CISAW安全集成工程师培训：ch4 环境安全v3

第4章环境安全主要内容概述机房环境主机安全漏洞管理安全审计取证技术安全测试安全编码4.1概述概念、范畴、常见安全问题概念环境是承载数据的载体所处的物理的、逻辑的资源。物理环境包括计算资源、计算所在的物理平台、物理网络、基础性支持设施，以及监督和监控系统等；逻辑环境包括处理信息的系统、支撑性系统和平台（如操作系统、数据库系统）、运行于物理平台上的网络系统等。环境安全是指环境对象的安全，包括物理环境安全和逻辑环境安全。12345678范畴12345678环境安全环境的可用性环境的完整性环境的机密性环境的真实性环境的不可否认性环境的可控性……常见安全问题常见的环境安全问题和安全属性的关系表常见问题\安全属性可用性完整性机密性真实性不可否认性可控性非法闯入机房√

√

√供电系统故障√√

√√温湿度超标√√

√√电磁辐射严重√√

√√机房网络设备瘫痪√√

核心服务器宕机√√

计算环境被假冒

√

计算环境非法访问

√√

√计算环境遭受攻击√√

√12345678常见安全问题引发安全问题的原因分类可能的原因引发的安全问题环境脆弱性计算环境漏洞计算环境被非法访问；计算环境遭受攻击；非法闯入机房物理环境基础设施设备老化供电系统故障；温湿度超标；电磁辐射严重计算环境资源有限机房网络设备瘫痪；核心服务器宕机机房环境管理漏洞计算环境被非法访问；非法闯入机房对环境威胁钓鱼网站计算环境被假冒虚假服务进程计算环境被假冒钓鱼无线接入计算环境被假冒恶意代码计算环境非法访问；计算环境遭受攻击；计算环境被破坏边界安全问题造成的威胁物理边界非法闯入计算环境非法访问；计算环境遭受攻击；计算环境被破坏；非法闯入机房边界被绕过或穿透计算环境非法访问；计算环境遭受攻击；计算环境被破坏边界无法正常工作计算环境非法访问；计算环境遭受攻击；计算环境被破坏边界配置信息泄露计算环境非法访问；计算环境遭受攻击；计算环境被破坏123456784.2机房环境基本知识机房是一种物理环境，是计算机系统、网络、存储等载体和环境所处的外部条件，为这些载体提供安全的保障。这里，机房环境不仅包含机房的场所，还包含确保机房安全及维护机房正常运转的配电、照明、供水等各类系统、设备及措施等支撑设施。12345678基本知识机房建设的主要内容环境安全供配电系统安全保安系统安全消防安全12345678基本知识机房的设计选址空间与面积配电与照明系统空调系统12345678基本知识机房的验收机房的安全管理出入管理机房登记审查制度12345678基本知识相关规范1) GB50174-2008《电子信息系统机房设计规范》；2) GB50462-2008《电子信息系统机房施工及验收规范》；3) CECS72-97《建筑与建筑群综合布线系统工程设计规范》；4) GBJ16-87《建筑设计防火规范》；5) GB50116-98《火灾自动报警系统设计规范》；6) GB2887-89《计算机场地安全要求》；7) GB50057-94《建筑物防雷设计规范》；8) GB50054-95《低压配电设计规范》；……12345678安全案例2013年2月25日，台北市数字通国际网络公司因机房内机电设施起火，整栋楼断电救火。导致同楼的大型网络交换中心、企业主机托管服务商“是方电讯”受到波及。最后造成台湾全岛网络瘫痪，甚至台湾多数电信运营商海外光缆出现问题，Yahoo、台湾高铁、微软MSN、中华电信、远传、台湾大宽频、威宝电信等都受其影响，许多知名网站也因此停运。当地民众更明显感受到网络连接异常缓慢，连3G网络都受到影响。