前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇系統(tǒng)安全范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

系統(tǒng)安全范文第1篇

關(guān)鍵詞：Windows系統(tǒng)；遠(yuǎn)程攻擊；密碼；權(quán)限；防火墻；組策略

中圖分類號(hào)：TP316 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）10-2314-03

從1998年開始，微軟平均每年對(duì)自己的產(chǎn)品公布大約70份安全報(bào)告，一直在堅(jiān)持不懈的給人們發(fā)現(xiàn)的那些漏洞打補(bǔ)丁，Windows這種操作系統(tǒng)之所以安全風(fēng)險(xiǎn)最高可能是因?yàn)樗膹?fù)雜性和普及度廣，百度一下你就知道從NT3.51到Vista，操作系統(tǒng)的代碼差不多增加了10倍，因?yàn)榘姹疽拢訵indows系統(tǒng)上被悄悄激活的功能會(huì)越來越多，因此越來越多的漏洞會(huì)被人們發(fā)現(xiàn)。

1 以前遠(yuǎn)程攻擊Windows系統(tǒng)的途徑包括

1） 對(duì)用戶帳戶密碼的猜測(cè)：Windows系統(tǒng)主要的把關(guān)者多半都是密碼，通過字典密碼猜測(cè)和認(rèn)證欺騙的方法都可以實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊。

2） 系統(tǒng)的網(wǎng)絡(luò)服務(wù)：現(xiàn)代工具使得存在漏洞的網(wǎng)絡(luò)服務(wù)被攻擊相當(dāng)容易，點(diǎn)擊之間即可實(shí)現(xiàn)。

3） 軟件客戶端漏洞：諸如Internet Explorer瀏覽器，MSN，Office和其他客戶端軟件都受到攻擊者的密切監(jiān)視，發(fā)現(xiàn)其中的漏洞，并伺機(jī)直接訪問用戶數(shù)據(jù)。

4） 設(shè)備驅(qū)動(dòng)：攻擊者持續(xù)不斷的在分析操作系統(tǒng)上像無(wú)線網(wǎng)絡(luò)接口，usb和cd-rom等設(shè)備提交的所有原始數(shù)據(jù)中，發(fā)現(xiàn)新的攻擊點(diǎn)。

比如說很早以前，如果系統(tǒng)開放了smb服務(wù)，入侵系統(tǒng)最有效是古老的方法是遠(yuǎn)程共享加載：試著連接一個(gè)發(fā)現(xiàn)的共享卷（比如c$共享卷或者ipc$），嘗試各種用戶名/密碼組合，直到找出一個(gè)能進(jìn)入目標(biāo)系統(tǒng)的組合為止。其中很容易用腳本語(yǔ)言實(shí)現(xiàn)對(duì)密碼的猜測(cè)，比如說，在Windows的命令窗口里用net use語(yǔ)法和for命令編寫一個(gè)簡(jiǎn)單的循環(huán)就可以進(jìn)行自動(dòng)化密碼猜測(cè)。

5） 針對(duì)密碼猜測(cè)活動(dòng)的防范措施：使用網(wǎng)絡(luò)防火墻來限制對(duì)可能存在漏洞的服務(wù)（例如在tcp 139和445號(hào)端口上的smb服務(wù)，tcp1355上的msrpc服務(wù)，tcp3389上的ts服務(wù)）的訪問。

使用Windows的主機(jī)防火墻（win xp和更高版本）來限制對(duì)有關(guān)服務(wù)的訪問。

禁用不必要的服務(wù)（尤其注意tcp139和445號(hào)端口的smb服務(wù)）。

制定和實(shí)施強(qiáng)口令字策略。

設(shè)置一個(gè)賬戶鎖定值，并確保該值夜應(yīng)用于內(nèi)建的Administrator帳戶。

記錄賬戶登錄失敗事件，并定期查看event logs日志文件。

2 取得合法身份后的攻擊手段

1） 權(quán)限提升：在Windows系統(tǒng)上獲得用戶帳戶，之后就要獲得Administrator或System帳戶。Windows系統(tǒng)最偉大的黑客技術(shù)之一就是所謂的Getadmin系列，它是一個(gè)針對(duì)Windows nt4的重要權(quán)限提升攻擊工具，盡管相關(guān)漏洞的補(bǔ)丁已經(jīng)，該攻擊所采用的基本技術(shù)”dll注入”仍然具有生命力.因?yàn)镚etadmin必須在目標(biāo)系統(tǒng)本地以交換方式運(yùn)行，因此其強(qiáng)大功能受到了局限.

2） 對(duì)于權(quán)限提升的防范措施：首先要及時(shí)更新補(bǔ)丁，并且對(duì)于存儲(chǔ)私人信息的計(jì)算機(jī)的交互登錄權(quán)限作出非常嚴(yán)格限制，因?yàn)橐坏┇@得了這個(gè)重要的立足點(diǎn)之后，這些權(quán)限提升攻擊手段就非常容易實(shí)現(xiàn)了 ，在Windows2000和更高版本上檢查交互登錄權(quán)限的方法是：運(yùn)行“l(fā)ocal/group security policy（本地策略＼組安全策略）”工具，找到“l(fā)ocal policies＼user rights assignment（本地策略＼用戶權(quán)限）”結(jié)點(diǎn)，然后檢查log on locally（本地登錄）權(quán)限的授予情況。

3） 獲取并破解密碼：獲得相當(dāng)于Administrator的地位之后，攻擊者需要安裝一些攻擊工具才能更近一步的控制用戶計(jì)算機(jī)，所以攻擊者攻擊系統(tǒng)之后的活動(dòng)之一就是收集更多的用戶名和密碼。針對(duì)Windows xp sp2及以后的版本，攻擊者侵入后用戶計(jì)算機(jī)后首先做的一件事就是關(guān)掉防火墻，因?yàn)槟J(rèn)配置的系統(tǒng)防火墻能夠阻擋很多依賴于Windows網(wǎng)絡(luò)輔助的工具制造的入侵。

4） 對(duì)于密碼破解攻擊的防范措施：最簡(jiǎn)單的方法就是選擇高強(qiáng)度密碼，現(xiàn)在多數(shù)Windows系統(tǒng)都默認(rèn)使用的安全規(guī)則“密碼必須滿足復(fù)雜性要求”，創(chuàng)建和更改用戶的密碼的時(shí)候要滿足以下要求（以Windows Server 2008為例）：

