脆弱性库研究分析1
金剑
北京邮电大学计算机科学与技术系,北京 (100876)
E-mail:jinjian.1@https://www.doczj.com/doc/f5137666.html,
摘要:本文对目前国际上的几个主流脆弱性库进行了研究分析,并从功能上对他们进行了分类,文章最后给出了构建脆弱性库的建议。本文适用于信息系统安全评估和管理中关于脆弱性库的构建。本文主体分为三部分:主流脆弱性库的研究分析,脆弱性库的功能分类和其构建建议。在主流脆弱性库的研究分析中主要介绍了目前国家上比较流行的脆弱性库,脆弱性库的功能分类中以介绍的几个脆弱性库为依据,按照功能对目前脆弱性库进行了分类,构建建议部分对脆弱性库的构建提出了一个相应的建议和所应该的注意事项。
关键词:信息系统;脆弱性;脆弱性库;安全评估和管理
中图分类号:TP393
1.引言
当前的信息系统越来越复杂,导致不可避免的存在这样或者那样的缺陷,这些能被他人利用对资产可能造成危害的缺陷即为脆弱性。所有的入侵都是因为系统存在脆弱性,这些脆弱性可能来自操作系统、应用软件、网络协议、也可能是系统使用、管理不当等导致的后果。统计表明,脆弱性的数量近年来呈爆炸性的增长并呈快速增长趋势。
针对这种情况,人们一方面通过研究系统安全脆弱性理论,完成对脆弱性的收集、整理、分类、归档和发布,以查找漏洞产生的原因;另一方面借助主机或网络脆弱性扫描系统、安全评估专家系统、入侵检测等工具及早发现信息基础设施中的脆脆弱性以及利用脆弱性实施破坏的异常行为,并采取相应的安全措施。在这些研究中,安全脆弱性库(即漏洞库)扮演了极为重要的角色。
2.脆弱性库现状
随着计算机的发展,被发现的系统中的脆脆弱性种类繁多,相应的攻击方法也是手法多变,新的脆脆弱性、攻击方法更是层出不穷,而数据库是整理这些复杂信息的理想方式,新出现的脆脆弱性、攻击方法可以及时地存入库中以供分析,因此,建立一个脆弱性数据库对网络安全工作是十分必要的。
现在,投入和参与脆弱性数据库研究的组织机构非常多,其中包括各种公司、政府机构和黑客组织。而且早些年,脆弱性数据库的研究工作是在美国,近年来,许多国家也加大了对脆弱性数据库研发的投入。
目前许多欧美的国际安全组织都按照自己分类准则建立了各自的数据库,如ICAT, CERT/CC,BugTraq,XForce,CVE等。但至今为止,关于脆弱性分类仍没有一个统一的标准,脆弱性分类存在一定程度的概念模糊和交叉重叠现象。这样,当处理安全事故,报告某个系统的脆脆弱性,或当入侵检测系统产生警报时,各个组织、各个系统定义的脆弱性标识符的互不兼容会使脆弱性的交叉定位变得困难。因此,建立一个具有统一标准的脆弱性数据库对网络安全工作就显得极为重要!
本课题得到基金资助:国家高技术研究发展计划(863计划)项目“面向下一代电信网的安全测试评估技术及工具”(课题编号:2006AA01Z448)的资助。
此外,亚洲的一些国家(如韩国、日本)己经认识到了收集和分析脆弱性信息对国防和经济建设的重要意义,已经着手建立了自己的脆弱性数据库。但由于这领域的特殊性,这些研究的结果大多没有公开或只公开部分。而在在中国国家计算机网络应急处理协调中心(CNCERT/CC)领导下,国内也组建了自己的CVE组织——CNCVE,CNCVE的组建目的就是建设一个具有中国特色的,能为国内广大用户服务的CVE组织。
因此,脆弱性数据库的研究成果是非常丰硕的。但是业界对是否公开脆弱性数据库仍然是立场不一,主要原因是利益关系和担心公开的脆弱性信息被不恰当地利用。
3.主流脆弱性库研究分析
在开放的脆弱性数据库中,比较权威的有CVE、NVD、BugTraq、OSVDB和CERT等,下文将对它们作具体的介绍。虽然可以从这些数据库的发布手段免费获取到脆弱性数据,但是这些数据库仍不是完全开放的,对脆弱性数据库的开放仍有保留。
除了这些开放的脆弱性数据库外,还应该存在大量的没有对公众开放的脆弱性数据库。有的可能大家根本就不知道这些脆弱性数据库的存在。例如,IBM建立了内部专用的脆弱性数据库“Vulda”,并为这个数据库做了大量的工作,还经常使用公共脆弱性数据库的数据信息对内部的脆弱性信息库进行更新。据有关资料,IBM的脆弱性信息来源于30多个新闻组、60多个邮件列表,有40多个FTP镜像服务器。
3.1 CVE
CVE [1](Common Vulnerabilities and Exposures)是由美国国土安全部门(US Department Of Homeland Security,简称DHS)成立,由非盈利组织MITRE公司管理和维护至今。
Vulnerability(漏洞,脆弱性)这个词汇可以有狭义和广义多种解释。比如说:finger 服务,可能为入侵者提供很多有用的资料,但是该服务本身有时是业务必须的,而且不能说该服务本身有安全问题。1999年8月,CVE的编辑部投票表决通过,为了表达得更精确,给出了一个新的概念——Exposure(暴露)。
漏洞:在所有合理的安全策略中都被认为是有安全问题。
暴露:对那些在一些安全策略中认为有问题,在另一些安全策略中可以被接受的情况。
CVE将自己定义为一个脆弱性和暴露的名字列表,旨在为公众所知的脆弱性和暴露提供标准化的命名。尽管现如今大多数信息安全工具都带有脆弱性数据库,但是这些数据库彼此之间的差异很大,比如都有各自的命名方式,因此没有很好的方法可以辨别这些数据库的好坏。这样非常可能会出现安全“死角”,并且造成各种安全数据库和工具之间的交流效率不高。CVE就是为了克服这种交流的困难而产生的。标准的命名方式和权威的审核制度使得CVE成为各种工具和脆弱性数据库之间的一门共同的“语言”。
CVE有如下3个特点:
CVE是一个字典,其目标是提供一种标准命名,为方便独立的脆弱性数据库和不同安全工具彼此之间能够更好地共享数据,如图1CVE脆弱性数据库所示。CVE的标准命名方式是由“CVE”、时间和编号共同组成。例如,命名为“CVE-1999-0014”的条目表示1999年第14号脆弱性。
图 1 CVE脆弱性数据库
1. CVE得益于开放社区的工作。CVE的内容是CVE编辑委员会的合作努力的成果。这个委员会的成员来自于许多安全相关的组织,如软件开发商、大学研究机构、政府组织和一些优秀的安全专家等。MITRE公司负责维护CVE,并主持编辑委员会的会议。
2. CVE可以免费阅读和下载。
CVE对脆弱性描述没有严格的约束,只有一些不精确的指导方针。其中针对脆弱性的有:
允许攻击者伪装成用户执行命令;
允许攻击者非法访问数据;
允许攻击者伪装为别的实体;
允许攻击者执行一个被禁的服务。
针对暴露的有:
允许攻击者执行收集信息的动作;
允许攻击者隐藏动作;
包含一种预期但是潜在威胁的能力;
是个攻击者可能利用来获取系统和数据访问权的关键点;
根据一些可信的安全策略被认为是一个潜在脆弱性。
3.2 NVD (ICAT)
NVD [2](National Vulnerability Database)是ICAT经过改写和加强后的版本,它是NIST 下属的计算机安全部门(NIST Computer Security Division)的产品,并由DHS(美国国土安全部)赞助。
在美国总统发布的一项国家计算机安全战略中,要求DHS能够向公众发布有关计算机系统的脆弱性警告。NVD就是DHS为实现这一目标而提出的,它能够就已知的所有脆弱性向公众提供官方的脆弱性信息。因而NVD是一个内容覆盖广泛的脆弱性数据库,它结合了所有美国政府公开发表的可用脆弱性资源,并且提供一些行业资源的参考。
NVD的特点大致总结为以下几点:
在技术能力方面,NVD能够提供很好的搜索引擎和统计引擎。其中,搜索引擎能够涵盖所有美国政府公开的脆弱性资源,并且以XML和RSS的形式发布;统计引擎可以允许用户给特定产品或特定的一类脆弱性评定脆弱性等级;
NVD是唯一的一个完全基于CVE的脆弱性数据库。NVD和CVE都是由DHS发起的项目,并且NVD完全基于CVE,提供的脆弱性是CVE的子集。NVD采用CVE对脆弱性的标准命名,并用额外参数修饰这些脆弱性;
