《CISP》计算环境安全

Posted 杰西啊杰西

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《CISP》计算环境安全相关的知识,希望对你有一定的参考价值。

本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定

目录

一、操作系统安全

1、标识与鉴别

(1)Windows的身份标识与鉴别

使用 SID安全标识符 在系统内部进行标记
Windows本地登录验证身份鉴别通过安全通道,将用户鉴别信息与预先存储的信息进行对比
Windows本地用户信息加密存储在注册表中,只有system账户才有权限进行访问

(2)Linux身份标识与鉴别

使用 UID 用户标识号来标识和区分不同的用户

用户信息存放在/etc/passwd
用户口令散列/etc/shadow,只有root可读可写

2、访问控制

Windows的ACL系统在NTFS文件系统流中

3、权限管理

最小特权原则

4、信道保护

  • 显式信道保护
  • 隐蔽信道:使用不是作用通信的信道进行通信,这些信道一般是用于交互进程通信的,如文件、交互进程或者共享内存
    特洛伊木马攻击:使用一个合法的信息信道进行非法的通信

5、安全审计

6、缓冲区溢出攻击

7、恶意代码

  • 存在形式:二进制代码或文件、脚本语言或宏语言
  • 表现形式:病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等
  • 传播方式:
    (1)文件传播
    作为文件的一部分或自身就是一个独立文件,通过文件复制的方式达到进入目标系统的目的
    ① 感染文件:当文件被复制和执行时传播到目标系统中,例如CIH病毒感染可执行文件,当带毒可执行文件被执行时进入目标系统;宏病毒感染word文档
    ② 借助移动存储介质进行传播,利用Windows系统默认开启的自动播放功能进入目标系统

(2)网络传播
① 网页挂马:利用浏览器及其组件的漏洞传播到目标系统
② 垃圾邮件
③ 即时通讯的关系链、P2P下载资源等
④ 系统漏洞

(3)软件波束
某些Rootkit、木马、脚本后门及逻辑炸弹本身不具有自动传播的能力,通过文件捆绑或者上传等方式进入用户系统,将自身与其他普通软甲进行捆绑,在用户安装该软件后,恶意代码进入系统
① 攻击者获得系统上传权限,部署到目标系统
② 恶意代码自身就是软件的一部分,随软件部署传播,例如逻辑炸弹、预留的后门代码
③ 内嵌在软件中

  • 防范
    (1)安全策略
    安全教育、行为规范
    (2)减少漏洞
    不定、安全配置、开放端口连接控制、禁用或删除不需要的服务降低运行权限提高服务安全性、避免弱口令、增强系统日志机制提高审计能力
    (3)减轻威胁
    入侵检测/防御系统、防火墙、防病毒网关

  • 恶意代码检测
    (1)特征码扫描:不能发现新的恶意代码
    (2)行为检测:对大量恶意代码行为分析,构建出一个恶意代码的行为模型,误报率高

  • 恶意代码分析
    (1)静态分析:
    对二进制文件分析:获取恶意代码的基本结构和特征,了解工作方式和机制
    ① 恶意代码特征分析,查找恶意代码二进制程序中嵌入的可疑字符串,如文件名称、url地址、域名、调用函数等
    ② 反汇编分析:使用反汇编工具,转换为汇编代码,对词法、语法、控制流等进行分析
    (2)动态分析:
    在虚拟运行环境中使用测试及监控软件,检测恶意代码行为,分析其执行流程以及处理数据的状态
    恶意代码一般会对运行环境的系统文件、注册表、系统服务等表现非正常操作
    修改操作系统的函数接口,改变函数的执行流程,输入/输出参数等

  • 恶意代码清除
    (1)感染引导区型恶意代码的清除
    对引导区进行修复,恢复正常的引导信息
    (2)文件依附性恶意代码清除
    ① 文件长度变长的(一般恶意代码是追加到正常文件的后面):将文件后的恶意代码清除,修改程序首指针使其正常恢复
    ② 拆分到程序自由空间内的,放在被感染程序中没有使用的部分,一般文件不会加长,要了解恶意代码特性之后才能清楚
    ③ 覆盖型:用自身代码覆盖文件的部分代码,清除会导致正常文件被破坏,无法修复,只能用没有被感染的原始文件覆盖
    (3)独立型
    自身是独立文件、程序
    木马、蠕虫等
    (独立文件需要依托其他可执行文件运行调用,例如DLL注入)
    (4)嵌入型
    嵌入在应用软件中,需要更新软件甚至重置系统

二、应用安全

1、SQL注入

2、XSS攻击

3、失效的验证和会话管理

4、不安全的对象直接引用 IDOR

5、CSRF 跨站请求伪造

6、不安全的配置管理

7、不安全的密码存储

8、错误的访问控制

9、传输保护不足

没有提供保护网络数据流的措施,例如身份认证、数据加密、完整性保护等
保护时采用了弱算法、使用过期或者无效的数字证书等
在身份认证过程中使用SSL/TLS协议进行保护,但是传输是没有使用,因此暴露传输的敏感数据和会话ID等信息

10、未经验证的网址重定向

11、不恰当的异常处理

12、拒绝服务攻击

三、Web安全防护技术

1、Web应用防火墙WAF

通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一类产品,用以解决Web应用层出现的安全问题

Web防护、网页保护、负载均衡

(1)审计功能

用来截获所有HTTP数据或者仅仅满足某些规则的会话

(2)访问控制设备

用来控制对Web应用的访问,既包括主动安全模式,也包括被动安全模式

(3)Web应用加固工具

一般在Web服务器和接入网之间,为串行接入

2、网页防篡改

只能保护静态页面,无法保护动态页面

(1)定时循环技术

(2)摘要循环技术

(3)事件触发防范技术

(4)底层过滤技术

直接看护进程
利用操作系统自身的文件安全保护功能,对主目录文件进行锁定,只允许站点发布系统才可以修改文件,其他系统进程不允许修改

3、电子邮件安全

(1)S/MIME

安全/多用途因特网邮件拓展

  • 采用非对称密码学机制
  • 支持数字证书
  • 支持用户身份邮件加密

(2)PGP

基于公钥加密体系的开源软件

(3)SSL

4、其他互联网应用

(1)远程接入安全Telnet SSH

(2)域名系统安全DNS

(3)即时通讯安全IM

5、数据库安全

(1)数据库系统运行环境监测

(2)数据库自身安全缺陷监测

(3)数据库活动监控DAM

以上是关于《CISP》计算环境安全的主要内容,如果未能解决你的问题,请参考以下文章

确定安全威胁与漏洞-B

信息安全工程师笔记-恶意代码防范技术原理

《信息安全专业导论》第十二周学习总结

《CISP》信息安全保障

CISP 考试教材《第 2 章 知识域:网络安全监管》知识整理

CISP 信息安全保障