① 不能包含用戶名和用戶名字中兩個(gè)以上的連貫字符；

② 密碼長(zhǎng)度至少要6位；

③ 必須包含以下四組符號(hào)中的三組：

大寫字母（A到Z）

小寫字母（a到z）

數(shù)字（0到9）

其他字符（例如$，%，&，*）

3 Windows安全功能

3.1 Windows防火墻

Windows xp里有一個(gè)名為Internetconnectionfirewall（icf因特網(wǎng)連接防火墻）的組件，微軟在XP后續(xù)版本里對(duì)這個(gè)防火墻做了很多改進(jìn)并把它重新命名為Windows Firewall。新名字的防火墻提供了更好的用戶操作界面：保留了“Exception”（例外）設(shè)置項(xiàng)，可以只允許“例外”的應(yīng)用程序通過防火墻；新增加了一個(gè)“Advanced”（高級(jí)）選項(xiàng)卡，用戶可以對(duì)防火墻的各種細(xì)節(jié)配置做出調(diào)整。另外，現(xiàn)在還可以通過組策略去配置防火墻，為需要對(duì)很多系統(tǒng)的防火墻進(jìn)行分布式管理的系統(tǒng)管理員提供了便捷。

3.2 Windows 安全中心

安全中心（Seccurity Center）可以讓用戶察看和配置很多系統(tǒng)安全安防功能：Windows Firewall（防火墻），Windows Update（自動(dòng)更新），Internet Options（因特網(wǎng)選項(xiàng)）。

安全中心的目標(biāo)瞄準(zhǔn)的普通消費(fèi)者而并不是IT專業(yè)人員，這一點(diǎn)可以從它沒有提供Security Policy（安全策略）和Certificate Manager（證書管理器）等高級(jí)安全功能配置界面上看出來。

3.3 Windows組策略

怎樣去管理一個(gè)很大的計(jì)算機(jī)群組？這就需要組策略（Group Policy），它是功能非常強(qiáng)大的工具之一。組策略對(duì)象GPO（group policy objects，gpo）被保存在活動(dòng)目錄（Active Directory）或一臺(tái)本地計(jì)算機(jī)上，這些對(duì)象對(duì)某個(gè)域或本地機(jī)器的特定配置參數(shù)做出了定義。GPO作用于站點(diǎn)，域，或組織單元（Organizational Unit，ou），包含在其中的用戶或計(jì)算機(jī)（稱為有關(guān)GPO的“成員” ）將繼承GPO的設(shè)置。用戶可以從“組策略”頁(yè)上看到施加在選定對(duì)象上的GPO規(guī)則（按優(yōu)先級(jí)排列）以及這些規(guī)則是否允許繼承，還可以對(duì)GPO規(guī)則進(jìn)行編輯。GPO似乎是對(duì)使用Windows2000及其后續(xù)版本的大規(guī)模網(wǎng)絡(luò)進(jìn)行安全配置的終極手段，但在同時(shí)激活本地和域級(jí)別的策略時(shí)，可能會(huì)出現(xiàn)一些奇怪的問題，而組策略生效前的延遲也很讓人惱火。消除這個(gè)個(gè)延遲的辦法之一是用secedit工具立刻刷新有關(guān)策略。用secedit 命令刷新策略的具體做法是打開“運(yùn)行”（run）對(duì)話框并輸入：

secedit/refreshpolicy MACHINE_POLICY

如果你想刷新“user configuration”結(jié)點(diǎn)下的策略，就要輸入：

secedit/refreshpolicy USER_POLICY

3.4 Windows資源保護(hù)

Windows 2000和xp新增一項(xiàng)名為Windows File Protection（wfp，windows文件保護(hù)）的功能，它能保護(hù)由Windows安裝程序安裝的系統(tǒng)文件不被覆蓋。并且之后在Windows Vista版本中做了更新，增加了重要的注冊(cè)鍵值和文件，并更名為WRP（Windows資源保護(hù)）。WRP有一個(gè)弱點(diǎn)在于管理員用于更改被保護(hù)資源的ACL（Access Control List，訪問控制列表）。默認(rèn)設(shè)置下，本地管理員組別用于setakeownership權(quán)限并接管任何受WRP保護(hù)資源的所有權(quán)。因此被保護(hù)資源的訪問權(quán)限可能被擁有者任意更改，這些文件也可能被修改，替換或刪除。WRP并非被制作用來抵御假的系統(tǒng)管理員，它的主要目的是為了防止第三方安裝者修改對(duì)系統(tǒng)穩(wěn)定性有重大影響的受保護(hù)文件。

3.5 內(nèi)存保護(hù)：dep

微軟的Data Execution Prevention（DEP，防止數(shù)據(jù)執(zhí)行）機(jī)制由硬件和軟件協(xié)同構(gòu)成。DEP機(jī)制將在滿足其運(yùn)行要求的硬件上自動(dòng)運(yùn)行，它會(huì)把內(nèi)存中的特定區(qū)域標(biāo)注為“不可執(zhí)行區(qū)”――除非這個(gè)區(qū)域明確地包含著可執(zhí)行代碼。很明顯，這種做法可以防住絕大多數(shù)堆棧型緩沖區(qū)溢出攻擊。除了依靠硬件實(shí)現(xiàn)DEP機(jī)制外，XP SP2和更高版本還實(shí)現(xiàn)了基于軟件的DEP機(jī)制去阻斷各種利用windows異常處理機(jī)制中的漏洞的攻擊手段。Windows體系的Strucctured Exception Handling（SEH，結(jié)構(gòu)化異常處理）機(jī)制一直是攻擊者認(rèn)為最靠普的可執(zhí)行代碼注入點(diǎn)。

4 結(jié)束語(yǔ)

Windows的系統(tǒng)安全挑戰(zhàn)：

對(duì)于Windows操作系統(tǒng)是否安全的爭(zhēng)論已經(jīng)有很多，并且以后肯定還會(huì)有更多，不管這些消息是來自微軟，微軟的支持者，還是來自微軟的反對(duì)者，只有時(shí)間才能證明它們是對(duì)還是錯(cuò)。

Windows很多轟動(dòng)一時(shí)的安全漏洞地絕大多數(shù)在很多其他技術(shù)里也同樣存在很長(zhǎng)時(shí)間了―――它們之所以成為“著名的”Windows安全漏洞，原因只是因?yàn)閃indows 的用戶數(shù)量更為巨大而已。既然因?yàn)閃indows 的公認(rèn)優(yōu)點(diǎn)，比如使用方便，兼容性強(qiáng)等等，而選用了這種操作系統(tǒng)，就不能逃避為了讓它安全，持久地運(yùn)轉(zhuǎn)下去而要承受的安全風(fēng)險(xiǎn)，所以Windows一直會(huì)面對(duì)嚴(yán)峻的系統(tǒng)安全挑戰(zhàn)。

參考文獻(xiàn)：

[1] 徐顯秋. Windows 2000和XP系統(tǒng)常用安全策略[J].重慶科技學(xué)院學(xué)報(bào)，2005 （4）.

