- 論壇徽章:
- 0
|
我寫的軟件安全性標(biāo)準(zhǔn)因該考慮的方面���,請大家看看有什么問題?
一�、安全目標(biāo)
Ø 預(yù)防:
Ø 跟蹤審計:從數(shù)據(jù)庫系統(tǒng)本身����、主體和客體三個方面來設(shè)置審計選項,審計對數(shù)據(jù)庫對象的訪問以及與安全相關(guān)的事件�。數(shù)據(jù)庫審計員可以分析審計信息、跟蹤審計事件��、追查責(zé)任����。并且對系統(tǒng)效率的影響減至最小。
Ø 監(jiān)控:能夠?qū)︶槍浖驍?shù)據(jù)庫的實時操作進行監(jiān)控�,并對越權(quán)行為或危險行為發(fā)出警報信息。
Ø 保密性和機密性:可防止非授權(quán)用戶的侵入和機密信息的泄漏����。
Ø 多級安全性:指多級安全關(guān)系數(shù)據(jù)庫在單一數(shù)據(jù)庫系統(tǒng)中存儲和管理不同敏感性的數(shù)據(jù),同時通過自主訪問控制和強制訪問控制機制保持?jǐn)?shù)據(jù)的安全性��。
Ø 匿名性:
Ø 數(shù)據(jù)的完整性:可防止數(shù)據(jù)在異常情況下保證完整性�。
二、技術(shù)的選擇
Ø 分布性平臺對象的選擇
Ø 操作系統(tǒng)的選擇
Ø 認(rèn)證技術(shù)
三�、代碼的安全性
Ø 隱晦的安全性:代碼模糊、緊包軟件的安全性
Ø 多眼現(xiàn)象:脆弱性檢測��、其他
Ø 密碼算法
Ø 特洛依木馬
四����、安全的原則
Ø 加固最脆弱的連接:進行風(fēng)險分析并提交報告����,加固其薄弱環(huán)節(jié)�。
Ø 實行深度防護:利用分散的防護策略來管理風(fēng)險。
Ø 失敗安全:在系統(tǒng)運行失敗時有相應(yīng)的措施保障軟件安全��。
Ø 最小優(yōu)先權(quán):原則是對于一個操作�,只賦予所必須的最小的訪問權(quán)限��,而且只分配所必 須的最少時間��。
Ø 分割:將系統(tǒng)盡可能分割成小單元�,隔離那些有安全特權(quán)的代碼�����,將對系統(tǒng)可能的損害減少到最小。
Ø 簡單化:軟件設(shè)計和實現(xiàn)要盡可能直接, 滿足安全需求的前提下構(gòu)筑盡量簡單的系統(tǒng), 關(guān)鍵的安全操作都部署在系統(tǒng)不多的關(guān)鍵點(choke points)上���。
Ø 保密性:避免濫用用戶的保密信息�����。
五�����、軟件稽核
Ø 體系結(jié)構(gòu)的安全性
Ø 實現(xiàn)的安全性分析
源代碼的稽核
使用RATS(remote access Trojan)
軟件掃描
六�、緩沖區(qū)溢出
Ø 防止內(nèi)部緩沖區(qū)溢出的實現(xiàn)
Ø 防止輸入溢出的實現(xiàn)
Ø 防止堆及堆棧溢出的實現(xiàn)
七、訪問控制
Ø UNIX
文件屬性及歸屬
程序接口
Ø WINNT
細化權(quán)限及分割
八����、密碼學(xué)的應(yīng)用
Ø 使用密碼學(xué)的目標(biāo):機密性、完整性���、可鑒別性��、抗抵賴性���。
Ø 密碼算法(對稱和非對稱):考慮算法的基本功能�����、強度��、弱點及密鑰長度的影響��。
Ø 密鑰管理的功能:生成�����、分發(fā)����、校驗��、撤消��、破壞����、存儲�、恢復(fù)����、生存期和完整性。
Ø 密碼術(shù)編程:加密����、散列運算、公鑰密碼加密�、多線程、加密cookie
Ø 私鑰算法����、公鑰算法及PKI
Ø 一次性密碼�����、分組密碼等
九���、信任管理和輸入的有效性
Ø 信任的可傳遞
Ø 防止惡意訪問
Ø 安全調(diào)用程序
Ø 網(wǎng)頁安全
Ø 客戶端安全
Ø 格式串攻擊
十�����、口令認(rèn)證
Ø 口令的存儲
Ø 添加用戶
Ø 口令認(rèn)證
Ø 選擇口令
Ø 數(shù)據(jù)庫安全性
Ø 訪問控制(使用視圖)
Ø 保護域
Ø 抵抗統(tǒng)計攻擊
十一���、客戶端安全性
Ø 版權(quán)保護機制(許可證文件����、對不可信客戶的身份認(rèn)證)
Ø 防篡改技術(shù)(反調(diào)試程序����、檢查和、對濫用的響應(yīng))
Ø 代碼迷惑技術(shù)
Ø 程序加密技術(shù)
十二����、系統(tǒng)開發(fā)控制
Ø 系統(tǒng)開發(fā)生命周期
功能需求確定
防護規(guī)范開發(fā)
統(tǒng)計評審
Ø 安全控制/構(gòu)架
過程隔離
權(quán)利分離
可審計性
數(shù)據(jù)隱藏
安全內(nèi)核
Ø 完整性級別
網(wǎng)絡(luò)/系統(tǒng)
操作系統(tǒng)
數(shù)據(jù)庫
文件
名詞解釋
自主訪問控制
自主訪問控制(Discretionary Access Control,簡稱DAC)的含義是當(dāng)你擁有數(shù)據(jù)庫對象上的某些操作權(quán)限及相應(yīng)授權(quán)權(quán)限時����,你可以按照自己的意愿,自作主張地把這些操作權(quán)限部分或全部轉(zhuǎn)授給其他的用戶�����,從而使得其他用戶獲得在這些數(shù)據(jù)庫對象上的使用權(quán)����。
強制訪問控制
強制訪問控制( Mandatory Access Control�����,簡稱MAC)就是通過主體(用戶)和客體(數(shù)據(jù)對象)安全級匹配原則來確定該主體是否被允許存取該客體����������! |
|
免費注冊
發(fā)表于 2003-05-26 15:29