NVD是唯一的一个为所有CVE脆弱性提供普遍脆弱性评分系统(Common Vulnerability Scoring System)的脆弱性数据库。NVD支持的CVSS系统能够就脆弱性的本质数据提供一个基准评分,但是不提供脆弱性随外部环境发生变化的评分。不过,NVD提供了一个计算器,用户可以利用它通过添加一些数据得到一个CVSS值;
NVD是唯一的一个结合了开放脆弱性评估语言查询(Open Vulnerability Access Language,OVAL)的脆弱性数据库。
NVD对脆弱性的描述字段除了概述、CVSS评分、所属开发商、所属产品、所属产品的版本等外,还包括了一些其他方面的重要的信息,如:被利用的途径(Related Exploited Range)、影响类别(Impact Type)和脆弱性类别(Vulnerability Type)。
被利用的途径有三种:
远程利用;
本地利用;
受害者访问了攻击者的资源。
影响类别有六种:
允许服务中断;
允许信息非授权的泄露;
允许非授权的修改;
提供管理级别的访问控制;
提供用户级别的访问控制;
提供其他途径的访问控制。
脆弱性类别有八种:
诸如越界、内存溢出的非法输入错误;
非法访问错误;
异常条件错误;
环境造成的错误;
配置错误;
发生竞争现象;
设计错误;
其他错误。
3.3 OSVDB
OSVDB [4](Open Source Vulnerability Database) 是由一个社团组织创立并维护的独立开源的数据库。它提供了一个独立于开发商的脆弱性数据库实现方案,供信息安全社区的成员使用。OSVDB的总体目的在于促进公司和个人之间更大更多的交流,消除冗余的工作量,减少发展和维护内部脆弱性数据库的费用。
OSVDB最早是在2002年8月的Black Hat和Defcon安全会议上提出的一项服务。然而会议上所有提出的服务都失去了动力,OSVDB也处在失败的边缘。在1年后的Defcon 安全会议上,两名发起者Sullo、Forrest和新成员Jake三人延长了OSVDB的生命,做出了非常大的贡献,成功向社区提交了这个数据库。
OSVDB有如下3个特点:
OSVDB数据库是开源并且免费的。它由安全事业爱好者来维护,向个人和商业团体免费开放。它的目标是,减轻小公司的负担以使所有人员都可以享受到巨大全面的数据库。
脆弱性信息非常丰富,可以为实际的商业应用提供更好的支持。例如OSVDB与CVE 都是免费开源的数据库,但是两者的异同点在于CVE简单的提供了一个标准名称,更像一个数据字典。而OSVDB为每一条脆弱性提供了详尽的信息,合适的时候OSVDB参考CVE 的名称。
这个工程是开源行动的一个成员。此数据库在许多方面都在尝试帮助开源社团标准化。
脆弱性条目的脆弱性信息描述了这个问题,包括标题,日期,脆弱性的简短描述。这些信息在目前可用的OSVDB版本上描述的并不全面,但是这些信息实际上已经存储在数据库中并且后期可能会公布出来。
1、题目:
标题应该非常直接并且简练,而且可以将它与其他的脆弱性信息区分出来。下面是标题中用到的一些标准的缩写。
袭击类型的缩写:
DoS - Denial of Service
XSS - Cross Site Scripting
Overflow - Any Overflow (buffer, heap等)
产品类型的缩写:
IE - Internet Explorer
IIS - Internet Information Server
一般来说,标题包含了零售商,产品,脆弱性文件/例行事务/功能,袭击类型。标题应该反映袭击类型或者获得特权的类型。在一些例子里,可能需要做一些小小的假设来澄清一些问题。例如,可以假设如果专断的命令被执行,对文件或者目录的处理也会被授权。
2、日期:
OSVDB条目包含了三个日期域。最重要的是脆弱性完善的日期,来源于最原始的顾问或者邮件列表邮寄日期。脆弱性外部引用的情况存在而它的发布日期不存在的例子几乎没有。在一般情况下,如果只知道年和月份的时候,日期会被写成1号。
如果最初的信息里面包括开发信息,Exploit Publish Date也会被加进去。如果完整的开发代码没有发布出来,但是已经包含了足够的信息,以致于我们可以很容易的利用这个脆弱性,这样的情况下这个日期也会出现。
在某种情况下,研究报告也包括在将脆弱性公布之前他们发布给大众的信息。这种情况下,OSVDB也包括了discovery date。
3、简要描述:
简要描述主要是描述脆弱性的关键点。这个域主要是为了帮助安全公司简单的了解一个缺陷的信息。它主要包括零售商的名字,版本(缩略语,范围,通配符等等),问题的自然语言描述和它授予攻击者的特权。
3.4 CERT/CC
CERT研究组织坐落于卡耐基梅隆的软件工程学院,研究对象是互联网上的安全脆弱性、网络系统的长期变化,提供一些信息。CERT不是一个缩写词而是一个已注册的名字,但是它暗含的意思是计算机安全事件响应组。
CERT/CC [5](CERT Coordination Center)是CERT项目的一部分,主要负责互联网安全问题。CERT与US-CERT是合作伙伴的关系,US-CERT(UNITED STATES COMPUTER EMERGENCY READINESS TEAM)是2003年9月份由国土安全部成立的组织,它的目标是通过在计算机安全事件响应组(CSIRTs)和信息共享和分析中心(ISACs)和可管理的安全服务提供者(MSSPs)和信息技术提供商,安全产品和服务提供者以及其他有网络监测,报警和响应功能的组织之间建立合作关系来降低网络攻击的频率和带来的影响。CERT和US-CERT联合发布网络上的安全相关信。
Vulnerability notes的数据库强调在发布的同时给出修正的建议。注重的是对脆弱性的研究,以及和相关的供应商协商出补丁等解决方案来对脆弱性进行修正。在协商以及搜集了足够的资料之后再发布出来让用户注意到。
Vulnerability notes对脆弱性的描述字段有脆弱性ID,脆弱性名称,摘要描述,描述,影响,解决方案,受影响的系统,参考资源,致谢,公布日期,US-CERT的公布日期,最近更新日期,CERT建议,CVE名字,严重程度度量,版本修订号。
其中比较有特点的字段是严重程度度量。它的值是一个0-180的数字,它描述了脆弱性的严重程度,赋值考虑的因素很多,包括:
脆弱性相关的信息是否可以广泛的获取
脆弱性在报告到US-CERT的安全事件中是否被使用
互联网的基础设施是否受此脆弱性的影响
互联网上多少系统由于这次脆弱性而存在风险
脆弱性被利用产生的映像
脆弱性被利用的难易程度
脆弱性被利用的先决条件
它只是给出一个近似的严重程度的度量,在各个不同的站点之间此值可能大不相同,但是用它可以区分出哪些脆弱性是非常严重的,而哪些是不太严重的。有代表性的是,值在40以上的脆弱性被认为是有必要给出解决方案的。另外值得注意的是,它的赋值不是线性的,也就是说,值为40的脆弱性严重程度不是值为20的严重程度的两倍。
3.5 BugTraq
BugTraq [3]是由Security Focus 管理的Internet邮件列表,现在已被赛门铁克公司收购。
Security安全公司建立的网络黑客社区,曾经抢先公布历史上最臭名昭著的病毒或软件漏洞。多年来BugTraq一直是全球黑客获得荣誉和名气的广告牌,他们在Bugtraq上张贴自己的简历,宣扬自己光荣的黑客史。在电脑安全世界,BugTraq相当于最权威的专业杂志。大多数安全技术人员订阅Bugtraq,因为这里可以抢先获得关于软件、系统漏洞和缺陷的信息,还可以学到修补漏洞和防御反击的招数。大多数黑客也订阅BugTraq,在这里交流入侵电脑的秘技。“红色代码”(Code Red)、尼姆达(Nimda)等病毒警告首先从BugTrag发出,包括关于视窗、Linux、Unix等软件的数千个漏洞也从这里曝光。 BugTraq被收购后仍沿用Security Focus商标。
因此确切地说,BugTraq不是一个严格意义上的脆弱性数据库,而是发布脆弱性数据库的方式。同时Security Focus也维护了一个简单的脆弱性数据库特点。
BugTraq的特点大致如下:
BugTraq相当于一个布告栏,上面公布黑客或电脑爱好者发现的没有经过专家组织验证的系统漏洞。具有随意性的特点;
