數(shù)據(jù)庫(kù)及其應(yīng)用系統(tǒng)

第三章數(shù)據(jù)庫(kù)及其應(yīng)用系統(tǒng)的安全語(yǔ)義1本章概要

3.1安全的基本體系3.2系統(tǒng)安全基本原則3.3威脅模型3.4攻擊樹(shù)23.1安全的基本體系3.1.1安全的特征安全的五個(gè)基本特征:機(jī)密性：是防止信息泄漏給非授權(quán)個(gè)人、實(shí)體或過(guò)程，只允許授權(quán)用戶訪問(wèn)的特性。完整性：完整性是信息在未經(jīng)合法授權(quán)時(shí)不能被改變的特性，也就是數(shù)據(jù)在生成、存儲(chǔ)或傳輸過(guò)程中保證不被偶然或蓄意地刪除、修改、偽造、亂序、插入等破壞和丟失的特性。完整性要求保持?jǐn)?shù)據(jù)的原樣，即信息的正確生成、存儲(chǔ)和傳輸。3可用性：可用性是數(shù)據(jù)庫(kù)系統(tǒng)中，在需要時(shí)允許授權(quán)用戶或?qū)嶓w使用的特性；或者是不正常情況下能自我恢復(fù)及狀態(tài)保護(hù)，為授權(quán)用戶提供有效服務(wù)的特性。非抵賴(lài)性：非抵賴(lài)性也稱(chēng)作不可否認(rèn)性，即在數(shù)據(jù)庫(kù)系統(tǒng)的信息交互過(guò)程中所有參與者都不可能否認(rèn)或抵賴(lài)曾經(jīng)完成的操作的特性?？煽匦裕涸谑跈?quán)范圍內(nèi)控制信息流向和行為方式，對(duì)信息的傳播和信息的內(nèi)容具有控制能力。機(jī)密性、完整性和可用性是信息安全的核心三要素，也是數(shù)據(jù)庫(kù)安全的三要素。43.1.2基本安全服務(wù)安全服務(wù)的種類(lèi):鑒別服務(wù)：提供對(duì)通信中對(duì)等實(shí)體和數(shù)據(jù)來(lái)源的鑒別。也稱(chēng)為認(rèn)證服務(wù)。訪問(wèn)控制服務(wù)：訪問(wèn)控制業(yè)務(wù)的目標(biāo)是防止對(duì)任何資源的非法訪問(wèn)。所謂非法訪問(wèn)是指未經(jīng)授權(quán)的使用、泄露、銷(xiāo)毀以及發(fā)布等。包括合法授權(quán)用戶的非法訪問(wèn)。5機(jī)密性服務(wù)：是防止信息泄漏給非授權(quán)個(gè)人、實(shí)體或過(guò)程，只允許授權(quán)用戶訪問(wèn)的特性。完整性服務(wù)：數(shù)據(jù)完整性業(yè)務(wù)前面已經(jīng)給予簡(jiǎn)述，該業(yè)務(wù)主要是防止數(shù)據(jù)被非法增刪、修改或替代，從而改變數(shù)據(jù)的價(jià)值或存在?？沟仲?lài)服務(wù)：限制合法授權(quán)用戶的安全責(zé)任，為安全行為糾紛提供可以取證的憑據(jù)。6安全服務(wù)主要安全服務(wù)全稱(chēng)認(rèn)證（AU）對(duì)等實(shí)體認(rèn)證數(shù)據(jù)起源認(rèn)證訪問(wèn)控制（AC）自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制機(jī)密性（CO）連接機(jī)密性無(wú)連接機(jī)密性選擇字段機(jī)密性業(yè)務(wù)流機(jī)密性完整性（IN）可恢復(fù)的連接完整性不可恢復(fù)的連接完整性選擇字段的連接完整性無(wú)連接完整性選擇字段的無(wú)連接完整性非否認(rèn)（ND）數(shù)據(jù)起源的非否認(rèn)傳遞過(guò)程的非否認(rèn)73.1.3系統(tǒng)安全的八大機(jī)制數(shù)據(jù)加密機(jī)制訪問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制數(shù)字簽名機(jī)制鑒別交換機(jī)制業(yè)務(wù)填充機(jī)制路由控制機(jī)制公證機(jī)制8一、數(shù)據(jù)加密機(jī)制需要加密層選擇、加密算法選擇和密鑰管理。加密算法劃分為對(duì)稱(chēng)密碼體制和非對(duì)稱(chēng)密碼體制。密碼管理包括密鑰的產(chǎn)生、密鑰分配、銷(xiāo)毀、更新9二、訪問(wèn)控制機(jī)制訪問(wèn)控制的目的是防止對(duì)信息資源的非授權(quán)訪問(wèn)和非授權(quán)使用信息資源。它允許用戶對(duì)其常用的信息庫(kù)進(jìn)行適當(dāng)權(quán)限的訪問(wèn)，限制他隨意刪除、修改或拷貝信息文件。訪問(wèn)控制技術(shù)還可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡(luò)中的活動(dòng)，及時(shí)發(fā)現(xiàn)并拒絕“黑客”的入侵。10訪問(wèn)控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時(shí)，根據(jù)每個(gè)用戶的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）和基于角色的訪問(wèn)控制（RBAC）使用的技術(shù)是訪問(wèn)控制矩陣、權(quán)限、安全標(biāo)記、訪問(wèn)時(shí)間等。11三、數(shù)據(jù)完整性機(jī)制是保護(hù)數(shù)據(jù)，以免未授權(quán)的數(shù)據(jù)亂序、丟失、重放、插入和纂改。數(shù)據(jù)完整性機(jī)制的兩個(gè)方面單個(gè)數(shù)據(jù)單元或字段的完整性（不能防止單個(gè)數(shù)據(jù)單元的重放）數(shù)據(jù)單元串或字段串的完整性發(fā)送方接收方附加一個(gè)量比較這個(gè)量還要加上順序號(hào)、時(shí)間標(biāo)記和密碼鏈12對(duì)數(shù)據(jù)單元進(jìn)行簽名和校驗(yàn)。防止數(shù)據(jù)單元的偽造、假冒、篡改和否認(rèn)。傳統(tǒng)簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證傳數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求:能與所簽文件“綁定”

簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被自動(dòng)驗(yàn)證四、數(shù)字簽名機(jī)制13五、鑒別交換機(jī)制交換鑒別機(jī)制通過(guò)互相交換信息的方式來(lái)確定彼此的身份。用于交換鑒別的技術(shù)有：用于認(rèn)證交換的技術(shù)認(rèn)證信息，如口令密碼技術(shù)好被認(rèn)證實(shí)體的特征為防止重放攻擊，常與以下技術(shù)結(jié)合使用時(shí)間戳兩次或三次握手?jǐn)?shù)字簽名14六、路由控制機(jī)制路由控制機(jī)制可使信息發(fā)送者選擇特殊的路由，以保證連接、傳輸?shù)陌踩?。其基本功能為：路由選擇路由可以動(dòng)態(tài)選擇，也可以預(yù)定義，以便只用物理上安全的子網(wǎng)、中繼或鏈路進(jìn)行連接和/或傳輸；路由連接在監(jiān)測(cè)到持續(xù)的操作攻擊時(shí)，端系統(tǒng)可能同網(wǎng)絡(luò)服務(wù)提供者另選路由，建立連接；15安全策略攜帶某些安全標(biāo)簽的數(shù)據(jù)可能被安全策略禁止通過(guò)某些子網(wǎng)、中繼或路。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要求回避某些特定的子網(wǎng)、中繼或鏈路進(jìn)行連接和/或傳輸。16七、業(yè)務(wù)填充機(jī)制流量填充機(jī)制提供針對(duì)流量分析的保護(hù)。

所謂的業(yè)務(wù)填充即使在業(yè)務(wù)閑時(shí)發(fā)送無(wú)用的隨機(jī)數(shù)據(jù)，制造假的通信、產(chǎn)生欺騙性數(shù)據(jù)單元的安全機(jī)制。該機(jī)制可用于提供對(duì)各種等級(jí)的保護(hù)，用來(lái)防止對(duì)業(yè)務(wù)進(jìn)行分析，同時(shí)也增加了密碼通訊的破譯難度。發(fā)送的隨機(jī)數(shù)據(jù)應(yīng)具有良好的模擬性能，能夠以假亂真。該機(jī)制只有在業(yè)務(wù)填充受到保密性服務(wù)時(shí)才有效?？衫迷摍C(jī)制不斷地在網(wǎng)絡(luò)中發(fā)送偽隨機(jī)序列,使非法者無(wú)法區(qū)分有用信息和無(wú)用信息。例：某公司出售股票。17八、公證機(jī)制有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信的數(shù)據(jù)的性質(zhì),如完整性、原發(fā)、時(shí)間和目的地等能夠借助公證機(jī)制而得到確保。這種保證是由第三方公證人提供的。公證人為通信實(shí)體所信任,并掌握必要信息以一種可證實(shí)方式提供所需的保證。每個(gè)通信實(shí)例可使用數(shù)字簽名、加密和完整性機(jī)制以適應(yīng)公證人提供的服務(wù)。當(dāng)這種公證機(jī)制被用到時(shí),數(shù)據(jù)便在參與通信的實(shí)體之間經(jīng)由受保護(hù)的通信和公證方進(jìn)行通信。18安全服務(wù)與安全機(jī)制的關(guān)系安全服務(wù)是由安全機(jī)制來(lái)實(shí)現(xiàn)的一種安全機(jī)制可以實(shí)現(xiàn)一種或者多種安全服務(wù)一種安全服務(wù)可以由一種或者多種安全機(jī)制來(lái)實(shí)現(xiàn)19機(jī)制服務(wù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整性認(rèn)證交換業(yè)務(wù)流填充路由控制公證認(rèn)證對(duì)等實(shí)體認(rèn)證√√√數(shù)據(jù)起源認(rèn)證√√訪問(wèn)控制自主訪問(wèn)控制√強(qiáng)制訪問(wèn)控制√√機(jī)密性連接機(jī)密性√√無(wú)連接機(jī)密性√選擇字段機(jī)密性√業(yè)務(wù)流機(jī)密性√√√完整性可恢復(fù)的連接完整性√√不可恢復(fù)的連接完整性√√選擇字段的連接完整性√√無(wú)連接完整性√√√選擇字段的無(wú)連接完整性√√√非否認(rèn)數(shù)據(jù)起源的非否認(rèn)√√√傳遞過(guò)程的非否認(rèn)√√√安全服務(wù)與安全機(jī)制的關(guān)系20

