freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息系統(tǒng)安全保障(編輯修改稿)

2025-02-10 22:41 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋; ? 用戶鑒別信息及與應(yīng)用信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶之前應(yīng)完全清除; ? 限制單個(gè)用戶對(duì)系統(tǒng)資源的最大使用額度。 操作系統(tǒng)安全 —— 要求 安全技術(shù)要求之 —— 數(shù)據(jù)庫(kù)安全 數(shù)據(jù)庫(kù) ?版本更新與漏洞修補(bǔ) ?口令質(zhì)量 ?用戶權(quán)限分配 ?存儲(chǔ)過(guò)程及函數(shù) 開放 ?安全審計(jì) ?典型案例 ? 某單位內(nèi)網(wǎng)核心業(yè)務(wù) Oralce數(shù)據(jù)庫(kù) :管理員密碼易猜測(cè) (manager),內(nèi)部非授權(quán)人員可輕易進(jìn)入數(shù)據(jù)庫(kù)查詢本無(wú)權(quán)訪問(wèn)的業(yè)務(wù)信息、甚至刪除數(shù)據(jù)。 ? 85%的 Oracle數(shù)據(jù)庫(kù) :都未設(shè) Oralce監(jiān)聽服務(wù)的密碼,導(dǎo)致局域網(wǎng)內(nèi)任何人都可隨意關(guān)閉數(shù)據(jù)庫(kù)對(duì)外服務(wù) 。 數(shù)據(jù)庫(kù)安全 —— 案例 ?具體安全要求 ? 定期更新數(shù)據(jù)庫(kù)版本,修補(bǔ)漏洞; ? 修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問(wèn) ? 設(shè)置合理的口令長(zhǎng)度、復(fù)雜性和更新周期; ? 取消不必要的權(quán)限開放,嚴(yán)格限制 Public角色權(quán)限; ? 禁用或刪除數(shù)據(jù)庫(kù)不需要的內(nèi)置存儲(chǔ)過(guò)程及函數(shù); ? 嚴(yán)格限制系統(tǒng)管理員及應(yīng)用系統(tǒng)用戶的權(quán)限分配,按照最小授權(quán)原則,分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限; 數(shù)據(jù)庫(kù)安全 —— 要求 ?具體安全要求 ? 嚴(yán)格限制數(shù)據(jù)庫(kù)鏈接的設(shè)置; ? 對(duì)數(shù)據(jù)庫(kù)的安全事件進(jìn)行審計(jì),建議應(yīng)審計(jì):用戶管理、審計(jì)功能啟動(dòng)關(guān)閉、審計(jì)策略調(diào)整、權(quán)限變更、數(shù)據(jù)字典訪問(wèn)、管理員用戶各項(xiàng)操作、對(duì)存儲(chǔ)重要信息的數(shù)據(jù)表的各項(xiàng)操作; ? 限制單個(gè)用戶對(duì)數(shù)據(jù)庫(kù)資源的最大使用額度 數(shù)據(jù)庫(kù)安全 —— 要求 安全技術(shù)要求之 —— 應(yīng)用平臺(tái)安全 應(yīng)用 平臺(tái) ?版本更新與漏洞修補(bǔ) ?默認(rèn) 口令 ?默認(rèn) 權(quán)限 開放 ?安全審計(jì) ?…… ?典型案例 ? 2023年陜西省地震局門戶網(wǎng)站虛假信息發(fā)布: “今晚陜西等地會(huì)有強(qiáng)烈地震發(fā)生”, 網(wǎng)站后臺(tái)管理員弱口令被破解 。 ? 2023年寧波某政府網(wǎng)站被植入后門 :黑客利用 IIS6文件名解析漏洞 植入后門, 可以向 WEB目錄寫入任意內(nèi)容 ; ? 2023年 3月杭州某單位門戶網(wǎng)站被植入后門 :網(wǎng)站Tomcat服務(wù)后臺(tái)管理員默認(rèn)密碼 (tomcat)未修改且對(duì)外開放,黑客上傳后門程序,可隨意對(duì)網(wǎng)站進(jìn)行文件下載、刪除、修改。 應(yīng)用平臺(tái)安全 —— 案例 ?基本目標(biāo) ? Web服務(wù)、 應(yīng)用層服務(wù)、 郵件服務(wù)等通用應(yīng)用平臺(tái)應(yīng)該根據(jù)系統(tǒng) 總體 安全策略進(jìn)行選擇和安全配置,并及時(shí)升級(jí)補(bǔ)丁包。安全配置的內(nèi)容包括:身份鑒別、用戶權(quán)限分配、口令質(zhì)量等 應(yīng)用平臺(tái)安全 —— 要求 ?具體安全要求(以 Web服務(wù)為例) ? 定期更新 Web服務(wù)軟件的補(bǔ)丁,修補(bǔ)高風(fēng)險(xiǎn)漏洞; ? 配置 Web服務(wù)的提示信息,不顯示 Web服務(wù)軟件和操作系統(tǒng)的版本和類型; ? 