电子商务安全技术实用教程第7章课件

第七章电子商务软件系统安全7.1操作系统安全7.2数据库系统安全7.3Web网站系统安全第七章电子商务软件系统安全7.1操作系统安全1

7.1操作系统安全7.1.1操作系统安全概述1.操作系统安全的重要性操作系统是管理整个计算机硬件与软件资源的程序，网络操作系统是网络系统的基础长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品2.操作系统安全缺陷与内容操作系统是大型数据库系统的运行平台UNIX、Linux、WindowsServer2000/2003/2008等这些操作系统都是符合C2级安全级别的操作系统7.1操作系统安全7.1.1操作系统安全概述2操作系统安全主要内容（1）系统安全不允许未经核准的用户进入系统，主要采取的手段有注册和登录。（2）用户安全用户安全管理,是为用户分配文件“访问权限”而设计。（3）资源安全资源安全是通过系统管理员或授权的资源用户对资源属性的设置（4）通信网络安全用户身份验证和对等实体鉴别、访问控制、数据完整性、防抵赖、审计操作系统安全主要内容（1）系统安全33.操作系统安全机制（1）硬件安全机制：存储保护：运行保护；I/O保护（2）身份鉴别：计算机系统对用户身份的标识与鉴别机制（3）访问控制：授权、确定访问权限、实施访问权限控制（4）最小特权原则：主体只能拥有与其操作相符的最小特权（5）可信通道：只能直接与可信计算机通信的一种机制（6）安全审计：对系统中的活动进行记录、检查或审核3.操作系统安全机制（1）硬件安全机制：存储保护：运行保护47.1.2UNIX安全机制1.运行保护：具有两个执行态：核心态和用户态2.身份鉴别：用户唯一的标识号（UID），每个用户组由GID唯一标识3.访问控制：在文件系统中实现，采取9比特访问控制模式4.最小特权原则：最初没有实现最小特权原则，超级用户拥有全部特权5.安全审计：审计日志6.网络安全性：对网络访问控制提供强有力的安全支持7.1.2UNIX安全机制1.运行保护：具有两个执行态：57.1.3Linux安全机制1.用户帐号用户帐号是用户的身份标志2.文件系统权限主要是通过设置文件的权限来实现的3.日志文件日志文件用来记录整个操作系统使用状况7.1.3Linux安全机制1.用户帐号67.1.4Windows安全机制1.系统登录：Windows要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。2．访问控制：允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。3．安全审计：提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。4．WINDOWS2000系列的安全策略：本地安全策略，域安全策略，域控制器安全策略。5．Windows2000系列组的形式：从组的使用领域分为本地组、全局组和通用组三种形式。7.1.4Windows安全机制1.系统登录：Windo77.2数据库系统安全7.2.1数据库系统安全概述1.数据库系统概念数据库系统主要包括两个核心组成：数据集：数据库管理系统2.数据库系统安全威胁（1）数据库数据量大，数据敏感度不同而且粒度很细（2）用户成分复杂（3）数据库操作的种类多，安全性要求也不同（4）推导控制问题，利用统计结果推导出高敏感度的原始数据（5）分布式数据库带来更多的安全问题（6）安全设计可能地降低对原数据库系统使用效率的影响7.2数据库系统安全7.2.1数据库系统安全概述8图7-1数据库安全威胁示意图图7-1数据库安全威胁示意图94.数据库安全技术（1）用户标识与鉴别（2）存取控制技术（3）隔离控制技术（4）加密技术（5）信息流向控制（6）审计（7）备份与恢复4.数据库安全技术（1）用户标识与鉴别107.2.2SQL-Server安全1.SQLServer简介SQLServer主要有四个部分组成：（1）数据定义语言：即SQLDDL，用于定义SQL模式、基本表、视图、索引等结构。（2）数据操纵语言：即SQLDML。数据操纵分成数据查询和数据更新两类。其中数据更新又分成插入、删除和修改三种操作。（3）嵌入式SQL语言的使用规定：这一部分内容涉及到SQL语句嵌入在宿主语言程序中的规则。