數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施課件

1、數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施2目錄CONTENTS數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施軟件安全運(yùn)維作用軟件安全運(yùn)維措施1.2.2目錄數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施軟件安全運(yùn)維作用軟件軟件安全運(yùn)維作用3數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施數(shù)據(jù)系統(tǒng)的正常運(yùn)作依賴于數(shù)據(jù)系統(tǒng)軟件的正確運(yùn)行，但影響軟件安全運(yùn)行的因素很多，有的針對(duì)操作系統(tǒng)，有的針對(duì)數(shù)據(jù)系統(tǒng)軟件。如果軟件的安全問題不能得到良好和妥善的解決，數(shù)據(jù)系統(tǒng)建設(shè)必將失敗。軟件安全運(yùn)維作用3數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施數(shù)據(jù)系統(tǒng)4數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施軟件安全運(yùn)維措施操作系統(tǒng)的安全產(chǎn)品化軟件的安

2、全業(yè)務(wù)應(yīng)用軟件的安全Web應(yīng)用系統(tǒng)上傳漏洞和SQL注入防范Web應(yīng)用系統(tǒng)漏洞檢測(cè)技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)軟件安全運(yùn)行的建立考核重點(diǎn)4數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施軟件安全運(yùn)維措施操作系統(tǒng)操作系統(tǒng)的安全5數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施首先，必須構(gòu)造操作系統(tǒng)的安全模型（單級(jí)安全模型、多級(jí)安全模型、系統(tǒng)流模型等）和實(shí)施方法；其次，應(yīng)該采用諸如隔離、核化和環(huán)結(jié)構(gòu)（開放設(shè)計(jì)和完全中介）等安全科學(xué)的操作系統(tǒng)設(shè)計(jì)方法；最后，還需要建立和完善操作系統(tǒng)的評(píng)估標(biāo)準(zhǔn)、評(píng)價(jià)方法和測(cè)試質(zhì)量。040302操作系統(tǒng)的安全5數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施首先，必須操作系統(tǒng)的安全6數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措

3、施加強(qiáng)程序開發(fā)階段的安全控制，防止有意破壞并改善軟件的可靠性。在程序的使用過程中實(shí)行科學(xué)的安全控制制定規(guī)范的軟件開發(fā)標(biāo)準(zhǔn)，加強(qiáng)管理，對(duì)相關(guān)人員的職責(zé)進(jìn)行有效監(jiān)督，改善軟件的可用性和可維護(hù)性操作系統(tǒng)中常見后門的處理方法：操作系統(tǒng)的安全6數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施加強(qiáng)程序開產(chǎn)品化軟件的安全7數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施1234產(chǎn)品軟件根據(jù)應(yīng)用軟件的需求和服務(wù)器硬件構(gòu)架選擇安裝合適的操作系統(tǒng)，服務(wù)器操作系統(tǒng)軟件應(yīng)當(dāng)定期更新操作系統(tǒng)的安全升級(jí)補(bǔ)丁。服務(wù)器應(yīng)當(dāng)安裝防病毒軟件，系統(tǒng)管理人員要定期更新防病毒軟件補(bǔ)丁和病毒特征庫。系統(tǒng)管理人員要為防病毒軟件定制自動(dòng)病毒掃描策略，定期檢查策略的執(zhí)行

4、情況。服務(wù)器應(yīng)當(dāng)安裝防火墻軟件，系統(tǒng)管理人員要定期為防火墻軟件更新補(bǔ)丁。系統(tǒng)管理人員要為防火墻軟件配置出入操作系統(tǒng)的防火墻安全防護(hù)策略，阻止可疑的不安全訪問。系統(tǒng)管理人員要定期對(duì)服務(wù)器操作系統(tǒng)進(jìn)行安全檢查（建議每周一次）并出具書面檢查報(bào)告。產(chǎn)品化軟件的安全7數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施1234業(yè)務(wù)應(yīng)用軟件的安全8數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施010203因劣質(zhì)軟件而產(chǎn)生安全問題時(shí)，最理想的情況下軟件安全是組織成員共同的責(zé)任，較現(xiàn)實(shí)的解決方案是將責(zé)任和義務(wù)交給特定的小組。實(shí)施數(shù)據(jù)系統(tǒng)軟件安全計(jì)劃，可以雇用外部的咨詢?nèi)藛T來建立一個(gè)小組，也可以培養(yǎng)操縱數(shù)據(jù)系統(tǒng)軟件最熟悉的人員，成為軟件安全

