freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息系統(tǒng)安全保障(編輯修改稿)

2025-02-10 22:41 本頁面
 

【文章內(nèi)容簡介】 記錄應(yīng)受到保護避免受到未預期的刪除、修改或覆蓋; ? 用戶鑒別信息及與應(yīng)用信息所在的存儲空間,被釋放或再分配給其他用戶之前應(yīng)完全清除; ? 限制單個用戶對系統(tǒng)資源的最大使用額度。 操作系統(tǒng)安全 —— 要求 安全技術(shù)要求之 —— 數(shù)據(jù)庫安全 數(shù)據(jù)庫 ?版本更新與漏洞修補 ?口令質(zhì)量 ?用戶權(quán)限分配 ?存儲過程及函數(shù) 開放 ?安全審計 ?典型案例 ? 某單位內(nèi)網(wǎng)核心業(yè)務(wù) Oralce數(shù)據(jù)庫 :管理員密碼易猜測 (manager),內(nèi)部非授權(quán)人員可輕易進入數(shù)據(jù)庫查詢本無權(quán)訪問的業(yè)務(wù)信息、甚至刪除數(shù)據(jù)。 ? 85%的 Oracle數(shù)據(jù)庫 :都未設(shè) Oralce監(jiān)聽服務(wù)的密碼,導致局域網(wǎng)內(nèi)任何人都可隨意關(guān)閉數(shù)據(jù)庫對外服務(wù) 。 數(shù)據(jù)庫安全 —— 案例 ?具體安全要求 ? 定期更新數(shù)據(jù)庫版本,修補漏洞; ? 修改默認用戶的口令或禁止默認用戶訪問 ? 設(shè)置合理的口令長度、復雜性和更新周期; ? 取消不必要的權(quán)限開放,嚴格限制 Public角色權(quán)限; ? 禁用或刪除數(shù)據(jù)庫不需要的內(nèi)置存儲過程及函數(shù); ? 嚴格限制系統(tǒng)管理員及應(yīng)用系統(tǒng)用戶的權(quán)限分配,按照最小授權(quán)原則,分別授予不同用戶各自為完成自身承擔任務(wù)所需的最小權(quán)限; 數(shù)據(jù)庫安全 —— 要求 ?具體安全要求 ? 嚴格限制數(shù)據(jù)庫鏈接的設(shè)置; ? 對數(shù)據(jù)庫的安全事件進行審計,建議應(yīng)審計:用戶管理、審計功能啟動關(guān)閉、審計策略調(diào)整、權(quán)限變更、數(shù)據(jù)字典訪問、管理員用戶各項操作、對存儲重要信息的數(shù)據(jù)表的各項操作; ? 限制單個用戶對數(shù)據(jù)庫資源的最大使用額度 數(shù)據(jù)庫安全 —— 要求 安全技術(shù)要求之 —— 應(yīng)用平臺安全 應(yīng)用 平臺 ?版本更新與漏洞修補 ?默認 口令 ?默認 權(quán)限 開放 ?安全審計 ?…… ?典型案例 ? 2023年陜西省地震局門戶網(wǎng)站虛假信息發(fā)布: “今晚陜西等地會有強烈地震發(fā)生”, 網(wǎng)站后臺管理員弱口令被破解 。 ? 2023年寧波某政府網(wǎng)站被植入后門 :黑客利用 IIS6文件名解析漏洞 植入后門, 可以向 WEB目錄寫入任意內(nèi)容 ; ? 2023年 3月杭州某單位門戶網(wǎng)站被植入后門 :網(wǎng)站Tomcat服務(wù)后臺管理員默認密碼 (tomcat)未修改且對外開放,黑客上傳后門程序,可隨意對網(wǎng)站進行文件下載、刪除、修改。 應(yīng)用平臺安全 —— 案例 ?基本目標 ? Web服務(wù)、 應(yīng)用層服務(wù)、 郵件服務(wù)等通用應(yīng)用平臺應(yīng)該根據(jù)系統(tǒng) 總體 安全策略進行選擇和安全配置,并及時升級補丁包。安全配置的內(nèi)容包括:身份鑒別、用戶權(quán)限分配、口令質(zhì)量等 應(yīng)用平臺安全 —— 要求 ?具體安全要求(以 Web服務(wù)為例) ? 定期更新 Web服務(wù)軟件的補丁,修補高風險漏洞; ? 配置 Web服務(wù)的提示信息,不顯示 Web服務(wù)軟件和操作系統(tǒng)的版本和類型; ? 合理設(shè)置 Web服務(wù)的管理密碼,并定期更改 ? 