3.1.4WebServices安全服務(wù)一、WebServices概念WebServices定義：WebServices是自包含的、模塊化的應(yīng)用程序，它可以在網(wǎng)絡(luò)(通常為Web)中被描述、發(fā)布、查找以及調(diào)用。所謂Web服務(wù)，它是指由企業(yè)發(fā)布的完成其特別商務(wù)需求的在線應(yīng)用服務(wù)，其他公司或應(yīng)用軟件能夠通過(guò)Internet來(lái)訪問(wèn)并使用這項(xiàng)應(yīng)用服務(wù)。

21WebServices與WebService的區(qū)別：

WebServices是用于建構(gòu)WebService的技術(shù)框架，WebService是使用WebServices技術(shù)而創(chuàng)建的應(yīng)用實(shí)例。目的：WebService主要是為了使原來(lái)各孤立的站點(diǎn)之間的信息能夠相互通信、共享而提出的一種接口。這有助于大量異構(gòu)程序和平臺(tái)之間的互操作性，從而使存在的應(yīng)用程序能夠被廣泛的用戶訪問(wèn)。22完好的封裝性：WebServices具備對(duì)象的良好封裝性，使用者能且僅能看到該對(duì)象提供的功能列表。也可認(rèn)為是存在于Web服務(wù)器上的一組程序，這組程序被封裝成一個(gè)暗箱，對(duì)外提供一個(gè)能通過(guò)Web進(jìn)行調(diào)用的API接口，可用編程來(lái)調(diào)用它，其執(zhí)行結(jié)果被回傳到客戶端。WebServices對(duì)外封裝成由WSDL描述的服務(wù)，屏蔽了業(yè)務(wù)邏輯的復(fù)雜性、實(shí)現(xiàn)技術(shù)的多樣性和開(kāi)發(fā)平臺(tái)的異構(gòu)性。

松散耦合：當(dāng)一個(gè)Web服務(wù)的實(shí)現(xiàn)發(fā)生變更的時(shí)候，調(diào)用者是不會(huì)感到這一點(diǎn)的，對(duì)于調(diào)用者來(lái)說(shuō)，只要Web服務(wù)的調(diào)用界面不變，Web服務(wù)的實(shí)現(xiàn)任何變更對(duì)他們來(lái)說(shuō)都是透明的，用戶都可以對(duì)此一無(wú)所知。二、WebServices特征

23高度可集成能力：由于Web服務(wù)采取簡(jiǎn)單的、易理解的標(biāo)準(zhǔn)，Web協(xié)議作為組件界面描述和協(xié)同描述規(guī)范，完全屏蔽了不同軟件平臺(tái)的差異，無(wú)論是CORBA、DCOM還是EJB，都可以通過(guò)這一種標(biāo)準(zhǔn)的協(xié)議進(jìn)行互操作，實(shí)現(xiàn)了在當(dāng)前環(huán)境下最高的可集成性?？梢允褂萌魏握Z(yǔ)言(如C、C++、VB、VC等)來(lái)編寫(xiě)Web服務(wù)，開(kāi)發(fā)者無(wú)需更改他們的開(kāi)發(fā)環(huán)境就可以生產(chǎn)和使用Web服務(wù)。Web服務(wù)技術(shù)不僅易于理解，并且IBM、微軟等大的供應(yīng)商所提供的開(kāi)發(fā)工具能夠讓開(kāi)發(fā)者快速創(chuàng)建、部署Web服務(wù)，已有的COM(ComponentObjectModel組件對(duì)象模型)組件、JavaBean等也可方便地轉(zhuǎn)化為Web服務(wù)。

使用協(xié)議的規(guī)范性：這一特征從對(duì)象而來(lái)，但相比一般對(duì)象，其界面更加規(guī)范化和易于機(jī)器理解。這種良好的安全開(kāi)放性使得以WebService構(gòu)建電子商務(wù)獨(dú)立安全系統(tǒng)成為發(fā)展的新趨勢(shì)。為實(shí)現(xiàn)不同商業(yè)企業(yè)間的應(yīng)用系統(tǒng)提供動(dòng)態(tài)安全集成，體現(xiàn)電子商務(wù)的真正價(jià)值。

24WebServices體系架構(gòu)中的角色包括如下三種：服務(wù)提供者：提供服務(wù)，它在服務(wù)代理處注冊(cè)以配置和發(fā)布服務(wù)，等待服務(wù)可用。服務(wù)請(qǐng)求者：Web服務(wù)請(qǐng)求者就是Web功能的使用者，它使用查找操作來(lái)從服務(wù)代理者檢索服務(wù)描述，然后與服務(wù)提供者綁定并調(diào)用Web服務(wù)或同它交互。服務(wù)請(qǐng)求者角色可以由瀏覽器來(lái)?yè)?dān)當(dāng)，由人或無(wú)用戶界面的程序(例如，另外一個(gè)Web服務(wù))來(lái)控制它。三、WebServices的體系架構(gòu)25服務(wù)注冊(cè)中心（服務(wù)代理）：服務(wù)交換所，服務(wù)提供者和服務(wù)請(qǐng)求者之間的媒體將二者聯(lián)系在一起，該角色可選。2627Web服務(wù)的應(yīng)用程序三個(gè)操作：發(fā)布：為了使服務(wù)可訪問(wèn)，需要發(fā)布服務(wù)描述以使服務(wù)請(qǐng)求者可以查找它。還可以撤銷(xiāo)發(fā)布。

查找：服務(wù)請(qǐng)求者直接檢索服務(wù)描述或在服務(wù)注冊(cè)中心中查詢(xún)所要求的服務(wù)類(lèi)型。運(yùn)行時(shí)為了調(diào)用而檢索服務(wù)的綁定和位置描述。綁定：最后需要調(diào)用服務(wù)。在綁定操作中，服務(wù)請(qǐng)求者使用服務(wù)描述中的綁定細(xì)節(jié)來(lái)定位、聯(lián)系和調(diào)用服務(wù)，從而在運(yùn)行時(shí)調(diào)用或啟動(dòng)與服務(wù)的交互。[例]：學(xué)生身份驗(yàn)證模塊的共享實(shí)現(xiàn)。283.1.5WebServices安全機(jī)制WebServices的安全機(jī)制構(gòu)筑在現(xiàn)有安全機(jī)制上。包括下面七種安全機(jī)制：29一、XML數(shù)字簽名：

XML數(shù)字簽名：以便接收方可以證明消息發(fā)送方的身份，從而保證你的消息是來(lái)自特定方并確保XML文檔內(nèi)的內(nèi)容沒(méi)有發(fā)生改變，以保證數(shù)據(jù)完整性。

XML加密的特點(diǎn)：XMLSignature可以對(duì)任何能夠以URI形式定位的資源做簽名。既包括與簽名同在一個(gè)XML文件中的元素，也包括其他XML文件中的元素，甚至可以是非XML形式的資源(比如一個(gè)圖形文件)，只要能被URI定位到的資源都可以應(yīng)用XMLSignature.這也代表了XML簽名的對(duì)象可以是動(dòng)態(tài)變化的。30可以對(duì)XML文件中的任一元素做簽名，也可以對(duì)整個(gè)文件做簽名。實(shí)現(xiàn)對(duì)同一份XML文檔的不同部分使用多于一種的數(shù)字簽名。不僅僅在文檔傳送和通信的時(shí)候使用簽名，還要使簽名能夠持久保留。既可以用非對(duì)稱(chēng)密鑰做簽名，也可以用對(duì)稱(chēng)密鑰做簽名。31二、XML加密XML加密：規(guī)定了數(shù)據(jù)加密并使用XML表示結(jié)果的過(guò)程。加密可以作用于任何地方。包括XML文檔。XML加密的特點(diǎn)：W3C制定的新規(guī)范可以對(duì)某個(gè)文檔選定的部分進(jìn)行加密。支持對(duì)任意數(shù)字內(nèi)容的加密，包括XML文檔。確保經(jīng)過(guò)加密的數(shù)據(jù)不管是在傳輸過(guò)程中還是在存儲(chǔ)時(shí)，都不能被未經(jīng)授權(quán)的人員訪問(wèn)到。32三、XML密鑰管理XML密鑰管理（XKMS）：分發(fā)及管理在端點(diǎn)之間進(jìn)行安全通信所需的密鑰。對(duì)互聯(lián)網(wǎng)信息進(jìn)行加密、解密、簽名和驗(yàn)證。

