第3章 电子商务安全技术(信息安全).ppt

;安全目标;第3章 电子商务安全技术;3.1 程序安全;3.1.1 程序漏洞 ;缓冲区溢出的结果;缓冲区溢出攻击方法;堆栈(Stack)缓冲区溢出;运行时的堆栈分配;运行时的堆栈分配;stack缓冲区溢出例子;Stack缓冲区溢出实例结果;堆(Heap)缓冲区溢出;堆缓冲区溢出实例;堆缓冲区溢出实例;堆缓冲区溢出实例;防御手段 ;不完全输入验证 ;不完全输入验证攻击 ;避免不完全输入验证攻击;“检查时刻到使用时刻”错误;顺序执行;;并发执行（二）;“检查时刻到使用时刻”错误;防御手段;临界区域;3.1.2 恶意代码 ;病毒;病毒的分类;引导区病毒（一）;引导区病毒(二）;文件型病毒;蠕虫;特洛伊木马;隐蔽通道;隐蔽通道;隐蔽通道泄露消息100;隐蔽通道的危害;预防程序漏洞的方法;习 题;3.2 操作系统安全;访问控制;3.2.1 访问控制策略 ;自主访问控制(DAC);自主访问控制的特点;强制访问控制(MAC);安全等级;保护信息机密性的原则;信???机密性;例：;例：;“向上写”的原则局限;完整等级;保护信息完整性的原则;信息完整性 ;例：;例：;强制访问控制的优点和不足;强制访问控制防止隐蔽通道攻击;MAC和DAC的不足;基于角色访问控制(RBAC) ;RBAC的特点;3.2.2 访问控制实现技术;访问控制矩阵;访问控制矩阵的实现;访问控制表：每一个客体对应一个访问控制表;访问控制表ACL;例：;例：;访问控制表特点;访问能力表：每个主体对应一个访问能力表;访问能力表CL;例：;例：;访问能力表的特点;授权关系(表);3.2.3 Unix操作系统的文件保护机制 ;文件所有者;文件属性; GroupA;例：;例：;目录;习 题;3.3 数据库安全 ;3.3.1 数据库系统;关系数据库;关系实例;客户基本信息表 Customer;订单信息表Order ;3.3.2 数据库安全需求 ;数据库安全需求（续）;3.3.3 数据库访问控制 ;3.3.3 数据库访问控制 ;视图;视图例子——客户基本信息表 Customer;视图例子——订单信息表Order ;视图例子——送货视图v1;3.3.4 完整性约束 ;完整性约束的检验;3.3.5 推理控制 ;存在和缺失 ;;直接攻击 ;逻辑或代数运算 ;统计推理 ;统计推理实例;通用追踪器;通用追踪器——原理;通用追踪器——找出一个通用追踪器T的方法;通用追踪器——推理过程;通用追踪器实例（一）;通用追踪器实例（二）;通用追踪器实例（三）;;防御推理攻击;采样法 ;数据扰乱 ;禁止明显的敏感数据 ;查询控制 ;3.3.6 秘密通道 ;3.3.7 数据库加密 ;数据库加密的基本要求（一） ;数据库加密的基本要求（二）;数据库加密技术限制 ;数据库加密层次 ;应用层加密 ;应用层加密优势和限制;数据库层加密 ;文件/存储层加密;文件/存储层加密限制;3.3.8 数据库用户管理 ;分割DBA的权限的必要性;安全管理员;习 题