导图社区 网络和资源可用性运作安全操作责任知识框架思维导图
- 19
- 1
- 举报
网络和资源可用性运作安全操作责任知识框架思维导图
网络和资源可用性运作安全操作责任知识框架,包括电子邮件,安全脆弱性测试。网络和资源可用性。数据泄露,介质控制,配置管理,操作责任,保证级别,行政管理等等内容梳理。
编辑于2023-02-26 13:39:38 广东- 网络管理
- 网络和资源可用性
- 安全操作
- 相似推荐
- 大纲
网络和资源可用性运作安全操作责任知识框架思维导图
操作部门的角色
确保使用和遵守正确的策略、措施、标准和指导原则的持续努力,
适当关注、适当勤奋、谨慎的人
操作安全包括确保物理和环境问题得到适当解决,如温度和湿度控制、介质重用、处理以及包含敏感信息的介质的销毁
操作安全涉及配置、性能、容错、安全性以及问责和验证管理
其目的在与确保适当的操作标准与合规性要求得到满足
行政管理
概述
行政管理的一个方面是处理人员问题
包括
责任分离
确保一个独立行动的人通过任何方法都无法危机公司的安全
是一种防御性措施
岗位轮换
定期更换岗位
最小特权(知其所需)
个人应该仅有足够的许可和权限来履行他在公司的任务而不超出范围
最小特权和知其所需存在共生关系
强制休假
安全和网络人员
安全管理员任务
实现和维护安全设备与软件
进行版本更新和升级等
执行安全评估
利用安全管理员的知识和经验来确定某个组织机构的系统、网络、软件和内部开发的产品中的安全脆弱性
更加选择接受、转移或规避风险
创建和维护用户资料,实现和维护访问控制机制
实现最小特权安全策略。并监督现有账户及其分配到的权限和权利
配置和维护强制性访问控制(MAC)环境中的安全标签
为用户设置初始口令
检查审计日志
可问责性
审计和监控日志
阀值级别
门限违规活动的基线,允许错误的次数
使用限制级别、审计和监控的目标是在发生重大损失之前发现问题,并且在网络内部可能存在攻击活动时能够及时报警
保证级别
操作保证(operational assurance)
关注的是产品的体系结构、嵌入的特征和功能,它们使客户在使用产品时能持续地获得必要的保护级别
在评估过程中检查操作保证的示例为访问控制、特权和用户程序代码的分离、审计和监控能力、隐蔽通道分析以及产品在不期望的环境下运行时的可信恢复
生命周期保证(life-cycle assurance)
与产品的体系结构及其如何开发和维护有关
在产品可以被认为是高度可信之前,其生命周期的每隔阶段都具有必须满足的标准和期望值
生命周期保证标准示例
设计规范
限制级别配置
单元和集成测试
配置管理以及可信收发
操作责任
概述
操作部门目标
防止反复发生问题
将硬件和软件故障降低到可接受的级别
减小事故或破坏的影响
这个团队应研究任何不寻常或无法解释的事件、不定期的初始程序加载、偏离标准以及网络上其他奇怪的或异常的条件
不寻常或无法解释的事件
网络及其内部的硬件和软件可能是复杂,动态,有时会发生条件可能令人困惑或无法解释
集中监视系统和事件管理解决方案有助于指出问题的根本原因,并且能够在诊断问题是节省时间和精力
事件管理
指使用一款产品在网络中收集各种日志
能标识模式以及人类由于各种日志数据繁多而很容易遗漏的潜在恶意活动
偏离标准
标准
在线的时间
在特定时段能够处理的请求数量
带宽的使用、性能计数器等
有时标准需要重新校准
增加硬件等情况
不定期的初始程序加载(也称重启)
初始程序加载(Initial Program Load,IPL)
团队需要调查哪些无故重启的计算机,这可能表示操作系统正经历重大问题或被恶意者据有
资产标识和管理
概念
了解公司拥有哪些资产
了解硬件(系统和网络)和软件是否安全配置
包括了解和更新硬件(网络和系统)和软件的详细目录
了解整个环境中的一切:硬件、固件、操作系统、语言运行时环境、应用程序以及不同的库
自动化解决方案
删除不需要的组件
配置标准
根据它检查实际状态的与其配置
系统控制
限制某些类型的指令的执行,确保它们只有在当操作系统在特权或管理员状态下才运行
制定操作措施
系统启动与关闭涮洗、错误处理以及如何从已知的良好来源进行恢复
限制特权硬件指令
许多输入/输出(I/O)指令都被定义为特权指令
只能由操作系统内核进程执行
可信恢复
操作系统对一类故障的响应
系统重启
(system reboot)
发生在系统响应一个内核(可信计算基)故障并以受控方式关闭系统之后
