电子商务安全技术实用教程 课件第07章 电子商务软件系统安全

第七章电子商务软件系统安全7.1操作系统安全7.2数据库系统安全7.3Web网站系统安全7.4手机端系统安全

7.1操作系统安全7.1.1操作系统安全概述1.操作系统安全的重要性操作系统是管理整个计算机硬件与软件资源的程序，网络操作系统是网络系统的基础长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品2.操作系统安全主要内容（1）系统安全不允许未经核准的用户进入系统，主要采取的手段有注册和登录。（2）用户安全用户安全管理,是为用户分配文件“访问权限”而设计。（3）资源安全资源安全是通过系统管理员或授权的资源用户对资源属性的设置（4）通信网络安全用户身份验证和对等实体鉴别、访问控制、数据完整性、防抵赖、审计3.操作系统安全机制（1）硬件安全机制：存储保护：运行保护；I/O保护（2）身份鉴别：计算机系统对用户身份的标识与鉴别机制（3）访问控制：授权、确定访问权限、实施访问权限控制（4）最小特权原则：主体只能拥有与其操作相符的最小特权（5）可信通道：只能直接与可信计算机通信的一种机制（6）安全审计：对系统中的活动进行记录、检查或审核7.1.2Linux安全机制1.用户帐号用户帐号是用户的身份标志2.文件系统权限主要是通过设置文件的权限来实现的3.日志文件日志文件用来记录整个操作系统使用状况7.1.3WindowsServer安全机制1.系统登录：Windows要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。2．访问控制：允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。3．安全审计：提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。4．WINDOWSServer系列的安全策略：本地安全策略，域安全策略，域控制器安全策略。5．WindowsServer系列组的形式：从组的使用领域分为本地组、全局组和通用组三种形式。7.2数据库系统安全7.2.1数据库系统安全概述1.数据库系统的安全问题目前用于网站的数据库管理系统有Access、SQLServer、Oracle、Sybase、MySQL等。大多数关系数据库已经存在几十年了，都是相当成熟的产品。但由于其应用目的、环境等的不同，其安全性存在着不同程度的缺陷。2.数据库系统安全威胁（1）数据库数据量大，数据敏感度不同而且粒度很细（2）用户成分复杂（3）数据库操作的种类多，安全性要求也不同（4）推导控制问题，利用统计结果推导出高敏感度的原始数据（5）分布式数据库带来更多的安全问题（6）安全设计可能地降低对原数据库系统使用效率的影响图7-1数据库安全威胁示意图4.数据库安全技术（1）用户标识与鉴别（2）存取控制技术（3）隔离控制技术（4）加密技术（5）信息流向控制（6）审计（7）备份与恢复7.2.2SQL-Server安全机制1.SQLServer的安全体系SQLServer主要有四个部分组成：（1）数据定义语言：即SQLDDL，用于定义SQL模式、基本表、视图、索引等结构。（2）数据操纵语言：即SQLDML。数据操纵分成数据查询和数据更新两类。其中数据更新又分成插入、删除和修改三种操作。（3）嵌入式SQL语言的使用规定：这一部分内容涉及到SQL语句嵌入在宿主语言程序中的规则。（4）数据控制语言：即SQLDCL，这一部分包括对基本表和视图的授权、完整性规则的描述、事务控制等内容。SQLServer提供四层安全防线操作系统的安全防线：Windows操作系统的网络管理员负责建立用户组，设置账号并注册，同时决定不同用户对不同系统资源的访问级别。SQLServer的运行安全防线：通过登录账号设置来创建附加安全层。用户只有登录成功，才能与SQLServer建立一次连接。SQLServer数据库的安全防线：特定数据库都有自己的用户和角色，该数据库只能由它的用户或角色访问，其他用户无权访问其数据。SQLServer数据库对象的安全防线：可以对权限进行管理，保证合法用户即使进入了数据库也不能有超越权限的数据存取操作，即合法用户必须在自己的权限范围内进行数据操作。3.SQLServer安全策略（1）安全的密码策略（2）安全的帐号策略（3）加强数据库日志的记录（4）管理扩展存储过程（5）使用加密协议（6）防止探测、修改TCP/IP端口（7）对网络连接进行IP限制7.2.3Oracle的安全机制1．Oracle的安全体系（1）系统安全性（2）数据安全性（3）网络安全性2．Oracle的安全策略（1）用户管理（2）资源限定与口令管理（3）权限管理（4）角色管理（5）审计7.3Web网站系统安全电子商务网站的概念1.Web技术简介WorldWideWeb称为万维网，简称Web。它的基本结构是采用开放式的B/S（浏览器/服务器模式，相当于三层C/S模式：Client/Server）三个组成部分：服务器（Web服务器）客户接收机（Web浏览器）通讯协议（HTTP协议）常用的Web服务器软件（1）Apache：是世界使用排名第一的Web服务器软件（2）IIS：Internet信息服务（InternetInformationServer）是微软公司主推的服务器（3）Lighttpd：是由德国人JanKneschke领导开发的，基于BSD许可的开源WEB服务器软件（4）Tomcat：是Apache软件基金会的Jakarta项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成（5）小旋风：小旋风asp服务器软件是由残剑无敌在NETBOX核心下开发的一套强大简洁的ASPWEB服务器7.3.1Web网站的安全问题SQL注入跨站脚本攻击没有有效限制URL访问越权访问泄露配置信息不安全的加密存储传输层保护不足登录提示信息重复提交请求网页脚本错误7.3.2建立安全的Web网站（1）配置主机操作系统（2）合理配置Web服务器（3）设置Web服务器有关目录的权限（4）网页高效编程（5）Web网站的安全管理7.4手机端系统安全7.4.1安卓系统的安全1．安卓系统架构安卓（Android）系统是一种基于Linux内核和Java语言编程的、自由的、开源的操作系统。它主要用于移动设备，如智能手机和平板电脑，由Google公司和开放手机联盟开发。Android系统架构可以分为4层结构7.4手机端系统安全2．安卓系统的安全机制（1）用户识别和机构识别（2）权限管理（3）签名机制3．安卓系统的安全风险（1）非法获取安卓系统权限（2）缺乏认证机构的认证（3）密码安全问题（4）利用浏览器下载恶意软件（5）无线传送的风险（6）恶意软件的攻击4．安卓系统的安全对策（1）使用Android内建的安全功能（2）停用Wi-Fi自动连接（3）封锁官方应用商店以外的应用程序（4）接受授权要求时先确认（5）考虑安装有效的手机安全软件7.4.2移动App的安全1．App开发安全策略（1）应用安全（2）组件安全（3）运行时安全（4）通信安全。2．App应用安全策略（1）安装必要的手机安全软件（2）避免多个App使用相同的账号和密码。（3）避免到非官方的应用市场下载App（4）尽量不将自己的手机借给他人（5）不要轻易蹭网（6）不接听诈骗电话和诈骗短信本章小结电子商务系统与其他信息系统一样，除物理层、网络层外，软件系统主要由操作系统、数据库系统、应用系统（网站与交易平台）。网络操作系统是网络协议和网络服务得