网络运行安全：数据库保护与用户认证机制

网络运行安全管理在个人与单位层面上的内容不尽相同。对于个人而言，网络运行安全主要指个人在工作中使用的软件设施的安全；从单位层面讲，网络运行安全管理则是构建统一的安全运行管理系统，进行集中监控与管理，如统一安全策略的制定，以及入侵检测、安全审计、漏洞扫描、安全事件报告、应急处理、灾难恢复等。

（一）个人层面的网络运行安全管理

个人层面的网络运行安全管理主要是对组成网络的软件设施的管理，如操作系统、应用软件、网络管理软件、网络通信协议等。

1.网络的主要软件设施

组成网络的软件设施主要有操作系统（包括计算机操作系统和网络操作系统）、网络通信协议、通用应用软件和数据库管理系统软件等。

（1）计算机操作系统

操作系统安全是网络安全的最基本、最基础的安全要素，因此，从软件角度来看，确保网络安全的首要任务便是保证操作系统安全。目前常见的操作系统有UNIX、DOS、Windows、Linux。操作系统的管理对象，包括计算机系统的处理器、存储器、设备及文件（程序或信息）四大类资源。威胁这些资源安全的因素，除设备、部件故障外，还包括用户的误操作或不合理地使用了系统提供的命令，恶意用户设法获取了未经授予的资源访问权，系统资源或系统的正常运行状态遭到恶意破坏，多个用户程序执行过程中相互间的干扰四种情况。操作系统主要通过隔离控制和访问控制等安全措施为上述资源提供不同安全级别的保护。比较理想的操作系统应该能够为不同的目标、不同的用户和不同的情况提供不同安全级别的保护功能。

（2）网络操作系统

网络操作系统和各层通信协议一起，用于支持网络中不同主机内的操作系统进程互相通信。对用户而言，面对计算机网络系统就像面对一个扩大了的单机系统一样。为了保护数据和网络资源，网络安全有五个基本目标，分别是保密性、完整性、可用性、可控性和可认证性。破坏网络安全目标的网络安全威胁有四种攻击形式：拒绝服务、信息篡改、信息截获和信息伪造。为了对抗上述四种攻击，可采用以下几种网络安全服务：访问控制、认证、保密性、数据完整性、信息流完整性和可用性。目前常见的网络操作系统有iOS、Novell、NetWare等，为了提高网络的安全性，一些重要的系统应选用专用的网络操作系统。

（3）网络通信协议

网络通信协议是网络中的设备之间交换信息所必须共同遵守的数据格式和规则的集合。目前应用最广泛的网络通信协议是TCPI/IP协议，国际互联网正是基于该协议进行网络互联通信的。由于多方面的原因，该协议存在许多安全缺陷。但由于该协议已经得到广泛应用，成了事实上的国际标准，在不得不采用该协议的情况下，更应该特别关注、大力研究加强网络安全防护的对策。

（4）通用应用软件和数据库管理系统软件

通用应用软件一般指介于操作系统与应用业务之间的软件，为网络的业务处理提供应用的工作平台。在各种通用应用软件中，有一种十分重要的软件，就是数据库管理系统。人类社会生活越来越依赖数据库技术，数据库中信息的价值越来越高，数据库的安全问题也越来越重要。数据库文件的保护主要是由数据库管理系统完成的，对数据库的主要安全要求是数据库的完整性、可靠性、保密性、可用性。数据库管理系统对满足这些要求具有十分重要的作用。例如，为了保证数据库的完整性，要求数据库管理系统除了提供访问控制机制外，还应提供中心共享数据的维护、分立重复数据一致性的维护，以及错误数据恢复的功能，同时还要求数据库管理系统具有数据库日志功能。此外，数据库管理系统还必须建立自己的用户认证机制，在操作系统认证之后由数据库管理系统再一次进行用户认证，以增加数据库的安全性。

