17、操作系统访问控制与硬件保护技术解析

操作系统访问控制与硬件保护技术解析

1. 操作系统访问控制的现状与问题

1.1 UAC的局限性

UAC（用户账户控制）旨在增强系统安全性，但存在一些不理想的实现特性。例如，它采用奇特的启发式方法来保持与假定以管理员身份运行的程序的向后兼容性。若编译名为“Fred Installer.exe”的C++程序，Vista会要求提升权限运行，并告知程序运行在Windows XP上；而若程序名为“Fred.exe”，则以用户身份运行，并被告知运行在Vista上。仅依据文件名确定程序权限的做法十分怪异。

此外，UAC还存在严重的可用性问题。多数用户一直使用管理员账户，可能会倾向于禁用UAC；若不禁用，他们会习惯点击UAC对话框，而该对话框会不断询问用户是否真的要执行刚尝试的操作。因此，UAC在实践中的效果可能远不如理论上那么好。

1.2 中间件的兴起与挑战

1.2.1 数据库访问控制

在互联网泡沫繁荣之前，数据库安全主要是后台事务。如今，企业通常拥有处理库存、调度和电子商务的关键数据库，前端的Web服务器直接将交易传递给数据库。这些数据库包含了与我们生活密切相关的大量数据，如银行账户、车辆登记和就业记录等。前端故障有时会使数据库直接暴露给随机的在线用户。

像Oracle、DB2和MySQL等数据库产品都有自己的访问控制机制。由于操作系统将数据库视为一个大文件，操作系统最多只能识别用户并将数据库与同一机器上运行的其他应用程序分离。数据库访问控制通常基于操作系统机制建模，用户和对象通常都有相应的权限（因此这些机制是访问控制列表和能力的混合）。然而，典型的数据库访问控制架构比Windows更复杂，例如Ora