计算机安全技术TOOLS教程课件第6章 数据库系统安全技术.pptVIP

* * 第6章 数据库系统安全技术 本章学习目标： 掌握SQL注入式攻击的原理 理解对SQL注入式攻击的防范 了解常见的数据库安全问题及安全威胁 了解数据库系统安全体系、机制和需求 掌握MS SQL Server 2005安全管理 了解数据库安全管理原则 第6章 数据库系统安全技术 6.1 SQL注入式攻击 6.1.1 实例：注入攻击MS SQL Server 6.1.2 实例：注入攻击Access 第6章 数据库系统安全技术 6.1 SQL注入式攻击 6.1.3 SQL注入式攻击的原理及技术汇总 1．数据库系统 2．SQL注入的条件 3．数据库手工注入过程 （1）寻找注入点 （2）判断数据库类型 （3）猜测表名、字段名（列名）、记录数、字段长度 （4）确定XP_CMDSHELL可执行情况 （5）寻找Web虚拟目录 （6）上传ASP木马 （7）获得系统管理员权限 第6章 数据库系统安全技术 6.1 SQL注入式攻击 6.1.3 SQL注入式攻击的原理及技术汇总 4．针对MS SQL Server的常见SQL注入方法 （1）取得当前连接数据库用户 （2）取得当前连接数据库名 （3）备份数据库 （4）新建用户 （5）加入管理员组 第6章 数据库系统安全技术 6.1 SQL注入式攻击 6.1.4 如何防范SQL注入攻击 1．对于动态构造SQL查询的场合 替换单引号、删除用户输入内容中的所有连字符 对于用来执行查询的数据库账户，限制其权限 、过滤特殊字符 2．用存储过程来执行所有的查询 3．限制表单或查询字符串输入的长度 4．检查用户输入的合法性，确信输入的内容只包含合法的数据 5．将用户登录名称、密码等数据加密保存 6．检查提取数据的查询所返回的记录数量 第6章 数据库系统安全技术 6.2 常见的数据库安全问题及安全威胁 1．常见的数据库安全问题 2．数据库的安全威胁 脆弱的账号设置 缺乏角色分离 缺乏审计跟踪 未利用的数据库安全特征 数据库维护不当 硬件故障 功能弱的数据库 权限分配混乱 黑客的攻击 病毒的威胁 第6章 数据库系统安全技术 6.3 数据库系统安全体系、机制和需求 6.3.1 数据库系统安全体系 1．网络系统层次安全技术 2．宿主操作系统层次安全技术 3．数据库管理系统层次安全技术 第6章 数据库系统安全技术 6.3 数据库系统安全体系、机制和需求 6.3.2 数据库系统安全机制 1．用户标识与鉴别 通行字认证、数字证书 、智能卡 、个人特征 2．存取控制 传统的存取控制机制有两种：DAC和MAC。 3．数据库加密 4．密钥管理 5．数据库审计 6．备份与恢复 第6章 数据库系统安全技术 6.3 数据库系统安全体系、机制和需求 6.3.3 数据库系统安全需求 1．完整性 物理完整性 逻辑完整性 元素完整性 2．保密性 3．可用性 第6章 数据库系统安全技术 6.4 数据库系统安全管理 6.4.1 实例：MS SQL Server 2005安全管理 6.4.2 数据库安全管理原则 1．管理细分和委派原则 2．最小权限原则 3．账号安全原则 4．有效的审计 第6章 数据库系统安全技术 6.5 数据库的备份与恢复 1．备份类型 完整备份 差异备份 事务日志备份 文件和文件组备份 2．恢复模式 简单恢复模式 完整恢复模式 大容量日志恢复模式 3．备份策略 第6章 数据库系统安全技术 6.6 本 章 小 结 本章介绍了SQL注入式攻击的原理、对SQL注入式攻击的防范、常见的数据库安全问题及安全威胁、数据库安全管理原则等内容，并且通过对一系列实例的介绍，加深读者对数据库安全管理方面的基础知识和技术的理解，帮助读者提高维护数据库安全的能力，并且在进行Web开发时要注意防范SQL注入式攻击。 第6章 数据库系统安全技术 6.7 习 题 1．填空题 （1） 是指攻击者通过黑盒测试的方法检测目标网站脚本是否存在过滤不严的问题，如果有，那么攻击者就可以利用某些特殊构造的SQL语句，通过在浏览器直接查询管理员的用户名和密码，或者利用数据库的一些特性进行权限提升。 （2）数据库系统分为 和 。 （3）只有调用数据库动态页面才有可有存在注入漏洞，动态页面包括 、 和 等。 第6章 数据库系统安全技术 1．填空题 （4）从广义上讲，数据库系统的安全框架可以分为三个层次：