2.软件设施的安全管理

（1）购置管理

购置管理包括三个环节：一是选购，网络所使用的操作系统、应用软件、数据库、安全软件、工具软件等都必须是正式版本，严禁使用测试版和盗版软件；二是安装和检测，重要的操作系统和主要应用软件都必须在安全管理员的监督下安装，安装后须使用可靠检测软件或手段进行安全性测试，以了解其脆弱性，并采取相应措施，使风险降至最小；三是登记，软件安装后，应对原件（磁盘）进行登记造册，并交由专人保管。

（2）使用和维护管理

操作系统和数据库管理系统及安全软件都应有专人负责。系统管理员及系统安全管理员都应由可靠人员担任，负责对系统的管理和维护，并严格记录系统的运行情况，当系统工作异常或发生安全事件时，在采取相应措施的同时必须报主管部门备案。安全管理员不得兼任应用系统管理员和业务员职务，对操作系统、数据库管理系统及其他相关软件必须定期进行审计，分析安全事件，堵塞安全漏洞。当软件更新时，必须在完成更新后重新审查系统的安全状态，必要时对安全策略进行调整。软件的新旧版本均应在完成更新后登记造册，并由专人保管，应严格控制旧版本的销毁。

（3）开发管理

网络应用软件的开发，必须根据密级和安全等级，同步进行相应的安全设计，并制定各阶段的安全目标。在开发过程中应按目标进行管理，保证安全设计的贯彻实现。应用软件开发的过程中，必须有安全管理专业技术人员参加，对系统方案与开发进程进行安全审查和监督，并负责系统安全设计及其实施。开发场所和环境应该与其他办公环境和工作场所分开。软件设计方案、数据结构、安全管理、操作监控手段、数据加密形式、源代码等，都只能在有关开发人员及有关管理机构中流动，严防散失或外泄。应用软件开发必须符合软件工程规范，应用软件开发人员不得参与应用软件的运行管理和操作。

（4）病毒管理

网络的计算机必须安装国家认可的预防病毒与杀灭病毒的软件产品，不得使用未经批准和检测的外来软件或磁盘、光盘。有关维修部门应定期组织计算机系统杀灭病毒的工作，一旦发现病毒，立即使用相应的软件工具进行检测和杀毒，如不能完全将其消灭，应该暂停工作并立即上报。网络各使用管理单位对于染毒次数、杀毒次数、杀毒后果等情况应进行详细记录，并上报上级有关部门。

（二）单位层面的网络运行安全管理

由于许多单位存在技术人员少且水平参差不齐、设备多且分布广、管理效率低及成本高的问题，构建统一的安全运行管理系统，通过安全平台的统一运行来为整个内部业务系统、办公系统提供安全、高效的信息共享与交流环境，显得尤为必要。(www.xing528.com)

目前，针对许多单位地域分布比较广的情况，安全运行管理系统设计为多层树状结构。各级运行管理中心除了独立监管所辖网络设备外，还必须维持各级之间的交互。一级运行管理中心可以查看二级运行管理中心的运行情况，同时，二级管理中心要把监管信息上传到一级运行管理中心，实现统一管理。

1.安全审计

安全审计是对网络运行中有关安全情况和事件进行记录、分析并采取相应措施的管理活动，其主要功能是记录和跟踪网络状态的变化，对用户的活动、程序和文件的使用等情况进行监控，并对程序和文件的使用及对文件的处理过程等加以记录。通过安全审计，可以监控和捕捉各种安全事件，实现对安全事件的识别、定位并做出响应。安全审计的范围包括操作系统和各种应用程序。

（1）对操作系统的安全审计

对操作系统进行安全审计的主要目的是检测和判定对系统的渗透及识别误操作。其基本功能包括审计对象（如用户、文件操作、操作命令等）的选择、审计文件的规定与转换、文件系统完整性的定时检测、审计信息的格式和输出、报警及逐出系统处理报警阈值的设置与选择。