BugTraq以邮件列表的方式向订阅此信息的相关人员发布信息;
BugTraq的知名度非常高,很多顶级黑客都在上面发布自己的研究成果,比较的权威;
BugTraq本身并不是一个完整的数据库,也没有相应得查询功能,Security Focus公司在BugTraq基础上又整理出一套完整的脆弱性数据库,提供查询功能。
BugTraq以自然语言形式描述脆弱性相关信息。
4.脆弱性库功能分类研究
通过研究上面这些主流的脆弱性数据库,我们发现构建一个脆弱性数据库比构建一个传统的信息数据库要复杂许多。所以,在这些主流的脆弱性数据库中,没有哪一个数据库能够比别的数据库表现出明显的优势,只是各具特色在某些方面表现突出,甚至于一些数据库设计的初衷就有很强的针对性。根据这些数据库的特点,我们大致可以将脆弱性数据库的功能分为以下四类:
1.能够区分脆弱性,对脆弱性进行统一命名编号,并给予简要的描述;
2.能够从多个角度详细描述脆弱性,并且维护脆弱性的状态,并且能够为各种数据
库使用者提供及时有效全面的信息,并且能够提供一些与脆弱性相关人员交流的
渠道;
3.能够对各种类别的脆弱性提取一些共性的数据属性,形成一个信息化的特征库(专
家库)。这种信息化表示可以通过程序自动化的手段查询、更新、分析脆弱性数
据的能力;
4.能够揭示脆弱性内在联系,并且提供强大的脆弱性的数据分析、统计和预测功能。
无论从难度和层次来看,这四种功能本应该是种逐个递增、向上包容的关系。通过调研,我们发现主流的脆弱性数据库在功能实现时,都没有将以上四类功能同时实现。它们都只重点实现了四种功能中的一种功能(某些数据库在重点实现一种功能的前提下,将其他功能作为辅助功能,也进行了部分实现)。
脆弱性数据库按照功能分类可以分为以上讲的四类。对于前面讲到的主流数据库,都可以对应到这个种类中。比如,CVE属于1类, BugTraq属于2类,NVD属于2类同时提供了一些3类的功能,OSVDB属于3类。这种分法并不严谨,只是提供一种分析脆弱性数据库的角度。
此外,在几乎所有可以公开获取数据的脆弱性数据库中,还没有数据库能够实现第四种功能。这尽管是众多使用者翘首企盼的功能,但是要达到这个目标仍有很长的一段路需要探索,也是目前很多大学、研究组织研究的一个方向。
通过分类,结合平时的实践,我们发现“脆弱性数据库”一词的使用有两种语境:一个是广义的“脆弱性数据库”,即只要能够提供上文提到任何一种功能的数据库就被称为脆弱性数据库;反之,另一种狭义上的“脆弱性数据库”,是指已经信息化的特征库(专家库)。
5.脆弱性库构建的分析
脆弱性数据往往不完整、难以验证,有时还可能来源于不可信的陌生人;另外,脆弱性数据库不能只是原始数据的简单堆砌,而应包括脆弱性是什么,采用什么样的模型表示,以便给脆弱性分析技术提供支持。所以构建一个脆弱性数据库比构建一个传统的信息数据库要复杂得多。脆弱性数据库设计的重要挑战是如何从不同的抽象级别、不同的观察角度来展示脆弱性数据。目前已有的大多数脆弱性数据库的一个共同的缺点是不能揭示脆弱性各属性之间的关联性,不能从不同的级别或不同的角度去抽象出有用的特征。与设计和管理传统数据库不同,设计和管理脆弱性数据库需要考虑或解决如下问题:
5.1 脆弱性的描述
统一术语,精确描述各种属性;
分类是成功控制和存储脆弱性信息的关键,好的分类使系统更结构化、更一致、更易于维护,脆弱性数据库中的数据必须经过科学的分类才能运用数据挖掘、统计分析等技术;
脆弱性数据库的使用是面向多种用户的,脆弱性数据既要有详细的描述,又要有类似摘要的简介说明;
与脆弱性有关的属性很多,很难决定数据库中应该存放哪些属性,通常包括有关攻击、事件、工具、补丁、系统组件标志、系统政策、组织政策、资产评价、脆弱性被利用的概率等属性,彻底的解决办法是包括所有的属性,然后对不同的用户采用不同的视图;
很难描述产生脆弱性的环境,解决脆弱性的补丁也经常在升级,一种解决办法是尽可能详细;
脆弱性往往不是独立的,脆弱性之间的关系不容易体现出来;
应该仔细设计脆弱性危害性矩阵,所有的维护管理员对脆弱性的危害性程度必须有统一
的标准和理解,那种将脆弱性危害性简单分为高中低的方法用处有限;
对脆弱性的表示有利于自动生成入侵检测模式;
最好能支持对脆弱性信息进行面向研究的数据挖掘;
5.2 脆弱性数据库的接口
提供强大的查询能力;
最好能提供基于XML的远程接口,便于脆弱性扫描软件、入侵检测系统远程使用脆弱性数据库;
最好能提供应用编程接口API,便于信息安全工作者直接使用脆弱性数据库;
5.3 脆弱性数据库的管理
很难区别新报告的脆弱性是否是脆弱性数据库中已经存在的,也很难验证新报告的脆弱性;
脆弱性数据是非常敏感的数据,应用认证、访问控制、加密、证书等技术,保证脆弱性数据库的安全
脆弱性来源于多种领域,需要不同领域的专家来维护管理;
要不断丰富和及时更新脆弱性数据库;
制定并执行严格的脆弱性发布政策,避免被恶意分子利用。
6.结论
本文研究分析目前的几个主流的脆弱性库,分析了他们各自的特点以及对脆弱性信息的描述。并按功能对它们进行了分类的研究,按照功能把他们分为了4类,为我们分析脆弱新库提供了一个基本的标准和参考。最后给出了构建一个脆弱性库的建议和相应的要求。
参考文献
[1]CVE (Common Vulnerabilities and Exposures) https://www.doczj.com/doc/f5137666.html,
[2]NVD (National Vulnerability Database) https://www.doczj.com/doc/f5137666.html,/
[3]BugTraq https://www.doczj.com/doc/f5137666.html,/
[4]OSVDB (Open Source Vulnerability Data Base) https://www.doczj.com/doc/f5137666.html,/
[5]CERT/CC (Computer Emergency Response Team/Coordination Center) https://www.doczj.com/doc/f5137666.html,
Research of Vulnerability Database
Jin Jian
Computer Science & Technology Beijing University of Posts & Telecommunications,Beijing
(100876)
Abstract
This paper introduced several popular vulnerability databases, summarized their feature and the description of the vulnerability itself respectively. And we classified the databases into 4 categories according to their function. This paper fell into three parts approximately: popular vulnerability database’s research, vulnerability database’s category and constructing suggestion of vulnerability database. In these different parts, we analyzed the existed databases in order to gather what a vulnerability database is and then classified them for our research and learning, at last we provide some suggestion when we plan to build a vulnerability database by ourselves.