（4）数据控制语言：即SQLDCL，这一部分包括对基本表和视图的授权、完整性规则的描述、事务控制等内容。7.2.2SQL-Server安全1.SQLServe113.SQLServer安全策略（1）安全的密码策略（2）安全的帐号策略（3）加强数据库日志的记录（4）管理扩展存储过程（5）使用加密协议（6）防止探测、修改TCP/IP端口（7）对网络连接进行IP限制3.SQLServer安全策略（1）安全的密码策略127.3Web网站系统安全7.3.1电子商务网站的概念1.Web技术简介WorldWideWeb称为万维网，简称Web。它的基本结构是采用开放式的B/S（浏览器/服务器模式，相当于三层C/S模式：Client/Server）三个组成部分：服务器（Web服务器）客户接收机（Web浏览器）通讯协议（HTTP协议）7.3Web网站系统安全7.3.1电子商务网站的概念133.常用的Web服务器软件（1）Apache：是世界使用排名第一的Web服务器软件（2）IIS：Internet信息服务（InternetInformationServer）是微软公司主推的服务器（3）Lighttpd：是由德国人JanKneschke领导开发的，基于BSD许可的开源WEB服务器软件（4）Tomcat：是Apache软件基金会的Jakarta项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成（5）小旋风：小旋风asp服务器软件是由残剑无敌在NETBOX核心下开发的一套强大简洁的ASPWEB服务器3.常用的Web服务器软件（1）Apache：是世界使用排名147.3.2Web网站的安全问题（1）大多数网站设计，只考虑正常用户稳定使用（2）网站防御措施过于落后，甚至没有真正的防御（3）黑客入侵后，未被及时发现（4）发现安全问题不能彻底解决7.3.2Web网站的安全问题（1）大多数网站设计，只考虑157.3.3建立安全的Web网站（1）配置主机操作系统（2）合理配置Web服务器（3）设置Web服务器有关目录的权限（4）网页高效编程（5）Web网站的安全管理7.3.3建立安全的Web网站（1）配置主机操作系统16本章小结电子商务系统与其他信息系统一样，除物理层、网络层外，软件系统主要由操作系统、数据库系统、应用系统（网站与交易平台）。网络操作系统是网络协议和网络服务得以实现的最终载体之一，网络操作系统安全是软件系统安全的基础。数据库系统安全是电子商务信息安全的核心环节，数据库存储着重要程度和敏感程度不同的各种数据。Web安全保护较为复杂。在开发编程过程中要做到加强输入验证、缜密的编程思路、慎用客户端执行代码，在Web应用当中要注意：服务器软件安装路径选择、注意缓冲区溢出问题、提防拒绝服务攻击、勤打补丁、完善日志文件功能等问题。本章小结电子商务系统与其他信息系统一样，除物理层、网络层外，17第七章电子商务软件系统安全7.1操作系统安全7.2数据库系统安全7.3Web网站系统安全第七章电子商务软件系统安全7.1操作系统安全18

7.1操作系统安全7.1.1操作系统安全概述1.操作系统安全的重要性操作系统是管理整个计算机硬件与软件资源的程序，网络操作系统是网络系统的基础长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品2.操作系统安全缺陷与内容操作系统是大型数据库系统的运行平台UNIX、Linux、WindowsServer2000/2003/2008等这些操作系统都是符合C2级安全级别的操作系统7.1操作系统安全7.1.1操作系统安全概述19操作系统安全主要内容（1）系统安全不允许未经核准的用户进入系统，主要采取的手段有注册和登录。（2）用户安全用户安全管理,是为用户分配文件“访问权限”而设计。（3）资源安全资源安全是通过系统管理员或授权的资源用户对资源属性的设置（4）通信网络安全用户身份验证和对等实体鉴别、访问控制、数据完整性、防抵赖、审计操作系统安全主要内容（1）系统安全203.操作系统安全机制（1）硬件安全机制：存储保护：运行保护；I/O保护（2）身份鉴别：计算机系统对用户身份的标识与鉴别机制（3）访问控制：授权、确定访问权限、实施访问权限控制（4）最小特权原则：主体只能拥有与其操作相符的最小特权（5）可信通道：只能直接与可信计算机通信的一种机制（6）安全审计：对系统中的活动进行记录、检查或审核3.