安全审计工作流程如图8-4-2所示：

图8-4-2　安全审计工作流程

①审计事件收集。根据预先设定的审计规定、审计日志及其数据的安全保护等条件，判断其是否属于审计事件。

②将审计事件的内容按规定格式记录、保存在审计日志中。审计日志是记录通信网生存状态和问题的依据，各级网络必须制定保存和调阅审计日志的管理制度。

③当审计事件满足预先设定的报警条件时，应发出报警信息并形成相应的记录，常用的报警类型有以下几种：一是隐蔽通道报警，用于实时报告系统中可审计的隐蔽通道的使用情况；二是登录失败报警，用于实时报告有人试图以非正常方式进入系统的情况；三是病毒报警，用于实时报告系统中病毒的活动情况。

④当事件在一定时间内连续发生，满足预先设定的逐出系统条件时，则将引起该事件的用户逐出系统，并形成相应的记录。审计员可以查询、检索审计日志以形成审计报告，检索的内容包括审计事件类型、事件安全级、引起事件的用户、报警、指定时间内的事件及恶意用户等。

（2）对应用程序的安全审计

对应用程序的安全审计，重点针对应用程序的某些操作，监视应用程序的操作并实时记录，再根据记录结果判断该应用程序的可靠性是否遭到破坏。其具体功能包括对应用程序进行周期性的检测，判明其是否被修改；安全控制机制是否正确发挥作用；判断程序和数据是否完整；依靠使用者身份和口令验证终端保护等办法控制应用程序的正常运行。

2.灾难恢复

灾难恢复是指网络受到灾难性打击或破坏时，为迅速使系统恢复正常，并使损失减到最小而进行的一系列活动。灾难恢复管理主要包括以下内容。

（1）确立灾难恢复策略

正确地确立灾难恢复策略是灾难恢复管理的首要任务。灾难恢复策略的制定通常体现为如下思想：对于信息系统可能遭受破坏的程度和规模做最坏的预计；充分利用一切现有资源，在灾难到来时用于恢复重建系统；既要重视灾后恢复，更要注意灾前预防措施。

（2）制订灾难恢复计划

灾难恢复计划是贯彻灾难恢复策略而在灾前、灾后进行一系列相关活动的依据。其主要内容包括：一是紧急措施，指对各种紧急事件做出相应的规程，如设施抢救计划、人员救护计划、人员和设施的撤离计划等；二是资源备用，指多方面预留资源以备在灾难情况下使用，具体包括软资源备用、设备备用、电源备用、关键设备和信息安全产品的备份、异地系统备份等；三是恢复过程，指从灾难发生到系统恢复正常整个过程中的具体行动计划；四是演习方案，指定期进行应急计划演习的方案，它可帮助全体人员掌握应急知识，了解在灾难恢复计划中应采取的措施，知晓自己应负的责任，以便紧急事故出现时能迅速执行灾难恢复计划；五是关键信息，指执行灾难恢复计划所必需的重要信息，包括火警电话、应急负责人电话和住址等。

（3）灾难恢复计划的测试和维护

为了检验灾难恢复计划是否完善可行，应对已经编写完成的灾难恢复计划进行必要的测试，并将测试的过程和结果详细记录存档。测试中如发现计划内容有不妥之处，应及时修改。保证一旦发生灾难，有关单位和人员能够遵循正确的程序采取行动，保证灾难恢复过程能够按照灾难恢复计划预定的进程顺利有效的实现。灾难恢复计划的维护主要指定期或不定期地回顾与通读已经编写好的灾难恢复计划，修改需要更改的信息，重新评价网络及其组成部分的抗御灾害能力，特别是当网络或其备份系统有修改或升级时，应在灾难恢复计划中及时反应。

（4）执行灾难恢复计划

灾难恢复计划制订完成后，并非只在灾难发生时才付诸执行。灾难恢复计划的执行实际上包括灾难发生之前和之后两部分，而在日常工作中应该关注的是前者。灾前措施分为两类：一类是防止灾难发生的措施，如防火措施及在水灾易发地区建设防涝设施等；另一类是预先为灾难发生准备应急手段的措施，如对各种网络资源保证冗余备份，进行灾难应急处置演习等。