[2] 賴宏應(yīng).信息化建設(shè)中的信息網(wǎng)絡(luò)安全專題―安全威脅和安全策略[C]//四川省通信學(xué)會(huì)2003年學(xué)術(shù)年會(huì)論文集，2003.

[3] 耿翕，崔之祜.網(wǎng)絡(luò)防火墻技術(shù)的應(yīng)用及分析[C]//第十九次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2004.

[4] 李超.網(wǎng)絡(luò)安全技術(shù)及策略[C]//第六屆全國(guó)計(jì)算機(jī)應(yīng)用聯(lián)合學(xué)術(shù)會(huì)議論文集，2002.

[5] 王全民，王淞，金華鋒，張麗艷.基于windows nt平臺(tái)文件隱藏和檢測(cè)系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)安全，2010（6）.

[6] 張昌宏，胡衛(wèi)，廖巍.計(jì)算機(jī)桌面安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[C]//中國(guó)通信學(xué)會(huì)第六屆學(xué)術(shù)年會(huì)論文集（上），2009.

[7] 馮先強(qiáng). windows內(nèi)核級(jí)木馬架構(gòu)模型的改進(jìn)與實(shí)現(xiàn)[D]. 大連：大連理工大學(xué)，2010.

系統(tǒng)安全范文第2篇

關(guān)鍵字：安全模型；訪問控制；BLP模型；CW模型；BRAC模型

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2007)05-11394-01

1 引言

操作系統(tǒng)是軟件系統(tǒng)的底層，是系統(tǒng)資源的管理者，是軟硬件的接口，起著重要的作用，因而更容易受到攻擊。因此，操作系統(tǒng)必須提供必要的手段防止由用戶的誤操作或攻擊者的人為破壞而造成的錯(cuò)誤。

2 操作系統(tǒng)的安全機(jī)制

目前的多數(shù)操作系統(tǒng)支持多道程序設(shè)計(jì)和資源的共享，然而，資源的共享和對(duì)象的保護(hù)又往往是相互矛盾的。在設(shè)計(jì)操作系統(tǒng)時(shí)，必須有安全的支持機(jī)構(gòu)，實(shí)現(xiàn)對(duì)用戶進(jìn)行身份識(shí)別；根據(jù)安全策略，進(jìn)行訪問控制，防止對(duì)計(jì)算機(jī)資源的非法存??；標(biāo)識(shí)系統(tǒng)中的實(shí)體；監(jiān)視系統(tǒng)的安全運(yùn)行；確保自身的安全性和完整性。

操作系統(tǒng)的安全機(jī)制主要有實(shí)體保護(hù)機(jī)制，標(biāo)識(shí)與認(rèn)證、訪問控制機(jī)制等。

2.1 實(shí)體保護(hù)

2.1.1 操作系統(tǒng)保護(hù)的實(shí)體

操作系統(tǒng)需要為整個(gè)計(jì)算機(jī)系統(tǒng)提供安全保護(hù)措施，因此需要保護(hù)系統(tǒng)中一系列有關(guān)的對(duì)象，包括存儲(chǔ)器；I/O設(shè)備；程序；數(shù)據(jù)等。

2.1.2 保護(hù)方法

(1)隔離保護(hù)：在支持多進(jìn)程和多線程的操作系統(tǒng)中,必須保證同時(shí)運(yùn)行的多個(gè)進(jìn)程和線程之間是相互隔離的，即各個(gè)進(jìn)程和線程分別調(diào)用不同的系統(tǒng)資源，且每一個(gè)進(jìn)程和線程都無(wú)法判斷是否還有其它的進(jìn)程或線程在同時(shí)運(yùn)行。一般的隔離保護(hù)措施有以下4種：

①物理隔離：不同的進(jìn)程和線程使用不同的對(duì)象和設(shè)備資源。

②暫時(shí)隔離：同一進(jìn)程在不同的時(shí)間按不同的安全需要執(zhí)行。

③邏輯隔離：操作系統(tǒng)限制程序的訪問，以使該程序不能訪問允許范圍之外的客體。

④加密隔離：采用加密算法對(duì)相應(yīng)的對(duì)象進(jìn)行加密。

(2)隔絕

當(dāng)操作系統(tǒng)提供隔絕時(shí)，并發(fā)運(yùn)行的不同處理不能察覺對(duì)方的存在。每個(gè)處理有自己的地址空間、文件和其它客體。操作系統(tǒng)限制每個(gè)處理，使其它處理的客體完全隱蔽

2.1.3 存儲(chǔ)器的保護(hù)

多道程序的最重要問題是如何防止一個(gè)程序影響其他程序的存儲(chǔ)空間。這種保護(hù)機(jī)制建立在硬件中，可以保護(hù)存儲(chǔ)器的有效使用，且成本很低。對(duì)存儲(chǔ)器得固態(tài)保護(hù)一般有柵欄保護(hù)、基址邊界保護(hù)和段頁(yè)式保護(hù)等。

2.1.4 運(yùn)行保護(hù)

根據(jù)安全策略，把進(jìn)程的運(yùn)行區(qū)域劃分為一些同心環(huán)，進(jìn)行運(yùn)行的安全保護(hù)。

2.1.5 I/O保護(hù)

把IO設(shè)備視為文件，且規(guī)定IO是僅由操作系統(tǒng)完成的一個(gè)特權(quán)操作，對(duì)讀寫操作提供一個(gè)高層系統(tǒng)調(diào)用。在這一過程中，用戶不控制IO操作的細(xì)節(jié)。

2.2 標(biāo)識(shí)與認(rèn)證

標(biāo)識(shí)是系統(tǒng)為了正確識(shí)別、認(rèn)證和管理實(shí)體而給實(shí)體的一種符號(hào)；用戶名是一種標(biāo)識(shí)，為的是進(jìn)行身份認(rèn)證；安全級(jí)別也是一種標(biāo)識(shí)，為的是進(jìn)行安全的訪問控制。標(biāo)識(shí)需要管理；標(biāo)識(shí)活性化、智能化，是值得研究的新方向。認(rèn)證在操作系統(tǒng)中主要是用戶的身份認(rèn)證。

