第三章数据库及其应用系统的安全语义教学文稿.ppt

二、STRIDE 危险和对策 假冒：用户身份使用增强的身份验证。强制执行强大的口令政策。也就是说，口令要定期变换，口令长度最少为10位数并且包含字母和符号。不要以纯文本形式存储机密，口令加密。不用通过网络传递纯文本形式的凭证。使用安全套接字层 (SSL) 保护身份验证 Cookie。 窜改数据：使用数据哈希和签名。使用数字签名。使用增强的身份验证。在通讯链接中使用反篡改协议。使用提供消息完整性的协议来确保通讯链接的安全。 否认：创建安全的审核记录。使用数字签名。 信息泄露 ：强认证、强加密、机密性协议、杜绝明文传递安全凭证类信息。 服务阻断：使用资源和带宽调节技术。验证并筛选输入。 特权提升：遵循最低特权的原则，使用最低特权服务帐户来运行进程和访问资源。 三、攻击方法的基本步骤 调查和评估 利用和渗透 提升特权 保留访问权 拒绝服务 调查和评估:先后对潜在目标进行调查和评估。以识别和评估其特征。这些特征可能包括它所支持的服务和协议，以及潜在漏洞和入口点。攻击者使用在调查和评估阶段所收集的信息来规划最初的攻击。 例如：攻击者可以通过测试检测跨站点脚本 (XSS) 的漏洞，以查看网页中的控件是否会返回输出。 利用和渗透:对潜在目标进行调查后，下一步是利用和渗透。如果网络和主机是完全安全的，则您的应用程序（前门）将成为攻击的下一渠道。对于攻击者而言，进入应用程序最简便的方法是通过合法用户使用的同一入口。 例如：通过应用程序的登录页面或不需要身份验证的页面。 提升特权：攻击者在通过向应用程序插入代码或创建与 Microsoft? Windows? 2000 操作系统进行的已验证身份的会话来设法危及应用程序或网络的安全后，他们立即尝试提升特权。特别是，他们想得到 Administrators 组成员帐户提供的管理特权。他们也寻求本地系统帐户所提供的高级别特权。 在整个应用程序中使用特权最低的服务帐户是针对特权提升攻击的主要防御措施。而且，许多网络级别的特权提升攻击要求交互式的登录会话。 保留访问权：获得系统的访问权后，攻击者采取措施使以后的访问更加容易，并且掩盖其踪迹。包括插入后门程序，或使用现有的缺少强大保护的帐户。掩盖踪迹通常包括清除日志和隐藏工具。因此，审核日志是攻击者的主要目标。应该确保日志文件的安全，而且应该对其进行定期分析。日志文件分析通常会揭露尝试的入侵在进行破坏之前的早期迹象。 拒绝服务：无法获得访问权的攻击者通常装入拒绝服务的攻击，以防止其他攻击者使用此应用程序。对于其他攻击者而言，拒绝服务选项是他们最初的目标。例如 SYN 大量攻击，其中攻击者使用程序发送大量 TCP SYN 请求，来填充服务器上的挂起连接队列。这样便阻止了其他用户建立网络连接。 数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次： 网络系统层次； 宿主操作系统层次； 数据库管理系统层次。 这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。 四、网络系统威胁和对策 从广义上讲，数据库的安全首先依赖于网络系统。随着Internet的发展和普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。 网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合，具有以下特点： 没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便。 通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强。 入侵手段更加隐蔽和复杂。 组成网络基础结构的主要组件是路由器、防火墙和交换机。它们保护服务器和应用程序免受攻击和入侵。最危险的网络级别威胁包括： ?信息搜集 ?侦听 ?哄骗 ?会话劫持 ?拒绝服务 信息收集：网络设备和其他类型的系统一样可以被发现和分析。攻击者通常从端口扫描开始。他们在识别开放端口后，使用标志攫取和枚举来检测设备类型和确定操作系统及应用程序版本。具备了这些信息后，攻击者可以攻击那些可能未使用安全修补程序更新的已知漏洞。 防止收集信息的对策包括： 配置路由器以限制它们对于跟踪足迹请求的响应。 配置网络软件（如软件防火墙）所驻留的操作系统，通过禁用不使用的协议和不需要的端