XKMS由兩種服務(wù)組成：公鑰的定位和查詢(xún)等服務(wù)：即還原某一個(gè)加密的鑰匙，以和另一個(gè)人進(jìn)行安全通信。公鑰的注冊(cè)：用來(lái)發(fā)布或重新發(fā)布，或廢除鑰匙。

XKMS一般用于與公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）技術(shù)結(jié)合，以簡(jiǎn)化公鑰的注冊(cè)、管理和查詢(xún)服務(wù)，減少客戶端應(yīng)用程序設(shè)置的復(fù)雜性，降低與PKI建立信任關(guān)系的復(fù)雜度。33XKMS有如下好處。減少應(yīng)用程序的復(fù)雜性容易編碼方便新PKI技術(shù)的部署34四、SAML安全機(jī)制SAML是安全性斷言標(biāo)記語(yǔ)言（SecurityAssertionMarkupLanguage，SAML）是用來(lái)以XML消息傳輸認(rèn)證和授權(quán)信息的協(xié)議。它可以用來(lái)提供單點(diǎn)登錄Web服務(wù)、認(rèn)證和授權(quán)。允許不同安全系統(tǒng)產(chǎn)生的信息進(jìn)行交換。35SAML三個(gè)基本組件：斷言：都是關(guān)于用戶（人或計(jì)算機(jī)）的一個(gè)或多個(gè)事實(shí)的聲明。協(xié)議：這個(gè)協(xié)議定義了SAML請(qǐng)求和接收斷言的方式。例如，SAML目前支持HTTP上的SOAP。綁定：詳細(xì)描述了SAML請(qǐng)求應(yīng)如何映射到HTTP上的SOAP消息交換的傳輸協(xié)議。SAML

三種斷言類(lèi)型：認(rèn)證斷言：驗(yàn)證用戶的身份。屬性斷言：用戶的特殊信息，如他的信用額度。授權(quán)斷言：標(biāo)識(shí)了用戶具有哪些合法權(quán)限。36SAML的工作原理工作原理：用戶瀏覽器訪問(wèn)認(rèn)證服務(wù)器，認(rèn)證服務(wù)器詢(xún)問(wèn)用戶ID和口令。用戶輸入ID和口令。認(rèn)證服務(wù)器檢查L(zhǎng)DAP目錄，然后認(rèn)證最終用戶。用戶從目的Web服務(wù)器請(qǐng)求資源，認(rèn)證服務(wù)器開(kāi)始與目的Web服務(wù)器的一次會(huì)話。認(rèn)證服務(wù)器給最終用戶發(fā)送URI，最終用戶的瀏覽器被指向URI，URI將最終用戶聯(lián)接到Web服務(wù)。

37SAML的優(yōu)點(diǎn):使用SAML標(biāo)準(zhǔn)作為安全認(rèn)證和共享資料的中間語(yǔ)言，能夠在多個(gè)站點(diǎn)之間實(shí)現(xiàn)單點(diǎn)登錄。SAML針對(duì)不同的安全系統(tǒng)提供了一個(gè)共有的框架，允許企業(yè)及其供應(yīng)商、客戶與合作伙伴進(jìn)行安全的認(rèn)證、授權(quán)和基本信息交換。由于SAML是通過(guò)XML對(duì)現(xiàn)有的安全模式進(jìn)行描述，因此它是一個(gè)中立的平臺(tái)。SAML的消息格式能夠從一個(gè)源站點(diǎn)(SAML認(rèn)證管理機(jī)構(gòu))將斷言發(fā)送給一個(gè)接受者。用戶合作中的事務(wù)處理速度得到加快，簡(jiǎn)化認(rèn)證環(huán)境的復(fù)雜性。

38

單點(diǎn)登錄通常是指：用戶只需要在網(wǎng)絡(luò)中主動(dòng)地進(jìn)行一次身份認(rèn)證，隨后便可以訪問(wèn)其被授權(quán)的所有網(wǎng)絡(luò)資源而不需要再主動(dòng)參與其他的身份認(rèn)證過(guò)程。39單點(diǎn)登陸的原理：瀏覽器請(qǐng)求中心認(rèn)證服務(wù)器，將用戶名和密碼傳遞給中心認(rèn)證服務(wù)器。中心認(rèn)證服務(wù)器驗(yàn)證成功之后，查找數(shù)據(jù)庫(kù)里此用戶名和密碼對(duì)應(yīng)的信息，根據(jù)這些信息生成一個(gè)令牌返回給瀏覽器。瀏覽器再用token訪問(wèn)應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)收到token之后，再用收到的token訪問(wèn)中心認(rèn)證服務(wù)器，中心認(rèn)證服務(wù)器通過(guò)這個(gè)token查找數(shù)據(jù)庫(kù)，從而能夠找到對(duì)應(yīng)應(yīng)用系統(tǒng)的用戶名和密碼，然后將這個(gè)用戶名和密碼返回給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)再收到的用戶名和密碼進(jìn)行登錄。

40五、XACML機(jī)制可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言XACML（ExtensibleAccessControlMarkupLanguage）由OASIS

2003年2月批準(zhǔn)了一種新的標(biāo)記語(yǔ)言，

XACML定義了一種通用的用于保護(hù)資源的策略語(yǔ)言和一種訪問(wèn)決策語(yǔ)言。XACML提供一套語(yǔ)法（使用XML定義）來(lái)管理對(duì)系統(tǒng)資源的訪問(wèn)。XACML的功能：用XACML來(lái)編寫(xiě)訪問(wèn)策略

，管理訪問(wèn)策略并根據(jù)策略

確定是否允許對(duì)某資源的訪問(wèn)。

41

XACML定義了4個(gè)主要實(shí)體：

PAP——策略管理點(diǎn)（PolicyAdministrationPoint）——基本上是一個(gè)存放策略的倉(cāng)庫(kù)。PIP——策略信息點(diǎn)（PolicyInformationPoint）——目錄或者其他身份證明（identity）的供應(yīng)者。PIP可提供被訪問(wèn)的資源的屬性，以及試圖訪問(wèn)該資源的實(shí)體（身份證明）。42PDP——策略決策點(diǎn)（PolicyDecisionPoint）——這個(gè)組件負(fù)責(zé)對(duì)訪問(wèn)授權(quán)的決策。PDP使用從PAP獲得的策略以及從PIP獲得的附加信息來(lái)進(jìn)行決策。PEP——策略實(shí)施點(diǎn)（PolicyEnforcementPoint）——這個(gè)組件負(fù)責(zé)接收對(duì)授權(quán)的請(qǐng)求。PEP向PDP發(fā)送XAXML請(qǐng)求，然后根據(jù)PDP的決策來(lái)行動(dòng)。

43

XACML的工作原理：某主體想對(duì)某個(gè)資源如文件系統(tǒng)或者Web服務(wù)器采取某種操作。該主體向該實(shí)體提交查詢(xún)，該實(shí)體名為策略執(zhí)行點(diǎn)(PEP)。PEP使用XACML請(qǐng)求語(yǔ)言生成請(qǐng)求。PEP把該請(qǐng)求發(fā)送到策略決策點(diǎn)(PDP)，PDP會(huì)檢查請(qǐng)求、檢索適用于該請(qǐng)求的策略再根據(jù)評(píng)估策略的XACML規(guī)則，確定要不要授予訪問(wèn)權(quán)。這個(gè)響應(yīng)返回給PEP，PEP允許或者拒絕請(qǐng)求方的訪問(wèn)。一旦按照策略完成了評(píng)估，就會(huì)返回一個(gè)是真或者是假的邏輯值表示是否允許接入，這個(gè)認(rèn)證決定聲明返回后，就會(huì)執(zhí)行相應(yīng)的操作。

