计算环境安全_v4

计算环境安全讲师姓名培训机构版本：4.0课程内容2安全设计与实现知识域知识子域物理与环境安全系统环境安全应用与数据安全网络和通信安全知识子域：系统环境安全操作系统安全了解操作系统标识与鉴别、访问控制、权限管理、信道保护、安全审计、内存存取、文件保护等安全机制；了解安全补丁、最小化部署、远程访问控制、账户及口令策略、安全审计及其他操作系统配置要点；3操作系统安全操作系统安全目标标识系统中的用户和进行身份鉴别依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问监督系统运行的安全性保证系统自身的安全和完整性实现目标的安全机制标识与鉴别、访问控制、最小特权管理、信道保护、安全审计、内存存取保护、文件系统保护等4标识与鉴别Windows系统的标识安全主体（账户、计算机、服务等）安全标识符（SecurityIdentifier，SID）•安全主体的代表（标识用户、组和计算机账户的唯一编码）•范例：S-1-5-21-1736401710-1141508419-1540318053-1000Linux/Unix系统的标识安全主体：用户标识号（UserID）5标识与鉴别Windows系统用户信息管理存储在注册表中，运行期锁定操作权限system，依靠系统服务进行访问身份鉴别远程鉴别•SMB、LM、NTLM本地鉴别6SAM账户信息库GINALSA标识与鉴别Linux系统用户信息管理用户帐号文件(/etc/passwd)•使用不可逆DES算法加密的用户密码散列（早期）•文本格式、全局可读影子文件(/etc/shadow)•存储存放用户密码散列、密码管理信息等•文本格式，仅对root可读可写7#root:$1$acQMceF9:13402:0:99999:7:::访问控制Windows的访问控制（ACL）访问令牌（包含SID和特权列表）仅NTFS文件系统支持，权限存储流中Linux下的访问控制（ACL）需要文件系统格式支持权限类型：读、写、执行（UGO管理机制）权限表示方式：模式位8drwxr-xr-x3rootroot1024Sep1311:58test权限管理Windows系统特权管理用户帐户控制（UAC）•标准受限访问令牌&完全访问令牌Linux系统特权管理限制对root使用，su及sudo命令Suid位：任何用户执行文件运行权限都为文件所有者组的权限9-r-s--x--x1rootroot10704Apr152002/usr/bin/passwd^SUID程序信道保护正常信道的保护可信通路（TrustedPath）安全键（SAK）隐蔽信道保护10安全审计对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程Windows系统的安全审计Windows日志（系统、应用程序、安全）应用程序和服务日志（IIS日志等）Linux系统的安全审计连接时间日志进程统计错误日志应用程序日志11内存保护与文件系统保护内存保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护机制访问控制列表加密•Windows(EFS、Bitlocker)•Linux(eCryptfs)12操作系统安全配置安装分区设置安全补丁&最新版本官方或可靠镜像（Md5校验）最小化部署明确需要的功能和组件，不需要的服务和功能都关闭远程访问控制开放端口远程连接的限制13操作系统安全配置账户策略及密码策略管理员更名并给予安全的口令好的口令特点：自己容易记、别人不好猜密码策略（避免弱口令）•密码必须符合复杂性要求•密码长度最小值•强制密码历史•……帐号锁定策略（应对暴力破解）•帐户锁定时间•帐户锁定阀值•重置帐户锁定计数器14密码远程暴力破解简单但有效的攻击方式利用人性懒惰的弱点15ID:cisppsw:123456Ok,youcanlogininID:cisppsw:No,youcannotloginin112123123412345123456OK,youcanlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotlogininNo,youcannotloginin安全审计日志设置日志项、存储空间、访问权限日志服务器其他安全设置安全增强软件（防病毒、主机入侵检测、安全加固软件等）针对操作系统特性的设置•Windows关闭共享、自动播放功能•Linux中默认创建文件权限等16知识子域：系统环境安全信息收集与系统攻击理解信息收集的概念及公开渠道信息收集、网络服务信息收集的方式及防御措施；理解缓冲区溢出的基本概念及危害；理解缓冲区溢出攻击的技术原理及防御措施。17信息收集与情报分析信息收集的概念情报学中的一个领域互联网时代信息技术的发展使得数据大量被生产出来信息收集的作用攻击者通过信息收集获取攻击目标大概信息，为下一步攻击做准备甚至利用收集的信息直接攻击18信息搜集和分析收集哪些信息目标系统的信息系统相关资料•域名、网络拓扑、操作系统、应用软件、相关脆弱性目标系统的组织相关资料•组织架构及关联组织•地理位置细节•电话号码、邮件等联系方式•近期重大事件•员工简历其他可能令攻击者感兴趣的任何信息19公开信息收集-搜索引擎快速定位某开源软件xxxx.jsp脚本存在漏洞，Google搜索“xxxx.jsp”可以找到存在此脚本的Web网站Google搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集•Google搜索“.doc+website”挖掘信息隐藏信息•.mdb、.ini、.txt、.old、.bak、.001……后台入口20Howtohackwebsitewithgoogle!