欢迎来到天天文库
浏览记录
ID:36278117
大小:123.42 KB
页数:32页
时间:2019-05-08
《数据安全访问new》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、数据安全访问方法2010/10/20作者:侯晓坤顾佩华龚伊帆韩振杰目录1、简介22、访问控制技术22.1访问控制22.1.1访问控制列表ACL32.1.2ACL的组成32.1.3选择什么类型的ACL32.1.4创建ACL的注意点32.2文件52.3其他的访问控制机制62.3.1.NET框架角色62.3.2COM+角色72.3.3SQLServer触发器和权限73、身份验证73.1Windows身份验证73.1.1使用Windows身份验证83.1.2使用ASP.NET进程标识93.1.3使用镜像的ASPNET本地帐户93.1.4使用镜像的自定义
2、本地帐户93.1.5使用自定义域帐户93.1.6实现镜像的ASPNET进程标识103.1.7使用Windows身份验证连接到SQLServer113.1.8使用ASP.NET内的固定标识113.1.9使用服务组件123.1.10何时不能使用Windows身份验证?133.2SQL身份验证133.2.1连接字符串类型133.2.2选择用于连接的SQL帐户143.2.3在网络上传递凭据153.3对非SQLServer数据库进行身份验证153.4为数据库验证用户身份154、授权165、安全通信186、最小化特权186.1基本要求196.2最小化有特权
3、的模块196.3最小化授与的特权196.4最小化特权的时间207、可能出现的漏洞217.1弱口令漏洞217.1.1弱口令217.1.2危害217.1.3在代码审查中查找该漏洞217.1.4发现该漏洞的测试技巧237.1.5弥补措施247.1.6注意事项267.2SQL注入277.2.1问题277.2.2SQL脚本注入式攻击的剖析287.2.3保护模式匹配语句301、简介数据存储在大多数分布式Web应用程序中均扮演着重要的角色。这种数据存储可以包含所有类型的数据,包括用户应用程序首选项、机密的人事记录与医疗记录、审核日志与安全日志,甚至还包括用户
4、访问应用程序时所需的凭据。显而易见,在存储这类数据以及对其执行读/写操作时都需要保证它们的安全,以确保只有具备相应授权权限的用户才能对其进行访问。数据安全访问采取的一些策略:l完全失败的缺省值。缺省反应应当是拒绝服务,而且保护系统能随后辨别那种情况的访问是允许的。l特权分离。理想情况下,访问对象应当依赖于多个条件,这样破坏一个保护系统并不能进行完全的访问。l最少的公共机制。使共享机制的数量和使用(例如对/tmp或/var/tmp目录的使用)最小化。共享对象提供了信息流和无意的相互作用的潜在危险通道。l完全中介。每一个访问企图都应该被检查;把认证
5、机制放在不会被推翻的位置上l……2、访问控制技术2.1访问控制访问控制模型是从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体,以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常访问控制可以分自主访问控制(DAC)和强制访问控制(MAC)。目前的主流操作系统,如UNIX、Linux和Windows等操作系统都提供自主访问控制功能。自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。强制访问控制系统给主体和客体分配不同的安全属性
6、,而且这些安全属性不像ACL那样轻易被修改,系统通过比较主体和客体的安全属性决定主体是否能够访问客体。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性,但其实现的代价也更大,一般用在安全级别要求比较高的军事上。2.1.1访问控制列表ACL访问控制列表(ACL:AccessControlList)是以文件为中心建立的访问权限表,一般称作ACL。其主要优点在于实现简单,对系统性能影响小。它是目前大多数操作系统(如Windows、Linux等)采用的访问控制方式。同时,它也是信息安全管理系统中经常采用的访问控制方式。例如,在亿赛通文档安
7、全管理系统SmartSec中,客户端提供的“文件访问控制”模块就是通过ACL方式进行实现的。2.1.2ACL的组成有两种类型的ACL:自由决定的(DACL)和系统的(SACL)。DACL管制对象访问,SACL管制审核。ACL可以在许多不同类型对象上指派,例如:uNTFS文件系统上的本地或者远程文件和目录u有名管道u本地或者远程打印机u本地或者远程WIN32服务u网络共享u注册表键值u信号,事件,互斥通信(mutex)和时间u进程,线程,文件映射对象uWINDWO工作站和桌面u目录服务对象2.1.3选择什么类型的ACL选择什么类型的ACL,我们首
8、先要考虑以下4个问题:1)决定你要用到的资源;2)决定访问控制需求;3)决定恰当的访问控制技术;4)从需求出发得到适当的访问控制技术。2.1.4创建A
此文档下载收益归作者所有