业务连续性管理目标.pptVIP

*/1033.服务器安全控制Web服务器安全是Web应用程序安全控制的重点内容，下面讨论几种基本措施。（1）部署防火墙保护Web服务器将Web服务器置于DMZ区是一种主流解决方案（2）Web服务器安全配置(以WindowsIIS5.0为例)1）IIS的安全机制:以Windows2000Server操作系统和NTFS文件系统的安全性为基础，提供强大的安全管理和控制功能。访问控制和身份认证是其主要内容。有3种基本途径可以实现服务器资源访问控制：WEB服务器权限控制、文件系统权限控制以及主机访问控制7.2Web安全*/1032）主机访问控制3）用户身份验证在IIS上有4中身份验证方法：匿名访问；基本身份验证(帐户口令)；摘要身份验证(digest，hash);集成Windows身份验证(Kerberosv5)4）Web服务器权限控制 读、写、执行、脚本资源访问、目录浏览、日志访问、索引资源等7项控制7.2Web安全*/1034.客户端安全控制保障Web浏览器的安全性1）浏览器安全IE浏览器提供了基本的安全控制功能，如划分安全区域、限制浏览器对某些站点的访问和管理用户信息等。具体如：设置安全选项和内容选项，浏览器插件安全控制；2）Cookie安全控制是在HTTP协议下，用服务器或脚本维护客户工作站上信息的一种方式，Cookie是由Web服务器保存在用户主机上的小文本文件，可以包含有关用户的信息(如身份识别号码、密码、用户在Web站点购物方式或用户访问该站点的次数)，一般认为这侵犯了用户隐私，但仍广泛的应用随时下载升级或补丁程序，确保不存在任何形式的bug7.2Web安全*/1037.3数据库系统安全7.3.1数据库安全概述7.3.2数据库安全控制7.3.3数据库的完整性7.3.4数据库的并发机制7.3.5数据库的备份与恢复*/1037.3.1数据库安全概述数据库系统是应用领域最为广泛使用的技术之一。数据库安装在操作系统之上，并为应用层提供直接服务信息系统中的数字信息的安全，多数情况下是指数据库中产生和保存的数据。因此数据库的安全非常重要数据完整性和合法存取会受到很多方面的安全威胁，这些都严重危害信息系统的安全性。因此数据库系统作为信息处理系统中重要系统必须具备高安全性*/103数据库系统的结构应用层：访问和读取数据的程序和人员管理与控制：对数据库的各种管理功能，认证、访问控制等逻辑结构层：用户视图物理结构层：把概念数据库描述成物理存储数据库方式模式与子模式(视图)7.3.1数据库安全概述DBMS是数据库管理系统*/103数据库面临的安全威胁：凡造成数据库内存储数据的非授权访问或写入(增加、删除、修改等)，以及令正常用户不能得到数据服务的情况都是对数据库的威胁，可分为如下几类：1．偶然的，无意的侵犯或破坏，如自然灾害2．软硬件故障/错误导致的数据丢失3．人为失误，如误操作，不正确使用4．蓄意攻击，授权用户滥用权限，黑客(内部、外部)对信息的非正常修改，破坏数据一致性的非法修改以及删除5．病毒、木马、后门、隐蔽通道6．信息非正常扩散，如泄密，利用推理获取机密信息7．绕过DBMS直接对数据进行读写8.干扰DBMS正常工作状态，造成DoS7.3.1数据库安全概述*/1037.3.2数据库安全控制为了保证数据库的安全可靠和正确有效，数据库管理系统DBMS必须提供统一的数据保护功能。数据保护也称为数据控制，主要包括数据库的安全性、完整性、并发控制和恢复1.数据库的安全性由于数据库系统的数据量庞大且为多用户存取，安全问题尤其突出。其安全性问题主要是指保护数据库以防止不合法的使用造成数据泄露、更改或破坏数据库安全可分为二类：系统安全性和数据安全性*/1031.系统安全性：指在系统级控制数据库的存取和使用的机制。包含:1)用户标识和鉴别2)存取控制与视图机制基于ACM矩阵的访问控制；基于BLP模型处理多级安全问题(考虑信息流控制)3)OS环境安全防护7.3.2数据库安全控制*/1034)视图有了视图机制，就可以在设计数据库应用系统时，对不同的用户定义不同的视图，使机密数据不出现在不应看到这些数据的用户视图上。即通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内。2．数据的安全性：指在对象级控制数据库的存取和使用的机制包含哪些用户可存取指定的模式对象及在对象上允许做哪些操作类型主要方法是加密存储7.3.2数据库安全控制