5、員應(yīng)用系統(tǒng)服務(wù)器安裝了數(shù)據(jù)系統(tǒng)軟件，服務(wù)器密碼要由專人負(fù)責(zé)持有，不得轉(zhuǎn)讓他人，密碼要符合復(fù)雜性要求且定期修改。業(yè)務(wù)應(yīng)用軟件的安全8數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施010Web應(yīng)用系統(tǒng)上傳漏洞和SQL注入防范9數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施防范上傳漏洞SQL注入防范不僅要靠打補(bǔ)丁和安裝防火墻，在軟件開發(fā)程序代碼上形成良好的編程規(guī)范和代碼檢測(cè)機(jī)制服務(wù)器端路徑參數(shù)盡可能使用常量，而不是變量加強(qiáng)安全配置，限制某些可執(zhí)行文件的執(zhí)行權(quán)限對(duì)于用戶提交的數(shù)據(jù)，應(yīng)該進(jìn)行全面檢查Web應(yīng)用系統(tǒng)上傳漏洞和SQL注入防范9數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟Web應(yīng)用系統(tǒng)漏洞檢測(cè)技術(shù)10數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施智能爬

6、蟲技術(shù)可以遍歷所有的網(wǎng)頁，從而達(dá)到分析整個(gè)應(yīng)用系統(tǒng)的目的01安全漏洞檢測(cè)技術(shù)利用爬蟲，對(duì)目標(biāo)系統(tǒng)的架構(gòu)進(jìn)行分析02安全漏洞驗(yàn)證技術(shù)對(duì)發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證03代碼審計(jì)代碼檢查，找出系統(tǒng)中可能存在的弱點(diǎn)04Web應(yīng)用系統(tǒng)漏洞檢測(cè)技術(shù)10數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維防火墻技術(shù)11數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施防火墻是放置在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道安全隔離防御系統(tǒng)，是為了防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問，用來阻擋外部不安全因素影響內(nèi)部的網(wǎng)絡(luò)屏障。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway）。防火墻主要由服務(wù)訪問控制

7、策略。防火墻按照嚴(yán)格的準(zhǔn)則來允許和阻止流量。防火墻防火墻技術(shù)11數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施防火墻是放置防火墻技術(shù)12數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施防止各種IP盜用和路由攻擊限定用戶訪問特殊站點(diǎn)把未授權(quán)用戶排除到受保護(hù)的網(wǎng)絡(luò)外，禁止脆弱的服務(wù)進(jìn)入或離開網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶防止入侵者接近防御設(shè)施為監(jiān)視Internet安全提供方便0104030205防火墻的主要作用：防火墻技術(shù)12數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施防止各種IP入侵檢測(cè)技術(shù)13數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施入侵檢測(cè)技術(shù)（IDS）是指對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為（包括系統(tǒng)外部的入侵行為和內(nèi)部用戶的非法授權(quán)

8、行為）進(jìn)行識(shí)別和相應(yīng)處理，為了保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)13數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施入侵檢測(cè)技入侵檢測(cè)技術(shù)14數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施監(jiān)視、分析用戶及系統(tǒng)活動(dòng)識(shí)別反應(yīng)已方進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性入侵檢測(cè)手段系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)異常行為模式的統(tǒng)計(jì)分析審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為入侵檢測(cè)技術(shù)14數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施監(jiān)視、分析軟件安全運(yùn)行的建立考核重點(diǎn)15數(shù)據(jù)系統(tǒng)安全運(yùn)維之軟件安全運(yùn)維措施事件處理結(jié)果階段事前準(zhǔn)備階段解除安全問題后，運(yùn)維商是否提交準(zhǔn)確的分析報(bào)告，其內(nèi)容包括對(duì)風(fēng)險(xiǎn)的判定、分析、解決方案、預(yù)防或整改措施描述是否準(zhǔn)確，方法是否得當(dāng)?shù)葍?nèi)容。監(jiān)理人員應(yīng)監(jiān)督運(yùn)維商是否預(yù)見和預(yù)防到了系統(tǒng)軟件安全運(yùn)行的風(fēng)險(xiǎn)，是否有計(jì)劃和方案去解決，重要應(yīng)用軟件安全問