《CISP》（九）计算环境安全

本系列是学习《CISP》中易混淆点的记录，文章顺序是按照教材讲解而定

一、操作系统安全

1、标识与鉴别

（1）Windows的身份标识与鉴别

使用 SID安全标识符 在系统内部进行标记
Windows本地登录验证身份鉴别通过安全通道，将用户鉴别信息与预先存储的信息进行对比
Windows本地用户信息加密存储在注册表中，只有system账户才有权限进行访问

（2）Linux身份标识与鉴别

使用 UID 用户标识号来标识和区分不同的用户

用户信息存放在/etc/passwd
用户口令散列/etc/shadow,只有root可读可写

2、访问控制

Windows的ACL系统在NTFS文件系统流中

3、权限管理

最小特权原则

4、信道保护

• 显式信道保护
• 隐蔽信道：使用不是作用通信的信道进行通信，这些信道一般是用于交互进程通信的，如文件、交互进程或者共享内存
  特洛伊木马攻击：使用一个合法的信息信道进行非法的通信

5、安全审计

6、缓冲区溢出攻击

7、恶意代码

• 存在形式：二进制代码或文件、脚本语言或宏语言
• 表现形式：病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等
• 传播方式：
  （1）文件传播
  作为文件的一部分或自身就是一个独立文件，通过文件复制的方式达到进入目标系统的目的
  ① 感染文件：当文件被复制和执行时传播到目标系统中，例如CIH病毒感染可执行文件，当带毒可执行文件被执行时进入目标系统；宏病毒感染word文档
  ② 借助移动存储介质进行传播，利用Windows系统默认开启的自动播放功能进入目标系统

（2）网络传播
① 网页挂马：利用浏览器及其组件的漏洞传播到目标系统
② 垃圾邮件
③ 即时通讯的关系链、P2P下载资源等
④ 系统漏洞

（3）软件波束
某些Rootkit、木马、脚本后门及逻辑炸弹本身不具有自动传播的能力，通过文件捆绑或者上传等方式进入用户系统，将自身与其他普通软甲进行捆绑，在用户安装该软件后，恶意代码进入系统
① 攻击者获得系统上传权限，部署到目标系统
② 恶意代码自身就是软件的一部分，随软件部署传播，例如逻辑炸弹、预留的后门代码
③ 内嵌在软件中

• 防范
  （1）安全策略
  安全教育、行为规范
  （2）减少漏洞
  不定、安全配置、开放端口连接控制、禁用或删除不需要的服务降低运行权限提高服务安全性、避免弱口令、增强系统日志机制提高审计能力
  （3）减轻威胁
  入侵检测/防御系统、防火墙、防病毒网关

• 恶意代码检测
  （1）特征码扫描：不能发现新的恶意代码
  （2）行为检测：对大量恶意代码行为分析，构建出一个恶意代码的行为模型，误报率高

• 恶意代码分析
  （1）静态分析：
  对二进制文件分析：获取恶意代码的基本结构和特征，了解工作方式和机制
  ① 恶意代码特征分析，查找恶意代码二进制程序中嵌入的可疑字符串，如文件名称、url地址、域名、调用函数等
  ② 反汇编分析：使用反汇编工具，转换为汇编代码，对词法、语法、控制流等进行分析
  （2）动态分析：
  在虚拟运行环境中使用测试及监控软件，检测恶意代码行为，分析其执行流程以及处理数据的状态
  恶意代码一般会对运行环境的系统文件、注册表、系统服务等表现非正常操作
  修改操作系统的函数接口，改变函数的执行流程，输入/输出参数等

• 恶意代码清除
  （1）感染引导区型恶意代码的清除
  对引导区进行修复，恢复正常的引导信息
  （2）文件依附性恶意代码清除
  ① 文件长度变长的（一般恶意代码是追加到正常文件的后面）：将文件后的恶意代码清除，修改程序首指针使其正常恢复
  ② 拆分到程序自由空间内的，放在被感染程序中没有使用的部分，一般文件不会加长，要了解恶意代码特性之后才能清楚
  ③ 覆盖型：用自身代码覆盖文件的部分代码，清除会导致正常文件被破坏，无法修复，只能用没有被感染的原始文件覆盖
  （3）独立型
  自身是独立文件、程序
  木马、蠕虫等
  （独立文件需要依托其他可执行文件运行调用，例如DLL注入）
  （4）嵌入型
  嵌入在应用软件中，需要更新软件甚至重置系统

二、应用安全

1、SQL注入

2、XSS攻击

3、失效的验证和会话管理

4、不安全的对象直接引用 IDOR

5、CSRF 跨站请求伪造

6、不安全的配置管理

7、不安全的密码存储

8、错误的访问控制

9、传输保护不足

没有提供保护网络数据流的措施，例如身份认证、数据加密、完整性保护等
保护时采用了弱算法、使用过期或者无效的数字证书等
在身份认证过程中使用SSL/TLS协议进行保护，但是传输是没有使用，因此暴露传输的敏感数据和会话ID等信息

10、未经验证的网址重定向

11、不恰当的异常处理

12、拒绝服务攻击

三、Web安全防护技术

1、Web应用防火墙WAF

通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一类产品，用以解决Web应用层出现的安全问题

Web防护、网页保护、负载均衡

（1）审计功能

用来截获所有HTTP数据或者仅仅满足某些规则的会话

（2）访问控制设备

用来控制对Web应用的访问，既包括主动安全模式，也包括被动安全模式

（3）Web应用加固工具

一般在Web服务器和接入网之间，为串行接入

2、网页防篡改

只能保护静态页面，无法保护动态页面

（1）定时循环技术

（2）摘要循环技术

（3）事件触发防范技术

（4）底层过滤技术

直接看护进程
利用操作系统自身的文件安全保护功能，对主目录文件进行锁定，只允许站点发布系统才可以修改文件，其他系统进程不允许修改

3、电子邮件安全

（1）S/MIME

安全/多用途因特网邮件拓展

• 采用非对称密码学机制
• 支持数字证书
• 支持用户身份邮件加密

（2）PGP

基于公钥加密体系的开源软件

（3）SSL

4、其他互联网应用

（1）远程接入安全Telnet SSH

（2）域名系统安全DNS

（3）即时通讯安全IM

5、数据库安全

（1）数据库系统运行环境监测

（2）数据库自身安全缺陷监测

（3）数据库活动监控DAM