系统安全面面观

操作系统安全

威胁操作系统安全的重要因素：网络攻击、隐蔽信道和用户的误操作。

审计事件是系统审计用户操作最基本的单位。

Windows身份认证实现组件主要包括：Winlogon LSA GINA

windows 安全子系统实现自主访问控制的组件：访问令牌 访问控制列表 安全描述符

Windows 用户唯一标识：SID

Windows 系统UAC默认级别:第三级

操作系统提供的安全机制：1. 身份认证和访问控制 2.审计（审计的作用是检测非法用户的入侵行为和合法用户的误操作）

Windows 口令保护措施：密码策略（帮助用户设置更安全的密码） 和 账户锁定策略

EFS 和 Bitlocker 各自的使用场合：

EFS用于对单个文件进行加密，而Bitlocker 可以对系统文件进行加密（注册表、系统盘）

Linux安全机制：标识和鉴别 访问控制 审计

数据库系统安全

数据库系统面临的主要安全威胁：数据泄露 数据篡改 数据不可用

安全机制：身份认证 访问控制 审计 视图 加密 备份和恢复

故障类型及其对应的恢复技术：

事务内部故障：强制回滚该事务，利用日志文件撤销此事对数据库的更改 对于日志记录的事务的更新操作，将更新前的值写入数据库

系统故障：在系统重新启动时，让所有非正常终止的事务回滚，强制撤销所有未完成的事务，以保持事务原子性；重做所有已提交的技术，以保证事务的持久性，从而保证数据库恢复到一致性的状态，从而保证数据库恢复到一致性状态。为了提高恢复效率，可采用具有检查点的恢复技术。

介值故障：不仅要使用日志，还要借助于数据库备份。对于静态备份，利用日志重做；对于动态备份，撤销加重做。

SQL server 数据库系统提供了两种身份认证模式：Windows身份认证模式  混合模式

Sql server 访问权限划分为三个层次：服务器级 数据库级 数据级，三级授权机制概述：

系统级：新建数据库、登录，删除数据库、登录，备份数据库等

数据库级：新建表、更改表、新建索引、新建视图、删除试图等

数据级：对数据的CURD

SQL server 2008中引入了透明加密技术，原理：TDE是数据库级别的，加解密以页为单位，由数据引擎执行，在数据写入数据库时加密，读出时解密，客户端程序完全不用做任何操作，感知不到加解密过程，所以称之为透明数据加密。

SQL server 2008中四种备份方式：完整数据库备份  差异数据库备份  事务日志备份 数据库文件或文件组备份

应用系统安全

主要关注Web应用系统安全，

SQL注入漏洞防御措施：

在服务端正式处理之前对提交数据的合法性进行验证

封装客户端提交信息

替换或删除敏感字符字符串

屏蔽出错信息

不要使用字符串连接建立SQL查询，而使用SQL变量，因为变量不是可以执行的脚本

目录最小化权限设置，给静态网页目录和动态网页目录分别设置不同的权限，尽量不给写目录权限。

修改或去掉Web服务器上默认的一些危险命令

服务器敏感数据非常规加密

XSS注入漏洞防御机制

过滤用户提交数据中的代码

对用户输入的数据或基于用户输入的数据生成的输出数据进行编码

对表单输入或输入的长度进行限制

禁止上传Flash

检查Cookie信息

恶意代码检测与防范技术
病毒

什么是病毒：能够通过修改程序，把自身复制进去，进而感染其他程序的程序。

病毒分类：

按链接方式：源码型 嵌入型 外壳型 操作系统型

按照寄生部位或者传染对象 ：磁盘引导区传染的病毒 操作系统传染的病毒 可执行程序传染的病毒

按照寄生方式和传染途径：引导型病毒和文件型病毒

按攻击的系统分类：Windows病毒和Linux病毒

按照病毒的破坏情况分类：良性和恶性

按照病毒的激活时间分类：定时型和随机型

计算机病毒的特征：
传染性、潜伏性、触发性、非授权执行、破坏性

病毒组成模块：感染标记、感染模块、触发模块、破坏模块、主控模块

病毒按其寄生方式可以分为：引导型和文件型

病毒防御：反病毒软件 强化配置 加强管理

病毒检测法：长度检测法 病毒签名检测 特征代码检测 校验和法 行为检测法 软件模拟法 感染实验法

木马

什么是木马：表面上看是正常的程序但实际上却隐含着恶意的代码成为木马。

木马的一般攻击过程：配置木马 传播木马 运行木马 信息泄露 建立链接 远程控制

木马的功能：窃取数据 远程控制 远程文件管理 打开未授权服务

中了木马也就是安装了木马的“服务端”

木马的检测与防范：检查本地文件 检查注册表 检查端口及连接 检查系统进程 检查系统配置文件

载入网络空间安全专业教科书的英雄人物：respect ！！！

蠕虫：

什么是蠕虫：具有自我复制和主动传播能力并在网络上进行扩散的恶意代码

蠕虫VS病毒：

相同点：都具有传染能和复制功能

不同点:蠕虫需要借助网络传播，而病毒的传播不一定借助网络。还有就是病毒感染的是文件系统（需要宿主文件）需要用户调用程序或者打开文档以触发恶意代码；而蠕虫主要利用计算机系统漏洞进行传染，无需宿主文件，可以主动出击，无需认为干预。

蠕虫的结构和工作机制：

主体模块（信息搜集模块、探测模块、攻击模块和自我推进模块）用以实现自我传播，辅助模块（实体隐藏模块、宿主破坏模块、通信模块，远程控制模块和自我更新模块）

蠕虫的攻击行为大体分为四个阶段：目标信息收集 扫描探测 攻击渗透 目标推进

蠕虫的防范：安装反病毒软件 及时配置补丁程序 阻断任意的输出连接  建立事故响应机制