Keywords:Vulnerability;Information System;Vulnerability Database;Security Assessment and Management
学术.技术
学术.技术 (2)安全管理技术:安全管理指采取何种安全管理机制实现数据库管理权限分配,安全管理分集中控制和分散控制两种方式。集中控制由单个授权者来控制系统的整个安全维护,可以更有效、更方便地实现安全管理;分散控制则采用可用的管理程序控制数据库的不同部分来实现系统的安全维护[6]。 (3)数据库加密:是防止数据库中数据泄露的有效手段,通过加密,可以保证用户信息的安全,减少因备份介质失窃或丢失而造成的损失。数据库加密的方式主要有:库外加密、库内加密、硬件加密等[7]。 (4)审计追踪与攻击检测:审计功能在系统运行时,自动将数据库的所有操作记录在审计日志中,攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图,再现导致系统现状的事件,分析发现系统安全弱点,追查相关责任者[8]。 (5)信息流控制:信息流控制机制对系统的所有元素、组成成分等划分类别和级别。信息流控制负责检查信息的流向,使高保护级别对象所含信息不会被传送到低保护级别的对象中去,这可以避免某些怀有恶意的用户从较低保护级别的后一个对象中取得较为秘密的信息[9]。 (6)推理控制:是指用户通过间接的方式获取本不该获取的数据或信息。推理控制的目标就是防止用户通过间接的方式获取本不该获取的数据或信息[9]。 (7)数据备份与恢复。 2.3.2数据安全传输常用协议 (1)SSL协议:SSL协议(Secure socket layer)现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。S S L 技术已建立到所有主要的浏览器和W e b服务器程序中,因此,仅需安装数字证书或服务器证书就可以激活服务器功能。 (2)IPSec协议:IPSec (Internet Protocol Security) 是由IETF 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。它指定了各种可选网络安全服务,而各组织可以根据自己的安全策略综合和匹配这些服务,可以在 IPSec 框架之上构建安全性解决方法,用以提高发送数据的机密性、完整性和可靠性。该协议提供了“验证头”、“封装安全载荷”和“互联网密钥管理协议”3个基本元素用以保护网络通信。 (3)H T T P S协议:H T T P S(S e c u r e H y p e r t e x t T r a n s f e r P r o t o c o l)安全超文本传输协议,它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。 2.4 数据库安全技术研究趋势 要在确保可用性的前提下研究数据库安全,随着计算机技术的发展和数据库技术应用范围的扩大,将会有以下发展趋势[6,9]: (1)安全模型的研究,包括旧安全模型在实际中的具体应用和新安全模型的研究。 (2)隐蔽信道问题,即如何通过信息流控制和推理控制等其他安全控制机制来彻底检测与消除。 (3)当前处于主流地位的R D B M S大都采用D A C机制,有必要进一步扩展D A C授权模型的表达能力以支持各种安全策略,并开发合适的工具和通用的描述安全策略的语言来支持这些模型。 (4)数据库的审计跟踪,目前粒度较细的审计很耗时间和空间,如何改进审计机制或者是否有可以借助的高效率的自动化审计工具与DBMS集成。 (5)数据库技术与其他相关技术的相互结合对数据库安全的影响。 (6)多级安全数据库语义的研究和D B M S的多级安全保护体制的进一步完善。 (7)数据库系统的弱点和漏洞可以被轻易地利用,因此数据库安全要和入侵检测系统、防火墙等其他安全产品应配套研究使用。 (8)对应用系统和数据库连接部分的程序本身的安全研究也是广义数据库系统安全研究的范围。 (9)数据库加密技术的研究应用是今后数据库在金融、商业等其他重要应用部门研究和推广的重点。 (10)推理问题将继续是数据库安全面临的问题。 3 高校实践教学管理系统数据库安全技术方案3.1系统安全体系结构 图1 系统安全体系结构框图 系统采用B/S模式实现功能基本业务模块。主要事务逻辑在W E B服务器(S e r v e r)上实现,极少部分事务
井冈山大学 《网络安全课程设计报告》 选题名称数据库的安全与分析 学院电子与信息工程 专业网络工程 班级网络工程13本(1) 姓名何依 学号130913029 日期2016.10.08
目录 一、背景与目的 (3) 二、实施方案概要 (3) 1、用户权限 (3) 2、访问权限 (3) 3、再次校对 (4) 4、登录 (4) 三、技术与理论 (4) 1、三层式数据访问机制 (4) 2、数据加密处理机制 (4) 3、数据库系统的安全策略: (5) 四、课程设计实施 (6) 1、第一步 (6) 2、第二步 (8) 3、第三步 (9) 4、第四步 (10) 5、第五步 (11) 五、课程设计结果分析 (11) 六、总结 (12)
一、背景与目的 无论是从十大酒店泄露大量开房信息,到工商银行的快捷支付漏洞导致用户存款消失,这一种种触目惊心的事件表明数据库的安全性能对于整个社会来说是十分重要的,数据库安全是对顾客的权益的安全保障,也是国家、企业以及更多的人的安全保障,从而数据库的安全性非常值得重视。 对于数据库的安全我将进行以下分析,旨在了解更多的数据库安全技术和对常见的数据库攻击的一些防范措施,并借鉴到今后的实际开发项目中去,更好的保护客户的权益。 二、实施方案概要 本次的数据库主要基于我们比较熟悉的SQLSever进行。 为了保障用户的数据的存储安全,保障数据的访问安全,我们应该对拘束看的用户采取监控的机制,分布式的处理各种应用类型的数据即采取三层式数据库连接的机制。 1、用户权限 当一个数据库被建立后,它将被指定给一个所有者,即运行建立数据库语句的用户。通常,只有所有者(或者超级用户)才能对该数据库中的对象进行任何操作,为了能让其它用户使用该数据库,需要进行权限设置。应用程序不能使用所有者或者超级用户的账号来连接到数据库,因为这些用户可以执行任何查询,例如,修改数据结构(如删除表格)或者删除所有的内容,一旦发生黑客事件数据库的安全将会岌岌可危。 2、访问权限 可以为应用程序不同的部分建立不同的数据库账号,使得它们职能对数据库对象行使非常有限的权限。对这些账号应该只赋予最需要的权限,同时应该防止相同的用户能够在不同的使用情况与数据库进行交流。这也就是说,如果某一个入侵者利用这些账号中的某一个获得了访问数据库的权限,他们也仅仅能够影响
第九章数据库安全性习题解答和解析 1. 1.什么是数据库的安全性? 答:数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2. 2.数据库安全性和计算机系统的安全性有什么关系? 答:安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。 3.试述可信计算机系统评测标准的情况,试述TDI/TCSEC标准的基本内容。 答:各个国家在计算机安全技术方面都建立了一套可信标准。目前各国引用或制定的一系列安全标准中,最重要的是美国国防部(DoD)正式颁布的《DoD可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,简称 TCSEC,又称桔皮书)。(详细介绍参见《概论》9.1.2)。 TDI/TCSEC标准是将TCSEC扩展到数据库管理系统,即《可信计算机系统评估标准关于可信数据库系统的解释》(Trusted Database Interpretation 简称TDI, 又称紫皮书)。在TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。 TDI与TCSEC一样,从安全策略、责任、保证和文档四个方面来描述安全性级别划分的指标。每个方面又细分为若干项。这些指标的具体内容,参见《概论》9.1.2。 4.试述TCSEC(TDI)将系统安全级别划分为4组7个等级的基本内容。 答:根据计算机系统对安全性各项指标的支持情况,TCSEC(TDI)将系统划分为四组(division)7个等级,依次是D、C(C1,C2)、B(B1,B2,B3)、A(A1),按系统可靠或可信程度逐渐增高。 这些安全级别之间具有一种偏序向下兼容的关系,即较高安全性级别提供的安全保护包含较低级别的所有保护要求,同时提供更多或更完善的保护能力。各个等级的基本内容为:D级 D级是最低级别。一切不符合更高标准的系统,统统归于D组。 C1级只提供了非常初级的自主安全保护。能够实现对用户和数据的分离,进行自主
