操作系统与数据库安全培训教材.pptVIP

IIS的安全管理 第三十一页，共七十页。 UNIX/Linux系统安全 UNIX/Linux帐号管理 UNIX/Linux访问控制 UNIX/Linux资源安全管理 UNIX/Linux网络服务安全 第三十二页，共七十页。 UNIX的系统结构 由用户层、内核层和硬件层三个层次组成 两个执行态：核心态和用户态 用户态下的进程只能存取它自己的指令和数据，而不能存取内核和其它进程的指令和数据 保证特权指令只能在核心态执行，像中断、异常等在用户态下不能使用 用户程序可以通过系统调用进入核心，运行系统调用后，又返回用户态 第三十三页，共七十页。 安全性：Linux系统 vs Windows系统 开发方式－错误暴露：开放 vs 不公开 远程程序调用－防火墙设置： 限制 vs 大量使用 权限－被利用：某些第三方Windows应用软件需要管理员的权限才能正确运行软件，利用这些软件发起的病毒攻击的破坏性极大 Windows具有易学易用性，同时需要兼容不安全的老版本的软件。这些对于系统安全也是一个不利的因素 安全漏洞数量：美国计算机应急反应小组测评报告表明Windows似乎安全漏洞更多 微软的Windows出现了250次安全漏洞，其中有39个安全漏洞的危险程度达到了40分或者40分以上（40分以上为危险性极大的系统漏洞） Red Hat Linux同时间只发现46次安全漏洞，其中只有3个安全漏洞的危险程度在40分以上。 第三十四页，共七十页。 帐号管理 Root帐号 root帐号被操作系统用来执行基本的任务，比如登录、记录审计信息或者访问I/O设备等 特权用户几乎可以做任何事情。特权用户可以变为任何别的用户，可以改变系统时钟，可以绕过施加于他的某些限制 正是由于特权用户如此强大，因此它也成为UNIX的一个主要弱点 处于特权用户状态的攻击者实际上接管了整个系统，必须采取每一个可能的防范措施来控制普通用户获得特权用户状态 禁止预置帐号 组管理策略 用户密码安全 第三十五页，共七十页。 帐号管理 Root帐号 禁止预置帐号 Linux操作系统中也存在一些不必要的预置帐号，如果不需要这些帐号，就把它们删掉 系统中有越多这样的帐号，就越容易受到攻击 组管理策略 用户密码安全 第三十六页，共七十页。 帐号管理 Root帐号 禁止预置帐号 组管理策略 将用户分组是UNIX/Linux系统对权限进行管理的一种方式 早期的系统中一个用户只能属于某一个组，后来的系统中，一个用户可以同时属于多个用户组 用户隶属于一个或多个组 文件/etc/group包括了属组的列表。其中的表项格式：group name: group password: GID: list of users 用户密码安全 第三十七页，共七十页。 帐号管理 Root帐号 禁止预置帐号 组管理策略 用户密码安全 密文存放在/etc/passwd文件中：user name: encrypted password: user ID: group ID: ID string: home directory: login shell 字段ID string是用户的全名 user ID（UID）是指用户的ID group ID（GID）指的是组的ID， 最后两个字段指明了用户的主目录和成功登录后可用的Shell 第三十八页，共七十页。 要点 Windows系统帐号的分类 Window NT资源管理 Windows网络服务的设置 UNIX/Linux帐号管理 第三十九页，共七十页。 数据库安全 数据库安全概述 数据库基本安全机制 数据库加密 数据库安全性管理 数据库安全级别 主流数据库的安全 常见的数据库攻击与防范 数据库恢复 第四十页，共七十页。 数据库安全概述 数据库，分为两个部分来理解： 一部分是数据库，指按一定的方式组织和存放数据 另一部分是数据库管理系统（Database Management System, 简称DBMS），为用户及应用程序提供数据访问界面，并具有对数据库进行管理、维护等多种功能 数据库安全的两个层次 数据库系统运行的安全，采取一系列措施保障DBMS的正常运行，如机房、硬件、操作系统等 数据库系统的信息安全，保障数据库存放的信息的私有性，如认证、审计、访问控制等 第四十一页，共七十页。 第一个层次的安全含义，主要侧重在保障数据的完整性或者数据安全的环境因素方面； 第二个层次的安全，则更多和数据的私有性相关，侧重于怎样保证只有合法的，或经授权的用户才能访问到数据。 第四十二页，共七十页。 数据库基本安全机制 数据库系统安全在技术上可以依赖于两种方式： DB