CISM03系统安全概述.ppt

中国信息安全测评中心 中启航国际信息技术（北京）有限公司 讲师：陈阳怀 系统加电，读取主引导扇区(MBR) MBR中包含了读取分区表的代码 X86系统的分区表有四个条目 第一个被标识为活动的分区为系统卷(system volume) MBR加载系统卷中的引导扇区 引导扇区(NT相关的) 读取系统卷根目录并加载NTLDR 结构化查询语言SQL 查询示例 给出“工41 ”班的学生信息 给出每个班学生的平均成绩 SELECT * FROM 学生表 WHERE 班级名称＝‘工41 ’ SELECT 班级名称，AVG(成绩) FROM 学生表 GROUP BY 班级名称 给出每个班学生的平均成绩，并按成绩排序 SELECT 班级名称，AVG(成绩) FROM 学生表 GROUP BY 班级名称 ORDER BY 2 给出每门课都及格学生的平均成绩 数据库安全概念 传统的数据库运行环境： Database security 防止未经授权的数据泄露和数据修改：认证、授权和审计 客户-服务器模式 数据安全1982(Dorothy Denning) 数据库面临威胁 数据库10大威胁： 过度的特权滥用、合法的特权滥用、特权提升、平台及数据库漏洞、SQL注入、不健全的审计、拒绝服务攻击、数据库通信协议漏洞、不健全的认证、数据泄露 数据库安全防护 数据库安全管理 登录账号管理 用户权限管理 数据备份及恢复 用户管理 登录用户设置 不使用用管理员作为应用登录账号 不同的应用使用各自的账户登录数据库 权限管理 最小化用户权限 权限细化到表 数据库安全 自动备份策略 全备份、增量备份 恢复测试 互联网应用安全 Web应用安全 电子邮件应用安全 Web站点架构 Web 服务器 数据库 数据库 Web应用 Web 浏览器 Web应用 Web 应用 Web 应用 URL请求 * 请求响应 网站结构、代码设计及内部安全机制是网站安全的最后一道防线 所有网站都要依附于应用程序，所以应用程序是第二道防线 所有网站应用都依赖于操作系统，对于网站安全来说系统是第一道防线 Web服务器常见安全漏洞和防范方法 系统安全 威胁 蠕虫 弱口令 不必要端口 未装防护软件 系统漏洞 黑客 病毒 网马 其他 杀软 防火墙 强化 密码 加固 补丁 措施 Web服务器常见安全漏洞和防范方法 应用安全 管理账户 程序补丁 访问权限 审计机制 安全策略 病毒侵害 网络攻击 信息窃取 Web服务器常见安全漏洞和防范方法 IIS安全设置 性能设置（端口、连接数等） 主目录及目录安全性（目录权限） 日志安全 文档和错误消息 性能设置 端口号（单个网站和多个网站的处理） 并发连接数设置 带宽限制 CPU限制 主目录及目录安全性 主目录设置 Web文件存放位置（不宜使用默认目录） 目录权限设置 建议：对所有修改权限的目录在IIS中把执行权限设置为：无。这样即使网站程序出现漏洞，入侵者能写入asp木马的目录没有脚本运行权限，有脚本运行权限的目录又无法修改和创建文件。 网站根目录权限是继承的，取消继承，添加来宾帐户只读； 对一些asp程序的access数据库目录、上传目录等去掉继承，添加修改权限，执行权限设置：无。 主目录及目录安全性设置 在IIS管理器中删除必须之外的任何没有用到的映射（保留asa、asp、php、等必要映射即可）和删除不必要的应用程序映射 Web站点权限设定： 日志安全性 日志重要性 IIS日志是系统安全策略的一个重要坏节，IIS的日志功能记录所有的用户请求URL。确保日志的安全能有效提高系统整体安全性 日志安全性设置 方法一：修改IIS日志的存放路径 IIS的日志默认保存的默认位置（%WinDir%\System32\LogFil-es），如果网站存在安全漏洞攻击者可以获取日志文件，因此应修改日志其存放路径（建议存放在非系统盘） 方法二：修改日志访问权限 日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，并设置为只有管理员才能访问 HTTP日志 HTTP日志分析，如下例： #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date:03:09:31 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 03:09:31 6 7 80 GET /iisstart.asp 200 Mozil