结构动力稳定性的分析方法与进展 何金龙1,法永生2 (1.卓特建筑设计有限公司,广东佛山528322;2.上海大学土木工程系,上海200074) 【摘 要】 就目前结构动力稳定性问题这一研究领域的若干基本问题,常用的处理方法,判别准则与实验研究方法以及目前取得的主要成果作了简要总结和综述,并且对结构动力稳定性分析与研究今后的发展方向进行了展望。 【关键词】 结构; 动力稳定性; 处理方法; 判别准则; 实验研究 【中图分类号】 T U311.2 【文献标识码】 A 根据结构承受荷载形式的不同,可以将结构稳定问题分为静力稳定和动力稳定两大类。动力载荷作用下结构的稳定性问题是一个动态问题,由于时间参数的引入,使问题变得极为复杂。对于结构动力稳定性的定义一直难以确切给出,这是因为结构自身动力特性具有复杂性使得其在数学意义上的定义很难予以准确表达[1]。长期以来,力学工作者致力于结构稳定性问题的研究,在发展了经典稳定性理论的同时也极大地推动了动力稳定理论研究的前进。如稳定性判定准则的建立、临界载荷的确定、初缺陷的影响或后分叉分析等。理论分析和实验研究逐渐增多,使得这门学科不仅在理论上形成了一个庞大而复杂的体系,而且具有重要的实用价值。可以说,现在的结构动力稳定性研究分析已经是结构动力学、有限元法、数值计算方法及程序设计等诸多学科相互交叉、有机结合的产物,属于现代工程结构研究领域中的一个重要分支。 1 结构动力稳定性的分类及主要的研究问题 结构动力稳定性就其承载的动力形式大致可以分为三类。 (1)结构在周期性荷载作用下的动力稳定性。在简谐荷载等周期性荷载作用下,当结构的自振频率与外载荷的强迫振动频率非常接近时,结构将产生强烈的共振现象;当结构的横向固有振动频率与外荷载的扰动频率之间的比值形成某种特定的关系时,结构将产生强烈的横向振动,即参数振动。对于这类问题,前苏联学者符华·鲍络金(Bolito n)在其著作《弹性体系的动力稳定》中给出了较全面的分析和论述。他们导出的区分稳定区和不稳定区的临界状态方程是一个周期性方程,即M athieu-Hill方程。在周期相同的解之间存在着不稳定区域,便把问题归结为确定微分方程具有周期解的条件,从而解决了稳定的判别问题。但是对于大变形的几何非线形结构,结构的刚度矩阵需要经过迭代,微分方程非常复杂,这些理论将难以成立。 (2)结构在冲击荷载作用下的动力稳定性。在这种情况下,结构的动力稳定性与冲击类型密切相关,而且首要问题在于合理、实用的判别准则,它不仅要在逻辑上站得住脚,又要在实际上可行,遗憾的是这个问题至今未能形成一致的看法。目前对结构承受瞬态冲击作用下的冲击稳定性的试验和理论研究主要集中在理想脉冲以及阶跃荷载下的动力稳定性。在脉冲荷载作用下发生的动力屈曲称为脉冲屈曲,已有的研究表明[2][3][4],脉冲屈曲是一类响应式屈曲或者动力发展型屈曲。阶跃荷载是一类具有恒定幅值和无限长持续时间的载荷形式。在试验或者实际当中,固体与固体之间的冲击引起的屈曲就可看作脉冲冲击。 (3)结构在随动荷载作用下的动力稳定性。所谓随动荷载是指随着时间的变化荷载的幅值保持不变而方向发生变化的作用力,它是非保守力。它的分析将极其复杂,目前还难以见到可借鉴的动力稳定性分析文献。因此,许多学者通常采用结构动力学响应分析常用的手段,将这类荷载作为确定性荷载进行分析。通过对结构的动力平衡路径全过程进行跟踪,根据结构的各参数在动力平衡路径中的变化特性,对结构的动力稳定性进行有效的判定[5]。 综上所述,目前国内外动力稳定性研究的现状大致为:对周期荷载下的参数动力稳定性问题、在冲击荷载作用下的冲击动力稳定性问题和阶跃荷载下的参数阶跃动力稳定性问题研究较多,并取得了满意的效果[6][7][8]。恒幅阶跃载荷及矩形脉冲载荷或其它冲击载荷作用下杆的动力稳定问题也有很多研究,并从不同的角度建立了一些稳定性判定准则。但冲击载荷作用下板的动力稳定问题还没有获得广泛和深入的研究。对于较为复杂的冲击荷载作用下结构的动力稳定性问题,目前的研究主要集中于理想脉冲载荷和阶跃载荷作用下结构的动力稳定问题。在这类问题的分析中,最常采用的屈曲准则有B-R准则、Simitses总势能原理和放大函数法。对非周期激振、参数激振和强迫激振耦合引起的动力稳定问题研究较少;对弹性基本构件和简单模型研究较多(如周期激励下的柱子、梁、拱及壳等已得到了成功的分析),对复杂工程结构研究较少。对于在地震、风荷载等任意动力荷载作用下的具有较强的几何非线性的结构的动力稳定性问题,国内外这方面的文献资料虽然最近几年也有一些,但距离真正地合理解决这类动力稳定性问题还有许多工作要做。 [收稿日期]2006-06-12 [作者简介]何金龙(1962~),男,工学学士,一级注册结构工程师,主要从事工业与民用建筑设计工作。 155 ·工程结构· 四川建筑 第27卷2期 2007.04
西安邮电大学 (计算机学院) 课内实验报告 实验:数据库的安全性实验 课程:数据库原理及应用B 班级:网络1203 学号: 学生姓名: 任课教师:孟彩霞
一、实验目的 (1)理解SQL Server验证用户身份的过程,掌握设置身份验证模式的方法(2)理解登录帐号的概念,掌握混合认证模式下登录帐号的建立与取消方法 (3)掌握混合认证模式下数据库用户的建立与取消方法 (4)掌握数据库用户权限的设置方法 (5)理解角色的概念,掌握管理角色技术 二、实验内容 (1)在企业管理器中打开“SQL Server属性(配置)”对话框,设置身份验证模式为“SQL Server”和“Windows”模式(即混合模式)。 (2)创建、管理数据库服务器的登录账号。 (3)创建、管理数据库用户。 (4)管理用户权限。 (5)创建、管理数据库角色。 三、实验环境 Windows7 SQL SERVER 2012 四、实验前准备 课本 上机使用代码 五、实验步骤 1.在企业管理器中打开“SQL Server属性(配置)”对话框,设置身份验证模式为“SQL Server”和“Windows”模式(即混合模式)。 2.创建、管理数据库服务器的登录账号。用T-SQL语句创建、查看、删除登录账号。 创建一个名为Student、密码为111、使用的默认数据库为JWGL的登录账号。 EXEC sp_addlogin ‘student’,’111’,’JWGL’查看登录账号EXEC sp_helplogins 删除登录账号为EXEC sp_droplogins ‘student’ 3.创建、管理数据库用户。 用T-SQL语句创建、查看、删除数据库用户。 为数据库JWGL创建一个用户user1,该用户登录SQL Server服务器的账号为wang,登录密码为secret,相应的程序代码为: EXEC sp_addlogin ‘wang’, ‘secret’, ‘JWGL’ GO EXEC sp_grantdbaccess ‘wang’, ‘user1’查看数据库用户为EXEC sp_helpuser 删除数据库中的“wang”用户为EXEC sp_revokedbaccess ‘wang’ 4.管理用户权限。 使用T-SQL语句完成第3章习题12中(1)~(3)的用户管理和用户权限管理。企业管理器: (1)允许用户李明对Orders表进行插入、删除操作。 GRANT INSERT ,DELETE ON Orders TO ‘李明’
大跨度公路隧道长期稳定性分析 6.1 引言 前面的分析都是基于岩体的弹塑性本构关系进行的,未考虑时间效应和长期蠕变的影响。前人研究发现,地下工程开挖后一段很长时间内,支护或衬砌上的压力一直在变化,可见岩石的蠕变对于隧道特别是深埋隧道围岩的变形和长期稳定性,具有重要影响[78]。为保证现场隧道的长期稳定运行,必须考虑到长期蠕变效应。 蠕变是当应力不变时,应力随时间增加而增长的现象,是流变效应的最重要表现特征。岩石的蠕变曲线有三种主要类型[88],见图6-1。 图6-1 岩石蠕变曲线 图中三条蠕变曲线是在不同应力下得到的,C B A σσσ>>,蠕变试验表明,当岩石在较小荷载σC 持续作用下,变形量虽然随时间增长有所增加,但变形速率逐渐减小,最后变形趋于一个稳定的极限值,这种蠕变称为稳定蠕变;当荷载σA 很大时,变形速率逐渐增加,变形量一直加速增长,直到破坏,蠕变为不稳定蠕变;当荷载较大时,如图中的abcd 曲线所示,此时根据应变速率不同,蠕变过程可分为3个阶段:第一阶段,如曲线中ab 所示,应变速率随时间增加而减小,故又称为减速蠕变阶段或初始蠕变阶段;第二阶段,如曲线中bc 所示,应变速率保持不变,故又称为等速蠕变阶段;第三阶段,如曲线中cd 所示,应变速率迅速增加直到岩石破坏,故又称为加速蠕变阶段。 一种岩石既可发生稳定蠕变也可发生不稳定蠕变,这取决于岩石应力的大小。超过某一临界应力时,蠕变向不稳定蠕变发展。小于此临界应力时,蠕变按稳定蠕变发展,通常称此临界应力为岩石的长期强度。对岩石隧道来讲,由于开挖和支护导致应力重分布,围岩产生不同的应力分布状态,在进行长期蠕变效应分析时,应计算相应监测点的应力和变形状态,判断其蠕变效应。 众所周知,固体本构关系有三种:弹性、塑性和粘性。文献中,通常将围岩应力小于屈服极限时应力应变与时间的关系称为粘弹性问题,将围岩应力大于屈服极限时应力应变与时间的关系称为粘塑性问题。研究表明,在隧道开挖完毕后的长期运营过程中,大多数岩石都表现出瞬时变形(弹性变形)和随着时间而增长的变形(粘性变形),即岩石是粘弹性的[80];为使巷道维持稳定状态,人们也总是力图使围岩应力小于屈服极限。 下面采用FLAC 软件进行数值分析,版本为FLAC2D 5.00.355。 6.3 弹塑性数值分析 ε