如系统发现不一致的对象数据结构,或一些关键表中没有足够的空间,机会执行重启
释放资源,使其回到一个更加稳定和安全的状态
紧急系统重启动
(emergency system reboot)
发生在一个系统故障以不受控制的方式出现后,可能是一个内核或介质故障
通常由于低授权用户进行企图访问那些受到限制的内存段引起的
系统冷启动system cold start
当发生一个意外的内核或介质故障且常规的恢复措施又不能将系统恢复到更一致的状态时
系统崩溃后
进入单用户或安全模式
修复问题并恢复文件
确证关键文件和操作
安全关注
引导顺序(C:、A:、D:)不能重新配置
为确保系统恢复到安全状态,设计系统时必须防止攻击者改变系统的引导顺序
不应避开在系统日志中写入动作
系统日志和系统状态文件必须通过责任分离和访问控制加以保护,防止用户/攻击者试图隐藏他们的动作或改变系统下次重启所进入的状态
应当禁止系统被迫关闭
为降低未授权配置修改生效的可能性,避免通过不适当的关闭而拒绝服务的可能性,应当只允许关键系统在管理员的指示下关闭
应禁止输入变更路线
系统的诊断性输出中可能包含敏感信息
诊断性日志文件(包括控制台输出)必须通过访问控制保护、防止其被授权用户以外的其他人读取
未授权用户不得改变诊断日志和控制台输出的目的地
输入与输出控制
监控输入中的任何错误和可疑的活动
在线交易必须记录在案并添加时间标记
输入到系统中的数据应格式正确并 经过确证,确保数据不是恶意的
确保输出安全到达目的地
在释放敏感输出之前,应始终要求带有签名的收据
首部和尾部横幅应当指明预定的接收方
创建输出后,必须对它实现适当的访问控制,无论它是什么格式(纸质文件、数字、磁带)
如果一份报告中不含有信息(无报告内容),那么应当包含“没有输出”
另一种系统输入
ActiveX组件、插件、配置文件更新或设备驱动程序
需带有签名
系统强化
没有安装的应用程序或没有激活的系统服务不可能受到攻击
即使在禁用的系统服务中也可能包含会被高级攻击利用的脆弱组件,因此最好是删除环境不需要的组件
无法放弃以及因集成到系统而无法删除的组件应禁用
每一项操作服务,都必须包含在总体的配置管理数据库中,以跟踪这些组件中的脆弱性
对于既不能放弃又不能禁用的组件,必须使用最保守的设置进行配置,使得系统仍然能够高效运行,满足业务目标
锁定的系统称为堡垒机
远程访问安全
实施远程管理
不得以明文形式传送命令和数据(应对它们进行加密),如使用SSH,不用Telnet
应当在本地而不是远程管理真正关键的系统
应当只允许少数管理员执行这种远程功能
应对任何管理活动实施强身份验证
禁止任何“穿绿鞋的人”访问这些系统,他们是可疑的
配置管理
变更环境
网络配置
系统参数
应用程序
加入新技术的设置
应用配置
设备或更改设施的环境系统时
变更控制过程
请求一个变更
请求提交给某个个体或小组,他们负责批准和检测一个环境内发生的变更活动
变更的批准
请求变更的个体必须证明原因,,明确说明变更的好处和可能的缺陷
进行更多的研究和提供更多的信息
变更的文档
一旦变更批准,它应该加入变更日志中。当过程逐步完成时,入职应不断更新
测试和提交
变更必须被彻底地测试,以发现任何不可预测的结果
实现
测试和改善完成,制定一个规划表,完全归档,并且过程应该受到监控
提交变更报告给管理层
一个完整的报告应该提交给总结变更的管理层,这个报告应尽可能定期地提交,以保持管理的更新和确保持续的支持
变更控制文档化
公司可能的变更有
新计算机的安装
新应用程序的安装
不同配置的实现
补丁和更新的安装
新技术的集成
新规章和需求的实现
网络或系统问题的标识和修复实现
公司被另一家公司收购或合并
介质控制
概述
介质应该被明确标记和记录,应验证它的完整性,并且在必要时可以正常销毁
删除介质上的文件实际上并没有是数据消失,他只是删除了指向仍然保存在介质上数据的指针
因此我们需要使用归零和安全的重写算法来删除数据,高度敏感数据介质无法被净化或清除,进行销毁
净化
介质被擦除(清除其内容)
归零
使用某种模式重写介质,这种模式设计用于确保以前保持的数据几乎不可能被恢复
消磁
是指破坏磁带或磁盘上表示存储有信息的磁条
破坏
打碎、粉碎、烧毁
消除
是指删除介质上的信息,这些信息即使在实验室通过物理取证的方法也无法恢复
Subtopic
数据剩磁(data remanence)
是那些保存后的某种方式擦除的信息剩余部分的物理表示法