2.3 訪問控制機(jī)制

訪問控制機(jī)制是操作系統(tǒng)安全保障機(jī)制的核心內(nèi)容，它是實(shí)現(xiàn)數(shù)據(jù)機(jī)密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體對(duì)被訪問客體的訪問權(quán)限，確保主體對(duì)客體的訪問只能是授權(quán)的，而未授權(quán)的訪問是不能進(jìn)行的，而且授權(quán)策略是安全的。從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。

訪問控制有兩個(gè)重要過程：

(1)通過“鑒別(authentication)”來檢驗(yàn)主體的合法身份。

(2)通過“授權(quán)(authorization)”來限制用戶對(duì)資源的訪問級(jí)別。

操作系統(tǒng)的訪問控制機(jī)制可分為自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色的訪問控制（RBAC）等。目前主流的操作系統(tǒng)均提供不同級(jí)別的訪問控制功能。通常，操作系統(tǒng)借助訪問控制機(jī)制來限制對(duì)文件及系統(tǒng)設(shè)備的訪問。如Windows 2000利用訪問控制列表(ACL)實(shí)現(xiàn)對(duì)本地文件的保護(hù)：訪問控制列表指定某個(gè)用戶可讀、寫或使用某個(gè)文件；文件的管理者可改變?cè)撐募脑L問控制列表的屬性。

3 安全模型

安全模型是設(shè)計(jì)并實(shí)現(xiàn)一個(gè)安全操作系統(tǒng)的基礎(chǔ)。它的兩種定義分別如下：

安全模型是安全策略形式化的表述，它是安全策略所管理的實(shí)體以及構(gòu)成策略的規(guī)則。

安全模型是被用來描述一個(gè)系統(tǒng)的保密性、可用性和完整性的需求的任何形式化的表述。

3.1 BLP（Bell&Lapadula）模型

BLP模型是目前應(yīng)用最廣泛的安全模型，是最典型的信息保密性多極安全模型，同時(shí)也是許多軍用計(jì)算機(jī)系統(tǒng)的安全原型。該模型應(yīng)用了其開發(fā)者所證明的基本安全理論(Basic Secure Theorem，BST)，以狀態(tài)機(jī)為基礎(chǔ)，并通過歸納證明的方法得出系統(tǒng)是安全的結(jié)論。它包括強(qiáng)制訪問控制和自主訪問控制兩部分。強(qiáng)制訪問控制中的安全特性，要求對(duì)給定安全級(jí)別的主體，僅被允許對(duì)同一安全級(jí)別和較低安全級(jí)別上的客體進(jìn)行“讀”，對(duì)給定安全級(jí)別上的主體，僅被允許向相同安全級(jí)別或較高安全級(jí)別上的客體進(jìn)行“寫”，任意訪問控制允許用戶自行定義是否讓個(gè)人或組織存取數(shù)據(jù)。其信息流動(dòng)如圖1所示：

圖1 信息流動(dòng)圖

3.2 CW（Clark-Wilson）模型

CW模型由三個(gè)部分主成：①數(shù)據(jù)。分為完整性約束數(shù)據(jù)、非完整性約束數(shù)據(jù)。②過程IVPs。用于校驗(yàn)數(shù)據(jù)的完整性，由系統(tǒng)的“安全官員”執(zhí)行(安全官員不執(zhí)行TP)。③過程TPs。是主體對(duì)客體的訪問方式，使完整性約束數(shù)據(jù)從一種約束狀態(tài)轉(zhuǎn)變?yōu)榱硪环N約束狀態(tài)，保證數(shù)據(jù)的完整性。該過程由一般用戶執(zhí)行。

CW的基本原則:

(1)Separation of Duty原則。規(guī)定一個(gè)任務(wù)從開始到結(jié)束，將被分給至少兩個(gè)人完成，防止個(gè)人可能造成的欺騙。

(2)Well-formed Transaction原則。用戶不能夠任意地處理數(shù)據(jù)，但是可以通過能夠確保數(shù)據(jù)完整性的方法進(jìn)行。

CW策略對(duì)數(shù)據(jù)的操作與數(shù)據(jù)的安全等級(jí)無(wú)關(guān)，主要防止對(duì)數(shù)據(jù)進(jìn)行非法修改，容易發(fā)生信息的泄漏。

3.3 BRAC模型

基于角色的訪問控制模型（BRAC）根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限。RBAC包括四個(gè)基本的要素：用戶、角色、權(quán)限和授權(quán)。系統(tǒng)管理員管理系統(tǒng)的角色集合和權(quán)限集合，將這些權(quán)限通過相應(yīng)的角色分別賦予承擔(dān)不同職責(zé)的用戶。并根據(jù)業(yè)務(wù)或安全策略的變化對(duì)角色的權(quán)限和用戶擔(dān)當(dāng)?shù)慕巧M(jìn)行調(diào)整。BRAC模型如圖2所示。

在用戶和訪問權(quán)限之間引入角色的概念，用戶與特定的一個(gè)或多個(gè)角色相關(guān)聯(lián)，角色與一個(gè)或多個(gè)訪問權(quán)限相關(guān)聯(lián)，角色可以根據(jù)實(shí)際工作需要生成或取消，而用戶可以根據(jù)自己的需要?jiǎng)討B(tài)地激活自己擁有的角色，避免了用戶無(wú)意中危害操作系統(tǒng)安全。

圖2 BRAC模型

4 模型比較

BLP模型是安全操作系統(tǒng)中最經(jīng)典的多級(jí)安全策略模型，但它強(qiáng)調(diào)軍隊(duì)安全策略，過于注重系統(tǒng)安全的保密性方面，對(duì)系統(tǒng)的完整性和真實(shí)性考慮不夠，不能控制低安全級(jí)主體對(duì)高安全級(jí)客體的“向上寫”，所以要對(duì)“向上寫”操作作出限制。CW模型是強(qiáng)數(shù)據(jù)類型和面向事務(wù)處理的商用完整性模型。與BLP模型不同，CW模型強(qiáng)調(diào)商業(yè)等許多領(lǐng)域中防止信息的未授權(quán)修改問題。BLP對(duì)數(shù)據(jù)指定安全層次，訪問授權(quán)的模式依賴于這個(gè)安全層次和主體的層次比較；CW與數(shù)據(jù)相關(guān)的不是安全層次，而是允許訪問和操作數(shù)據(jù)的程序集合；BLP模型對(duì)主體的授權(quán)內(nèi)容受其所能訪問的數(shù)據(jù)的限制；CW模型主體受其所能執(zhí)行的程序的限制，沒有獲得對(duì)某個(gè)或某類數(shù)據(jù)的訪問授權(quán)，但是被授予訪問或執(zhí)行某些程序進(jìn)而訪問特定的數(shù)據(jù)；BLP模型用三元組（主體，客體，模式）決定訪問限制；CW用三元組（主體，客體，程序塊）決定訪問限制。RBAC的結(jié)構(gòu)簡(jiǎn)單, 易于實(shí)現(xiàn), 也易與其他模型結(jié)合，但很難控制同一用戶以不同的身份進(jìn)入系統(tǒng)而破壞系統(tǒng)的安全。