操作系统安全机制（1）硬件安全机制：存储保护：运行保护217.1.2UNIX安全机制1.运行保护：具有两个执行态：核心态和用户态2.身份鉴别：用户唯一的标识号（UID），每个用户组由GID唯一标识3.访问控制：在文件系统中实现，采取9比特访问控制模式4.最小特权原则：最初没有实现最小特权原则，超级用户拥有全部特权5.安全审计：审计日志6.网络安全性：对网络访问控制提供强有力的安全支持7.1.2UNIX安全机制1.运行保护：具有两个执行态：227.1.3Linux安全机制1.用户帐号用户帐号是用户的身份标志2.文件系统权限主要是通过设置文件的权限来实现的3.日志文件日志文件用来记录整个操作系统使用状况7.1.3Linux安全机制1.用户帐号237.1.4Windows安全机制1.系统登录：Windows要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。2．访问控制：允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。3．安全审计：提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。4．WINDOWS2000系列的安全策略：本地安全策略，域安全策略，域控制器安全策略。5．Windows2000系列组的形式：从组的使用领域分为本地组、全局组和通用组三种形式。7.1.4Windows安全机制1.系统登录：Windo247.2数据库系统安全7.2.1数据库系统安全概述1.数据库系统概念数据库系统主要包括两个核心组成：数据集：数据库管理系统2.数据库系统安全威胁（1）数据库数据量大，数据敏感度不同而且粒度很细（2）用户成分复杂（3）数据库操作的种类多，安全性要求也不同（4）推导控制问题，利用统计结果推导出高敏感度的原始数据（5）分布式数据库带来更多的安全问题（6）安全设计可能地降低对原数据库系统使用效率的影响7.2数据库系统安全7.2.1数据库系统安全概述25图7-1数据库安全威胁示意图图7-1数据库安全威胁示意图264.数据库安全技术（1）用户标识与鉴别（2）存取控制技术（3）隔离控制技术（4）加密技术（5）信息流向控制（6）审计（7）备份与恢复4.数据库安全技术（1）用户标识与鉴别277.2.2SQL-Server安全1.SQLServer简介SQLServer主要有四个部分组成：（1）数据定义语言：即SQLDDL，用于定义SQL模式、基本表、视图、索引等结构。（2）数据操纵语言：即SQLDML。数据操纵分成数据查询和数据更新两类。其中数据更新又分成插入、删除和修改三种操作。（3）嵌入式SQL语言的使用规定：这一部分内容涉及到SQL语句嵌入在宿主语言程序中的规则。（4）数据控制语言：即SQLDCL，这一部分包括对基本表和视图的授权、完整性规则的描述、事务控制等内容。7.2.2SQL-Server安全1.SQLServe283.SQLServer安全策略（1）安全的密码策略（2）安全的帐号策略（3）加强数据库日志的记录（4）管理扩展存储过程（5）使用加密协议（6）防止探测、修改TCP/IP端口（7）对网络连接进行IP限制3.SQLServer安全策略（1）安全的密码策略297.3Web网站系统安全7.3.1电子商务网站的概念1.Web技术简介WorldWideWeb称为万维网，简称Web。它的基本结构是采用开放式的B/S（浏览器/服务器模式，相当于三层C/S模式：Client/Server）三个组成部分：服务器（Web服务器）客户接收机（Web浏览器）通讯协议（HTTP协议）7.3Web网站系统安全7.3.1电子商务网站的概念303.常用的Web服务器软件（1）Apache：是世界使用排名第一的Web服务器软件（2）IIS：Internet信息服务（InternetInformationServer）是微软公司主推的服务器（3）Lighttpd：是由德国人JanKneschke领导开发的，基于BSD许可的开源WEB服务器软件（4）Tomcat：是Apache软件基金会的Jakarta项目中的一个核心项目，由Apache、Sun