44

XACML的工作原理45XACML優(yōu)點(diǎn)：XACML是標(biāo)準(zhǔn)。標(biāo)準(zhǔn)通過(guò)了大量專(zhuān)家和使用者審查，開(kāi)發(fā)者越是能輕松的通過(guò)標(biāo)準(zhǔn)語(yǔ)言來(lái)與其它應(yīng)用系統(tǒng)協(xié)作交互。XACML是通用的。這意味著可以在大多數(shù)環(huán)境中使用，而不只是在一些特殊的環(huán)境中或?qū)μ厥獾馁Y源可以使用。一個(gè)訪問(wèn)控制策略編寫(xiě)后，可以被很多不同類(lèi)型的應(yīng)用程序使用。XACML是分布式的。這意味著一個(gè)訪問(wèn)控制策略可以被編寫(xiě)為引用其它任意位置的其它策略。策略既可以分散管理又可以由XACML來(lái)處理如何正確的合并不同的子策略判斷結(jié)果，并作出統(tǒng)一的訪問(wèn)控制。46六、WSS安全機(jī)制Web服務(wù)安全WSS（WebServicesSecurity）標(biāo)準(zhǔn)由結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）開(kāi)發(fā)，WSS標(biāo)準(zhǔn)為確保在基于Web服務(wù)標(biāo)準(zhǔn)的應(yīng)用之間傳遞信息的安全提供了一個(gè)框架。WSS規(guī)定了如何保護(hù)在網(wǎng)絡(luò)上傳送的SOAP消息，包括驗(yàn)證、完整性保護(hù)和機(jī)密性。47WSS的操作方式：將WSS定義的名為security的安全元素，插入到SOAP頭里面。SOAP頭包含了運(yùn)用于該消息的驗(yàn)證、數(shù)字簽名和加密方面的所有信息。包括哪些數(shù)據(jù)被簽名，哪些數(shù)據(jù)被加密以及執(zhí)行這些操作的次序和使用的密鑰。通過(guò)WSS，發(fā)送方可以規(guī)定安全信息的創(chuàng)建和失效日期。通過(guò)安全元素，發(fā)送方告訴接收方各種信息，它為接收方提供了對(duì)消息進(jìn)行解密及驗(yàn)證所必不可少的信息，每個(gè)接收消息的節(jié)點(diǎn)可以包含一個(gè)安全元素。有時(shí)候客戶提供的ID證明格式和許可認(rèn)證格式不一致。如果采用WSS，可使連接多個(gè)網(wǎng)絡(luò)的用戶ID一次性通過(guò)認(rèn)證，或者可在兩個(gè)應(yīng)用軟件之間安全交換數(shù)據(jù)。48WSS的主要概念之一是令牌，令牌是一種數(shù)據(jù)結(jié)構(gòu)，新標(biāo)準(zhǔn)提供了一個(gè)把安全令牌同信息內(nèi)容聯(lián)系在一起的通用機(jī)制，而且可以擴(kuò)展到支持多種安全令牌格式。WSS使Web服務(wù)利用不同系統(tǒng)通過(guò)令牌分發(fā)密鑰和其他認(rèn)證信息成為可能。X.509證書(shū)和Kerberos規(guī)范以二進(jìn)制令牌傳送，而SAML機(jī)制和XrML許可證則是XML令牌。WSS還定義了用戶名令牌，使用戶名令牌可以與口令一起使用。當(dāng)令牌在一條消息中被使用一次以上時(shí)，WSS還提供一個(gè)安全令牌證書(shū)，指向用于不同環(huán)境的令牌。WSS允許有選擇地使用加密。譬如說(shuō)，它允許應(yīng)用防火墻檢查未經(jīng)加密的消息。49

3.2系統(tǒng)安全基本原則隔離原則最小特權(quán)原則縱深防御原則用戶輸入不信任原則關(guān)卡檢察原則失效保護(hù)原則最弱連接安全化原則建立默認(rèn)原則減少攻擊面原則50隔離原則：分解并減少攻擊面。采取措施：防火墻、最小特權(quán)賬戶、最小特權(quán)代碼。一、隔離原則

51最小特權(quán)：指的是“在完成某種操作時(shí)所賦予系統(tǒng)中每個(gè)主體（用戶或進(jìn)程）必不可少的特權(quán)”。每個(gè)用戶只能擁有剛夠完成工作的最小權(quán)限。最小特權(quán)原則規(guī)定：只授予執(zhí)行操作所必需的最少訪問(wèn)權(quán)，并且對(duì)于該訪問(wèn)權(quán)只準(zhǔn)許用所需的最少時(shí)間。二、最小特權(quán)原則：

52縱深防御原則：采取多種有效防御措施促使攻擊擱淺。思想：使用多重防御策略來(lái)管理風(fēng)險(xiǎn)，以便在一層防御不夠時(shí)，在理想情況下，另一層防御將會(huì)阻止完全的破壞。三、縱深防御原則

53失效保護(hù)原則：系統(tǒng)失效時(shí)，保護(hù)敏感數(shù)據(jù)防止被任意訪問(wèn)。四、失效保護(hù)原則

54最弱連接安全化原則：強(qiáng)化系統(tǒng)最薄弱環(huán)節(jié)的安全監(jiān)測(cè)和緩解措施。意識(shí)到系統(tǒng)弱點(diǎn)，保護(hù)整個(gè)系統(tǒng)安全。五、最弱連接安全化原則

55用戶輸入不信任原則：用戶輸入是對(duì)目標(biāo)系統(tǒng)攻擊的主要武器。應(yīng)用程序應(yīng)該徹底驗(yàn)證所有用戶輸入，然后再根據(jù)用戶輸入執(zhí)行操作。六、用戶輸入不信任原則

56使用默認(rèn)安全原則：需要為系統(tǒng)安全提供默認(rèn)配置。如：默認(rèn)賬號(hào)、權(quán)限、策略。是簡(jiǎn)化系統(tǒng)的重要方式。創(chuàng)建安全的默認(rèn)值。七、使用默認(rèn)安全原則

57關(guān)卡檢查原則：及早實(shí)施認(rèn)證與授權(quán)。將攻擊阻止在第一道門(mén)檻之外。八、關(guān)卡檢查原則58減少攻擊面原則：禁用應(yīng)用程序不需要的模塊和組件、協(xié)議和服務(wù)。減少攻擊可利用的漏洞。九、減少攻擊面原則593.3威脅模型3.3.1常見(jiàn)威脅與對(duì)策

這一節(jié)我們從攻擊者的角度去考慮威脅，并了解他們可能采取的策略及攻擊的最終結(jié)果。以便在系統(tǒng)的設(shè)計(jì)和實(shí)施階段構(gòu)建適當(dāng)?shù)氖侄?，更加有效防御攻擊。首先使用STRIDE方法將這些威脅分類(lèi)。然后介紹了可能危及網(wǎng)絡(luò)、主機(jī)基礎(chǔ)結(jié)構(gòu)和應(yīng)用程序安全的最大威脅。有關(guān)這些威脅的知識(shí)和相應(yīng)的對(duì)策為威脅建模過(guò)程會(huì)提供必要的信息。

60一、STRIDE威脅類(lèi)型分類(lèi)：應(yīng)用程序所面臨的威脅可根據(jù)攻擊的目標(biāo)和目的進(jìn)行分類(lèi)。熟知這些威脅的類(lèi)別有助于您組織安全策略，從而對(duì)威脅作出規(guī)劃的響應(yīng)。STRIDE是Microsoft對(duì)不同威脅類(lèi)型進(jìn)行分類(lèi)所使用的首字母縮略語(yǔ)?？梢允褂肧TRIDE進(jìn)行威脅建模。STRIDE是六種威脅的字母縮略詞。假冒：Spoofing篡改：Tampering否認(rèn)：Repudiation信息泄漏：InformationDisclosure拒絕服務(wù)：DenialofService提升權(quán)限：ElevationofPrivilege61假冒：未授權(quán)的用戶冒充應(yīng)用程序的合法用戶?？梢允褂猛等〉挠脩魬{證或假的IP地址來(lái)實(shí)現(xiàn)。屬認(rèn)證范疇。竄改：攻擊者非法更改或毀壞數(shù)據(jù)。竄改數(shù)據(jù)是改變數(shù)據(jù)，不是信息揭露。屬完整性范疇。否認(rèn)：用戶否認(rèn)執(zhí)行了操作的能力。就攻擊者的觀點(diǎn)，否認(rèn)就是隱匿蹤跡，讓某件行為無(wú)法被追蹤，無(wú)法歸咎于肇事者。屬不可抵賴(lài)范疇。62信息泄露：敏感數(shù)據(jù)被泄露給本應(yīng)無(wú)權(quán)訪問(wèn)的人或位置。允許未授權(quán)的人取用敏感信息，像是信用卡號(hào)碼、密碼等。屬機(jī)密性范疇。服務(wù)阻斷（拒絕服務(wù)）：導(dǎo)致系統(tǒng)或用戶無(wú)法使用應(yīng)用程序的破壞行為。讓某種資源耗竭，例如網(wǎng)絡(luò)帶寬、處理器運(yùn)算能力、磁盤(pán)空間。屬可用性范疇。特權(quán)提升：將帳號(hào)的合法權(quán)限非法增加。比如嘗試用管理員的權(quán)限去做事情，就是屬于這種。屬授權(quán)范疇。63二、STRIDE危險(xiǎn)和對(duì)策假冒：用戶身份使用增強(qiáng)的身份驗(yàn)證。

強(qiáng)制執(zhí)行強(qiáng)大的口令政策。也就是說(shuō)，口令要定期變換，口令長(zhǎng)度最少為10位數(shù)并且包含字母和符號(hào)。不要以純文本形式存儲(chǔ)機(jī)密，口令加密。不用通過(guò)網(wǎng)絡(luò)傳遞純文本形式的憑證。

使用安全套接字層(SSL)保護(hù)身份驗(yàn)證Cookie。竄改數(shù)據(jù)：使用數(shù)據(jù)哈希和簽名。

使用數(shù)字簽名。使用增強(qiáng)的身份驗(yàn)證。

在通訊鏈接中使用反篡改協(xié)議。

使用提供消息完整性的協(xié)議來(lái)確保通訊鏈接的安全。

64否認(rèn)：創(chuàng)建安全的審核記錄。使用數(shù)字簽名。信息泄露：強(qiáng)認(rèn)證、強(qiáng)加密、機(jī)密性協(xié)議、杜絕明文傳遞安全憑證類(lèi)信息。服務(wù)阻斷：使用資源和帶寬調(diào)節(jié)技術(shù)。

