软件安全-06-一个信息系统的安全模型分析.pptVIP

初始口令的安全 系统的第一次运行关键是初始口令的赋予，由信息主管（或其他高层）完成用户身份的确认，同时要求用户第一次登录时必须更改初始口令。 口令安全 下表为在www.LockD公布的采用“暴力字母破解”方式获取密码的“时间列表”（该结果采用一台双核心PC）。 密码类型 长度 破解时间 纯数字密码 6位 瞬间 8位 348分钟 10位 163天 大小写字母 6位 33分钟 8位 62天 数字＋大小写字母 6位 1.5小时 8位 253天 数字＋大小写字母＋标点 6位 22小时 8位 23年 系统口令安全机制要求： 1口令长度限制； 2口令字符集限制； 3口令有效期限制。 用户封锁 所谓的用户封锁是当出现用户多次登录系统失败的情况时，系统将锁定用户的操作并提示，解锁过程必须由系统管理员完成。 如果是其他人员冒用用户身份尝试对系统攻击，则锁定后合法用户将会发现。 6.3.3 业务逻辑 在系统的业务逻辑部分主要包括数据服务、权限管理、日志审计三个部分。 数据服务 数据服务的主要安全任务是完成特定数据的加密、解密，日志数据的存储，权限及用户信息的存储。 权限管理 完成用户的授权，包括两个部分：系统管理员和信息主管。信息主管负责系统启动和初始授权，系统管理员负责日常权限管理、日志审计、系统状态监控、异常监测、用户锁定处理。 日志审计 对用户的操作行为进行跟踪，提供根据时间、用户、系统的检索手段。日志信息不能人工清除，避免系统管理员在后台对数据进行操作，然后清除信息。每隔一定周期（该周期由系统配置设定），日志信息自动清除超过该时间的信息，保留最新信息。对信息系统而言，合理并具有一定强度的日志设计，是保证安全，提高安全可信性的重要手段。 6.3.4 异常探测机 异常探测机实现的主要功能： 是日志的分析； 网络状态的安全监测； 提供一定的日志文件保护机制。 异常检测独立于业务逻辑的目的： 1独立的程序，便于进一步发展，有较大的发展空间； 2位于业务和用户进程之外，能够对其进行监控； 3不对信息系统运行发生干扰； 4使该探测器成为系统的可选件。 6.4 异常行为探测 区别内容 异常探测机 IDS 检测范围 网络内部行为 网络外部行为 实现方式 软件 硬件 与系统关系 可以存取系统数据 不能存取系统数据 保护目标 信息系统 网络 6.4.1 异常行为 用户身份的攻击 非法用户针对用户ID进行攻击，试图猜测用户身份。在前述内容中，已说明采用用户ID登录的原因是方便输入和安全性。猜测三次后用户被封锁。 口令攻击 在已知用户身份的情况下，猜测口令，进行口令攻击。在系统设计中，当猜测三次后则封锁用户。 服务器的异常访问 这里是指服务器计算机和WEB SERER等专用服务程序。类似DOS攻击的方式在局域网内也是有可能发生的。 数据库异常连接 对数据库的访问主要是通过特定端口进行的，可能的威胁来自合法的客户端程序或者非法的客户端程序。 数据库文件变动异常 系统中数据库文件的变动包括文件访问、拷贝、删除等操作。 系统管理员攻击 系统管理员攻击目前是特指以管理员身份对系统中用户身份的滥用，包括管理员冒用用户身份访问数据，私自增加用户并消除日志痕迹等。 日志文件攻击 针对日志文件发起的包括文件删除、修改等非法操作。 … 6.4.2 日志分析 日志数据格式-进行系统审计所需要的一些关键信息： 1用户名； 2用户标志（ID）； 3用户登录时间； 4用户退出时间； 5访问的功能（操作模块）； 6用户锁定信息（非法用户冒用身份）； 7口令变动时间； 8用户授权时间； 9授权功能； 10授权人。 日志数据Table 日志中所用到的相关信息可以在数据库中以如下数据表（Table）的形式保存也可成为单独的日志文件： （1）用户信息Table－用户名；用户ID。 （2）授权信息Table－用户ID；授权人；授权日期；登录口令；口令产生日期（变动日期）；锁定状态；功能1权限（允许，禁止）；功能2权限… （3）日志Table－用户ID；登录时间；退出时间；访问功能。 针对日志文件自身的攻击主要有： 日志数据的删除 系统本身不向用户提供日志数据的删除功能。为了避免日志文件的无限制膨胀，设定日志数据的过期时间，只有超过该时间的日志数据才可删除（该删除操作可以自动或手动完成）。 针对非法用户的攻击，如果是单独的日志文件，当系统启动后，该文件置于异常探测机的保护之下； 如果是数据库数据，则依赖于操作系统和数据库本身的保护机制。 无论是系统操作员还是系统管理员的合法用户不具有日志文件删除的能力，而来自于客户端和服务器端的非法用户受到异常探测机、操作系统、数据库系统的安全机制约束。 日志