2015版-CISP0206数据库及应用安全_v3.0要点分析.ppt

* * 浏览器安全防护-cookie安全 什么是Cookie 弥补http缺陷的的机制，用于存储信息的一段文本 存储用户登录信息 威胁 泄漏用户敏感数据或隐私 * 浏览器安全防护-cookie安全 设置IE 设置隐私保护级别 退出时删除cookie Firefox 不记录cookie 其他 * 浏览器安全防护-隐私保护 隐私保护 IE 不自动保存浏览历史 不自动保存用户名/密码 Firefox 隐私浏览窗口 其他 * 互联网浏览安全防护-安全意识 心态（小心驶得万年船） 了解隐私的重要性 尊重他人私密 达到保护个人私密 意识（任何东西都是有价值的） 能知道什么是需要保护的 能知道需要保护的东西的价值 操作（我为什么要给你，你为什么需要） 能不提供的就不提供 不是必须的信息虚假提供 * WEB安全防护产品-应用防火墙 Web应用防火墙 Web Application Firewall，WAF，也称Web防火墙 是指通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一类产品，用以解决Web应用层出现的安全问题 主要常见功能 拦截审计HTTP数据流 Web应用访问控制 Web应用加固 * 网页防篡改产品 功能 监控Web服务器上的页面文件，防止被篡改 原理 备份文件对比 摘要文件对比 删改操作触发 系统底层过滤 * 知识域：应用安全 知识子域：常用互联网服务安全 了解电子邮件应用的安全缺陷和防御措施 了解FTP应用安全缺陷和防御措施 了解远程管理的安全问题及防御措施 了解域名应用的安全问题及防御措施 * 电子邮件应用 应用协议 SMTP：简单邮件传输协议，用于邮件发送及中转 POP3:邮局协议，用于邮件接收 电子邮件协议的特点 协议简单，客户端请求命令 请求、响应模式 * TCP连接 HELLO MAIL RCPT DATA QUIT …… 25 邮件服务器 客户机 SMTP协议工作过程 * 电子邮件协议安全问题 信息泄露 用户账号/口令 用户邮件内容 用户身份验证不足 垃圾邮件 社会工程学 * 电子邮件应用安全问题 邮件服务器 拒绝服务：大量的邮件浪费服务器的资源 垃圾邮件：浪费服务器资源，导致服务器被加入拒绝名单 邮件客户端 邮件病毒 客户端漏洞 信息泄露 * 安全协议 PGP（Pretty Good Privacy） S/MIME（Secure Multipurpose Internet Mail Extension） 安全策略配置 确保服务器软件版本最新 关闭开放式转发 反向域名验证 身份验证 …… 电子邮件安全应用-服务器端 * 电子邮件安全应用-邮件客户端 邮件病毒/客户端漏洞 客户端设置以txt方式阅读邮件 使用较安全的邮件客户端 信息泄露 PGP应用 良好的使用习惯 邮件标题 邮件正文 附件命名 * 文件传输应用 文件传输协议 FTP: File Transfer Protocol，即文件传输协议，用于Internet上的控制文件的双向传输 文件传输协议工作机制 * FTP协议安全问题 信息泄露 用户账号/口令 用户传输数据 FTP账号 在FTP标准[PR85]中，FTP服务器允许无限次输入密码。常规的FTP服务器没有密码锁定机制，也没有设置客户端连接数限制 * FTP应用安全措施 信息泄露 采用其他技术对会话进行加密（VPN） 用户账号管理 FTP账号与系统账号分离 账号安全策略 限制最大连接数 限制连接发起地址 * 远程管理安全 远程管理 信息泄露：例如Telnet明文传输信息 可被用于口令破解 解决措施 使用加密的远程管理如SSH、远程终端等 设置账号安全策略对抗口令破解 * 域名系统安全 域名系统工作机制 分布式数据库系统 弱认证 安全问题 拒绝服务 DNS欺骗 ... ... * 知识域：应用安全 * 知识子域：办公软件使用安全 了解使用文字处理程序的安全防护要点 了解使用即时通信软件的安全防护要点 办公软件安全问题 * 病毒传播载体 宏病毒 信息泄露 文档详细信息 MS OFFICE使用安全 使用最新的软件版本与补丁 使用最新版本软件提供的新安全功能 转换成PDF文档再发布 * 即时通讯安全威胁 信息泄露 即时通讯软件服务器端/终端漏洞 传输环境信息泄露 恶意代码传播 传输恶意代码文件 传播恶意代码链接 欺骗 认证不足导致欺骗 * “熟人”间的信任，使得即时通信中的安全威胁更易于被利用 即时通讯应用安全案例 * 即时通讯应用安全防护 隐私信息的防护 避免透露敏感信息 公共场合慎用自动登录功能 离开时退出登录 所有链接、文件都是危险的 “好友”发送的链接确认后再访问 “好友”发送的文件谨慎打开 * 课程总结 * 数据库安全 数据库安全