5 結(jié)束語(yǔ)

操作系統(tǒng)安全涉及許多方面，現(xiàn)今主要有兩條路線：一是通過研究設(shè)計(jì)各種安全機(jī)制，在通用操作系統(tǒng)中綜合應(yīng)用多項(xiàng)安全技術(shù)，逐步發(fā)展和完善，從而實(shí)現(xiàn)操作系統(tǒng)的應(yīng)用安全，達(dá)到C2安全等級(jí)；另一路線是設(shè)計(jì)安全操作系統(tǒng)模型，從整體構(gòu)架上設(shè)計(jì)全新的安全操作系統(tǒng)(安全內(nèi)核)，達(dá)B1安全等級(jí)。上面介紹的三種模型，各有利弊。在目前現(xiàn)有的安全模型基礎(chǔ)上，將三種模型相結(jié)合，能夠滿足操作系統(tǒng)保密性與完整性要求。此外，可以在安全內(nèi)核基本安全機(jī)制的基礎(chǔ)上加入實(shí)用的安全認(rèn)證等安全機(jī)制，可增加操作系統(tǒng)的可用性。

參考文獻(xiàn)：

[1]GA/T 388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求[S]. 2002.

[2]李克洪，王大玲，董曉梅.實(shí)用密碼學(xué)與計(jì)算機(jī)數(shù)據(jù)安全[M].東北大學(xué)出版社，2004.

[3]梁彬，孫玉芳，石文昌，孫波. 一種改進(jìn)的以基于角色的訪問控制實(shí)施BLP模型及其變種的方法[J].計(jì)算機(jī)學(xué)報(bào)，2004.

系統(tǒng)安全范文第3篇

關(guān)鍵詞：Windows系統(tǒng)；安全；保護(hù)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 01-0000-02

Analysis of the Windows System Security

Wu Li

(Neijiang Normal University College of Computer Science,Neijiang641112,China)

Abstract:With the widely used Windows in the areas of human life,the attacks against Windows systems also will increase.The purpose of monitoring and modifying the registry,and using encryption technology to meet defense and remove computer viruses,secure Windows systems.

Keywords:Windows system;Security;Protection

隨著科學(xué)技術(shù)的不斷提高，Windows系統(tǒng)日漸成熟，其強(qiáng)大的功能已為人們深刻認(rèn)識(shí)，它已進(jìn)入人類社會(huì)的各個(gè)領(lǐng)域并發(fā)揮著重要的作用，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及網(wǎng)絡(luò)應(yīng)用的普遍化，Windows系統(tǒng)安全正面臨著前所未有的挑戰(zhàn)。

一、Windows系統(tǒng)安全的現(xiàn)狀

多年來，黑客對(duì)計(jì)算機(jī)信息系統(tǒng)的攻擊一直沒有停止過，其手段也越來越高明，從最初的猜測(cè)用戶口令、利用計(jì)算機(jī)軟件缺陷，發(fā)展到現(xiàn)在的通過操作系統(tǒng)源代碼分析操作系統(tǒng)漏洞。同時(shí)網(wǎng)絡(luò)的普及使得攻擊工具和代碼更容易被一般用戶獲得，這無(wú)疑給Windows系統(tǒng)安全帶來了更大的挑戰(zhàn)。解決Windows系統(tǒng)安全問題，任重而道遠(yuǎn)。

二、Windows系統(tǒng)的安全防護(hù)措施

（一）用注冊(cè)表保護(hù)Windows系統(tǒng)安全

在Windows時(shí)代，微軟采用注冊(cè)表統(tǒng)一管理軟硬件配置，從而大大提高了系統(tǒng)的安全性和穩(wěn)定性，同時(shí)也使我們更容易的對(duì)系統(tǒng)進(jìn)行維護(hù)和管理，總的來說，注冊(cè)表實(shí)際上是一個(gè)龐大的數(shù)據(jù)庫(kù)，他包含了應(yīng)用程序、系統(tǒng)軟硬件的全部配置信息。通過修改注冊(cè)表能很好維護(hù)系統(tǒng)安全和清除一些頑固病毒。

1.IE連接首頁(yè)被惡意修改

許多用戶在下載安裝一些軟件后，會(huì)發(fā)現(xiàn)自己IE首頁(yè)被修改，并且改不回來，那么可以用注冊(cè)表來解決這個(gè)問題。被惡意更改的注冊(cè)表為：

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer

Main\StartPage

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

通過修改StartPage的鍵值，使修改者達(dá)到連接IE默認(rèn)首頁(yè)的目的。那么該如何通過注冊(cè)表解決這個(gè)問題呢，點(diǎn)擊開始運(yùn)行菜單項(xiàng)，在打開欄中鍵入regedit，然后按確定鍵；展開注冊(cè)表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，找到StartPage雙擊，將StartPage的值改為about：blank即同理，展開：

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main找到StartPage，按照相同的辦法修改，然后重新啟動(dòng)計(jì)算機(jī)。

2.利用注冊(cè)表清除病毒

隨著信息時(shí)代的來臨，我們?cè)谙硎芫W(wǎng)絡(luò)帶來的便捷的同時(shí)，不可避免的會(huì)遭受計(jì)算機(jī)病毒的騷擾，在沒有殺毒軟件的情況下，大多數(shù)人會(huì)束手無(wú)策，或者在殺毒軟件清除了病毒程序，重啟系統(tǒng)后，有些頑固的計(jì)算機(jī)病毒又會(huì)卷土重來，如果您發(fā)現(xiàn)計(jì)算機(jī)已經(jīng)中了木馬，最安全最有效的方法就是馬上與網(wǎng)絡(luò)段開，防止計(jì)算機(jī)黑客通過網(wǎng)絡(luò)對(duì)您進(jìn)行攻擊，執(zhí)行如下步驟：編輯Win.ini文件，將[Windows]小節(jié)下面的“run=木馬程序”或“l(fā)oad=木馬程序”更改為“run=”，“l(fā)oad=”。編輯System.ini文件，將[boot]小節(jié)下面的“shell=木馬文件”更改為