禁止將 Web服務(wù)的管理界面開放至外網(wǎng) ? 禁止非授權(quán)用戶對 Web服務(wù)根目錄的訪問; ? 禁用或刪除默認安裝的應(yīng)用示例; ? 啟用 Web服務(wù)軟件日志功能,記錄合理的日志內(nèi)容; ? 限制對日志的訪問權(quán)限; ? 禁止匿名用戶在服務(wù)器上遠程運行可執(zhí)行文件 應(yīng)用平臺安全 —— 要求 安全技術(shù)要求之 —— 應(yīng)用軟件安全 應(yīng)用 軟件 ?應(yīng)具備 身份鑒別、用戶管理、訪問控制、運行審計 等基本安全功能,并定期進行版本維護及更新。 ?應(yīng)根據(jù)業(yè)務(wù)需求在應(yīng)用信息的 生成、處理、傳輸和存儲 等環(huán)節(jié)采取相應(yīng)的保護措施。 ?當采用密碼技術(shù)時,應(yīng)在密鑰的 產(chǎn)生、分配、銷毀、備份與恢復 等環(huán)節(jié)具備安全機制。 ?典型案例 ? iPad用戶信息泄漏: 2023年 6月 10日黑客團體Goatse Security 破解了 ATT網(wǎng)站的安全漏洞,獲得了大約 iPad用戶的注冊信息,包括 Email地址、 SIM卡串號 ? 浙江省政府門戶網(wǎng)站數(shù)據(jù)庫數(shù)據(jù)被刪除: 網(wǎng)站頁面代碼未對用戶輸入?yún)?shù)進行合法性檢查,存在 SQL注入漏洞,通過網(wǎng)頁刪除了后臺 Oracle數(shù)據(jù)庫所有表單; ? 2023年本市某單位網(wǎng)站考試報名系統(tǒng)數(shù)據(jù)泄露 :可通過 SQL注入繞過密碼驗證,可直接下載報考人姓名 /照片 /身份證號碼 /電話 /住址等隱私信息 應(yīng)用軟件安全 —— 案例 ?具體安全要求 —— 基本安全功能 ? 具有 身份鑒別 機制,根據(jù)應(yīng)用需求采取適當?shù)蔫b別機制來鑒別訪問用戶的身份,用戶身份唯一,并保證鑒別機制不可旁路; ? 如果采用口令鑒別機制,應(yīng)采用技術(shù)機制保證口令的質(zhì)量強度;如果采用密碼技術(shù)的鑒別機制,相關(guān)密碼技術(shù)應(yīng)符合國家密碼管理部門的規(guī)定; ? 具備鑒別失敗的處理機制。當不成功鑒別嘗試次數(shù)達到限定值時,系統(tǒng)應(yīng)鎖定用戶,并予以記錄和告警; ? 具備對不同角色用戶權(quán)限的分配和管理功能:權(quán)限分離原則、最小授權(quán)原則 應(yīng)用軟件安全 —— 要求 ?具體安全要求 —— 基本安全功能 ? 具備對用戶執(zhí)行的系統(tǒng)操作和重要業(yè)務(wù)操作的應(yīng)用審計 功能。審計記錄應(yīng)包括日期和時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等;審計記錄應(yīng)受到保護避免受到未預期的刪除、修改或覆蓋。 ? 發(fā)生錯誤時有出錯提示,并可以通過手工或自動方式從錯誤狀態(tài)恢復到正常狀態(tài); (可靠性保障 ) ? 當專用應(yīng)用軟件退出后,在本地機和服務(wù)器的有關(guān)目錄下不留下任何殘余文件; 應(yīng)用軟件安全 —— 要求 ?具體安全要求 —— 應(yīng)用數(shù)據(jù)保護 ? 信息生成環(huán)節(jié) :信息源 標識和鑒別 、遠程錄入加密、輸入數(shù)據(jù)合法性性檢驗 (如:引發(fā)溢出、注入等漏洞) 等 ? 信息處理環(huán)節(jié): 限制單一用戶多重并發(fā)會話 (防止暴力破解 )、 制定并執(zhí)行訪問控制策略 、 安全功能 不可旁路及容錯性 ? 信息傳輸環(huán)節(jié) :通過加密、簽名,實現(xiàn)保密性、完整性及抗抵賴性 (HTTPS、證書 ) ? 信息存儲環(huán)節(jié) :保密性、完整性 ? 保障數(shù)據(jù)庫的
點擊復制文檔內(nèi)容
教學課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1