电子商务安全技术第7章-电子商务软件系统安全.pptVIP

第七章电子商务软件系统安全7.1操作系统安全7.2数据库系统安全7.3Web网站系统安全

7.1操作系统安全7.1.1操作系统安全概述1.操作系统安全的重要性操作系统是管理整个计算机硬件与软件资源的程序，网络操作系统是网络系统的基础长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品2.操作系统安全缺陷与内容操作系统是大型数据库系统的运行平台UNIX、Linux、WindowsServer2000/2003/2008等这些操作系统都是符合C2级安全级别的操作系统

操作系统安全主要内容（1）系统安全不允许未经核准的用户进入系统，主要采取的手段有注册和登录。（2）用户安全用户安全管理,是为用户分配文件“访问权限”而设计。（3）资源安全资源安全是通过系统管理员或授权的资源用户对资源属性的设置（4）通信网络安全用户身份验证和对等实体鉴别、访问控制、数据完整性、防抵赖、审计

3.操作系统安全机制（1）硬件安全机制：存储保护：运行保护；I/O保护（2）身份鉴别：计算机系统对用户身份的标识与鉴别机制（3）访问控制：授权、确定访问权限、实施访问权限控制（4）最小特权原则：主体只能拥有与其操作相符的最小特权（5）可信通道：只能直接与可信计算机通信的一种机制（6）安全审计：对系统中的活动进行记录、检查或审核

7.1.3Linux安全机制1.用户帐号用户帐号是用户的身份标志2.文件系统权限主要是通过设置文件的权限来实现的3.日志文件日志文件用来记录整个操作系统使用状况

7.1.4Windows安全机制1.系统登录：Windows要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。2．访问控制：允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。3．安全审计：提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。4．WINDOWS2000系列的安全策略：本地安全策略，域安全策略，域控制器安全策略。5．Windows2000系列组的形式：从组的使用领域分为本地组、全局组和通用组三种形式。

7.2数据库系统安全7.2.1数据库系统安全概述1.数据库系统概念数据库系统主要包括两个核心组成：数据集：数据库管理系统2.数据库系统安全威胁（1）数据库数据量大，数据敏感度不同而且粒度很细（2）用户成分复杂（3）数据库操作的种类多，安全性要求也不同（4）推导控制问题，利用统计结果推导出高敏感度的原始数据（5）分布式数据库带来更多的安全问题（6）安全设计可能地降低对原数据库系统使用效率的影响

4.数据库安全技术（1）用户标识与鉴别（2）存取控制技术（3）隔离控制技术（4）加密技术（5）信息流向控制（6）审计（7）备份与恢复

7.2.2SQL-Server安全1.SQLServer简介SQLServer主要有四个部分组成：（1）数据定义语言：即SQLDDL，用于定义SQL模式、基本表、视图、索引等结构。（2）数据操纵语言：即SQLDML。数据操纵分成数据查询和数据更新两类。其中数据更新又分成插入、删除和修改三种操作。（3）嵌入式SQL语言的使用规定：这一部分内容涉及到SQL语句嵌入在宿主语言程序中的规则。（4）数据控制语言：即SQLDCL，这一部分包括对基本表和视图的授权、完整性规则的描述、事务控制等内容。

7.3Web网站系统安全7.3.1电子商务网站的概念1.Web技术简介WorldWideWeb称为万维网，简称Web。它的基本结构是采用开放式的B/S（浏览器/服务器模式，相当于三层C/S模式：Client/Server）三个组成部分：服务器（Web服务器）客户接收机（Web浏览器）通讯协议（HTTP协议）

7.3.2Web网站的安全问题（1）大多数网站设计，只考虑正常用户稳定使用（2）网站防御措施过于落后，甚至没有真正的防御（3）黑客入侵后，未被及时发现（4）发现安全问题不能彻底解决

7.3.3建立安全的Web网站（1）配置主机操作系统（2）合理配置Web服务器（3）设置Web服务器有关目录的权限（4）网页高效编程（5）Web网站的安全管理