《CISP》计算环境安全
Posted 杰西啊杰西
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《CISP》计算环境安全相关的知识,希望对你有一定的参考价值。
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定
目录
一、操作系统安全
1、标识与鉴别
(1)Windows的身份标识与鉴别
使用 SID安全标识符 在系统内部进行标记
Windows本地登录验证身份鉴别通过安全通道,将用户鉴别信息与预先存储的信息进行对比
Windows本地用户信息加密存储在注册表中,只有system账户才有权限进行访问
(2)Linux身份标识与鉴别
使用 UID 用户标识号来标识和区分不同的用户
用户信息存放在/etc/passwd
用户口令散列/etc/shadow
,只有root可读可写
2、访问控制
Windows的ACL系统在NTFS文件系统流中
3、权限管理
最小特权原则
4、信道保护
- 显式信道保护
- 隐蔽信道:使用不是作用通信的信道进行通信,这些信道一般是用于交互进程通信的,如文件、交互进程或者共享内存
特洛伊木马攻击:使用一个合法的信息信道进行非法的通信
5、安全审计
6、缓冲区溢出攻击
7、恶意代码
- 存在形式:二进制代码或文件、脚本语言或宏语言
- 表现形式:病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等
- 传播方式:
(1)文件传播
作为文件的一部分或自身就是一个独立文件,通过文件复制的方式达到进入目标系统的目的
① 感染文件:当文件被复制和执行时传播到目标系统中,例如CIH病毒感染可执行文件,当带毒可执行文件被执行时进入目标系统;宏病毒感染word文档
② 借助移动存储介质进行传播,利用Windows系统默认开启的自动播放功能进入目标系统
(2)网络传播
① 网页挂马:利用浏览器及其组件的漏洞传播到目标系统
② 垃圾邮件
③ 即时通讯的关系链、P2P下载资源等
④ 系统漏洞
(3)软件波束
某些Rootkit、木马、脚本后门及逻辑炸弹本身不具有自动传播的能力,通过文件捆绑或者上传等方式进入用户系统,将自身与其他普通软甲进行捆绑,在用户安装该软件后,恶意代码进入系统
① 攻击者获得系统上传权限,部署到目标系统
② 恶意代码自身就是软件的一部分,随软件部署传播,例如逻辑炸弹、预留的后门代码
③ 内嵌在软件中
-
防范
(1)安全策略
安全教育、行为规范
(2)减少漏洞
不定、安全配置、开放端口连接控制、禁用或删除不需要的服务降低运行权限提高服务安全性、避免弱口令、增强系统日志机制提高审计能力
(3)减轻威胁
入侵检测/防御系统、防火墙、防病毒网关 -
恶意代码检测
(1)特征码扫描:不能发现新的恶意代码
(2)行为检测:对大量恶意代码行为分析,构建出一个恶意代码的行为模型,误报率高 -
恶意代码分析
(1)静态分析:
对二进制文件分析:获取恶意代码的基本结构和特征,了解工作方式和机制
① 恶意代码特征分析,查找恶意代码二进制程序中嵌入的可疑字符串,如文件名称、url地址、域名、调用函数等
② 反汇编分析:使用反汇编工具,转换为汇编代码,对词法、语法、控制流等进行分析
(2)动态分析:
在虚拟运行环境中使用测试及监控软件,检测恶意代码行为,分析其执行流程以及处理数据的状态
恶意代码一般会对运行环境的系统文件、注册表、系统服务等表现非正常操作
修改操作系统的函数接口,改变函数的执行流程,输入/输出参数等 -
恶意代码清除
(1)感染引导区型恶意代码的清除
对引导区进行修复,恢复正常的引导信息
(2)文件依附性恶意代码清除
① 文件长度变长的(一般恶意代码是追加到正常文件的后面):将文件后的恶意代码清除,修改程序首指针使其正常恢复
② 拆分到程序自由空间内的,放在被感染程序中没有使用的部分,一般文件不会加长,要了解恶意代码特性之后才能清楚
③ 覆盖型:用自身代码覆盖文件的部分代码,清除会导致正常文件被破坏,无法修复,只能用没有被感染的原始文件覆盖
(3)独立型
自身是独立文件、程序
木马、蠕虫等
(独立文件需要依托其他可执行文件运行调用,例如DLL注入)
(4)嵌入型
嵌入在应用软件中,需要更新软件甚至重置系统
二、应用安全
1、SQL注入
2、XSS攻击
3、失效的验证和会话管理
4、不安全的对象直接引用 IDOR
5、CSRF 跨站请求伪造
6、不安全的配置管理
7、不安全的密码存储
8、错误的访问控制
9、传输保护不足
没有提供保护网络数据流的措施,例如身份认证、数据加密、完整性保护等
保护时采用了弱算法、使用过期或者无效的数字证书等
在身份认证过程中使用SSL/TLS协议进行保护,但是传输是没有使用,因此暴露传输的敏感数据和会话ID等信息
10、未经验证的网址重定向
11、不恰当的异常处理
12、拒绝服务攻击
三、Web安全防护技术
1、Web应用防火墙WAF
通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一类产品,用以解决Web应用层出现的安全问题
Web防护、网页保护、负载均衡
(1)审计功能
用来截获所有HTTP数据或者仅仅满足某些规则的会话
(2)访问控制设备
用来控制对Web应用的访问,既包括主动安全模式,也包括被动安全模式
(3)Web应用加固工具
一般在Web服务器和接入网之间,为串行接入
2、网页防篡改
只能保护静态页面,无法保护动态页面
(1)定时循环技术
(2)摘要循环技术
(3)事件触发防范技术
(4)底层过滤技术
直接看护进程
利用操作系统自身的文件安全保护功能,对主目录文件进行锁定,只允许站点发布系统才可以修改文件,其他系统进程不允许修改
3、电子邮件安全
(1)S/MIME
安全/多用途因特网邮件拓展
- 采用非对称密码学机制
- 支持数字证书
- 支持用户身份邮件加密
(2)PGP
基于公钥加密体系的开源软件
(3)SSL
4、其他互联网应用
(1)远程接入安全Telnet SSH
(2)域名系统安全DNS
(3)即时通讯安全IM
5、数据库安全
(1)数据库系统运行环境监测
(2)数据库自身安全缺陷监测
(3)数据库活动监控DAM
以上是关于《CISP》计算环境安全的主要内容,如果未能解决你的问题,请参考以下文章