“shell=Explorer.exe”。

在Windows XP注冊(cè)表中進(jìn)行修改：先在HKEY_LOCAL_MACHINESOF-

TWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程序的文件名刪除，并在整個(gè)注冊(cè)表中查找木馬程序，將其刪除或替換。但并不是所有的木馬程序都只要?jiǎng)h除就能萬(wàn)事大吉的，有的木馬程序被刪除后會(huì)立即自動(dòng)添上，這時(shí)，你需要記下木馬的位置，即它的路徑和文件名，然后退到DOS系統(tǒng)下，找到這個(gè)文件并刪除。重啟計(jì)算機(jī)，再次回到注冊(cè)表中，將所有的木馬文件的鍵值項(xiàng)刪除。

3.利用注冊(cè)表來防護(hù)病毒

查殺病毒只是補(bǔ)救工作，為了更好的保護(hù)我們的Windows系統(tǒng)，最好的辦法就是防范于未然，把病毒拒之門外。Windows的注冊(cè)表不僅可本地訪問，還可遠(yuǎn)程訪問。因此，攻擊者或者未經(jīng)授權(quán)的用戶可能會(huì)像管理員一樣嘗試遠(yuǎn)程訪問系統(tǒng)的注冊(cè)表，這無(wú)疑會(huì)帶來極大的安全風(fēng)險(xiǎn)。我們可將遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry)的啟動(dòng)方式設(shè)置為禁用。不過，黑客在入侵我們的計(jì)算機(jī)后，仍然可以通過簡(jiǎn)單的操作將該服務(wù)從禁用轉(zhuǎn)換為自動(dòng)啟動(dòng)。通常情況下，對(duì)于個(gè)人系統(tǒng)我們不會(huì)遠(yuǎn)程訪問注冊(cè)表，那么就可以禁止注冊(cè)表的遠(yuǎn)程訪問。找到注冊(cè)表中：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下的RemoteRegistry項(xiàng)，右鍵點(diǎn)擊該項(xiàng)選擇刪除，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了。這樣以后攻擊者就不能通過遠(yuǎn)程訪問系統(tǒng)的注冊(cè)表了。

（二）RSA算法加密設(shè)計(jì)

RSA算法是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它易于理解和操作，經(jīng)歷了各種攻擊的考驗(yàn)，逐漸為人們接受，普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。

1.加密和解密函數(shù)的實(shí)現(xiàn)

encrypt（）函數(shù)和decrypt（）函數(shù)是實(shí)現(xiàn)RSA算法中的對(duì)明文加密和對(duì)密文解密功能的，其中調(diào)用了大整數(shù)類中的RsaTrans（）函數(shù)用做RSA加密和解密算法中的模冪運(yùn)算。

encrypt(CBigInt&m，CBigInt&n，CBigInt&e)

{

CBigInt c；

//c.Mov(m.RsaTrans(e，n))實(shí)現(xiàn)了c的模冪運(yùn)算

c.Mov(m.RsaTrans(e，n))；

return c；

decrypt(CBigInt&c，CBigInt&n，CBigInt&d)

{

CBigInt m；

m.Mov(c.RsaTrans(d，n))；

return m；

}

2.加密模塊

此模塊主要是實(shí)現(xiàn)了對(duì)文本文件進(jìn)行加密的功能。在加密的時(shí)候運(yùn)用了加密模encrypt(dig，n，pk)，加密文本文件。如果在用戶沒有導(dǎo)入私鑰時(shí)就要求加密時(shí)，會(huì)彈出請(qǐng)導(dǎo)入私鑰的提示信息。

void CMyRSADlg：：OnEncrypt()

{

if(m_strPK.IsEmpty()){

MessageBox("請(qǐng)導(dǎo)入私鑰"，NULL，MB_ICONERROR|MB_OK)//如果沒有填寫加密密鑰彈出的提示信息

return；

}

unsigned char digest[100]；

FILE* file；

if(!(file=fopen(LPCTSTR(m_strF)，"rb"))){

MessageBox("無(wú)法打開文件!")；

return；

}

fread(digest， 1， 100， file)；

fclose(file)；

dig.Mov(0)；

for(int j=0；j

memcpy(&dig.m_ulValue[j]，&digest[j*4]，4)；

}

dig.m_nLength=25；

CRsa enc；

sig.Mov(enc.encrypt(dig，n，pk))；

//調(diào)用CBigInt類中的函數(shù)encrypt（）進(jìn)行加密

sig.Put(m_strCipher)；

UpdateData(FALSE)；//顯示密文

}

三、結(jié)束語(yǔ)

系統(tǒng)安全范文第4篇

認(rèn)真貫徹落實(shí)中央主要領(lǐng)導(dǎo)同志近期重要批示和國(guó)務(wù)院常務(wù)會(huì)議以及省市關(guān)于加強(qiáng)安全生產(chǎn)工作的部署，把集中開展大檢查作為當(dāng)前安全生產(chǎn)的首要任務(wù)，按照全覆蓋、零容忍、嚴(yán)執(zhí)法、重實(shí)效的總要求，采取更加堅(jiān)決、更加有力、更加有效的措施，在糧食系統(tǒng)全面深入排查治理安全生產(chǎn)隱患，堵塞安全監(jiān)管漏洞，強(qiáng)化安全生產(chǎn)措施，督促企業(yè)落實(shí)安全生產(chǎn)責(zé)任，鐵腕打擊非法違法和違規(guī)違章行為，全面摸清安全隱患和薄弱環(huán)節(jié)，認(rèn)真整改、健全制度，逐步建立橫向到邊、縱向到底的隱患排查治理體系，進(jìn)一步夯實(shí)安全生產(chǎn)基礎(chǔ)，有效防范和堅(jiān)決遏制安全生產(chǎn)事故的發(fā)生，促進(jìn)全市糧食系統(tǒng)安全生產(chǎn)形勢(shì)持續(xù)穩(wěn)定。

二、檢查內(nèi)容

各單位貫徹落實(shí)國(guó)務(wù)院、省、市人民政府關(guān)于安全生產(chǎn)工作電視電話會(huì)議精神，開展“安全生產(chǎn)重點(diǎn)整治百日行動(dòng)”工作情況；落實(shí)安全生產(chǎn)“一崗雙責(zé)”，依法履行安全生產(chǎn)監(jiān)管情況；加大監(jiān)管力度，嚴(yán)厲打擊生產(chǎn)經(jīng)營(yíng)單位非法違法違規(guī)違章工作情況；重點(diǎn)是糧油倉(cāng)庫(kù)、在建（維修）工程等倉(cāng)儲(chǔ)設(shè)施，出租場(chǎng)所、學(xué)校和辦公樓等人員密集區(qū)，以及用油用氣用電安全、糧食安全度夏度汛措施落實(shí)等情況。

