学习情景4 服务器安全设置

新世纪高职高专电子商务类课程规划教材电子商务安全技术与应用主编梁永生e电子商务安全技术与应用学习情境1客户端安全设置新世纪高职高专电子商务类课程规划教材学习情境2网络通信安全构建学习情境3信息传输安全构建学习情境4服务器安全设置学习情境5电子支付安全实现学习情境描述

子学习情境1

网络操作系统安全设置目录新世纪高职高专电子商务类课程规划教材学习情境4服务器安全设置子学习情境2

电子商务数据库安全加密、解密技术学习情境4子学习情境1子学习情境任务描述服务器的操作系统（NetworkOperationSystem-NOS）是网络的心脏和灵魂，是电子商务系统运行的基础与平台。服务器的操作系统目前主要有微软公司的Windows系列操作系统（WindowsNT4.0、Windows2000Server、Windows2003Server等）、Unix，Linux以及Netware系统等。本书将以Windows2000Server为例，讲解电子商务系统中服务器操作系统的相关安全技术。操作系统安全学习情境4子学习情境14.1.1网络操作系统面临的安全威胁

影响网络操作系统安全的因素很多，其威胁主要来自人为的无意失误、人为的恶意攻击和软件系统的漏洞三个方面的因素。1.人为的无意失误2.人为的恶意攻击3.软件系统的漏洞操作系统安全学习情境4子学习情境14.1.2网络操作系统相关知识

1.活动目录(ActiveDirectory)活动目录服务在WindowsServer2008操作系统的网络安全中扮演着重要角色。它提供了完全集成在WindowsServer2008中的一个安全、分布式、可扩展以及重复的分层目录服务。活动目录用一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息，代替了WindowsNT早期版本中域控制器的注册表数据库内的安全帐户管理器部分SAM(SecurityAccountsManager，安全访问管理器)，而成为用户帐户、工作组和口令等安全信息的主要存储区域。它也保存了必要的授权及身份认证信息，以确保只有适当的用户才可访问网络资源。操作系统安全学习情境4子学习情境14.1.2网络操作系统相关知识

1.活动目录(ActiveDirectory)操作系统安全学习情境4子学习情境14.1.2网络操作系统相关知识

2.组策略对象(GroupPolicyObject)(1)软件策略(SoftwarePolicy)(2)脚本(Script)(3)用户文档与设置(UserDocumentsandSettings)操作系统安全学习情境4子学习情境14.1.3密码安全设置

(1)使用安全密码(2)设置屏幕保护密码(3)开启密码策略(4)使用智能卡来代替密码操作系统安全学习情境4子学习情境14.1.4

服务器安全设置

服务安全设置是提高电子商务网站系统安全的一个重要方面，主要措施如下：

(1)关闭不必要的端口。关闭端口意味着减少功能。如果服务器安装在防火墙的后面，冒险就会少些。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services文件中有常用端口和服务的对照表可供参考。操作系统安全学习情境4子学习情境14.1.4

服务器安全设置

服务安全设置是提高电子商务网站系统安全的一个重要方面，主要措施如下：

(2)设置好安全记录的访问权限安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统账户才有权访问。

(3)将敏感文件存放在另外的文件服务器中虽然现在服务器的硬盘容量都很大，但是可以把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。操作系统安全学习情境4子学习情境14.1.4

服务器安全设置

服务安全设置是提高电子商务网站系统安全的一个重要方面，主要措施如下：

(4).禁止建立空连接默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连，即“LocalMachine\System\CurrentControlset\Control\LSA-Res-trictAnonymous”的值设置为“1”。电子商务数据库安全学习情境4子学习情境2子学习情境任务描述本学习情境对数据库的安装和安全特性进行了详细的分析，然后根据其特性进行安全设置。通过完成本子学习情境任务，学生可以掌握服务器数据库的安装，了解数据库的安全性能，理解并掌握如何对其进行安全性的设置，以保证数据库安全。电子商务数据库安全学习情境4子学习情境24.2.1电子商务数据库面临的安全威胁数据库安全性是指保护数据库，防止不合法或未授权的使用，以免数据泄漏、被恶意更改或破坏;数据库完整性则是保护数据以防止合法用户无意或错误操作造成的数据破坏。数据库是信息系统的核心，其中包含了大量重要信息。数据库系统在运行过程中，数据库不断地被各类用户进行存取，面临着多方面的安全威胁。而基于Web的电子商务数据库由于Internet的开放性，其安全管理问题更为突出。Web数据库存在的安全威胁主要有:电子商务数据库安全学习情境4子学习情境24.2.1电子商务数据库面临的安全威胁(1)黑客的攻击(2)病毒的攻击(3)网络安全环境的脆弱性(4)数据库应用系统的不安全性数据库安装与安全设置学习情境4子学习情境24.2.2电子商务数据库的安全机制数据库的安全之所以重要，主要有以下几个原因:

(1)数据库中存放着大量的数据，它们在重要程度及保密级别上不同，不同级别的用户有不同的访问权限。

(2)数据库中有些数据极为重要，必须保证在系统或程序出现故障后，能够帮助恢复数据库。

(3)由于数据库是联机工作的，可以支持多个用户同时进行存取，因此必须采取措施防止由此引起的破坏数据库完整性和安全性的问题。

(4)数据库涉及其他应用软件，因而数据库的安全还涉及应用软件的安全与数据的安全。数据库安装与安全设置学习情境4子学习情境24.2.2电子商务数据库的安全机制数据库除了面临着严重的篡改、损坏和窃取等恶意的外部威胁以外，还有以下几个不安全因素:(1)向数据库中输人错误的或被修改的数据，敏感数据被泄露。(2)数据库系统的硬件环境故障，造成信息丢失。(3)数据库系统的安全保护功能较弱或根本没有安全机制，导致攻击者能够轻易进人系统。(4)数据库管理不善，存在计算机病毒等。数据库安装与安全设置学习情境4子学习情境24.2.2电子商务数据库的安全机制1.服务器层安全2.网络层安全3.操作系统层安全4.数据库层安全5.数据库对象层安全6.应用层安全数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装图4-3安装数据库服务器数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装选择安装类型数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装许可条款数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装安装程序支持文件数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装安装程序支持规则数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装实例配置数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装磁盘空间要求数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装服务器配置数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装AnalysisServices配置数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装ReportingServices配置数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装错误和使用情况报告数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装安装规则数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装准备安装数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装安装进度完成数据库安装与安全设置学习情境4子学习情境24.2.3电子商务数据库的安全设置1.数据库服务器安装完成安装数据库安装与安全设置学习情境4子学习情境22.SQLServer的认证和授权(1)SQLServer登录。(2)数据库用户。(3)对象许可。数据库安装与安全设置学习情境4子学习情境23.身份验证模式Windows身份验证(2)SQLServer验证模式数据库安装与安全设置学习情境4子学习情境23.身份验证模式新建登录名数据库安装与安全设置学习情境4子学习情境23.身份验证模式创建SQLServer登录账户数据库安装与安全设置学习情境4子学习情境24.SQLServer建立数据库用户数据库安装与安全设置学习情境4子学习情境25.角色管理(1)固定服务器角色(2)固定数据库角色(3)用户定义数据库角色数据库安装与安全设置学习情境4子学习情境25.角色管理服务器角色数据库安装与安全设置学习情境4子学习情境25.角色管理添加固定数据库角色成员数据库安装与安全设置学习情境4子学习情境25.角色管理添加固定数据库角色成员数据库安装与安全设置学习情境4子学习情境26.SQLServer的权限管理权限用来控制用户如何访问数据库对象。一个用户可以直接分配到权限，也可以作为一个角色中的一个成员来间接得到权限。一个用户还可以同时属于具有不同权限的多个角色，这些不同的权限提供了对同一数据库对象的不同的访问级别。在数据库内部，SQLServer提供权限（Permission）作为访问权限设置的最后一道关卡。在SQLServer数据库里的每一个数据库对象都由该数据库的一个用户所拥有，所有者以数据库赋予的userID作为标识。

SQLServer2000中的权限分为三种：对象权限、语句权限和隐含权限。数据库安装与安全设置学习情境4子学习情境2在企业管理器中，实现对语句权限和对象权限的管理方法如下：（1）管理对象权限管理对象权限数据库安装与安全设置学习情境4子学习情境2在企业管理器中，实现对语句权限和对象权限的管理方法如下：（2）管理语句权限数据库安装与安全设置学习情境4子学习情境27.SQLServer加密

SQLServer2008推出了一个新的特性来保护数据库，叫作透明数据加密(Transpar-entDataEncryption,TDE)，它对整个数据库提供了保护。数据库安装与安全设置学习情境4子学习情境28.SQLServer审核

SQLServer数据库的审核涉及数据库的跟踪和日志事件的记录。数据库管理员可以利用这个特性审核SQLServer系统上的活动和更改，以满足特定风险的SQLServer2008数据库的需求。数据库安装与安全设置学习情境4子学习情境28.SQLServer审核新建审核数据库安装与安全设置学习情境4子学习情境28.SQLServer审核新建审核数据库安装与安全设置学习情境4子学习情境28.SQLServer审核启用审核数据库安装与安全设置学习情境4子学习情境28.SQLServe