数据库安全技术及其应用研究 文章首先概述了数据库安全面临的主要威胁,然后分析了数据库安全关键技术,有针对性地阐述了一个典型应用,最后总结了数据库安全技术的研究意义。 标签:访问控制;加密技术;数字水印 1 数据库安全面临的主要威胁 数据库安全面临的威胁主要来自两方面:一是数据库自身脆弱性。主要体现在数据库自身存在安全漏洞,数据库审计措施不力,数据库通信协议存在漏洞,没有自主可控的数据库,操作系统存在缺陷等方面;二是网络攻击。数据库受到的网络攻击包括网络传输威胁,SQL注入攻击,拒绝服务攻击以及病毒攻击等方面。开放的网络环境下,数据库系统面临的安全威胁和风险迅速增大,数据库安全技术研究领域也在迅速扩大,下面我们共同探讨一些关键的数据库安全技术。 2 数据库安全关键技术 2.1 数据库访问控制技术 访问控制是数据库最基本、最核心的技术,是指通过某种途径显式地准许或限制访问能力及范围,防止非法用户侵入或合法用户的不慎操作造成破坏。可靠的访问控制机制是数据库安全的必要保证,传统访问控制技术根据访问控制策略划分为自主访问控制、强制访问控制和基于角色的访问控制。在开放网络环境中,许多实体之间彼此并不认识,而且很难找到每个实体都信赖的权威,传统的基于资源请求者的身份做出授权决定的访问控制机制不再适用开放网络环境,因此如信任管理、数字版权管理等概念被提了出来,进而形成了使用控制模型研究。 2.2 数据库加密技术 数据库加密是对敏感数据进行安全保护的有效手段。数据库加密系统实现的主要功能:对存储在数据库中的数据进行不同级别的存储加密,可以在操作系统层、DBMS内核层和DBMS外层三个层次实现;数据库的加密粒度可以分为数据库级、表级、记录级、字段级和数据项级,在数据库加密时应根据不同的应用需要,选择合适的加密粒度;数据库加密算法是数据加密的核心,加密算法包括对称和非对称密码算法,根据不同的应用领域和不同的敏感程度选择加合适的算法。 2.3 数据库水印技术 随着网络数据共享和数据交换需求的不断增多,如果不采取有效的安全控制和版权保护措施,常常会给攻击者以可乘之机。同时,如果缺乏数据库完整性验
计算机数据库安全管理分析与研究 摘要:现阶段我国计算机数据库和网络信息技术迎来蓬勃发展趋势,可关于数据库被非法侵入以及内部关键性数据丢失问题依旧未能根除,直接限制今后大规模网络信息系统建设进度。在此类背景下,笔者决定针对目前我国网络环境中数据库面临的一切安全威胁,加以客观论证,同时结合最新技术手段和实践经验制定妥善的数据库安全维护方案,最终开拓电子商务业务的企业获得长效发展机遇,真正为我国综合竞争实力绽放,提供保障。 关键词:计算机数据库安全管理指令内容验证解析 前言:计算机数据库内部储存大量信息,依照不同路径将挖掘的信息,直接传递给指令发送终端,该类系统独立性显著,并且和其余结构单元有着本质性差异。事实上,大多数企业和电子空间,都开始将自身核心业务转移到网络数据库之中,使得地理过于分散的厂商和公司之间的数据收集、存储、传播模式,顺利地朝着分布式、开放式过渡转化,不过涉及当中的系统介入和数据盗用等安全性问题却是始终延续。这就需要相关技术人员在完整论述计算机数据库面临的威胁因素基础上,主动透过计算机操作系统、数据库注入防护等层面,进行灵活地调试方案规划整理,进一步为日后计算机数据库安全管理绩效绽放,奠定基础。 一、关于计算机数据库安全管理的必要性论述 1.计算机数据库模型的科学组建 计算机数据库运作的核心便是后台数据库,其一切访问操作功能都将交由前台程序提供支持,尤其是在网络空间之下,数据库为关键性信息共享应用提供最小冗余度和访问控制条件,尽量保证终端最终接收过程中不会产生丢失迹象。关于这部分模型具体可划分出三个层次,包括数据库、应用服务器和浏览器等。当中浏览器作为第一层客户端,更加方便用户随时输入信息,此时代码快速转化为网页并提供交互功能,将操作主体一切请求处理完毕。位于二层的应用服务器则是扮演后台角色,利用对应的进程予以开启,保证快速响应不同请求,顺势生成必要性代码处理相关结果,如若说数据存取正好落在客户端请求范畴之中,数据库服务器则必须联合二层结构单元,进行特定请求回应。而最终层数据库服务器,则针对内部关键性数据提供严格的保护管制,对于不同类型的应用服务器当下发出请求加以轻松协调。 2.计算机数据库安全性的系统化论证 针对计算机数据库安全性加以细致验证解析。这是信息管理系统的核心任务,任何细节处理不当,都会直接限制最终数据安全管制实效,毕竟大部分关键性数据都是在数据库服务器之上捆绑,包括财务、工程技术、战略性决策数据等,都是归属于机密信息范畴内部的,杜绝一切非法访问操作行为。再就是企业内部资源规划、对外交易、日常业务的交接等,也都深刻依靠网络数据库过渡转接,所以说这部分数据的安全管理,也是十分重要的。 二、针对计算机数据库加以科学安全管理的策略内容解析 1.树立全新的计算机信息安全管理理念
第10章数据库的安全性管理 教学目标: 掌握SQL Sever 的安全机制,了解登录和用户的概念,掌握权限管理和掌握角色管理。通过本章的学习,要求读者深入理解SQL Server 的安全机制,以及掌握常用的管理操作,培养良好的数据库安全意识以及制定合理的数据库安全策略。建立C/S结构的网络数据库概念,锻炼实际数据库管理能力,为今后从事数据库管理员(DBA)的工作奠定基础。 10.1SQL Server 的安全性机制 在介绍安全管理之前,首先看一下SQL Server 是如何保证数据库安全性的,即了解SQL Server 安全机制。 10.1.1 权限层次机制 SQL Server 2005的安全性管理可分为3个等级:1、操作系统级;2、SQL Server 级3、数据库级。 10.1.2 操作系统级的安全性 在用户使用客户计算机通过网络实现SQL Server 服务器的访问时,用户首先要获得计算机操作系统的使用权。 一般说来,在能够实现网络互联的前提下,用户没有必要向运行SQL Server 服务器的主机进行登录,除非SQL Server 服务器就运行在本地计算机上。SQL Server 可以直接访问网络端口,所以可以实现对Windows NT 安全体系以外的服务器及其数据库的访问,操作系统安全性是操作系统管理员或者网络管理员的任务。由于SQL Server 采用了集成Windows NT网络安全性机制,所以使得操作系统安全性的地位得到提高,但同时也加大了管理数据库系统安全性的灵活性和难度。 10.1.3 SQL Server 级的安全性 SQL Server 的服务器级安全性建立在控制服务器登录帐号和口令的基础上。SQL Server 采用了标准SQL Server 登录和集成Windows NT登录两种方式。无论是使用哪种登录方式,用户在登录时提供的登录帐号和口令,决定了用户能否获得SQL Server的访问权,以及在获得访问权以后,用户在访问SQL Server时可以拥有的权利。
临床回顾性病例分析性论文的写作 临床病例分析性论文是对一组(几例、几十例、百例或千例等)相同疾病临床资料进行整理、统计、分析、总结并得出结论。主要是对已诊治过的病例或有资料进行分析,总结,常用于临床对某些特殊症状、体症的观察、致病因素的分析,或总结临床诊治经验,属回顾性性观察范畴。 1. 首先弄清回顾什么?分析什么?病例来源三个问题 1.1回顾什么? 回顾什么?依据回顾的内容来确定。一般为疾病的临床特症、诊断方法、检查手段、治疗措施(手术、药物、预防干预等)、兼症情况等。其资料特征表现为:研究结果已经出现,仅是对现成的资料进行综合整理、分析、描述并总结成文。 分析什么? 1.2.1 患者的一般情况:一般资料、临床表现、实验室检查、影像学检查、其它特殊检查,诊断及鉴别诊断(病例选择方法); 1.2.2 治疗效果及转归(药物、手术)的比较; 1.2.3 併发症的比较(兼症)情况; 1.2.4 疾病的影响因素(发生、发展的相关因素); 1.2.5 可能致病因素。 1.3 病例来源? 一是以医院为基础,收集一个医院多个医院或全体医院一定时间内诊断的所有病例; 二是以社区为基础,在一定时期内通过常规登记或调查获得的全部病例。 2. 确定正确的分析和统计学方法 2.1 确定需要分析的病例及来源,制定选择病例的诊断、纳入、剔除三个标准; 2.2 调查一定时间段内分析病例的基数,确定样本的大小; 2.3 根据资料性质,选择具有齐同性,可比性的对照组; 2.4 确定分析内容,选择需要分析的要素和指标; 2.5 制定分析表格,逐个摘录相关信息; 2.6 确定统计分析方法,对需分析的指标进行统计学检验。 3. 病例分析论文的写作 属回顾性分析,描述性研究范畴。 3.1 前置部分:文题、署名、摘要、关键词。 3.2 正文的写作方法 3.1.1 大样本资料(30-100以上)正文的写作为“温格华” 格式:由四部分组成: 引言 1. 材料与方法 1.1 病例来源:地点、时间、疾病(疗效标准)、例数、性别、平均年龄; 1.1 资料的收集方法; 1.3观察或测量(评价)指标; 1.4统计学分析方法。 2 结果 2.1一般情况; 2.2临床检查情况; 2.3治疗情况;
