第5章服务器端安全技术86032(免费阅读).pptVIP

第5章服务器端安全技术 在网络上开展实际电子贸易和交易业务，首先要建立电子商务系统，电子商务系统的核心是设立电子商务服务器。电子商务服务器安全也是整个电子商务系统安全的核心。电子商务系统服务端安全包括网络操作系统安全、电子商务网站安全及后台数据库的安全。 5.1 网络操作系统安全 网络操作系统（Network Operation System-NOS）是网络的心脏和灵魂，是电子商务系统运行的基础与平台，是能够控制和管理网络资源的特殊的操作系统。网络操作系统主要有微软公司的Windows 系列操作系统（Windows NT4.0、Windows 2000 Server、Windows 2003 Server等）、Unix，Linux以及Netware系统等。 5.1.1 Windows 2000 Server安全设置 微软操作系统发展历程 微软操作系统发展经过NT3.0、NT4.0、NT5.0（Windows 2000）、NT5.1（Windows XP）、NT5.2 （Windows 2003 Server）、NT6.0（Windows Vista）等众多版本，并逐步占据了广大中小网络操作系统的市场。 Windows 2000 server 操作系统的安全特性 活动目录（Active Directory） Windows 2000 活动目录服务在网络安全性中扮演着重要的角色。它提供了完全集成在Windows 2000中的一个安全、分布式、可扩展以及重复的分层目录服务。活动目录用一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息，它保存了必要的授权及身份认证信息，以确保只有适当的用户才可访问每一网络资源。 活动目录由一个或多个域组成，每个域在Windows 2000网络中构成一个管理与安全边界，域可以跨越多个物理位置。每个域都有自己的安全策略和配置，包括管理员与用户的权限、EFS策略以及ACL，每个域可能与其他域具有安全信任关系。当多个域通过信任关系连接起来并共享一个通用架构、配置和全局目录的时候，就组成了一个域树。多个域树又可以连接到一起组成森林，如图5-1所示。 域树在活动目录内形成一个连续的名称空间，树内的所有域通过具有传递性的信任关系链结在一起。森林是指没有形成连续名称空间的一个或多个树，一个给定森林中的所有树都通过具有双向传递性的信任关系而彼此相互信任，如图5-2所示。活动目录的这种分层结构能够很好地适用于分散管理，同时又不会损害安全特性。 2 组策略对象（Group Policy Object） 组策略是用来为用户与计算机组集中定义系统设置和应用程序而设置的，这些设置包括计算机配置和用户配置。每项里都分别包括软件设置、Windows设置和管理模板三项。主要有软件策略、脚本、用户文档与设置等。 软件策略（Software Policy）：可以用它托管注册表设置，包括那些影响操作系统组件与应用的内容。 脚本（Script）：可以通过组策略来控制脚本，例如计算机的启动、关闭、登录和注销等。 用户文档与设置：（User documents and setting）：用户文档与设置可以向用户桌面中的特定文件夹增加文件、文件夹和快捷方式。特定文件夹位于\Documents And Setting文件夹的用户配置文件下，这些设置可以控制把用户的\My Documents文件夹重定向到某一网络位置。 5.1.2 Unix安全设置 Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统历经20多年。并在发展过程中逐步形成了功能强大、性能稳定、配置灵活等一些新的特色，但用户在实际配置Unix系统时，经常忽视操作系统的安全问题。本小结将介绍Unix操作系统的一些安全特性，以及存在的安全漏洞和防范措施。 1. Unix的安全特性 Unix操作系统提供了很强的安全管理功能，下面从以下几个方面来阐述它的安全特性。 （1）口令安全 （2）文件和目录许可权限 （3）加密与验证 （4）备份 （5）审计 Unix安全漏洞 密码设置不符合要求，导致暴力破解密码成功。 不必要的服务开启，给攻击者留下可乘之机。 没有采用高强度的算法来加密传输口令，致使密码外泄。 普通用户利用本地漏洞提升自己的系统权限，或者使已经获得一些权限的远程攻击者，进一步的提升权限。 远程攻击者利用系统漏洞使在开放了具有漏洞的服务情况下，得到一些权限或者root权限。 Unix安全防范 管理root账户 日志系统的配置和分析 设置文件的许可权限 系统与服务补丁 安全工具的使用 5.2 电子商务网站的安全设置 电子商务网站服务器的安全问题包括以下二个方面： 确保Web服务器及其存储