驗(yàn)證并篩選輸入。特權(quán)提升：遵循最低特權(quán)的原則，使用最低特權(quán)服務(wù)帳戶來(lái)運(yùn)行進(jìn)程和訪問(wèn)資源。65三、攻擊方法的基本步驟調(diào)查和評(píng)估利用和滲透提升特權(quán)保留訪問(wèn)權(quán)拒絕服務(wù)66調(diào)查和評(píng)估:先后對(duì)潛在目標(biāo)進(jìn)行調(diào)查和評(píng)估。以識(shí)別和評(píng)估其特征。這些特征可能包括它所支持的服務(wù)和協(xié)議，以及潛在漏洞和入口點(diǎn)。攻擊者使用在調(diào)查和評(píng)估階段所收集的信息來(lái)規(guī)劃最初的攻擊。例如：攻擊者可以通過(guò)測(cè)試檢測(cè)跨站點(diǎn)腳本(XSS)的漏洞，以查看網(wǎng)頁(yè)中的控件是否會(huì)返回輸出。利用和滲透:對(duì)潛在目標(biāo)進(jìn)行調(diào)查后，下一步是利用和滲透。如果網(wǎng)絡(luò)和主機(jī)是完全安全的，則您的應(yīng)用程序（前門(mén)）將成為攻擊的下一渠道。對(duì)于攻擊者而言，進(jìn)入應(yīng)用程序最簡(jiǎn)便的方法是通過(guò)合法用戶使用的同一入口。例如：通過(guò)應(yīng)用程序的登錄頁(yè)面或不需要身份驗(yàn)證的頁(yè)面。67提升特權(quán)：攻擊者在通過(guò)向應(yīng)用程序插入代碼或創(chuàng)建與Microsoft?Windows?2000操作系統(tǒng)進(jìn)行的已驗(yàn)證身份的會(huì)話來(lái)設(shè)法危及應(yīng)用程序或網(wǎng)絡(luò)的安全后，他們立即嘗試提升特權(quán)。特別是，他們想得到Administrators組成員帳戶提供的管理特權(quán)。他們也尋求本地系統(tǒng)帳戶所提供的高級(jí)別特權(quán)。在整個(gè)應(yīng)用程序中使用特權(quán)最低的服務(wù)帳戶是針對(duì)特權(quán)提升攻擊的主要防御措施。而且，許多網(wǎng)絡(luò)級(jí)別的特權(quán)提升攻擊要求交互式的登錄會(huì)話。68保留訪問(wèn)權(quán)：獲得系統(tǒng)的訪問(wèn)權(quán)后，攻擊者采取措施使以后的訪問(wèn)更加容易，并且掩蓋其蹤跡。包括插入后門(mén)程序，或使用現(xiàn)有的缺少?gòu)?qiáng)大保護(hù)的帳戶。掩蓋蹤跡通常包括清除日志和隱藏工具。因此，審核日志是攻擊者的主要目標(biāo)。應(yīng)該確保日志文件的安全，而且應(yīng)該對(duì)其進(jìn)行定期分析。日志文件分析通常會(huì)揭露嘗試的入侵在進(jìn)行破壞之前的早期跡象。拒絕服務(wù)：無(wú)法獲得訪問(wèn)權(quán)的攻擊者通常裝入拒絕服務(wù)的攻擊，以防止其他攻擊者使用此應(yīng)用程序。對(duì)于其他攻擊者而言，拒絕服務(wù)選項(xiàng)是他們最初的目標(biāo)。例如SYN大量攻擊，其中攻擊者使用程序發(fā)送大量TCPSYN請(qǐng)求，來(lái)填充服務(wù)器上的掛起連接隊(duì)列。這樣便阻止了其他用戶建立網(wǎng)絡(luò)連接。69數(shù)據(jù)庫(kù)系統(tǒng)的安全除依賴(lài)自身內(nèi)部的安全機(jī)制外，還與外部網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關(guān)，因此，從廣義上講，數(shù)據(jù)庫(kù)系統(tǒng)的安全框架可以劃分為三個(gè)層次：網(wǎng)絡(luò)系統(tǒng)層次；宿主操作系統(tǒng)層次；數(shù)據(jù)庫(kù)管理系統(tǒng)層次。

這三個(gè)層次構(gòu)筑成數(shù)據(jù)庫(kù)系統(tǒng)的安全體系，與數(shù)據(jù)安全的關(guān)系是逐步緊密的，防范的重要性也逐層加強(qiáng)，從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。下面就安全框架的三個(gè)層次展開(kāi)論述。70四、網(wǎng)絡(luò)系統(tǒng)威脅和對(duì)策從廣義上講，數(shù)據(jù)庫(kù)的安全首先依賴(lài)于網(wǎng)絡(luò)系統(tǒng)。隨著Internet的發(fā)展和普及，越來(lái)越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移，各種基于網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)如雨后春筍般涌現(xiàn)出來(lái)，面向網(wǎng)絡(luò)用戶提供各種信息服務(wù)?？梢哉f(shuō)網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫(kù)應(yīng)用的外部環(huán)境和基礎(chǔ)，數(shù)據(jù)庫(kù)系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開(kāi)網(wǎng)絡(luò)系統(tǒng)的支持，數(shù)據(jù)庫(kù)系統(tǒng)的用戶（如異地用戶、分布式用戶）也要通過(guò)網(wǎng)絡(luò)才能訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫(kù)安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開(kāi)始的。71網(wǎng)絡(luò)入侵試圖破壞信息系統(tǒng)的完整性、機(jī)密性或可信任的任何網(wǎng)絡(luò)活動(dòng)的集合，具有以下特點(diǎn)：沒(méi)有地域和時(shí)間的限制，跨越國(guó)界的攻擊就如同在現(xiàn)場(chǎng)一樣方便。通過(guò)網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動(dòng)之中，隱蔽性強(qiáng)。入侵手段更加隱蔽和復(fù)雜。72組成網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的主要組件是路由器、防火墻和交換機(jī)。它們保護(hù)服務(wù)器和應(yīng)用程序免受攻擊和入侵。最危險(xiǎn)的網(wǎng)絡(luò)級(jí)別威脅包括：?信息搜集?偵聽(tīng)?哄騙?會(huì)話劫持?拒絕服務(wù)73信息收集：網(wǎng)絡(luò)設(shè)備和其他類(lèi)型的系統(tǒng)一樣可以被發(fā)現(xiàn)和分析。攻擊者通常從端口掃描開(kāi)始。他們?cè)谧R(shí)別開(kāi)放端口后，使用標(biāo)志攫取和枚舉來(lái)檢測(cè)設(shè)備類(lèi)型和確定操作系統(tǒng)及應(yīng)用程序版本。具備了這些信息后，攻擊者可以攻擊那些可能未使用安全修補(bǔ)程序更新的已知漏洞。防止收集信息的對(duì)策包括：配置路由器以限制它們對(duì)于跟蹤足跡請(qǐng)求的響應(yīng)。配置網(wǎng)絡(luò)軟件（如軟件防火墻）所駐留的操作系統(tǒng)，通過(guò)禁用不使用的協(xié)議和不需要的端口來(lái)防止跟蹤足跡。74偵聽(tīng)：偵聽(tīng)或偷聽(tīng)是指監(jiān)視網(wǎng)絡(luò)傳輸以獲取純文本形式的密碼或配置信息的行為。采用簡(jiǎn)單的數(shù)據(jù)包偵聽(tīng)器，攻擊者可以輕易讀取所有純文本通信。而且，攻擊者可以解開(kāi)采用輕量級(jí)哈希算法加密的數(shù)據(jù)包，并可以破譯您認(rèn)為安全的有效負(fù)荷。偵聽(tīng)數(shù)據(jù)包要求在服務(wù)器/客戶端通訊路徑中有一個(gè)數(shù)據(jù)包偵聽(tīng)器。有助于防止偵聽(tīng)的對(duì)策包括：使用增強(qiáng)的物理安全和合適的網(wǎng)絡(luò)分段。這是防止從本地收集通信的第一步。將通訊完全加密，包括身份驗(yàn)證憑證。這樣即可防止攻擊者使用偵聽(tīng)的數(shù)據(jù)包。SSL和IPSec（Internet協(xié)議安全）是加密解決方案的示例。75哄騙：哄騙是在網(wǎng)絡(luò)上隱藏真實(shí)身份的方法。為創(chuàng)建哄騙身份，攻擊者使用并不代表數(shù)據(jù)包真實(shí)地址的假的源地址。哄騙可用來(lái)隱藏攻擊者的原始來(lái)源，或者規(guī)避網(wǎng)絡(luò)訪問(wèn)控制列表(ACL)，該列表用以限制基于源地址規(guī)則的主機(jī)訪問(wèn)。盡管從來(lái)也無(wú)法追蹤到精心設(shè)計(jì)的哄騙數(shù)據(jù)包的發(fā)信人，但組合使用各種篩選規(guī)則可以防止在您的網(wǎng)絡(luò)上生成哄騙數(shù)據(jù)包，從而使您可以顯著地阻止哄騙數(shù)據(jù)包。防止哄騙的對(duì)策包括：篩選從您的外圍的內(nèi)部IP地址進(jìn)入的數(shù)據(jù)包。篩選從無(wú)效的本地IP地址傳出的數(shù)據(jù)包。76會(huì)話劫持：會(huì)話劫持也稱(chēng)為maninthemiddle，它欺騙服務(wù)器或客戶端接受上游主機(jī)為實(shí)際的合法主機(jī)。不是上游主機(jī)而是攻擊者主機(jī)操縱網(wǎng)絡(luò)，從而攻擊者的主機(jī)似乎成為期望的目標(biāo)。有助于防止會(huì)話劫持的對(duì)策包括：使用加密的會(huì)話協(xié)商。使用加密的通訊通道。讓自己能夠得到平臺(tái)修補(bǔ)程序通知，以消除TCP/IP漏洞，如可預(yù)測(cè)的數(shù)據(jù)包序列。77拒絕服務(wù)：拒絕服務(wù)拒絕合法用戶訪問(wèn)服務(wù)器或服務(wù)。SYN大量攻擊是網(wǎng)絡(luò)級(jí)別拒絕服務(wù)攻擊的典型示例。它容易啟動(dòng)且難以跟蹤。攻擊的目標(biāo)是向服務(wù)器發(fā)送多于其處理能力的請(qǐng)求。此攻擊利用TCP/IP連接建立機(jī)制的潛在漏洞，向服務(wù)器的掛起連接隊(duì)列發(fā)送大量數(shù)據(jù)。防止拒絕服務(wù)的對(duì)策包括：應(yīng)用最新的服務(wù)數(shù)據(jù)包。通過(guò)應(yīng)用合適的注冊(cè)表設(shè)置來(lái)強(qiáng)化TCP/IP堆棧，以增加TCP連接隊(duì)列的大小，減少連接建立時(shí)間，并采用動(dòng)態(tài)儲(chǔ)備機(jī)制來(lái)確保連接隊(duì)列不耗竭。使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)，因?yàn)樗茏詣?dòng)檢測(cè)并響應(yīng)SYN攻擊。78五、主機(jī)威脅和對(duì)策主機(jī)威脅存在于根據(jù)其建立應(yīng)用程序的系統(tǒng)軟件內(nèi)。其中包括Windows2000、Internet信息服務(wù)(IIS)、.NETFramework和SQLServer2000，具體取決于特定的服務(wù)器角色。最危險(xiǎn)的主機(jī)威脅包括：?病毒?特洛伊木馬和蠕蟲(chóng)病毒?跟蹤足跡?概要分析?密碼破解?拒絕服務(wù)?任意代碼執(zhí)行?未授權(quán)訪問(wèn)79病毒、特洛伊木馬和蠕蟲(chóng)病毒：病毒是一種設(shè)計(jì)用來(lái)執(zhí)行惡意操作并造成操作系統(tǒng)或應(yīng)用程序破壞的程序。特洛伊木馬與病毒類(lèi)似，不同的是它將惡意代碼包含在看起來(lái)無(wú)害的數(shù)據(jù)文件或可執(zhí)行程序內(nèi)。蠕蟲(chóng)病毒與特洛伊木馬類(lèi)似，不同的是它自行在服務(wù)器之間進(jìn)行復(fù)制。蠕蟲(chóng)病毒很難檢測(cè)，因?yàn)樗鼈兺ǔ２粍?chuàng)建可以看到的文件。通常在蠕蟲(chóng)病毒開(kāi)始消耗系統(tǒng)資源時(shí)注意到它，因?yàn)榇藭r(shí)系統(tǒng)速度減慢或其他應(yīng)用程序的執(zhí)行終止。紅色代碼蠕蟲(chóng)病毒是攻擊IIS的最臭名昭著的病毒；它依賴(lài)于特定ISAPI篩選器中的緩沖區(qū)溢出漏洞。80