信息收集与分析网络信息收集正常服务（如whois）系统功能•Ping•tracert信息信息收集服务旗标欢迎信息端口扫描TCP/IP协议指纹识别法21信息收集与分析的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面22严防死守！系统攻击-缓冲区溢出缓冲区溢出攻击原理缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变缓冲区溢出的危害最大数量的漏洞类型漏洞危害等级高23国家漏洞库（CNNVD）2013年漏洞统计缓冲区溢出基础-堆栈、指针、寄存器堆栈概念一段连续分配的内存空间堆栈特点后进先出堆栈生长方向与内存地址方向相反指针指针是指向内存单元的地址寄存器暂存指令、数据和位址ESP（栈顶）、EBP（栈底）、EIP（返回地址）2434H12H78H56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上25Buffer.c#includestdio.hintmain(){charname[8];printf(Pleaseinputyourname:);gets(name);printf(younameis:%s!,name);return0;}缓冲区溢出示例26用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出简单示例27由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0x616161，0x61是a的ASCII编码程序溢出堆栈情况28nameXXXEIPXXX[cispcisp][][][]nameXXXEIPXXX[aaaaaaaa][aaaa][aaaa][aaaa]堆栈顶部堆栈底部内存底部内存顶部正常状态下的堆栈溢出状态下的堆栈缓冲区溢出攻击过程如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统29寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统缓冲区溢出的防范用户补丁防火墙开发人员编写安全代码，对输入数据进行验证使用相对安全的函数系统缓冲区不可执行技术虚拟化技术30知识子域：系统环境安全恶意代码防护了解恶意代码的概念及恶意代码传播的方式；理解恶意代码的预防、检测、分析、清除技术措施及相关概念；了解基于互联网的恶意代码防护概念；31什么是恶意代码什么是恶意代码《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码(1994.2.18)恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令类型二进制代码、脚本语言、宏语言等表现形式病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等32恶意代码传播方式文件传播感染移动介质网络传播网页、电子邮件、即时通讯、共享、漏洞软件部署逻辑炸弹预留后门文件捆绑33恶意代码的预防技术增强安全策略与意识减少漏洞补丁管理主机加固减轻威胁防病毒软件间谍软件检测和删除工具入侵检测/入侵防御系统防火墙路由器、应用安全设置等34恶意代码检测技术-特征码扫描工作机制：特征匹配病毒库（恶意代码特征库）扫描（特征匹配过程）优势准确(误报率低)易于管理不足效率问题（特征库不断庞大、依赖厂商）滞后（先有病毒后有特征库，需要持续更新）……35恶意代码检测技术-行为检测工作机制：基于统计数据恶意代码行为有哪些行为符合度优势能检测到未知病毒不足误报率高难点：病毒不可判定原则36恶意代码分析技术静态分析不实际执行恶意代码，直接对二进制代码进行分析•文件特性，如文件形态、版本、存储位置、长度等•文件格式，如PE信息、API调用等动态分析运行恶意代码并使用监控及测试软件分析本地行为：文件读写、注册表读写等网络行为：远程访问、调用等37恶意代码的清除感染引导区修复/重建引导区感染文件附着型：逆向还原（从正常文件中删除恶意代码）替换型：备份还原（正常文件替换感染文件）独立文件内存退出，删除文件嵌入型更新软件或系统重置系统38基于互联网技术的防御恶意代码监测与预警体系蜜罐、蜜网恶意代码云查杀分布式计算39知识子域：应用与数据安全应用安全威胁理解应用系统安全威胁的多样性概念；了解从不同角度对应用安全威胁的分类；Web应用体系了解应用安全体系构成及相关安全问题；理解HTTP协议工作机制及明文传输数据、弱验证、无状态等安全问题；了解WEB防火墙、网页防篡改等常见Web安全防护技术作用；40应用安全威胁应用系统的复杂性和多样性使得安全问题也呈现出多样化的特点41终端用户应用服务器数据库服务器数据库支撑服务软件应用软件应用协议应用客户端Web应用安全WEB服务器端安全问题（支撑软件、应用程序）Web客户端（浏览器）Web协议（Http）42终端用户应用服务器数据库服务器Web应用（IIS、Apache）……应用传输协议HTTP……应用客户端浏览器（IE、Firefox）HTTP协议HTTP(超文本传输协议)工作机制请求响应模式•HTTP请求包含三个部分（方法URL协议/版本、请求头部、请求正文）•HTTP响应包含三个部分（协议状态代码描叙、响应包头、实体包）43HTTP请求HTTP响应HTTP协议安全问题信息泄漏（传输数据明文）弱验证（会话双方没有严格认