安全性战术:分为与抵抗攻击有关的战术、与检测攻击有关的战术以及与从攻击中恢复有关的战术。
抵抗攻击:
对用户进行身份验证:
进入系统需要注册登录
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class DAO { public user login(Connection con,user user) throws Exception{ user resultUser=null; String sql="select * from t_user where userName=? and password=?"; PreparedStatement pstmt=con.prepareStatement(sql); pstmt.setString(1, user.getUserName()); pstmt.setString(2, user.getPassword()); ResultSet rs=pstmt.executeQuery(); if(rs.next()){ resultUser=new user(); resultUser.setUserName(rs.getString("userName")); resultUser.setPassword(rs.getString("password")); } return resultUser; } //注册功能 public boolean register(Connection con,user user) throws Exception{ boolean flag=false; PreparedStatement pstmt = null; String sql="INSERT INTO t_user(userName,password)VALUES(?,?)"; pstmt = con.prepareStatement(sql); pstmt.setString(1, user.getUserName()); pstmt.setString(2, user.getPassword()); if (pstmt.executeUpdate() > 0) { flag = true; } return flag; } }
对用户进行授权
登陆的时候把用户权限码存入session中,然后从session中取权限
public class MenuFunction implements TemplateMethodModel{ @Override public Object exec(List arg0) throws TemplateModelException { int level = Integer.valueOf(arg0.get(0).toString()); //模块等级 int modelId=Integer.valueOf(arg0.get(1).toString()); //模块id int count=0; //记录session是否有此模块的权限码 HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest(); HttpSession session=request.getSession(); Object o = session.getAttribute("info"); if(o==null) return false; Info info = (Info) o; String authCode=info.getUser().getAuthCode(); //权限码 if(authCode.contains(";")){ String[] masks=authCode.split(";"); String[] m=masks[level].split(","); for (int i = 0; i < m.length; i++) { if(modelId==Integer.parseInt(m[i])){ ++count; }else{ count+=0; } } } if(count==0){ return false; }else{ return true; } } }
维护数据机密性
在用户注册时将用户的密码加密后再保存至数据库,提高了安全性,使用MD5加密算法将用户密码加密。
package com.vincent.utils;
import java.security.MessageDigest;
/*
* 负责给字符串数据进行加密
*/
public class MD5Utils {
public static String str2MD5(String strs) {
/*
* 加密需要使用JDK中提供的类
*/
StringBuffer sb = new StringBuffer(); try { MessageDigest digest = MessageDigest.getInstance("MD5"); byte[] bs = digest.digest(strs.getBytes()); /* * 加密后的数据是-128 到 127 之间的数字,这个数字也不安全。 * 取出每个数组的某些二进制位进行某些运算,得到一个新的加密结果 * * 0000 0011 0000 0100 0010 0000 0110 0001 * &0000 0000 0000 0000 0000 0000 1111 1111 * --------------------------------------------- * 0000 0000 0000 0000 0000 0000 0110 0001 * * 把取出的数据转成十六进制数 */ for (byte b : bs) { int x = b & 255; String s = Integer.toHexString(x); if (x < 16) { sb.append("0"); } sb.append(s); } } catch (Exception e) { System.out.println("加密失败"); } return sb.toString(); } }
维护完整个性
限制暴露的信息
限制访问
检测攻击:
“入侵检测”系统。
从攻击中恢复:
与恢复状态相关的战术和与识别攻击者相关的战术
与恢复状态相关的战术与可用性一致,如冗余,但主要是对密码、访问控制列表和用户资料数据进行冗余。
用于识别攻击者的战术是“维持审计追踪”审计追踪就是应用到系统中的数据的所有事物和识别信息的一个副本,可以使用它来识别攻击者的操作,支持认可和系统恢复。