对应用系统的攻击可以分为两类:
1 由于攻击者对网络结构和系统应用模式不了解,主要通过对应用服务器进行系统攻
击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取重要数
据;在现在通用的三层结构
(数据库服务器一应用服务器一应用客户端)中,通过对数据库
服务器的重点保护,可以防止大多数攻击。
2 攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的
机密信息,这些攻击包括:
*非法用户获取应用系统的合法用户帐号和口令,访问应用系统;
*用户通过系统的合法用户帐号,利用系统的
BUG,访问其授权范围以外的信息;
*攻击者通过应用系统存在的后门和隐通道
(如隐藏的超级用户帐号、非公开的系统访
问途径等
),访问应用服务器或数据库服务器;
*在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密
信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应
用系统的员工、开发商。
(2)
公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是
在信息共享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有
WWW、FTP、
邮件等方式,必须严格按照用户的身份进行控制对
信息的访问,对服务器也必须进行必要的身份认证。在认证的基础上根据用户的身份对信息
进行授权的访问控制,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。
公共应用包括外部的和内部的,尤其是内部的公共应用,有着更高的安全要求。如领导
信息查询系统,必须从上述的多个方面保证,特别对于身份认证和传输加密,必须做到万
无一失。
(3)办公系统应用的安全需求
内部的办公应用主要是运行在局域网上的办公事务处理,对身份认证和访问控制有更
高的要求。对身份认证必须有多重的保证,包括用户口令、使用机器的
IP 和 MAC 地址,将
来需要发展到使用
lC 卡或电子钥匙,通过多种方式确认用户的身份。访问控制的控制粒度
更细,必须根据不同应用的不同对象形式进行控制,如
web 页面、数据库记录等。
四、信息安全技术