药物稳定性试验统计分析方法 在确定有效期的统计分析过程中,一般选择可以定量的指标进行处理,通常根据药物含量变化计算,按照长期试验测定数值,以标示量%对时间进行直线回归,获得回归方程,求出各时间点标示量的计算值(y'),然后计算标示量(y')95%单侧可信限的置信区间为y'±z ,其中: 2 2 02)()(1X Xi X X N S t z N -∑-+ ??=- (12-21) 式中,t N -2—概率0.05,自由度N-2的t 单侧分布值(见表12-4),N 为数组;X 0—给定自变量;X —自变量X 的平均值; 2 -= N Q S (12-22) 式中,xy yy bL L Q -=;L yy —y 的离差平方和,N y y L yy /)(2 2∑-∑=;L xy —xy 的离差乘 积之和N y x xy L xy /))((∑∑-∑=;b —直线斜率。 将有关点连接可得出分布于回归线两侧的曲线。取质量标准中规定的含量低限(根据各品种实际规定限度确定)与置信区间下界线相交点对应的时间,即为药物的有效期。根据情况也可拟合为二次或三次方程或对数函数方程。 此种方式确定的药物有效期,在药物标签及说明书中均指明什么温度下保存,不得使用“室温”之类的名词。 例:某药物在温度25±2℃,相对温度60±10%的条件下进行长期实验,得各时间的标示量如表12-4。 表12-4 供试品各时间的标示量 时间/月 0 3 6 9 12 18 标示量/% 99.3 97.6 97.3 98.4 96.0 94.0 以时间为自变量(x ),标示量%(y )为因变量进行回归,得回归方程 y= 99.18-0.26x ,r=0.8970,查T 单侧分布表,当自由度为4,P=0.05得 t N -2=2.132 9279.04 444 .32==-= N Q S 210)(2=-∑X X i
Ⅰ形大高宽比屈曲约束钢板剪力墙的试验和理论研究 [摘要]基于普通钢板剪力墙具有易发生平面外屈曲,不能充分发挥钢板剪力墙的承载力;在往复荷载作用下,滞回曲线捏缩效应严重,不利于耗能减震;钢板耐火性能差等主要缺点,提出一种新型大高宽比屈曲约束钢板剪力墙。本文通过缩尺模型试验对4组该屈曲约束钢板剪力墙模型进行单调加载和循环加载试验,并与一组纯钢板剪力墙试验进行对比。试验表明,预制混凝土钢板剪力墙可以有效地对钢板平面外失稳进行约束,从而极大的提高了钢板剪力墙的承载力和耗能性能。同时还推导了这种屈曲约束钢板剪力墙初始刚度和屈服承载力的理论公式,通过与实验结果和有限元分析结果的对比,验证该理论公式的正确性。 [关键词]屈曲约束;钢板剪力墙;缩尺模型试验 Experimental and theoretical study on slim Ⅰ-shape buckling-restrained steel plate shear walls [Abstract]As a promising lateral load resisting elements in new or retrofit construction of building s, buckling-restrainedcomposite steel plate shear wall clamped with concrete plates (BRSP) has gained a g rea t deal of attention ofresearchers and engineers.However , almost all of BRSPs being studied and constructed are in small aspect ratio , ofwhich width is equal or larger than the height .Actually , in some situations, BRSP in large aspect ratio may beserviceable if there do not have enough space to put a wide BRSP .Therefore , several experimental investigationshave been conducted on narrow BRSPs with large aspect ratio , including monotonic loading tests and cyclic loadingtests on four sets of BRSP with different aspect ratio from 2∶1 to 4∶1, as w ell as a comparative test on a normal steelplate shear wall.Form of the walls was modified to improve their energy dissipation.Experimental results areexamined to reveal the wall' s failure mechanics, ductility performance , hysteretic behavior and ultimate load-carryingcapacity .Analytical models have been verified by the experiments and design guidelines have been provided for theapplication of BRSP . [Keywords]buckling-restrained; steel plate shear wall;
数据库系统安全性分析与实现 (刘中胜信息系统项目管理师,高级项目经理) 摘要:随着信息技术的不断发展,各行企业都不同程度地实现了信息化,因而信息系统的应用非常普及,作为信息系统的重要组成部分---数据库系统也就成为重中之重。数据库系统在运行过程中,会受到软件、硬件、人为和自然灾害等各种因素的影响,这些因素不但会破坏数据的机密性、完整性、可用性,造成数据损坏或丢失,而且会影响数据库系统的正常运行,甚至导致数据库系统的崩溃,因此,数据库系统的安全性问题变得尤为突出,不断面临巨大的、新的挑战。本文将从数据库系统的安全属性及安全技术进行分析,探讨实现数据库系统的高安全性策略。 关键字:数据库系统;数据库技术;安全性;安全策略 随着信息技术的不断发展,各行企业都不同程度地实现了信息化,因而信息系统的应用非常普及,作为信息系统的重要组成部分---数据库系统也就成为重中之重。数据库系统在运行过程中,会受到软件缺陷和故障、硬件损坏和故障,人为非法访问和误操作,以及自然灾害等各种因素的影响,这些因素不但影响数据的安全,而且会影响数据库系统的正常运行,甚至导致数据库系统的崩溃,因此,数据库系统的安全性问题变得尤为突出,不断面临巨大的、新的挑战。如何保证数据的安全,如何保证数据库系统正常安全地运行,是我们在实现企业信息化建设过程中必须认真考虑的问题。下面将从数据库系统的安全属性出发,分析构建数据库系统的安全技术,并阐述实现数据库系统高安全性的策略。 一、数据库系统的安全属性分析 对数据库系统安全属性的分析,是实现数据库安全策略的一个重要环节,是一个数据库系统采用恰当安全策略的前提。数据库系统的安全属性涉及多个方面,从总体上来讲,包括机密性、完整性、可用性、可控性和可审查性等属性。 (1)机密性:防止数据被非法窃取、调用或存取而泄密。数据只能被其相应的合法用户访问或调用。 (2)完整性:防止非法用户对数据进行添加、修改和删除,同时也防止合法用户越权访问对未被授权的数据进行添加、修改和删除,并且能够判断数据是否被修改。
数据库的安全性和完整性 一、实验目的和要求 1、理解数据库安全性和完整性的概念。 2、掌握SQL Server2000中有关用户、角色及操作权限管理等安全性技术。 3、掌握SQL Server2000中有关约束、规则、默认值的使用等完整性技术。 二、实验内容和步骤 ㈠数据库的安全性 1、SQL Server的安全模式 认证是指来确定登陆SQL SERVER的用户的登陆账号和密码是否正确,以此来验证其是否具有连接SQL SERVER的权限,但是通过认证阶段并不代表能够访问数据,用户只有在获取访问数据库的权限之后才能对服务器上的数据库进行权限许可下的各种操作。 ⑴设置SQL Server的安全认证模式:使用企业管理器来设置,步骤如下: Step1: 展开服务器组,右击需要设置的SQL服务器,在弹出菜单中选择“属性”。 Step2: 在弹出的SQL服务器属性对话框中,选择“安全性”选项卡。 Step3: 选择仅Windows选项(NT/2000验证模式) 或SQL Server和Windows选项(混合模式)。 注:设置改变后,用户必须停止并重新启动SQL Server服务,设置才生效。 如果设置成NT认证模式,则用户在登录时输入一个具体的登陆名时,SQL SERVER将忽略该登录名。 ⑵添加SQL Server账号:若用户没有Windows NT/2000账号,则只能为他建立SQL Server账号。 ①利用企业管理器 Step1: 展开服务器,选择安全性/登录。 Step2: 右击登录文件夹,出现弹出式菜单。 Step3: 在弹出式菜单中选择“新建登录”选项后,就会出现一个登录属性对话框。 step4: 在名称框中输入一个不带反斜杠的用户名,选中SQL Server身份验证单选按钮,并在密码框中输入口令(如下图所示)。