盡管這三種威脅是實(shí)際攻擊，但是對(duì)以下對(duì)象構(gòu)成了嚴(yán)重的威脅：Web應(yīng)用程序、這些應(yīng)用程序所在的主機(jī)以及用以傳輸這些應(yīng)用程序的網(wǎng)絡(luò)。對(duì)任何系統(tǒng)的攻擊都可能取得成功，這是因?yàn)橄到y(tǒng)存在許多漏洞，如脆弱的默認(rèn)設(shè)置、軟件缺陷和Internet協(xié)議的固有漏洞。對(duì)病毒、特洛伊木馬和蠕蟲(chóng)病毒可以使用的對(duì)策包括：?通過(guò)最新的操作系統(tǒng)服務(wù)數(shù)據(jù)包和軟件修補(bǔ)程序保持最新?tīng)顟B(tài)。?禁用防火墻和主機(jī)上所有不必要的端口。?禁用不使用的功能，包括協(xié)議和服務(wù)。?強(qiáng)化脆弱的默認(rèn)配置設(shè)置。81跟蹤足跡：跟蹤足跡的示例有端口掃描、ping掃射和NetBIOS枚舉，攻擊者可使用這些方法來(lái)發(fā)現(xiàn)有價(jià)值的系統(tǒng)級(jí)別的信息，以準(zhǔn)備更重要的攻擊?？赡鼙桓欁阚E發(fā)現(xiàn)的信息類(lèi)型包括帳戶詳細(xì)信息、操作系統(tǒng)和其他軟件版本、服務(wù)器名稱(chēng)和數(shù)據(jù)庫(kù)方案的詳細(xì)信息。有助于防止跟蹤足跡的對(duì)策包括：?禁用不必要的協(xié)議。?采用相應(yīng)的防火墻配置來(lái)鎖定端口。?使用TCP/IP和IPSec篩選器以進(jìn)行深度防?配置IIS以防止通過(guò)標(biāo)志攫取泄漏信息。?使用可配置的IDS來(lái)識(shí)別跟蹤足跡模式并拒絕可疑通信。82密碼破解：如果攻擊者無(wú)法與服務(wù)器建立匿名連接，他或她將嘗試建立經(jīng)過(guò)身份驗(yàn)證的連接。因此，攻擊者必須知道一個(gè)有效的用戶名和密碼組合。如果您使用默認(rèn)帳戶名，則為攻擊者創(chuàng)造了開(kāi)始的機(jī)會(huì)。然后，攻擊者只需破解帳戶的密碼。使用空密碼或弱密碼會(huì)使攻擊者的工作變得更加容易。有助于防止密碼破解的對(duì)策包括：?對(duì)所有帳戶類(lèi)型使用強(qiáng)密碼。?對(duì)于最終用戶帳戶使用鎖定策略，以限制可用來(lái)猜密碼的重試次數(shù)。?不要使用默認(rèn)帳戶名，并且重命名標(biāo)準(zhǔn)帳戶，如管理員帳戶和許多Web應(yīng)用程序所使用的匿名Internet用戶帳戶。?審核失敗登錄是否屬于劫持密碼嘗試模式。83拒絕服務(wù)：以基礎(chǔ)結(jié)構(gòu)內(nèi)的幾個(gè)目標(biāo)為目的的許多方法都可以實(shí)現(xiàn)拒絕服務(wù)。在主機(jī)上，攻擊者可以通過(guò)強(qiáng)力攻擊應(yīng)用程序來(lái)中斷服務(wù)，或者攻擊者知道您的應(yīng)用程序所在的服務(wù)中或運(yùn)行服務(wù)器的操作系統(tǒng)中所存在的漏洞。有助于防止拒絕服務(wù)的對(duì)策包括：?以防止拒絕服務(wù)為目標(biāo)，配置您的應(yīng)用程序、服務(wù)和操作系統(tǒng)。?通過(guò)修補(bǔ)程序和安全更新保持最新?tīng)顟B(tài)。?針對(duì)拒絕服務(wù)，強(qiáng)化TCP/IP堆棧。?確保您的帳戶鎖定策略不能用來(lái)鎖定眾所周知的服務(wù)帳戶。?確保您的應(yīng)用程序能夠處理大容量通信，且設(shè)置了閾值以處理反常的高負(fù)載。?檢查您的應(yīng)用程序的故障轉(zhuǎn)移功能。?使用IDS可檢測(cè)潛在的拒絕服務(wù)攻擊。84任意代碼執(zhí)行：如果攻擊者可以在您的服務(wù)器上執(zhí)行惡意代碼，則攻擊者或者危及服務(wù)器資源的安全，或者繼續(xù)攻擊下游系統(tǒng)。如果攻擊者代碼運(yùn)行所在的服務(wù)器進(jìn)程越權(quán)，則任意代碼執(zhí)行所造成的危險(xiǎn)更大。常見(jiàn)漏洞包括弱IID配置和無(wú)修補(bǔ)程序的服務(wù)器，這將允許路徑遍歷和緩沖區(qū)溢出攻擊，都可能導(dǎo)致任意代碼執(zhí)行。有助于防止任意代碼執(zhí)行的對(duì)策包括：?將IIS配置為拒絕帶有“../”的URL，以防止路徑遍歷。?鎖定具有受限制的ACL的系統(tǒng)命令和實(shí)用程序。?通過(guò)修補(bǔ)程序和更新保持最新?tīng)顟B(tài)，以確保快速修補(bǔ)新近發(fā)現(xiàn)的緩沖區(qū)溢出。85未授權(quán)訪問(wèn)：不充分的訪問(wèn)控制會(huì)允許未授權(quán)用戶訪問(wèn)受限制的信息或執(zhí)行受限制的操作。常見(jiàn)漏洞包括弱IISWeb訪問(wèn)控制，其中包含Web權(quán)限和弱NTFS權(quán)限。有助于防止未授權(quán)訪問(wèn)的對(duì)策包括：?配置安全的Web權(quán)限。?鎖定具有受限制的NTFS權(quán)限的文件和文件夾。?在ASP.NET應(yīng)用程序內(nèi)使用.NETFramework訪問(wèn)控制機(jī)制，包括URL授權(quán)和主要權(quán)限要求。86六、應(yīng)用程序威脅和對(duì)策類(lèi)別威脅輸入驗(yàn)證緩沖區(qū)溢出；跨站點(diǎn)腳本；SQL插入；標(biāo)準(zhǔn)化身份驗(yàn)證網(wǎng)絡(luò)偷聽(tīng)；強(qiáng)力攻擊；字典攻擊；Cookie重播；憑證偷竊授權(quán)特權(quán)提升；機(jī)密數(shù)據(jù)泄漏；數(shù)據(jù)篡改；誘惑攻擊配置管理未授權(quán)訪問(wèn)管理界面；未授權(quán)訪問(wèn)配置存儲(chǔ)區(qū)；檢索明文配置數(shù)據(jù)；缺少各自的可說(shuō)明性；越權(quán)進(jìn)程和服務(wù)帳戶敏感數(shù)據(jù)訪問(wèn)存儲(chǔ)區(qū)中的敏感數(shù)據(jù)；網(wǎng)絡(luò)偷聽(tīng)；數(shù)據(jù)篡改會(huì)話管理會(huì)話劫持；會(huì)話重播；maninthemiddle攻擊加密不完善的密鑰生成或密鑰管理；弱加密或自定義加密參數(shù)操縱查詢(xún)字符串操縱：表格字段操縱；Cookie操縱；HTTP頭操縱異常管理信息泄漏；拒絕服務(wù)審核和記錄用戶拒絕執(zhí)行操作；攻擊者利用應(yīng)用程序而不留蹤跡；攻擊者掩蓋其蹤跡分析應(yīng)用程序級(jí)別威脅的較好方法是將其按照應(yīng)用程序漏洞類(lèi)別來(lái)組織。87輸入驗(yàn)證如果攻擊者發(fā)現(xiàn)您的應(yīng)用程序?qū)斎霐?shù)據(jù)的類(lèi)型、長(zhǎng)度、格式或范圍進(jìn)行了無(wú)理由的假設(shè)，則輸入驗(yàn)證是一個(gè)安全問(wèn)題。攻擊者然后便可提供精心設(shè)計(jì)的輸入，從而危及您的應(yīng)用程序的安全。當(dāng)網(wǎng)絡(luò)和主機(jī)級(jí)別入口點(diǎn)完全安全時(shí)，您的應(yīng)用程序所暴露的公共接口則成為攻擊的唯一來(lái)源。對(duì)您的應(yīng)用程序進(jìn)行輸入既是測(cè)試系統(tǒng)的方法，也是執(zhí)行對(duì)于攻擊者有益的代碼的方法。您的應(yīng)用程序會(huì)盲目信任輸入嗎？如果是這樣，則您的應(yīng)用程序可能容易受下列情況的影響：?緩沖區(qū)溢出?跨站點(diǎn)腳本?SQL插入?標(biāo)準(zhǔn)化下一部分將詳細(xì)說(shuō)明這些漏洞，包括使其成為可能的原因。883.3.2威脅建模威脅建模：威脅建模是一種系統(tǒng)性的方法，尋找威脅與弱點(diǎn)，對(duì)現(xiàn)存的威脅進(jìn)行識(shí)別和評(píng)估。從代表最強(qiáng)大風(fēng)險(xiǎn)的威脅開(kāi)始，按照邏輯順序使用相應(yīng)的對(duì)策破除攻擊。89資產(chǎn)：具有價(jià)值的資源，如數(shù)據(jù)庫(kù)中或文件系統(tǒng)上的數(shù)據(jù)，或者是系統(tǒng)資源。威脅：可能危害資產(chǎn)的潛在發(fā)生（惡意或非惡意）漏洞：使威脅成為可能的弱點(diǎn)。攻擊：所執(zhí)行的危害資產(chǎn)的操作。對(duì)策：用以解除威脅并減輕危險(xiǎn)的安全措施。一、威脅建模組成要素90威脅建模在系統(tǒng)設(shè)計(jì)的早期階段啟動(dòng)、貫穿于整個(gè)應(yīng)用程序生命周期的一個(gè)迭代過(guò)程。微軟威脅建模步驟：（共6步）一、微軟威脅建模過(guò)程91威脅模型的流程1.識(shí)別資產(chǎn)2.建立體系結(jié)構(gòu)概述3.分解應(yīng)用4.識(shí)別威脅5.將威脅存檔6.評(píng)估威脅結(jié)構(gòu)化的方法:辨別威脅找出對(duì)策92威脅建模過(guò)程概述識(shí)別資產(chǎn)：識(shí)別系統(tǒng)必須進(jìn)行保護(hù)的有價(jià)值的資產(chǎn)。創(chuàng)建體系結(jié)構(gòu)概述：使用簡(jiǎn)單的圖表可以將應(yīng)用程序的體系結(jié)構(gòu)記錄在文檔中，包括子系統(tǒng)、信任邊界和數(shù)據(jù)流。分解應(yīng)用程序：分解應(yīng)用程序的體系結(jié)構(gòu)（包括基礎(chǔ)網(wǎng)絡(luò)和主機(jī)構(gòu)造設(shè)計(jì)），以創(chuàng)建應(yīng)用程序的安全配置文件。安全配置文件旨在發(fā)現(xiàn)應(yīng)用程序的設(shè)計(jì)、實(shí)現(xiàn)或部署配置中的安全漏洞。93識(shí)別威脅：始終記住攻擊者的目標(biāo)、了解應(yīng)用程序的體系結(jié)構(gòu)和潛在的安全漏洞、識(shí)別可能影響應(yīng)用程序的威脅。用文檔記錄威脅：使用定義了一組核心屬性以捕獲每個(gè)威脅的常用威脅模板，將每個(gè)威脅記錄在文檔中。評(píng)估威脅：對(duì)威脅進(jìn)行評(píng)估，以便對(duì)威脅進(jìn)行優(yōu)先級(jí)排列，并首先致力于解決最明顯的威脅。這些威脅代表最強(qiáng)大的風(fēng)險(xiǎn)。評(píng)估過(guò)程對(duì)威脅的可能性進(jìn)行評(píng)估，以防止發(fā)生攻擊而帶來(lái)的損害。94威脅建模過(guò)程詳解：識(shí)別資產(chǎn)識(shí)別需要保護(hù)的資產(chǎn)。一般范圍包括后臺(tái)數(shù)據(jù)庫(kù)、中間商務(wù)邏輯與服務(wù)協(xié)同、前端應(yīng)用程序接口。例如，在后臺(tái)數(shù)據(jù)庫(kù)中，客戶訂單、訂單數(shù)據(jù)、資金帳戶數(shù)據(jù)等資產(chǎn)。在中間商務(wù)邏輯與服務(wù)協(xié)同中，資金流通事務(wù)中，資金流通事務(wù)、貨物流通事務(wù)、商務(wù)中介事務(wù)、法律委托事務(wù)等資產(chǎn)。在前端應(yīng)用接口中，網(wǎng)頁(yè)、GUI客戶端及其配置。95創(chuàng)建體系結(jié)構(gòu)概述此步驟的目標(biāo)是介紹應(yīng)用程序的功能、應(yīng)用程序的體系結(jié)構(gòu)、物理部署配置以及構(gòu)成解決方案的技術(shù)。您應(yīng)當(dāng)在應(yīng)用程序的設(shè)計(jì)或?qū)崿F(xiàn)中不斷查找潛在的安全漏洞。在該步驟中，需要執(zhí)行以下任務(wù)：識(shí)別應(yīng)用程序的功能。創(chuàng)建體系結(jié)構(gòu)圖表。識(shí)別技術(shù)。96識(shí)別應(yīng)用程序的功能識(shí)別應(yīng)用程序的功能以及應(yīng)用程序如何使用并訪問(wèn)資產(chǎn)。文檔使用案例來(lái)幫助您和其他人理解如何使用應(yīng)用程序，還可以幫助您避免應(yīng)用程序被錯(cuò)誤地使用。使用案例可以將應(yīng)用程序的功能放在具體環(huán)境中考慮。例：某自助員工人力資源應(yīng)用程序的一些樣例使用案例。員工將查看財(cái)務(wù)數(shù)據(jù)。員工將更新個(gè)人數(shù)據(jù)。經(jīng)理將查看員工詳細(xì)資料。97創(chuàng)建體系結(jié)構(gòu)圖表創(chuàng)建高水平的體系結(jié)構(gòu)圖表，用于說(shuō)明應(yīng)用程序的物理部署特性和應(yīng)用程序及其子系統(tǒng)的組成和結(jié)構(gòu)。根據(jù)系統(tǒng)的復(fù)雜性，您可能需要?jiǎng)?chuàng)建附加圖表，以著重說(shuō)明不同部分。例如，一個(gè)圖表用于構(gòu)造中級(jí)應(yīng)用程序服務(wù)器的體系結(jié)構(gòu)模型，另一個(gè)圖表用于構(gòu)造與外部系統(tǒng)交互作用的模型。98首先繪制一張草圖，用于說(shuō)明系統(tǒng)及其子系統(tǒng)的組成和結(jié)構(gòu)以及系統(tǒng)特性。然后，通過(guò)添加有關(guān)信任邊界、驗(yàn)證和驗(yàn)證機(jī)制的詳細(xì)信息來(lái)完善此圖，并注明何時(shí)需要這些信息。99應(yīng)用程序體系結(jié)構(gòu)圖

