信息系统攻击与防御
第九章 安全防御方法1. 构建安全系统概述 2. 数据库安全 3. 操作系统安全 4. 网络安全
信息系统攻击与防御
内容简介 本章全面介绍了安全防御的各种方法,首 先介绍了如何构建一个安全系统,然后分 别介绍了数据库的安全防御,操作系统的 安全防御和网络的安全防御.
信息系统攻击与防御
9.1.构建安全系统概述 构建安全系统概述 但凡一个安全系统都可以按照以下体系来构建: 1.以最小权限运行 2.缺省安全 3.验证输入 (1)验证应用程序的输入 (2)验证外部组件的输入 (3)安全异常 (4)评估规范化问题 4.防护措施 (1)多层防护系统. (2)在软件系统内设置多层防护. (3)使用ACL(访问控制列表). (4)其它的一些做法: 不要信任未知的东西.只有在验明了来人的身份后,才能授予相应的权限. 不要保存秘密信息.保存秘密信息(比如密钥)很可能被攻击者窃取. 使用操作系统提供的DPAPI(Data Protection Application Programming Interface)—— 一个保护密钥的对策. 5.安全的处理错误和异常 6.对系统的安全特性进行严格的测试. 7.从错误中获取知识和经验.学会总结经验教训,以避免再犯. 8.不断学习安全相关的知识.
信息系统攻击与防御
9.2.数据库安全 对于数据库系统来说,威胁主要来自:非法访问 数据库信息;恶意破坏数据库或未经授权非法修 改数据库数据;用户通过网络进行数据库访问时, 受到各种攻击,如搭线窃听等;对数据库的不正 确访问,引起数据库数据的错误. 数据库系统的安全需求与其它系统大致相同,要 求有完整性,可靠性,有效性,保密性,可审计 性及存取控制及用户身份鉴定等.
信息系统攻击与防御
9.2.数据库安全(续) 如何安全配置MSSQL数据库: 1.使用安全的密码策略 2.使用安全的帐号策略 3.管理扩展存储过程 4.对网络连接进行IP限制
信息系统攻击与防御
9.2.数据库安全(续) 针对嗅探的防护: 1.为了克服使用本地 sql server安全机制暴露用户 信任的缺陷,可以在服务器上安装一个有效的证 书(该证书是客户端信任的,并且事先已经通过 "服务器认证"的凭证). 2.使用交换网络(switched networks)会有助于 降低密码被窃取的风险. 3.针对密码破解,只要把密码设置为足够强壮, 并且对同个ip地址不停的连接请求进行屏蔽即可.
信息系统攻击与防御
9.2.数据库安全(续) access的安全 : Access数据库的安全机制已经更为完善. 除了对数据库设置密码保护,对数据库进 行编码压缩,还可以启用用户级的安全机 制,在用户级别上控制对数据库的访问. 1.数据库设置密码 2.数据库压缩编码 3.用户级安全机制
信息系统攻击与防御
9.2.数据库安全(续) mssql安全 : MSSQL安全设置 安全设置: MSSQL安全设置: (1)设置强壮的口令 (2)删除不必要的系统存储过程与扩展存储过程 (3)用户权限的严格控制 (4)及时打补丁,防止溢出等相关的漏洞.
信息系统攻击与防御
9.2.数据库
安全(续) mssql安全 :
…… 此处隐藏3484字 ……
信息系统攻击与防御
9.3.操作系统安全 (续) UNIX操作系统安全 : 参见教材(自学)
信息系统攻击与防御
9.4.网络安全 (续)1. 2. 3. 4. 5. 6. 计算机网络安全简介 服务器安全 路由器安全 各种网络攻击的防范 脚本漏洞防范 如何在WEB上提高系统安全性和稳定性
信息系统攻击与防御
9.4.1.计算机网络安全简介 下面是网络安全注意的几个环节. (1)网络的使用者和操作者 例如,采用假的自动柜员机ATM来骗取存款用户;利用假的终端或假的程序骗 取用户的口令信息;直接通过欺骗操作员骗取重要信息等. (2)网络外部接口是网上黑客攻击的主要途径 由于网络外部接口与外部网络连接,对接口进行攻击可以侵入网络内部.对 网络外部接口进行攻击具有花费少,挑战性强,不易发现等特点.管理不善, 系统的脆弱性和可能的后门是这种攻击成功的关键. (3)网络连接是网络安全的又一个薄弱环节 由于网络的分布地域广,管理者或使用者不可能时刻监测网络的各处连线, 使在网络连线上进行窃听,替代,篡改,假冒成为可能.特别对于城域网, 国家专用网络等分布区域较大的网络. (4)主机和网络站点是内部人员攻击的主要目标 管理和审计的不完善是主机和内部站点受攻击的主要原因.由于网络操作人 员类型复杂,数量多,管理和控制相对困难,难免在其中有利益驱动作案的. 此外,由于某些网络站点或连接设备的电磁辐射,也可能导致敏感信息的流 失. (5)网络交换设备,控制设备,网络管理设备等更是攻击的重要目标 这些设备是网络的中心,破坏这些设备可以使整个网络瘫痪.