返回
信息安全技术教程清华大学出版社-第十七章节

信息安全技术教程清华大学出版社-第十七章节

ID:41302917

大小:549.50 KB

页数:30页

时间:2019-08-21

信息安全技术教程清华大学出版社-第十七章节_第1页
信息安全技术教程清华大学出版社-第十七章节_第2页
信息安全技术教程清华大学出版社-第十七章节_第3页
信息安全技术教程清华大学出版社-第十七章节_第4页
信息安全技术教程清华大学出版社-第十七章节_第5页
资源描述:

《信息安全技术教程清华大学出版社-第十七章节》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2021/7/19第17章应用开发安全技术17.1数据库安全技术17.2软件开发安全技术17.3电子商务安全策略17.4WEB服务安全技术17.5习题17.1数据库安全技术17.1.1数据库系统面临的风险17.1.2数据库系统安全17.1.3数据库系统安全防范技术2021/7/1917.1.1数据库系统面临的风险数据库系统面临的主要风险2021/7/19风险类型描述操作系统的风险指宿主操作系统层面上的风险,数据库系统的安全性最终要靠硬件设备和操作系统所提供的环境来支撑,如果操作系统允许用户直接存取数据库文件,则在数据库系统中

2、采取最可靠的安全措施也是没有意义的。管理的风险主要指数据库管理部门的安全意识,对信息网络安全防范的重视程度及相关的安全管理措施等。用户的风险主要表现在用户账号和对特定数据库对象的操作权限上。数据库管理系统内部的风险主要指数据库管理系统自身设计等方面的缺陷与漏洞。17.1.2数据库系统安全(一)数据库系统安全的涵义网络系统安全数据库面向网络用户提供各种信息服务,其安全首先依赖于网络系统操作系统安全操作系统是数据库系统的运行平台。操作系统的安全策略和安全管理策略能为数据库系统提供某种程度上的保护数据库管理系统安全不同的数据库管理

3、系统采用不同的安全设置策略2021/7/19(二)数据库系统安全的特征数据独立性物理独立性、逻辑独立性数据安全性隔离措施、授权措施、访问控制、数据加密技术数据完整性正确性、有效性和一致性并发控制故障恢复2021/7/1917.1.3数据库系统安全防范技术物理安全数据库系统在硬件、所处环境、网络连接等方面的安全不受自然或人为的破坏访问控制从账号相关的方面来保证数据库系统的安全,是数据库系统基本安全的核心数据加密对数据库系统中存储的重要数据进行加密,实现信息隐蔽防注入技术拒绝来自1443端口的探测、更改SQLServer默认的1

4、443端口、对网络连接进行IP限制等数据备份2021/7/1917.2软件开发安全技术17.2.1软件安全问题原因17.2.2软件安全开发模型17.2.3软件安全开发策略2021/7/1917.2.1软件安全问题原因输入验证和表示法元字符、替换编码、数字表示法滥用API调用者错误地信任被调用方安全特性认证、访问控制、机密性保障、加密算法、权限管理等中的安全缺陷时间与状态2021/7/19错误处理开发者忘记处理错误或者粗略地处理错误在产生错误时要么给出过于详细的信息,要么错误过于太具放射性以至于没有可处理它们的方式代码质量封装

5、在事物之间的边界和它们之间建立的界限环境环境指上述内容的外部领域,包括在代码外部的所有东西2021/7/1917.2.2软件安全开发模型(一)安全开发生命周期模型(SDL)安全开发步骤第一步:对不同人群进行安全教育,从而提高安全意识。第二步:设计阶段,利用威胁建模技术建立系统模型。第三步:开发阶段,编码与测试并行。第四步:发行与维护阶段,使用标准的修复机制修复安全缺陷2021/7/19(二)威胁建模“STRIDE”威胁模型建模步骤分解应用程序确定系统面临的威胁威胁评估建立缓和方案,选择适当的安全技术2021/7/19威胁类型

6、描述SSpoofingidentity,即身份欺骗,冒充合法用户、服务器进行欺骗(DNS欺骗,DNS缓存中毒)TTamperingwithdata,篡改数据RRepudiation,否认IInformationdisclosure,信息泄露DDenialofservice(DOS),拒绝服务EElevationofprivilege,特权升级17.2.3软件安全开发策略◆规划体系结构和设计解决方案识别和评估威胁创建安全的设计执行体系结构和设计复查2021/7/19◆进行应用开发开发工具的安全性编写安全代码库安全地处理异常执行

7、第三方代码的安全复查保证开发人员工作站的安全性编写具有最低权限的代码防止SQL注入防止跨站点脚本编写管理机密安全地调用代码接口执行安全的输入验证保证页面访问身份验证的安全性2021/7/19◆管理和维护系统实现补丁管理保证Web服务器的安全性保证数据库服务器的安全性防止拒绝服务攻击限制文件I/O执行远程管理2021/7/1917.3电子商务安全策略17.3.1电子商务安全基础17.3.2电子支付系统安全17.3.3生物识别安全技术2021/7/1917.3.1电子商务安全基础(一)电子商务的安全要求常见威胁虚假身份的交易对象

8、及虚假合同、订单;商业机密在传输过程中被第三方获取、泄露、篡改或恶意破坏;交易对象的抵赖;信息破坏2021/7/19安全控制要求信息的保密性:保证商业机密安全是电子商务安全的重要内容信息的完整性:信息在电子商务交易过程中不被篡改和破坏,以及在传输的过程中保证收到的信息和原发送的信息的一致性

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。