12345678应用实例12345678应用实例12345678应用实例12345678应用实例12345678应用实例123456784.3主机安全基本概念主机，在这里，是一个相对网络的概念，是指连接到互联网上计算机系统，包括了服务器计算机系统和桌面计算机系统。主机是一种计算环境。主机安全是指主机系统作为计算环境的安全，涉及相关软硬件的安全问题，即确保主机系统的可用性、真实性、完整性等安全属性。主机加固是指针对不同目标主机系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。其主要目的是消除与降低主机系统的安全隐患。12345678典型技术主机防护技术主机防火墙技术、主机入侵检测技术、主机监控技术主机加固技术操作系统加固技术、数据库加固技术内部存储器的保护技术沙箱技术12345678应用实例12345678最牛主机防火墙？瑞星？360？卡巴？应用实例最牛密码？不少于8位？字母+数字+其他字符？密文含义Tree_0f0=sprintf("2_Bird_ff0/a")两个黄鹂鸣翠柳for_$n(@RenSheng)_$n+="die"人生自古谁无死while(1)Ape1Cry&&Ape2Cry两岸猿声啼不住dig?F*ckDang5锄禾日当午ps!see(5tl)shit!say(man)平生不看武腾兰，便称男人也枉然hold?fish:palm鱼和熊掌不可兼得FLZX3000cY4yhx9day飞流直下三千尺，疑似银河下九天12345678应用实例Windows2003服务器安全加固系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。IIS手工加固：手工加固iis可以有效的提高web站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。12345678应用实例目录权限的配置：1除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。2系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。3因为服务器只有管理员有本地登录权限，所在要配置DocumentsandSettings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。4配置Programfiles目录，为CommonFiles目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。5配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。12345678应用实例MSSQL2005数据库安全加固1.安装MSSQL时使用混合模式，当然SA密码最好不能为空，在SQL2005中，可以对SA这个超级用户名进行修改或删除。2.SQL的认证有Windows身份认证和混合身份认证。3.管理扩展存储过程。4.SQLServer2005本身就具有加密功能，完全集成了一个密钥管理架构。5.使用IPSec策略阻止所有地址访问本机的TCP1433与UDP1434端口，也可对TCP1433端口进行修改，但是在SQL2005中，可以使用TCP动态端口6.对远程网络连接进行IP限制，SQLServer2005如同SQL2000一样没有提供网络连接的安全解决办法，但是Windows2000以上系统了提供了IPSec策略。……12345678应用实例对SA帐号进行修改usemaster

