第10章 电子商务安全常见技巧 《电子商务安全和 与支付》 电子课件.pptVIP

第10章 电子商务安全常见技巧 10.1 数据库系统安全 10.2 生物特征识别 10.3 潜信道 10.4 外包安全 10.1 数据库系统安全 10.1.1 数据库系统安全的重要性 10.1.2 数据库系统安全的含义 10.1.3 数据库中数据的完整性 10.1.4 数据库并发控制 10.1.5 数据库的备份与恢复 10.1.6 数据攻击常用方法 10.1.1数据库系统安全的重要性 1、数据库系统安全的重要性 （1）保护敏感信息和数据资源; （2）数据库同系统紧密相关并且更难正确地配置和保护; （3）网络和操作系统的安全被认为非常重要，但却不这样对待数据库服务器; （4）少数数据库安全漏洞不光威胁数据库的安全，也威胁到操作系统和其他可信任的系统; （5）数据库是电子商务、ERP系统和其他重要的商业系统的基础. 10.1.2数据库系统安全的含义 1、数据库系统安全与保密概述 数据库系统安全，包含两层含义： 第一层是指系统运行安全，它包括： ①法律、政策的保护。 ②物理控制安全。 ③硬件运行安全。 ④操作系统安全， ⑤灾害、故障恢复。 ⑥死机的避免和解除。 ⑦电磁信息泄漏防止。 第二层是指系统信息安全，它包括： ①用户口令鉴别。 ②用户存取权限控制。 ③数据存取权限、方式控制。 ④审计跟踪。 ⑤数据加密。 （3）数据库加密的范围 ①索引字段不能加密 ②关系运算的比较运算不能加密 ③表间的连接码字段不能加密 （4）数据库加密对数据库管理系统原有功能的影响 ①无法实现对数据制约因素的定义 ②密文数据的排序、分组和分类，在解密后将失去原语句的排序、分组和分类作用 ③SQL语言中的内部函数将对加密数据失去作用 ④DBMS的一些应用开发工具的使用受到限制 （1）数据类型与值域的约束 （2）关键字约束 （3）数据联系的约束 4、数据库并发控制 目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应允许多个用户并行操作的数据库。数据库必须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。并发控制的主要方法是封锁技术（LOCKING）。 10.1.3数据库中数据的完整性 10.1.4数据库并发控制 目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应允许多个用户并行操作的数据库。数据库必须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。并发控制的主要方法是封锁技术（LOCKING）。 （1）数据库的备份 三种：冷备份、热备份、逻辑备份 （2）数据库的恢复 恢复的方法有： ①周期性的（如3天一次）对整个数据进行转储，把它复制到备份介质中，作为后备副本，以备恢复之用。 ②对数据库的每次修改，都记下修改前后的值，写入“运行日志”数集中，它与后备副本结合，可有效地恢复数据库。 10.1.5 数据库的备份与恢复 （3）利用日志文件恢复事务 ①登记日志文件 ②事务恢复：利用日志文件恢复事务的过程分为两步： 扫描日志文件，找出哪些事务在故障发生时已经结束，哪些事务尚未结束。 对尚未结束的事务进行撤消处理，对已经结束的事务进行重做。 10.1.6 数据攻击常用方法 （1）突破script的限制 （2）对SQL的突破 （3）利用多语句执行漏洞 （4）SQL Server装完后自动创建一个管理用户sa，密码为空。 （5）数据库的利用。 （6）数据库里如何留后门。 （7）数据库扫描工具。