系統安全性設計可以劃分為如下幾個層次:
程式設計安全性
程式部署及作業系統安全性
資料庫安全性
網路安全性
物理安全性
就程設計的安全性,針對現在大多系統的分布式結構,因為同時要面向不同地理位置,不同網路位址,不同級別,不同許可權的使用者提供服務,稍不留神就可能產生潛在的安全隱患,
如下是最常見的由設計不當產生的安全漏洞分類:
1、輸入驗證漏洞:嵌入到查詢字串、表單字段、cookie 和 http 頭中的惡意字串的攻擊。這些攻擊包括命令執行、跨站點指令碼(xss)、sql 注入和緩衝區溢位攻擊。
2、身份驗證漏洞:標識欺騙、密碼破解、特權提公升和未經授權的訪問。
3、授權漏洞:非法使用者訪問保密資料或受限資料、篡改資料以及執行未經授權的操作。
4、敏感資料保護漏洞:洩露保密資訊以及篡改資料。
5、日誌記錄漏洞:不能發現入侵跡象、不能驗證使用者操作,以及在診斷問題時出現困難。
對於以上的漏洞,可用的防範措施有:
1、針對輸入驗證漏洞,在後台**中必須驗證輸入資訊保安後,才能向服務層提交由使用者輸入產生的操作。
2、針對身份驗證漏洞,程式設計中,使用者身份資訊必須由伺服器內部的會話系統提供,避免通過表單提交和頁面引數的形式獲取使用者身份。
3、針對授權漏洞,在訪問保密資料或受限資料時,一定要根據使用者身份和相應的許可權配置來判斷操作是否允許。
4、針對敏感資料漏洞,在儲存敏感資料時,一定要採用合適的加密演算法來對資料進行加密。
5、針對日誌記錄漏洞,程式設計中,對改變系統狀態的操作,一定要記錄下盡可能詳細的操作資訊,以便操作記錄可溯源。
就程式部署及作業系統安全性而言,可用以下的防範措施:
1、無論部署於何種作業系統,需要保證作業系統在部署前,安裝了全部的安全公升級補丁,關閉了所有不需要的系統服務,只對外開放必須的埠
2、定期檢視所部署伺服器系統安全通告,及時安裝安全補丁。
3、定期檢查系統日誌,對可疑操作進行分析匯報。
4、應用伺服器程式在伺服器中檔案系統中的目錄結構位置應該盡量清晰。目錄命名需要盡可能的有意義。
5、應用伺服器程式不能以具有系統管理員許可權的作業系統使用者執行。最好能建立專門的作業系統使用者來執行應用伺服器。
就資料庫安全性而言,可用以下的防範措施:
1、資料庫監聽位址要有限制,只對需要訪問的網路位址進行監聽。
2、定資料庫備份制度。定期備份庫中的資料。
3、資料庫操作授權限制,對錶一級及其以上級別的資料庫操作授權不應對應用伺服器開放。
就網路安全性而言,可用以下的防範措施:
1、選用企業級防火牆。
2、根據具體網路環境,制定盡可能周密的防火牆規則。
3、需要在外網中傳輸的資料,應選用合適的加密演算法進行加密。
就物理安全性而言,可用以下的防範措施:
1、伺服器應部署於專業的資料機房,做好機房管理工作。
2、對於支援熱插拔的各種介面,需要在部署前在系統bios中關閉。伺服器在執行過程中,應該做好各種防護措施。
如何提高Linux系統安全性
1 取消不必要的服務 早期的unix版本中,每乙個不同的網路服務都有乙個服務程式在後台執行,後來的版本用統一的 etc inetd伺服器程式擔此重任。inetd是internetdaemon的縮寫,它同時監視多個網路埠,一旦接收到外界傳來的連線資訊,就執行相應的tcp或udp網路服務。由於受inet...
如何保障系統安全性
怎麼保證系統的安全性 1.md5加密使用者密碼 使用者密碼採用md5加密 2.cookies加密 儲存cookies時,對儲存於cookies中的資料採用了以md5加密為基礎,加入隨機加密因子的專用型改進加密演算法。cookies中儲存的資料不可能被截獲 3.sql注入防護 可設定四道安全防護 a ...
去掉xpcmdshell增加系統安全性
1.去掉xp cmdshell擴充套件過程的方法是使用如下語句 以下是 if exists select from dbo.sysobjects where id object id n dbo xpcmdshell and objectproperty id,n i tendedproc 1 ex...