电子商务安全与支付-10.ppt

第10章 电子商务安全常见技巧 10.1 数据库系统安全 10.1.1数据库系统安全的重要性 1、数据库系统安全的重要性 （1）保护敏感信息和数据资源; （2）数据库同系统紧密相关并且更难正确地配置和保护; （3）网络和操作系统的安全被认为非常重要，但却不这样对待数据库服务器; （4）少数数据库安全漏洞不光威胁数据库的安全，也威胁到操作系统和其他可信任的系统; （5）数据库是电子商务、ERP系统和其他重要的商业系统的基础. 10.1.2数据库系统安全的含义 1、数据库系统安全与必威体育官网网址概述 数据库系统安全，包含两层含义： 第一层是指系统运行安全，它包括： ①法律、政策的保护。 ②物理控制安全。 ③硬件运行安全。 ④操作系统安全， ⑤灾害、故障恢复。 ⑥死机的避免和解除。 ⑦电磁信息泄漏防止。 10.1.3数据库中数据的完整性 10.1.4数据库并发控制 10.1.5 数据库的备份与恢复 10.1.6 数据攻击常用方法 10.2 生物特征识别 10.2.1 隐写术 10.2.2数字水印 10.3 潜信道 10.4 外包安全 * * 10.1 数据库系统安全 10.2 生物特征识别 10.3 潜信道 10.4 外包安全 10.1.1 数据库系统安全的重要性 10.1.2 数据库系统安全的含义 10.1.3 数据库中数据的完整性 10.1.4 数据库并发控制 10.1.5 数据库的备份与恢复 10.1.6 数据攻击常用方法 第二层是指系统信息安全，它包括： ①用户口令鉴别。 ②用户存取权限控制。 ③数据存取权限、方式控制。 ④审计跟踪。 ⑤数据加密。 2、数据库基本安全构架 数据库系统信息安全依赖于两个层次：一层是数据库管理系统本身提供的用户名/口令字识别、视图、使用权限控制、审计等管理措施；另一层是靠应用程序设置的控制管理。作为数据库用户，最关心自身数据资料的安全，特别是用户的查询权限问题，对此，目前一些大型数据库管理系统提供了以下几种主要手段。 （1）用户分类 （2）数据分类 （3）审计功能 3、数据库加密 （1）数据库密码系统的基本流程 一个密码系统包括明文集合、密文集合、密钥集合和算法，其中密钥和算法构成了密码系统的基本单元。算法是一些公式、法则和程序，规定明文与密文之间的变换方法，密钥可以看作算法中的参数。 （2）数据库加密的特点 ①数据库密码系统应采用公开密钥 ②多级密钥结构 ③加密机制 ④加密算法 （3）数据库加密的范围 ①索引字段不能加密 ②关系运算的比较运算不能加密 ③表间的连接码字段不能加密 （4）数据库加密对数据库管理系统原有功能的影响 ①无法实现对数据制约因素的定义 ②密文数据的排序、分组和分类，在解密后将失去原语句的排序、分组和分类作用 ③SQL语言中的内部函数将对加密数据失去作用 ④DBMS的一些应用开发工具的使用受到限制 （1）数据类型与值域的约束 （2）关键字约束 （3）数据联系的约束 4、数据库并发控制 目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应允许多个用户并行操作的数据库。数据库必须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。并发控制的主要方法是封锁技术（LOCKING）。 目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应允许多个用户并行操作的数据库。数据库必须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。并发控制的主要方法是封锁技术（LOCKING）。 （1）数据库的备份 三种：冷备份、热备份、逻辑备份 （2）数据库的恢复 恢复的方法有： ①周期性的（如3天一次）对整个数据进行转储，把它复制到备份介质中，作为后备副本，以备恢复之用。 ②对数据库的每次修改，都记下修改前后的值，写入“运行日志”数集中，它与后备副本结合，可有效地恢复数据库。 （3）利用日志文件恢复事务 ①登记日志文件 ②事务恢复：利用日志文件恢复事务的过程分为两步： 扫描日志文件，找出哪些事务在故障发生时已经结束，哪些事务尚未结束。 对尚未结束的事务进行撤消处理，对已经结束的事务进行重做。 （1）突破script的限制 （2）对SQL的突破 （3）利用多语句执行漏洞 （4）SQL Server装完后自动创建一个管理用户sa，密码为空。 （5）数据库的利用。 （6）数据库里如何留后门。 （7）数据库扫描工具。 10.2.1 隐写术 10.1.2数字水印 将机密资料秘密地隐藏与一般的文件中，然后再通过网络传递。由于非法拦截者从网络上拦截下来的是伪装后的机密资料，并不像传统加密文件一样，看起来不是一堆不会激发非法拦截者破解机密资料动