基于NET的需求分析和解决方案设计_09设计安全规范.ppt

* 要点 ： 本节主要达到一个目的。 确定应用程序面临的威胁。（略讲） 重点： 介绍应用程序常见的一些安全方面的威胁，以及在设计过程中针对这些威胁所应采取的措施； 难点： 在整个微软解决方案框架（MSF）中需要完成的安全性方面的任务； 了解应用程序的安全威胁； 掌握威胁模型； 创建安全策略尽可能避免安全威胁。 * 重点： 介绍在微软解决方案框架（MSF）的各个阶段在安全性方面应主动考虑采取的措施； 安全特性的计划和实现将会贯穿整个产品的开发过程。在为应用程序安全性制定计划时，要查看底层网络和主机基础设施提供给应用程序的安全级别，以及目标环境可能会强加的任何限制。而且还要考虑部署拓扑和中间层应用程序服务器，外围网络（也称作 DMZ，非军事区，遮蔽子网）和内部防火墙等可能带来的影响。 注意： 在设计解决方案的实施环境网络架构时，必须考虑防火墙、DMZ、中间层应用服务器的部署策略等； 课堂提问： 回顾微软解决方案框架中，开发应用程序通常可分为哪几个步骤？ 课堂讨论： 在解决方案开发过程的每个步骤中应考虑哪些安全性方面的威胁，应如何减轻这方面的威胁？ 在实施解决方案时你能想到哪些方面可能的安全性问题？ 网络中是否提供了安全通信？ 网络内部是否有防火墙？ 在网络架构上是否采用了一定的限制措施来保障安全性？ 参考： 关于DMZ： 为解决安装防火墙后外部网络不能访问内部网络服务器的问题，而在外部网络和内部网络之间设立的一个缓冲区； 在这个区域内可防止公司的Web服务器等； 外部网络仅能访问到DMZ，而DMZ无法访问企业内部网络； 这样对于攻击者来说又多了一道关卡。 * 重点： 介绍STRIDE模型的含义； 威胁模型是一种结构化的方法，用来帮助预测信息安全的潜在威胁。在建立威胁模型过程中发现的潜在威胁，有助于创建正确的风险管理计划。通过预测威胁，使团队能够以主动的方式减少风险。 参考： 伪造身份的几种常见方式： 攻击者通过骗取或猜测受信任用户的密码，从而对某些受限的内容取得访问权限； 攻击者以其他人的身份发送邮件； 伪造IP，攻击者通过在数据包中嵌入一个看似受信任的IP地址来访问某些资源； 否认： 否认是指系统管理员或安全代理无法证明用户（攻击者）进行了某些操作； 拒绝访问常见症状： 应用程序或者操作系统停止响应； CPU一直在进行无意义的计算； 系统内存被大量占用使应用程序或者操作系统的性能降低； 网络带宽耗尽； 常见的拒绝访问方式： Web服务器被大量错误的请求淹没； 病毒将系统文件删除导致系统无法启动； 恶意用户远程配置打印机，使其瘫痪。 * 重点： 说明如何创建威胁模型； 威胁建模的一种形式是对网络基础设施中某个明确定义的部分应用 STRIDE 模型。例如，可能需要将Web服务器隔离，然后再为其建立威胁模型。 为基础设施建立威胁模型时，要确保具备所有的相关材料，包括： 网络示意图 硬件和软件配置 数据流程图 自定义源代码 课堂讨论： 在创建威胁模型时需要记录一些什么内容？ 威胁类型； 攻击对企业造成的影响； 攻击者可能采用的技术； 攻击的可能性； 减轻攻击造成影响可采用的技术。 * 演示： 如何创建威胁模型； 图示为一个基于Web的报销系统，指出其可能收到的攻击； 参考： 攻击一：员工和时间报表数据可能被未授权用户访问； 攻击二：数据库服务器可能遭受TCP/IP包攻击； 攻击三：审核信息可能被未经授权的用户修改； 攻击四：LDAP验证信息可能被侦听； 攻击五：浏览器和Web服务器之间传递的信息可能被侦听； 攻击六：Web服务器可能遭受拒绝访问攻击； 攻击七：Web服务器传送的页面可能带有恶意代码。 * 重点： 介绍如何使用威胁模型来减轻攻击的可能性和带来的损失； 课堂讨论： 在使用应用软件和操作系统时可采用哪些途径减少受攻击的可能性？ 提示：安装杀毒软件、网络防火墙等。 * 重点： 介绍减轻安全性方面威胁可采用的技术； 参考： 服务质量（QoS）：允许管理员为某些网络通信设置更高的优先级；如一台Media服务器可把HTTP请求设置高优先级； 关于服务质量可参考微软文档：/china/windows2000/library/howitworks/communications/trafficmgmt/qos.asp； 节流：限制发送给计算机的数据量； 审核：将用户活动和一些重要的网络通信信息收集起来用作将来分析。 * 重点： 介绍安全策略的概念以及应用； 安全策略定义一个组织对保护计算机和网络使用的需求，它保护信息的可用性、完整性和机密性。安全策略包括一些过程用于检测、阻止和应对安全事件，它为实现安全计划和应用程序的过程提供一个框架。安全策略决定应用程序允许做什么，以及应用程序的用户允许做什