户的需求、设备情况、单位章程和法律约束等要求选定的。包括企事业级安全决策、行政管理方面的安全决策、有关数据处理设备及其运行环境的安全决策、操作系统的安全决策、数据库系统的安全决策等内容。计算机系统及其网络系统，如果它们所管理的信息仅能用它们的安全策略所授权的方法来操作，那么它们是安全的。主要有两种安全策略：访问策略与信息流策略。访问策略说明系统认可的访问，即指定主体对含有信息的客体能够有访问权。信息流策略说明系统认可的信息流，即指定的客体能够存储的安全类（如密级）和客体安全类间允许的关系。访问控制的规范策略:①最小权限策略②最大共享策略③访问的开放与封闭④离散访问控制⑤自主访问控制⑥强制访问控制。保护机制的设计原则①最小特权原则②机制的经济性③完全中介④开放式设计⑤特权的分隔⑥公共机制最小化⑦心理可接受性。可信计算基（TCB ）：是软件、硬件与固件的有机集合，根据访问控制策略处理主体集合对客体集合的访问。硬件访问控制技术①

访问控制技术②令牌或智能卡③生物特征认证方法。SSL 协议主要目的是为网络环境中两个通信应用进程之间提供一个安全通道缺点：认证和加解密速度慢; 不提供抗抵赖性服务; 不提供网络运行可靠性功能。强制访问控制：任何主体无权改变其目标的访问权限。在这种访问控制中，主体与客体都有固定的安全属性，这些属性都刻画在主、客体的安全性标记中。可否访问的决策是根据请求访问的主、客体的安全性标记作出的。自主访问控制：目标的主体可以自主地确定其他主体对其目标的访问权限。在这种访问控制中，客体的属主可以自主决定哪个用户能够访问他的客体。一个用户（或进程）可以有选择地与其他用户共享它的文件。