100識(shí)別技術(shù)識(shí)別是用于實(shí)現(xiàn)應(yīng)用程序的特定技術(shù)。將抽象的威脅映射為與技術(shù)細(xì)節(jié)相關(guān)的威脅，助于形成正確和最適合的緩解方案。當(dāng)前，數(shù)據(jù)庫(kù)應(yīng)用的常規(guī)技術(shù)包括ASP.Net、Web服務(wù)、企業(yè)服務(wù)、Microsoft遠(yuǎn)程.Net和ADO.Net、Java、JSP/PHP等。另外，識(shí)別技術(shù)容易忽略的因素是應(yīng)用程序?qū)⒄{(diào)用對(duì)不安全代碼的調(diào)用。101實(shí)現(xiàn)技術(shù)技術(shù)/平臺(tái)實(shí)現(xiàn)詳細(xì)信息MicrosoftWindowsAdvancedServer2000上的MicrosoftSQLServer包括登錄、數(shù)據(jù)庫(kù)用戶、用戶定義的數(shù)據(jù)庫(kù)功能、表、存儲(chǔ)的過(guò)程、視圖、約束和觸發(fā)器。Microsoft.NETFramework用于表單身份驗(yàn)證。安全的SocketsLayer(SSL)用于加密HTTP通信。102分解應(yīng)用程序在此步驟中，您將應(yīng)用程序分解，以便基于安全漏洞的傳統(tǒng)領(lǐng)域，創(chuàng)建應(yīng)用程序的安全配置文件。您還將產(chǎn)生識(shí)別信任邊界、數(shù)據(jù)流、入口點(diǎn)和特權(quán)代碼。對(duì)應(yīng)用程序了解得越深入，就越容易發(fā)現(xiàn)威脅。103應(yīng)用程序分解的目標(biāo)