三、組織領(lǐng)導(dǎo)

局成立安全生產(chǎn)大檢查活動(dòng)領(lǐng)導(dǎo)小組，工作職責(zé)是安排部署、組織指導(dǎo)、督促檢查各單位開展工作。

領(lǐng)導(dǎo)小組下設(shè)辦公室，由局行業(yè)管理處具體承擔(dān)安全生產(chǎn)大檢查活動(dòng)日常工作。

辦公室主任：方胥鈔行業(yè)管理處主任科員

四、實(shí)施步驟

活動(dòng)從2013年即日起開始，至9月底結(jié)束。分動(dòng)員部署、自查自糾、督查整改、總結(jié)提高四個(gè)階段組織實(shí)施。

（一）動(dòng)員部署階段（即日起至7月10日）

按照國(guó)務(wù)院、省、市政府總體部署，結(jié)合本地區(qū)、本單位實(shí)際，制定工作方案，明確整治目標(biāo)、內(nèi)容及措施要求；成立專門工作機(jī)構(gòu)，明確相關(guān)部門職責(zé)分工；采取多種形式，大力宣傳安全生產(chǎn)大檢查的目的和意義，增強(qiáng)行動(dòng)的自覺性和主動(dòng)性。

（二）自查自糾階段（7月11日至7月31日）

各單位要圍繞工作目標(biāo)，劃分責(zé)任區(qū)域，實(shí)行任務(wù)包干，開展拉網(wǎng)式排查，做到不漏一個(gè)單位、不漏一個(gè)部位、不漏一個(gè)隱患，對(duì)每一個(gè)環(huán)節(jié)、每一個(gè)崗位、每一項(xiàng)安全措施落實(shí)情況進(jìn)行全面徹底的隱患排查。對(duì)自查中發(fā)現(xiàn)的問題和隱患，要認(rèn)真登記，建立隱患信息檔案，及時(shí)落實(shí)整改。

（三）督查整改階段（8月1日至8月31日）

局領(lǐng)導(dǎo)小組在企事業(yè)單位自查自糾的基礎(chǔ)上，深入生產(chǎn)一線加強(qiáng)督促、檢查和指導(dǎo)，按照國(guó)家有關(guān)法律法規(guī)對(duì)各單位安全生產(chǎn)狀況進(jìn)行全面檢查，對(duì)排查出的隱患要立即整治，不能當(dāng)場(chǎng)整改的要督促落實(shí)整改責(zé)任人、整改期限和整改措施，確保整改工作落到實(shí)處。同時(shí)，各單位還要做好迎接上一級(jí)糧食行政部門或安監(jiān)部門組織的明察暗訪活動(dòng)。

（四）總結(jié)提高階段（9月1日至9月底）。

各單位對(duì)安全生產(chǎn)大檢查活動(dòng)開展情況認(rèn)真進(jìn)行梳理、分析，總結(jié)經(jīng)驗(yàn)教訓(xùn)，完善應(yīng)急體系，建立隱患排查治理的長(zhǎng)效機(jī)制。

五、工作要求

（一）加強(qiáng)領(lǐng)導(dǎo)，明確職責(zé)。各單位要切實(shí)加強(qiáng)組織領(lǐng)導(dǎo)，迅速制定活動(dòng)方案，立即動(dòng)員部署，做到層層發(fā)動(dòng)、層層部署、層層落實(shí)，提供必要的人力、物力和財(cái)力保障，確?；顒?dòng)全面徹底、不走過場(chǎng)。企事業(yè)單位主要負(fù)責(zé)人要切實(shí)履行安全生產(chǎn)主體責(zé)任，要親自帶隊(duì)深入基層開展督促檢查，迅速組織開展自查自糾工作，將排查任務(wù)落實(shí)到車間、班組和每個(gè)崗位，全面排查治理事故隱患，對(duì)發(fā)現(xiàn)的重大隱患和突出問題要跟蹤到底、整改到位。

（二）全面排查，落實(shí)責(zé)任。各單位要進(jìn)行拉網(wǎng)式檢查，逐一庫(kù)點(diǎn)、逐一環(huán)節(jié)進(jìn)行驗(yàn)收，做到“有庫(kù)必到、有廠必查、查必徹底”，要對(duì)事故易發(fā)的重點(diǎn)場(chǎng)所、要害部位、關(guān)鍵環(huán)節(jié)列出問題清單，建立隱患臺(tái)賬。要堅(jiān)持邊排查邊整改，以排查促整改。對(duì)排查發(fā)現(xiàn)有問題的企業(yè)，要進(jìn)行切實(shí)整頓，及時(shí)消除隱患和問題，檢查和整改結(jié)果均要由相關(guān)負(fù)責(zé)人簽字確認(rèn)；對(duì)暫時(shí)不能整改的隱患和問題，要制定并督促落實(shí)整改責(zé)任人、整改期限和整改措施，確保整改工作落到實(shí)處；對(duì)不具備安全生產(chǎn)條件且難以整改到位的企業(yè)，要依法堅(jiān)決予以關(guān)閉取締。

系統(tǒng)安全范文第5篇

關(guān)鍵詞：Web應(yīng)用系統(tǒng) 安全 防護(hù)

Web應(yīng)用系統(tǒng)就是利用各種動(dòng)態(tài)Web技術(shù)開發(fā)的，基于B/S（瀏覽器/服務(wù)器）模式的事務(wù)處理系統(tǒng)。用戶直接面對(duì)的是客戶端瀏覽器，使用Web應(yīng)用系統(tǒng)時(shí)，用戶通過瀏覽器發(fā)出的請(qǐng)求，其之后的事務(wù)邏輯處理和數(shù)據(jù)的邏輯運(yùn)算由服務(wù)器與數(shù)據(jù)庫(kù)系統(tǒng)共同完成，對(duì)用戶而言是完全透明的。運(yùn)算后得到的結(jié)果再通過網(wǎng)絡(luò)傳輸給瀏覽器，返回給用戶。

1.Web應(yīng)用系統(tǒng)面臨的安全問題

目前，互聯(lián)網(wǎng)已經(jīng)成為各大機(jī)構(gòu)發(fā)展的一個(gè)重要基礎(chǔ)平臺(tái)，由于Web應(yīng)用的開放性，以及各種Web軟硬件漏洞的不可避免性，加上網(wǎng)絡(luò)攻擊技術(shù)日趨成熟，黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。然而，目前大多數(shù)企業(yè)仍是把網(wǎng)絡(luò)和服務(wù)器的安全放在第一位，Web應(yīng)用系統(tǒng)的安全并未得到足夠的重視。在2011年底，國(guó)內(nèi)互聯(lián)網(wǎng)業(yè)界爆發(fā)的CSDN等眾多網(wǎng)站“泄密門”系列事件，就掀開了Web應(yīng)用威脅的冰山一角。