浅谈数据库安全技术研究 发表时间:2009-02-11T15:56:13.560Z 来源:《黑龙江科技信息》2008年9月下供稿作者:田丹刘申菊 [导读] 针对目前可能存在的威胁数据库安全性的各类风险,结合实例展开对于数据库安全技术研究。 摘要:从数据库安全性的基本概念入手,在其安全体系的基础上,针对目前可能存在的威胁数据库安全性的各类风险,结合实例展开对于数据库安全技术研究。 关键词:数据库安全性;安全体系;风险 引言 随着计算机网络技术的发展,越来越多的人们开始使用网络传送和共享数据,这不仅方便了用户,同时提高了数据的利用率。与此同时,数据在网络中传送的安全性以及保存这些数据的数据库的安全性也逐渐成为研究的热点。下面结合数据库安全体系的构成,分析各种潜在的安全威胁,结合实例进行对于数据库安全技术的研究。 1 数据库安全性概念及安全体系 数据库安全性是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。数据库安全性涉及到很多层面,例如SQL Server 数据库的安全性包括自身的安全机制、外部网络环境、操作人员的技术水平等。因此,数据库的安全性可以划分为三个层次:网络系统安全:这是数据库的第一个安全屏障。目前网络系统面临的主要威胁有木马程序、网络欺骗、入侵和病毒等。操作系统安全:本层次的安全问题主要来自网络内使用的操作系统的安全。例如目前通用的操作系统Windows 2003 Server主要包括:操作系统本身的缺陷;对操作系统的安全配置,即相关安全策略配置;病毒的威胁三个方面。 数据库管理系统安全:根据采用的数据库管理系统的不同采用的安全设置方法不同。针对SQL Server 2000可以由数据库管理员将数据库用户分类,不同的用户有不同的访问权限;也可以采用视图的方法进行信息隔离,防止用户对基本表的操作;同时要定期进行数据库备份操作,防止由于系统问题导致的数据丢失。 这三个层次构筑成数据库的安全体系,与数据安全的关系是逐步紧密的。 2 数据库系统面临的主要风险 数据库系统在实际应用中存在来自各方面的安全风险,最终引起各类安全问题。数据库系统的面临的安全风险大体划分为: 2.1操作系统的风险 数据库系统的安全性最终要靠操作系统和硬件设备所提供的环境,如果操作系统允许用户直接存取数据库文件,则在数据库系统中采取最可靠的安全措施也没有用。 2.2管理的风险 主要指用户的安全意识,对信息网络安全的重视程度及相关的安全管理措施。 2.3用户的风险 主要表现在用户账号和对特定数据库对象的操作权限。 2.4数据库管理系统内部的风险 3 数据库安全技术研究 针对以上存在的各种风险,提出以下几种防范技术。 3.1数据加密技术 对数据库中存储的重要数据进行加密处理,例如采用MD5 算法,以实现数据存储的安全保护。数据加密以后,在数据库表中存储的是加密后的信息,系统管理员也不能见到明文,只有在执行了相应的解密算法后,能正确进入数据库中,大大提高了关键数据的安全性。 3.2用户认证技术 用户认证技术是系统提供的最外层安全保护措施。对于SQL Server 2000提供了两种用户验证方式,即Windows用户身份验证和混合模式验证。通过用户身份验证,可以阻止未授权用户的访问,而通过用户身份识别,可以防止用户的越权访问。 3.3访问控制技术 访问控制是数据库管理系统内部对已经进入系统的用户的控制,可防止系统安全漏洞。通常采用下面两种方法进行:(1)按系统模块对用户授权 每个模块对不同用户设置不同权限,如用户A无权进入模块A、仅可查询模块B,用户B可以进入模块A,可以执行统计操作等。系统模块名、用户登录名与用户权限可保存在同一数据库中。 (2)将数据库系统权限赋予用户 用户访问服务器时需要认证用户的身份、确认用户是否被授权。通常数据库管理系统主要使用的是基于角色的访问控制。 3.4采取必要的防注入技术 目前流行的SQL Injection即“SQL注入”,就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。典型的利用SQL Injection的攻击方法如下。 例如:使用用户名为tt,密码为rr的一个普通用户访问本地网站,其主机头为https://www.doczj.com/doc/f5137666.html,,端口号为8081,在地址栏输入:https://www.doczj.com/doc/f5137666.html,:8081/index.asp?username=tt&password=rr 返回“成功登录”。说明输入了正确的用户和密码,如果输入密码错误,如下: https://www.doczj.com/doc/f5137666.html,:8081/index.asp?username=tt&password=yy 将返回“登录失败”。此时用户无法进入系统。但是,如果输入如下的数据: https://www.doczj.com/doc/f5137666.html,/index.asp?username='tt' —— '&password=yy 则返回“成功登录”,即不需要密码可以直接进入系统。 以上就是SQL注入的应用,因为“——”在SQL Server中代表注释符,若针对系统默认的管理员用户Administrator,输入
数据库的安全性保护 张海飞西北民族大学甘肃省兰州市 730124 摘要:随着计算机特别是计算机网络的发展,数据的共享日益增强,数据的安全保密越来越重要。网络数据库安全性问题一直是围绕着数据库管理的重要问题,数据库数据的丢失以及数据库被非法用户的侵入使得网络数据库安全性的研究尤为重要。数据库管理系统是管理数据的核心,因而其自身必须有一整套完整而有效的安全性机制。实现数据库系统安全性的技术和方法有多种,最重要的是存取控制技术、视图技术和审计技术。 关键字:数据库安全性安全保护网络安全 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。安全性问题不是数据库系统所独有的,所以的计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。系统安全保护措施是否有效是数据库系统的主要技术指标之一。数据库的安全性和计算机系统的安全性,包括计算机硬件、操作系统、网络系统等的安全性,是紧密联系、相互支持的。 在一般的计算机系统中,安全措施是一级一级层层设置的。在下图所示的安全模型中,用户要求进入计算机系统时,系统首先根据输入的用户标识进行用户身份鉴定,只有合法的用户才准进入计算机系统。对已进入系统的用户,DBMS 还要进行存取控制,只允许用户执行合法操作。 数据库安全性所关心的主要是DBMS的存取控制机制。数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库权限,同时令所有未被授权的人员无法接近数据。这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括:一、定义用户权限,并将用户权限登记到数据字典中;二、合法权限检查。 我们还可以为不同的用户定义不同的视图,把数据对象限制在一定的范围内,即通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。视图机制间接地实现支持存取谓词的用户权限定义。 “审为了使DBMS达到一定的安全级别,还需要在其他方面提供相应的支持,计”功能就是DBMS达到C2以上安全级别比不可少的一项指标。审计常常是很费时间和空间的,所以DBMS往往都将其作为可选特征,允许DBA根据应用对安全性的要求,灵活地打开或关闭审计功能。审计功能一般主要用于安全性要求较高的部门。 既然造成数据库不安全的一个主要原因是因为原始数据以可读(明文)形式存放在数据库中。一旦某一用户非法获取用户名和口令,或者绕过操作系统缄DBMs)的控制入侵到系统中,可以访问和修改数据库中的信息。 另外,数据存储介质(如磁盘、光盘、磁带等)丢失也会导致数据库中的数据泄漏。如果我们对数据库中的数据(明文)进行加密处理,那么上述问题就可以得到解决。即使某一用户非法入侵到系统中或者盗取了数据存储介质,没有相应的