合理設(shè)置 Web服務(wù)的管理密碼,并定期更改 ? 禁止將 Web服務(wù)的管理界面開放至外網(wǎng) ? 禁止非授權(quán)用戶對(duì) Web服務(wù)根目錄的訪問(wèn); ? 禁用或刪除默認(rèn)安裝的應(yīng)用示例; ? 啟用 Web服務(wù)軟件日志功能,記錄合理的日志內(nèi)容; ? 限制對(duì)日志的訪問(wèn)權(quán)限; ? 禁止匿名用戶在服務(wù)器上遠(yuǎn)程運(yùn)行可執(zhí)行文件 應(yīng)用平臺(tái)安全 —— 要求 安全技術(shù)要求之 —— 應(yīng)用軟件安全 應(yīng)用 軟件 ?應(yīng)具備 身份鑒別、用戶管理、訪問(wèn)控制、運(yùn)行審計(jì) 等基本安全功能,并定期進(jìn)行版本維護(hù)及更新。 ?應(yīng)根據(jù)業(yè)務(wù)需求在應(yīng)用信息的 生成、處理、傳輸和存儲(chǔ) 等環(huán)節(jié)采取相應(yīng)的保護(hù)措施。 ?當(dāng)采用密碼技術(shù)時(shí),應(yīng)在密鑰的 產(chǎn)生、分配、銷毀、備份與恢復(fù) 等環(huán)節(jié)具備安全機(jī)制。 ?典型案例 ? iPad用戶信息泄漏: 2023年 6月 10日黑客團(tuán)體Goatse Security 破解了 ATT網(wǎng)站的安全漏洞,獲得了大約 iPad用戶的注冊(cè)信息,包括 Email地址、 SIM卡串號(hào) ? 浙江省政府門戶網(wǎng)站數(shù)據(jù)庫(kù)數(shù)據(jù)被刪除: 網(wǎng)站頁(yè)面代碼未對(duì)用戶輸入?yún)?shù)進(jìn)行合法性檢查,存在 SQL注入漏洞,通過(guò)網(wǎng)頁(yè)刪除了后臺(tái) Oracle數(shù)據(jù)庫(kù)所有表單; ? 2023年本市某單位網(wǎng)站考試報(bào)名系統(tǒng)數(shù)據(jù)泄露 :可通過(guò) SQL注入繞過(guò)密碼驗(yàn)證,可直接下載報(bào)考人姓名 /照片 /身份證號(hào)碼 /電話 /住址等隱私信息 應(yīng)用軟件安全 —— 案例 ?具體安全要求 —— 基本安全功能 ? 具有 身份鑒別 機(jī)制,根據(jù)應(yīng)用需求采取適當(dāng)?shù)蔫b別機(jī)制來(lái)鑒別訪問(wèn)用戶的身份,用戶身份唯一,并保證鑒別機(jī)制不可旁路; ? 如果采用口令鑒別機(jī)制,應(yīng)采用技術(shù)機(jī)制保證口令的質(zhì)量強(qiáng)度;如果采用密碼技術(shù)的鑒別機(jī)制,相關(guān)密碼技術(shù)應(yīng)符合國(guó)家密碼管理部門的規(guī)定; ? 具備鑒別失敗的處理機(jī)制。當(dāng)不成功鑒別嘗試次數(shù)達(dá)到限定值時(shí),系統(tǒng)應(yīng)鎖定用戶,并予以記錄和告警; ? 具備對(duì)不同角色用戶權(quán)限的分配和管理功能:權(quán)限分離原則、最小授權(quán)原則 應(yīng)用軟件安全 —— 要求 ?具體安全要求 —— 基本安全功能 ? 具備對(duì)用戶執(zhí)行的系統(tǒng)操作和重要業(yè)務(wù)操作的應(yīng)用審計(jì) 功能。審計(jì)記錄應(yīng)包括日期和時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等;審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋。 ? 發(fā)生錯(cuò)誤時(shí)有出錯(cuò)提示,并可以通過(guò)手工或自動(dòng)方式從錯(cuò)誤狀態(tài)恢復(fù)到正常狀態(tài); (可靠性保障 ) ? 當(dāng)專用應(yīng)用軟件退出后,在本地機(jī)和服務(wù)器的有關(guān)目錄下不留下任何殘余文件; 應(yīng)用軟件安全 —— 要求 ?具體安全要求 —— 應(yīng)用數(shù)據(jù)保護(hù) ? 信息生成環(huán)節(jié) :信息源 標(biāo)識(shí)和鑒別 、遠(yuǎn)程錄入加密、輸入數(shù)據(jù)合法性性檢驗(yàn) (如:引發(fā)溢出、注入等漏洞) 等 ? 信息處理環(huán)節(jié): 限制單一用戶多重并發(fā)會(huì)話 (防止暴力破解 )、 制定并執(zhí)行訪問(wèn)控制策略 、 安全功能 不可旁路及容錯(cuò)性 ? 信息傳輸環(huán)節(jié) :通過(guò)加密、簽名,實(shí)現(xiàn)保密性、完整性及抗抵賴性 (HTTPS、證書 ) ? 信息存儲(chǔ)環(huán)節(jié) :保密性、完整性 ? 保障數(shù)據(jù)庫(kù)的
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1