ALTERLOGIN[sa]WITHNAME=[zxs]/*修改SA帐号*/

sp_password"111111","123456","sa"/*修改SA密码*/

使用以上命令可修改SA帐号，也可进行图形化的修改123456784.4漏洞管理基本知识漏洞是环境在其生命周期的各个阶段（从设计、到实现、运维等过程），由于与环境相关的硬件、软件的结构、配置和协议存在缺陷，以及环境的管理、信任过程中存在某些问题，从而使得攻击者能够在未授权的情况下实现对系统的访问或破坏。具体指如在硬件芯片中的逻辑错误，程序员在编程中的错误，以及管理员在配置匿名FTP服务时由于配置不当等都可能被攻击者利用。12345678基本知识常见的漏洞产生的原因和导致漏洞产生的因素主要包括：系统复杂性设备熟知度基础操作系统的设计缺陷用户的使用与配置错误常见的代码bug针对用户输入的非有效验证漏洞分类：硬件漏洞、操作系统漏洞、数据库系统漏洞、开发平台和工具的漏洞、应用程序漏洞和网络漏洞。12345678基本知识漏洞管理漏洞预警、漏洞发现、漏洞风险、修复确认零日攻击漏洞管理技术CVE标准、OVAL评估语言漏洞管理组织漏洞库漏洞发现技术漏洞扫描技术渗透测试技术12345678心血漏洞事件2014年4月7日，OpenSSL发布了安全公告，在OpenSSL1.0.1版本中存在严重漏洞。该漏洞允许“互联网上的任何人”都能够读取“脆弱版本OpenSSL”保护下的系统内存。会让很多用户名、密码，包括用户登陆的操作，收发邮件等私密明文信息。全球有240多万服务器受影响，覆盖面甚广。两个月后，仍然还有30万个系统存在该漏洞。12345678SQL注入漏洞很多Web应用程序都使用数据库来存储信息。SQL命令就是前端Web和后端数据库之间的接口，使得数据可以传递至Web应用程序。很多Web站点都会利用用户输入的参数动态地生成SQL查询要求，攻击者通过在URL、表单域，或者其他的输入域中输入自己的SQL命令，以此改变查询属性，骗过应用程序，从而可以对数据进行不受限的访问。12345678RetinaCS企业漏洞管理系统2011年，RetinaCS被InformationSecurity评为年度最佳漏洞管理产品金奖，被SC评定为5星级产品。123456784.5安全审计基本知识安全审计就是对有关操作系统、系统应用或用户活动所产生的一系列有关安全的活动进行记录、检查及审核。管理员采用审计系统来监控系统的状态和活动，并对日志文件进行分析、及时发现系统中存在的安全问题。12345678基本知识安全审计的范围较广，可覆盖桌面系统、网络、各类服务器，可涉及用户的各类网络行为与数据内容（浏览网页、访问论坛空间、发表言论、传输文件、发送电子邮件等等）、数据和文件的访问操作行为与内容、数据库的操作和访问行为与内容等等诸多方面和层次。安全审计中检查的内容包括审计事件类型；事件安全级；引用事件的用户；报警；指定时间内的事件以及恶意用户表等。12345678基本知识安全审计的形式人工审计计算机手动分析处理审计记录并与审计人员最后决策相结合的半自动审计依靠专家系统作出判断结果的自动化的智能审计等12345678基本知识审计日志分析技术统计分析Syslog标准与Syslog系统12345678基本知识安全审计系统是安全审计的工具，其通过对安全审计日志的分析和处理来对系统的活动进行检查和审核，即进行安全审计。操作系统安全审计系统数据库安全审计系统网络安全审计系统12345678基本知识安全审计的作用对于已经发生的系统破坏行为，提供有效的追踪证据；为系统管理员提供有价值的系统使用日志，便于及时发现系统入侵行为或潜在的系统漏洞；重建事件；评估损失；监测系统的问题区；发现和阻止系统的不正当使用。12345678安全事件小A和小B是大学同学，毕业后小B被分配到某医院的信息中心负责数据库系统的管理，小A进入了一家医药公司任医药代表。有一次吃饭的时候，小B发现小A心事重重的样子，细问之下原来是销售业绩的压力，虽然小B也是在医院工作，但是他不在业务口，对医院用药情况并不清楚，为了哥们义气,他告诉小A可以登录到数据库将医院各科室用药情况进行查询。小A如获至宝,几个月过去后,在这些情报的指导下,小A有的放矢,销售业绩大涨...12345678应用案例某安全审计系统典型部署（旁路部署模式）12345678应用案例小型网络之精细审计方案12345678应用案例中型网络之集中审计方案12345678应用案例某产品大型网络之分级审计方案123456784.6取证技术基本知识证据是证明犯罪行为的事实依据，是法律诉讼的重要内容。根据《刑事诉讼法》规定，电子数据属于证据中的一种，是以二进制形式存储和传输的信息。电子证据可能包括罪犯在计算环境中留下的对数据、载体进行访问和操作的任何痕迹与信息。取证是运用计算机及其相关科学技术的原理与方法，获取与计算机相关的电子证据并加以整理分析，以便法庭或调查使用。