Web應(yīng)用系統(tǒng)在日常運(yùn)行過程中，會(huì)遇到多種方式的攻擊，主要有以下四個(gè)方面：

1.1 操作系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)的安全問題

這里指操作系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的漏洞，配置不當(dāng)，如弱口令等，導(dǎo)致黑客、病毒可以利用這些缺陷對(duì)網(wǎng)站進(jìn)行攻擊。

1.2Web系統(tǒng)的漏洞

We b業(yè)務(wù)常用的系統(tǒng)(即Web服務(wù)器)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，會(huì)給入侵者可乘之機(jī)。 1.3Web應(yīng)用程序的漏洞

主要指Web應(yīng)用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等。

1.4自身網(wǎng)絡(luò)的安全狀況

網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊等，也會(huì)影響到網(wǎng)站的正常運(yùn)營(yíng)。

2.Web應(yīng)用系統(tǒng)安全防護(hù)策略

2.1事前防范，提升安全意識(shí)

一是設(shè)置網(wǎng)站安全基線，制定防篡改、防掛馬安全規(guī)范，提出監(jiān)測(cè)、防護(hù)與處置機(jī)制和要求。二是輔助以自動(dòng)檢測(cè)工具、檢查列表定期開展檢查工作。三是不定期進(jìn)行Web威脅掃描、源代碼評(píng)估及滲透測(cè)試，查找系統(tǒng)應(yīng)用漏洞、是否掛馬，及時(shí)對(duì)系統(tǒng)進(jìn)行更新升級(jí)。四是建立網(wǎng)站安全管理中心，在各安裝網(wǎng)站部署探針，對(duì)收集的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析，定期形成系統(tǒng)安全態(tài)勢(shì)分析報(bào)告。五是安裝防病毒、通訊監(jiān)視等軟件，防止流行病毒、木馬的攻擊。

2.2 事中防御，安裝安全產(chǎn)品

圍繞Web應(yīng)用系統(tǒng)的安全，市場(chǎng)上的產(chǎn)品形形，但結(jié)合安全防護(hù)需要，一般可以安裝以下幾種產(chǎn)品：

2.2.1網(wǎng)頁(yè)防篡改產(chǎn)品

網(wǎng)頁(yè)防篡改技術(shù)的基本原理是對(duì)Web服務(wù)器上的頁(yè)面文件進(jìn)行監(jiān)控，發(fā)現(xiàn)有更新及時(shí)恢復(fù)，屬于典型的被動(dòng)防護(hù)技術(shù)。網(wǎng)頁(yè)防篡改系統(tǒng)可以用于Web服務(wù)器，也可以用于中間件服務(wù)器，其目的是保障網(wǎng)頁(yè)文件的完整性。

2.2.2 Web防火墻產(chǎn)品

Web防火墻能主動(dòng)阻斷入侵行為，對(duì)Web特有入侵方式加強(qiáng)防護(hù)，如DDoS防護(hù)、SQL注入、XML注入、XSS等，重點(diǎn)是防止SQL注入。Web防火墻產(chǎn)品部署在Web服務(wù)器前面，串行接入，不僅在硬件性能上要求高，而且不會(huì)影響Web服務(wù)。

2.2.3 Web木馬檢查工具

Web安全不僅是維護(hù)服務(wù)器自身的安全，通過網(wǎng)站入侵用戶電腦的危害也必須能夠防護(hù)。Web木馬檢查工具，按照一定的規(guī)則重點(diǎn)查看網(wǎng)頁(yè)是否被掛木馬，或被XSS利用，一般作為安全服務(wù)檢查使用，定期對(duì)網(wǎng)站進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)報(bào)警。

2.2.4 主機(jī)Web網(wǎng)關(guān)

主機(jī)Web網(wǎng)關(guān)采用軟件形式，能夠?qū)崿F(xiàn)Web應(yīng)用入侵防護(hù)，頁(yè)面文件防篡改，Web網(wǎng)頁(yè)自動(dòng)學(xué)習(xí)功能，Web用戶訪問行為的自學(xué)功能，不需要關(guān)心Web服務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)，避免了Web服務(wù)使用加密協(xié)議時(shí)網(wǎng)關(guān)安全設(shè)備對(duì)應(yīng)用層攻擊無(wú)能為力得弊端。

2.3 事后響應(yīng)，安全監(jiān)控與恢復(fù)

2.3.1 對(duì)檢測(cè)階段的結(jié)果進(jìn)行響應(yīng)

在檢測(cè)完成后，對(duì)結(jié)果進(jìn)行分析總結(jié),修訂安全計(jì)劃、政策、程序，修補(bǔ)系統(tǒng)漏洞，完善網(wǎng)頁(yè)編碼，清除網(wǎng)頁(yè)木馬和惡意代碼，并進(jìn)行訓(xùn)練以防止入侵。

2.3.2 對(duì)防御階段的結(jié)果進(jìn)行響應(yīng)

有效恢復(fù)是Web應(yīng)用系統(tǒng)安全保障的一個(gè)重要內(nèi)容。Web數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)，其作用就是通過對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào)，可以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管，使得運(yùn)營(yíng)狀態(tài)具備可恢復(fù)性。

3.結(jié)語(yǔ)

網(wǎng)絡(luò)技術(shù)日新月異，Web應(yīng)用飛速發(fā)展，但隨之而來的是其受到的攻擊也越來越多，防護(hù)難度也越來越大，面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)威脅，Web應(yīng)用系統(tǒng)管理者應(yīng)提高安全意識(shí)，應(yīng)用全面的安全防護(hù)策略，搭建立體的防護(hù)架構(gòu)，利用先進(jìn)的技術(shù)和手段，確保Web應(yīng)用系統(tǒng)符合安全性的要求，保持良好穩(wěn)定運(yùn)行。

參考文獻(xiàn):

[1]趙濤，李先國(guó)，胡曉東. MVC設(shè)計(jì)模式在Web應(yīng)用系統(tǒng)框架中的擴(kuò)展[J]. 安徽大學(xué)學(xué)報(bào)(自然科學(xué)版)，2005，29(4)：29-32.

[2]海吉（Yusuf Bhaiji），田果，劉丹寧.網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版）[M].人民郵電出版社，2010，1.