网络安全技术及应用 作者 刘京菊 ch6 系统安全.pptVIP

3．数据加密 防范SQL注入攻击最简单有效的方法是将数据加密，比如对用户密码加密存储，即使攻击者获得密码后也很难解密。 在Web应用中，常用的加密算法是MD5，它没有反向算法，只要密码设置合理，在短时间内是很难通过暴力猜解得到明文密码的。 返回本章首页 4．控制权限 权限对于SQL注入攻击非常重要，为了防范SQL注入攻击，通常要通过两级权限控制。 （1）控制Internet访问用户的权限 （2）控制数据库用户的权限 总之，对于用户权限的控制遵循“按需分配最小化”的原则。 返回本章首页 6.5 小结 操作系统的安全机制主要包括两个方面，即访问控制和隔离控制。以Windows系列操作系统为例介绍了典型操作系统的安全机制，并给出了一些相关的安全措施和安全配置方法。 在研究数据库安全机制的基础上，对常用数据库系统Oracle、SQL Server和MySQL等从安全配置的角度介绍了提高其安全性的一般方法。 返回本章首页 SQL注入攻击是数据库系统面临的主要攻击方式。防范SQL注入攻击可以从关闭服务器错误提示、过滤注入载荷、数据必威体育官网网址和控制用户权限等几个方面入手。 返回本章首页 本章到此结束，谢谢！ 6.3.4 数据库安全机制 数据库安全作为信息系统安全的一个子集，必须在遵循信息安全总体目标（即必威体育官网网址性、完整性和可用性）的前提下，建立安全模型、构建体系结构、确定安全机制。 返回本章首页 返回本章首页 数据库安全机制分类 6.4 常用数据库系统安全配置 不同类型数据库系统在安全配置方面有各自不同的需求。 下面对Oracle、SQL Server和MySQL等常用数据库系统的安全配置，及防范SQL注入攻击的基本策略进行简要介绍。 返回本章首页 6.4.1 Oracle安全配置 1.安装 Oracle的功能也越来越多，因此安全威胁也越来越大。因此最好根据需求只安装所需内容。 Oracle的安装目录要和系统盘分开。在Windows下，Oracle服务不用SYSTEM权限运行，Unix下，Oracle的账号和组的权限也要作相应设置。 返回本章首页 2．删除或修改默认的用户名和密码 Oracle的默认安装会建立很多缺省的用户名和密码，而大部分的数据库管理员都不清楚到底有多少数据库用户，从而留下了很大的安全隐患。 返回本章首页 3．安装必威体育精装版的安全补丁 虽然Oracle的安全性比较高，但是安全漏洞仍然不可避免，因此必须时刻关注Oracle的安全公告并及时安装安全补丁。安全公告和补丁发布网址为： /deploy/security/alerts.htm 返回本章首页 4．设置密码策略 Oracle密码安全策略在缺省情况下没有启用。可以通过修改用户概要文件来设置密码的安全策略，自定义密码的复杂度。 返回本章首页 FAILED_LOGIN_ATTEMPTS：最大错误登录次数。 PASSWORD_GRACE_TIME：口令失效后锁定时间。 PASSWORD_LIFE_TIME：口令有效时间。 PASSWORD_LOCK_TIME：登录超过有效次数锁定时间。 PASSWORD_REUSE_MAX：口令历史记录保留次数。 PASSWORD_REUSE_TIME：口令历史记录保留时间。 PASSWORD_VERIFY_FUNCTION：口令复杂度审计函数。 返回本章首页 密码策略设置界面 5．权限设置 采用最小授权原则，给用户尽量少的权限。撤销Public组的一些不必要权限，严格限制以下程序包的权限： UTL_FILE UTL_HTTP UTL_TCP UTL_SMTP 返回本章首页 6．登录认证方式设置 Oracle默认采用密码认证方式，但是密码容易被窃取，所以Oracle8i以后版本支持CyberSafe、Kerberos、SecurID、Identix Biometric、RADIUS、SSL等更安全的认证方式。 设置登录认证方式的方法是： （1）在服务器和客户端中的sqlnet.ora中设置： SQLNET.AUTHENTICATION_SERVICES=(oracle 提供的认证方法) （2）在数据库初始化文件init_实例.ora文件中设置： REMOTE_OS_AUTHENT＝FALSE 返回本章首页 7．传输加密 Oracle采用的是TNS协议传输数据，在传输过程中不能保证其中的数据不被窃听乃至修改，因此最好对传输进行加密。 返回本章首页 8．连接IP限制 Oracle进行连接IP限制的方法是在$ORACLE_HOME\network\admin目录下修改