信息系统安全技术概述.pptx

信息安全原理及从业人员安全素养培训 01 信息系统安全技术概述 第 2 页 信息安全原理及从业人员安全素养 第六章 第 3 页 第一节. 操作系统安全 操作系统安全 1 8 7 目录及文件夹控制 文件安全 备份和恢复 冗余和镜像 系统架构 关键系统组件 系统服务 进程 启动过程 安全子系统 登陆验证 用户权限 日志 审计 本地策略 组策略 4 6 2 3 5 第六章 第 4 页 第一节. 操作系统安全 账户安全策略 第六章 第 5 页 第一节. 操作系统安全 组安全策略 第六章 第 6 页 第一节. 操作系统安全 UNIX文件策略 第六章 第 7 页 第二节. 数据库安全 用户标识和鉴定 第六章 第 8 页 第二节. 数据库安全 存取控制 第六章 第 9 页 第二节. 数据库安全 审计 第六章 第 10 页 第二节. 数据库安全 数据加密 口令的HASH值 第六章 第 11 页 第二节. 数据库安全 之 10大威胁 特权滥用 第六章 第 12 页 第二节. 数据库安全 之 10大威胁 提权 SQL>GRANT sysdba TO SCOTT; --将特权帐户授权给其它帐户 第六章 第 13 页 第二节. 数据库安全 之 10大威胁 平台漏洞 第六章 第 14 页 第二节. 数据库安全 之 10大威胁 SQL注入 第六章 第 15 页 第二节. 数据库安全 之 10大威胁 审计缺失 拒绝服务 自动记录所有敏感的和异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足,则系统将在很多级别上面临严重风险。 通过多种技巧，为拒绝服务创造条件，其中利用漏洞来制造拒绝服务攻击。常见的系统故障场景：资源过载。 第六章 第 16 页 第二节. 数据库安全 之 10大威胁 协议漏洞 备份数据暴露 数据库的漏洞，一半以上都是和协议有关。针对这些漏洞的欺骗性活动包括未经授权的数据访问、数据破坏以及拒绝服务。 备份数据库存储介质对于攻击者是毫无防护措施的。因此，在若干起著名的安全破坏活动中都是数据库备份磁带和硬盘被盗 第六章 第 17 页 第二节. 数据库安全 之 10大威胁 不健全认证 暴力：攻击者不断尝试、枚举用户名和口令组合，直到猜解可登陆的一组。甚至通过自动化程序，加快暴力破解的进度。而此过程，系统全然不知。 社会工程：攻击者利用人天生容易相信别人的倾向来获取他人的信任，从而获得登陆凭证。 直接窃取：攻击者可能通过抄写在即时贴上的内容或者复制密码文件来窃取登陆凭证；如下图 第六章 第 18 页 第二节. 数据库安全 之 安全检查 端口扫描 第六章 第 19 页 第二节. 数据库安全 之 安全检查 渗透测试 第六章 第 20 页 第二节. 数据库安全 之 安全检查 运行监控