12345678取证的基本步骤1) 证据的获取2) 位拷贝3) 分析检查4) 取证提交5) 证据存档6) 证据呈供12345678取证须遵守的原则（IOCE）处理电子证据时，必须遵守所有的常规取证步骤、原则。获取电子证据时，必须保证证据的不变性。进行原始证据处理的取证人员应该经过专业培训。所有和电子证据的获取、访问、存储、传送相关的处理都必须完全归档、保存好。个人在拥有和案例相关的电子证据时，应该对其所有在电子证据上所进行的相关操作负有责任。任何代理机构，在负责提取、访问、保存或传送电子证据时都必须遵守这些原则。12345678取证技术证据获取技术磁盘映像技术数据恢复技术网络实时数据获取技术证据分析技术内容分析技术证据鉴定技术数据解密技术反取证技术数据擦除数据隐藏数据加密清除伪造日志12345678取证/反取证工具取证工具国外软件LiveView、OpenFilesView、Helix、Wireshark反取证工具磁盘擦除工具Diszapper、隐藏信息的StealthDisk、以隐写术为主的Cloak和数据隐藏工具InvisibleSecrets12345678应用案例1：毒品贩卖案子山东XX公安局破获一起重大的毒品贩卖案子，嫌疑已经抓获，得知对方是使用手机短信和QQ联络互相联系。警方缴获了手机30台，便携式计算机3台，台式机计算机15台，并对证据进行安全保存。123456781警方采用手机取证设备对手机进行了提取和恢复分析，得出了基本的联系图和上下级关系内容；2采用硬盘取证复制机将嫌疑人的计算机硬盘进行复制，避免对原始电子证据的破坏；3使用FTK司法分析软件对复制后硬盘中的所有文档进行了分析，在其中一台台式机中发现了这个集团的账本，以及交易记录，通讯录等内容。4针对其中一台苹果便携式计算机，由于硬盘取出不方便，警方利用免拆机取证工具，直接通过USB接口对计算机进行了取证和分析。应用案例2：某单位经济案XX市人民检察院技术处接到案件，要求查找嫌疑人计算机中的财务数据，并分析其数据的关联性。缴获的3台台式机计算机，皆为单独主机，没有网卡和光驱。123456781拆除硬盘，使用硬盘复制机，将数据全盘拷贝到证据硬盘；2采用司法分析软件Encase进行了分析，获取了诸多数据文件。3由于财务数据需要财务软件环境展示，因此检方采用仿真设备，还原操作系统环境并进入财务软件，输入登录密码和插上加密狗，导出了所有的报表文件，最后为确保文件的完整性，采用Encase对文件采用哈希算法进行了完整性保护。应用案例3：电话诈骗案1采用硬盘复制设备对原始证据进行复制；2采用数据恢复软件对系统上的文件进行反删除恢复；3对文件系统及关键文件进行文件浏览；4完成关键涉案文件的提取。某公安局破获一起电话诈骗团伙案，罪犯所用计算机被损毁，硬盘被格式化。123456784.7安全测试基本知识这里，安全测试是确认计算环境的安全功能、发现计算环境在部署、配置及软件代码在设计、实现、操作和管理等方面缺陷的过程。安全性测试可分为安全功能测试安全漏洞测试12345678基本知识安全测试流程测试前的准备阶段安全测试执行阶段数据汇总分析阶段12345678基本知识安全测试技术与方法黑盒测试安全审查技术目标识别与分析技术目标漏洞验证技术12345678技术应用12345678安全测试工具静态语法检查工具日志审查工具系统配置分析工具网络嗅探工具完整性工具网络及漏洞扫描工具应用程序安全测试工具渗透及攻击测试工具应用实例12345678某公司安全测试框架应用实例针对Web应用进行渗透测试123456781在AppScan里建立一个新的扫描2设置需要扫描的URL3登录AppScan4测试策略的选择5测试配置项6扫描分为二部分：探索，实际测试7分析和修复建议8漏洞复现和判断其严重程度4.8安全编码基本知识安全编码是指为了消除或降低软件的安全风险而在编程时所遵循的原则以及所采用的技术手段。12345678基本知识方法与措施1) 培训软件开发人员，实施特定语言的安全编码实践并确保其应用；2) 使用静态分析和其他的代码分析工具来执行源代码的检查；3) 理解软件安全测试与传统的软件测试之间的区别，并将其反映到软件测试中；4) 执行基于风险的安全测试，查找常见的错误、可疑的软件缺陷，并实施减轻风险的方法，确保其运行；5) 使用一种确定的过程，确认安全需求的原因、安全需求的分类、安全需求的优先级等内容，根据优先级的高低解决安全问题；6) 利用威胁建模和攻击模式来确认安全威胁。攻击模式包括发动攻击的先决条件、相关漏洞、执行攻击所要求的技巧和资源等；7) 执行架构风险分析，评估架构和设计满足安全需求的能力，以及从相关威胁中的恢复能力。12345678基本知识安全编码意识培养1) 将安全性纳入到软件开发过程中2) 像攻击者一样思考3) 安全是一个风险管理问题12345678基本知识安全编码技术内存安全线程进程安全异常处理安全输入安全国际化安全面向对象编程安全Web编程安全安全编码规范12345678技术应用典型案例1：避免SQL注入StringsqlString="se