104在該步驟中，需要執(zhí)行以下任務(wù)：識(shí)別信任邊界。識(shí)別數(shù)據(jù)流。識(shí)別入口點(diǎn)。識(shí)別特權(quán)代碼。說(shuō)明安全配置文件。105識(shí)別信任邊界識(shí)別包含應(yīng)用程序的每個(gè)有形資產(chǎn)的邊界。對(duì)于每個(gè)子系統(tǒng)，請(qǐng)考慮是否信任上游數(shù)據(jù)流或用戶輸入，如果不信任，請(qǐng)考慮如何對(duì)數(shù)據(jù)流和輸入進(jìn)行驗(yàn)證并授權(quán)。還要考慮是否信任函數(shù)調(diào)用，如果不信任，請(qǐng)考慮如何對(duì)函數(shù)調(diào)用進(jìn)行驗(yàn)證并授權(quán)。您必須能夠確保相應(yīng)的安全措施可以將所有入口點(diǎn)保護(hù)在特定的信任邊界內(nèi)，并確保所有入口點(diǎn)可以充分驗(yàn)證通過(guò)信任邊界的所有數(shù)據(jù)的有效性。106識(shí)別數(shù)據(jù)流簡(jiǎn)單的方法是從最高級(jí)別開(kāi)始，然后通過(guò)分析各個(gè)子系統(tǒng)之間的數(shù)據(jù)流來(lái)反復(fù)分解應(yīng)用程序。越過(guò)信任邊界的數(shù)據(jù)流是至關(guān)重要的，因?yàn)樵竭^(guò)了自己的信任邊界的代碼應(yīng)當(dāng)假定數(shù)據(jù)是惡意的并執(zhí)行數(shù)據(jù)有效性的完全驗(yàn)證。注意：數(shù)據(jù)流圖表(DFD)和順序圖表有助于對(duì)系統(tǒng)進(jìn)行正式的分解。107識(shí)別入口點(diǎn)應(yīng)用程序的入口點(diǎn)同時(shí)提供了攻擊的入口點(diǎn)。入口點(diǎn)可能包括用于偵聽(tīng)HTTP請(qǐng)求的前端Web應(yīng)用程序。此入口點(diǎn)本來(lái)是要暴露給客戶端。其他入口點(diǎn)（例如，由跨越應(yīng)用程序各個(gè)層的子組件所暴露的內(nèi)部入口點(diǎn)）的存在僅用于支持與其他組件之間的內(nèi)部通信。但是，您應(yīng)知道這些入口點(diǎn)的位置，以及它們接收的輸入的類(lèi)型，以防止攻擊者試圖繞過(guò)應(yīng)用程序的前門(mén)而直接攻擊內(nèi)部的入口點(diǎn)。108對(duì)于每個(gè)入口點(diǎn)，您應(yīng)當(dāng)能夠確定提供授權(quán)和驗(yàn)證級(jí)別的安全措施的類(lèi)型。邏輯應(yīng)用程序入口點(diǎn)包括網(wǎng)頁(yè)提供的用戶界面、Web服務(wù)提供的服務(wù)界面、服務(wù)組件和.NET遠(yuǎn)程組件以及提供異步入口點(diǎn)的消息隊(duì)列。物理或平臺(tái)入口點(diǎn)包括端口和Sockets。109識(shí)別特權(quán)代碼特權(quán)代碼可以訪問(wèn)特殊安全資源，并執(zhí)行其他特權(quán)操作的代碼。常見(jiàn)的安全資源類(lèi)型包括DNS服務(wù)器、目錄服務(wù)器、環(huán)境變量、事件日志、文件系統(tǒng)、消息隊(duì)列、性能計(jì)數(shù)器、打印機(jī)、注冊(cè)表、Sockets和Web服務(wù)。安全操作包括無(wú)人管理的代碼呼叫、映像、序列化、代碼訪問(wèn)安全權(quán)限和代碼訪問(wèn)安全策略的處理（包括證據(jù)）。110代碼訪問(wèn)安全策略必須授予特權(quán)代碼相應(yīng)的代碼訪問(wèn)安全權(quán)限。特權(quán)代碼必須確保其包含的資源和操作不會(huì)暴露給不受信任的和潛在的惡意的代碼。.NET框架代碼訪問(wèn)安全性通過(guò)執(zhí)行堆棧通道來(lái)驗(yàn)證授予給呼叫代碼的權(quán)限。但是，有時(shí)有必要覆蓋此操作，不執(zhí)行完全的堆棧過(guò)程。例如，當(dāng)您想限制特權(quán)代碼或隔離特權(quán)代碼時(shí)。這樣操作將開(kāi)放您的代碼以引誘攻擊，在攻擊中，惡意的代碼將通過(guò)受信任的中間代碼來(lái)呼叫您的代碼。無(wú)論何時(shí)您覆蓋由代碼訪問(wèn)安全提供的缺省的安全操作時(shí)，請(qǐng)謹(jǐn)慎，并采取相應(yīng)的安全措施。111說(shuō)明安全配置文件（安全剖面）識(shí)別用于輸入有效性、驗(yàn)證、授權(quán)、配置管理的設(shè)計(jì)和實(shí)現(xiàn)方法，以及應(yīng)用程序最容易受安全漏洞影響的其他領(lǐng)域。通過(guò)識(shí)別，您將為應(yīng)用程序創(chuàng)建一個(gè)安全配置文件。安全配置文檔化。通過(guò)某種形式說(shuō)明如何解決系統(tǒng)面臨的各種威脅。下表顯示了對(duì)應(yīng)用程序的設(shè)計(jì)和實(shí)現(xiàn)的每個(gè)方面進(jìn)行分析時(shí)要詢(xún)問(wèn)的問(wèn)題的種類(lèi)。112類(lèi)別考慮輸入有效性所有輸入數(shù)據(jù)是否均有效？

攻擊者是否可以向應(yīng)用程序植入命令或惡意的數(shù)據(jù)？

數(shù)據(jù)越過(guò)獨(dú)立的信任邊界時(shí)是否驗(yàn)證數(shù)據(jù)的有效性？

是否信任數(shù)據(jù)庫(kù)中的數(shù)據(jù)？驗(yàn)證通過(guò)網(wǎng)絡(luò)傳送證書(shū)是否安全？

是否使用了嚴(yán)格的賬戶策略？

是否強(qiáng)制使用嚴(yán)格的密碼？

是否使用證書(shū)？

是否為用戶密碼