第十章-系统及应用安全-《网络基础与信息安全》课件.ppt
《第十章-系统及应用安全-《网络基础与信息安全》课件.ppt》由会员分享,可在线阅读,更多相关《第十章-系统及应用安全-《网络基础与信息安全》课件.ppt(60页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、10.1 安全漏洞安全漏洞10.2 系系统安全安全10.3 应用安全用安全安全漏洞安全漏洞10.1 安全漏洞的类型安全漏洞的类型安全漏洞的类型安全漏洞的类型 物理的 软件的 不兼容问题 缺乏安全策略1系统后门的使用 从早期的计算机入侵者开始,他们就努力开发能使白己重返被入侵系统的技术或后门。常见的后门有UNIX系统或Windows NT等系统的后门。在一些情况下,如果入侵者认为管理员可能会检测到已经安装的后门,他们就以系统的脆弱性作为唯一的后门,这样即使反复攻破机器,也不会引起管理员的注意。所以在这种情况下,一台机器的脆弱性就是它唯一未被注意的后门。2拒绝服务攻击 拒绝服务是指通过反复向某个W
2、eb站点的设备发送过多的信息请求,堵塞该站点上的系统,导致无法完成应有的网络服务。拒绝服务分为资源消耗型、配置修改型、物理破坏型以及服务利用型。拒绝服务攻击(Denial of Service,DoS)是指黑客利用合理的服务请求来占用过多的服务资源,使合法用户无法得到服务响应,直至瘫痪而停止提供正常的网络服务的攻击方式。概 念2拒绝服务攻击常见的拒绝服务攻击SYN湮没Land攻击Smurf攻击IP地址欺骗Teardrop攻击Ping攻击其它拒绝服务攻击3缓冲区溢出概 念 缓冲区溢出是指当计算机向缓冲区内填充数据时,超出了缓冲区本身的容量,溢出的数据覆盖在合法数据上。操作系统所使用的缓冲区又被称
3、为“堆栈”,在各种操作系统之间,指令会临时储存在“堆栈”中,“堆栈”也会出现缓冲区溢出。而缓冲区溢出中,最为危险的是堆栈溢出,因为入侵者可以利用堆栈溢出的函数返回时改变返回程序的地址,让其跳转到任意地址,带来的危害一种是程序崩溃导致拒绝服务,另外一种就是跳转并且执行一段恶意代码。3缓冲区溢出防范方法 保护缓冲区免受缓冲区溢出攻击和影响的方法是提高软件编写者的能力,强制编写正确代码。利用编译器的边界检测来实现缓冲区的保护,这个方法使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁,但是相对而言代价比较大。程序指针完整性检查是一种间接的方法,是在程序指针失效前进行完整性检查。虽然这种方法不能
4、使得所有缓冲区溢出失效,但它能阻止绝大多数的缓冲区溢出攻击。系系统安全安全10.2 系统安全主要保护主机上的操作系统与数据库系统的安全,它们是两类非常成熟的产品,安全功能比较完善。在操作系统中最基本的防护是分离控制。分离控制是为了防止系统、不同用户或用户进程之间互相干扰,进而引发安全问题,而对系统、用户或进程进行分离的控制方法。在操作系统的分离控制中,主要包括物理分离、时间分离、逻辑分离和密码分离四种,这些分离控制的基本含义如。2操作系统的保护方法分离控制 在操作系统中最基本的防护是分离控制。分离控制是为了防止系统、不同用户或用户进程之间互相干扰,进而引发安全问题,而对系统、用户或进程进行分离
5、的控制方法。在操作系统的分离控制中,主要包括物理分离、时间分离、逻辑分离和密码分离四种。2操作系统的保护方法分离控制 在现实世界中,受保护资源往往呈现出多级的状态,如同在军事和政府应用领域,典型的多级安全是将受保护对象的安全等级划分为公开、内部、秘密、机密和绝密等级别,而不是简单的需要保护和不需要保护两种情况。而从第一个操作系统问世至今,操作系统对其受保护对象的保护也经历了不保护、隔离、共享一切或不共享、访问限制共享、访问权能共享和对象的限制使用等阶段,这些阶段逐步接近了现实世界的实际安全需求。2操作系统的保护方法多级保护 Windows Server 2003系统是服务器上使用较为广泛、功能
6、全面、安全可靠的系统。Windows Server 2003是在Windows Server 2000经过考验的可靠性、可伸缩性和可管理性的基础上构建的,为加强联网应用程序、网络和XML Web服务的功能(从工作组到数据中心),提供了一个高效的结构平台。1Windows Server 2003新增的安全功能 存储用户名和密码 授权管理器 软件限制策略 证书颁发机构 约束委派 有效权限工具 加密文件系统 Everyone成员身份 基于操作的审核1账户保护安全策略 启用账户锁定策略 提高密码破解难度 限制用户登录 限制外部连接 限制特权组成员 防范网络嗅探2系统监控安全策略 日志监视 启用系统审核
7、机制监视开放的端口和连接 监视共享 监视进程和系统信息 UNIX/Linux是适用于多种硬件平台的多用户、多任务操作系统,其安全性是很高的。系统提供了3层的防御体系,账号安全、权限设置和文件系统安全。下面分别对这3个方面进行阐述。由于Linux是一种与UNIX安全兼容的操作系统,所以下面所讨论的UNIX系统的安全性问题,基本上也适用于Linux系统。1UNIX安全概述用户和用户组 虽然每个UNIX用户都有一个长达8个字符以上的用户名,但在UNIX/Linux内部只用一个数字来标识每个用户:用户的标识符(UID)。每一个UNIX/Linux系统都有一个UID为0的特殊用户,它被称作超级用户并且被
8、赋予用户名root,其口令通常称为“root口令”。出于管理的方便,UNIX/Linux系统还划分了用户组,每个用户都位于一个或者多个用户组中。与用户标识一样,每一个用户组在系统内部也用了一个整数标识,称为用户组标识(GID)。2UNIX安全体系结构 UNIX的安全体系结构可以按照ISO/OSI网络模型的层次结构将它分成7层:包过滤层 外部连接层 嵌入的UNIX网关层 内部区分层 局域网层 用户层 策略层 数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:网络系统层、宿主操作系统层、数据
9、库管理系统层。这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。从广义上讲,数据库的安全首先倚赖于网络系统。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为身份验证、防火墙、物理隔离、入侵检测、VLAN技术等。1网络系统层次安全技术 操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows和Unix,安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略
10、、数据安全等方面。2宿主操作系统层次安全技术 数据库系统的安全性在很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。数据库管理系统层次安全技术主要就是用来解决这一问题的,即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全,这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理,使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。我们可以考虑在三个不同层次实现对数据库数据的加密,这三个层次分别是OS层、DBMS内核层和DBMS外层。3数据库管理系统层次安全技术应用安全用安全10.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络基础与信息安全 第十 系统 应用 安全 网络 基础 信息 课件
限制150内