这些剩磁足够是数据重组并恢复到可读形式
纸质文件
粉碎,销毁防止垃圾搜索
介质管理
追踪(审计日志记录)
特定时间内介质由谁负责管理
有效实现访问控制
只允许介质/介质上信息的所有者指定的人员访问每一件介质,并根据介质/介质上的信息的分类强制实施适当的安全措施
追踪(本地或异地)备份版本的数量和位置
说明信息的位置和可访问性,以及在信息的主要来源丢失或遭到破坏时找到备份信息
对介质变更的历史记录归档
确保环境条件不会危及介质的安全
定期清查介质
执行安全处置活动
介质库管理、内部和外部标签
创建日期
保存日期
分类级别
创建人
销毁日期
名称和版本
数据泄露
员工缺乏培训导致信息泄露
信息转移不当
对策
通过技术安全控制
锁定计算机
阻止非公司所有的存储设备上写入敏感数据
阻止将敏感信息通过电子邮件发送至未经许可的地址
网络和资源可用性
平均故障间隔时间(MTBF)
Mean Time Between Failures,MTBF)
某一天设备的估计寿命
平均修复时间(MTTR)
Mean Time To Repair
修复一台设备并使其重新投入生产预计所需的时间
对于冗余队列的硬盘来说,MTTR是指实际产生和发现故障后有人替换坏硬盘冗余队列并完成在新硬盘上重写信息之间的时间间隔
单点失败
概述
single point of faliure)
防御方法,适当维护、经常备份、建立冗余
廉价磁盘冗余阵列(Redundant Array of Inexpensive Disk)
为硬盘提供容错功能,改善系统性能
对数据进行分解并将它们写入几个不同的磁盘所实现的冗余和速度使得不同的磁头可能同时工作,恢复所需的信息
镜像(RAID 1)
每一个写入数据的操作都在几个物理位置同时或几乎同时发生
依赖同一个控制器
镜像和双控可以在几个彼此存在一定距离的存储设备之间进行,从而提供一定程度的容灾能力
双控
使用两个或几个控制器
镜像/双控的好处,对于大多数读取操作来说,读取请求可通过镜像/双控的任何部分得到满足,从而使得个体设备的运行速度增加几倍
直接访问存储设备(Direct Access Storage Device,DASD)
任何位置都可以立即到达
RAID
是一种冗余和性能改善的技术
RAID把几个物理磁盘组合起来,并将它们合并成逻辑阵列
大规模非活动磁盘阵列(MAID)
Massive Array of Inactive Disks,MAID)
一种中型存储设备(百兆兆位(的产品
使用范围特殊,主要执行写操作
独立冗余磁带阵列(RAIT)
使用磁带驱动器
存储区域网络(Storage Area Network,SAN)
包含大量存储设备,它们由一个告诉专用网络和存储专用交换机连接起来
提供冗余、容错、可靠性和备份能力,并允许用户和管理员作为一个虚拟实体与SAN交互
S通过AN传送数据的网络与公司的常规数据网络相互分离,因此,SAN的性能、可靠性和灵活性并不会影响到网络中系统的数据网络互联的功能
群集
clustering
是一种类似于冗余服务器的容错服务器技术,其中的每台服务器都参与提供所需的处理服务
服务器群集(server cluster)
由一组服务器构成,用户可以将他们逻辑地看做一台服务器,并可将它当做一个单独的逻辑系统来管理
群集提供可用性和可扩展性
它将物理配置各不相同的系统集中起来,对这些系统进行逻辑组合,从而提供容错功能,同时改善性能。
还可以实现负载均衡(每个系统都承担一部分处理工作)、冗余和故障切换
网络计算
grid computing
是另外一种负载均衡的大规模并行计算方法
它类似于群集,但使用的是可随机加入和离开网络的、松散耦合的系统
节点不彼此信任,也不进行集中管理
不提供保密性
网络计算更适用于财务建模、天气建模和地震模拟等项目
以上每个项目都包含有数量宏大的变量和输入,需要继续进行计算
这种方法还用于检验和破解算法,并用于生成彩虹表
备份
分类
硬件备份
软件备份
层次存储管理(Hierarchical Storage Management,HSM)
提供持续的在线备份功能,它将硬盘技术与更低廉的、更缓慢的光盘或磁带库结合起来
HSM系统可以复制到速度和成本各不相同的存储介质设备中的文件的存储和恢复进行动态管理
速度最快的介质保存经常访问的数据,而很少使用的文件则保存在速度较慢的设备或近西安(near-line)设备中
存储介质包括光盘、硬盘和磁带
这种功能在后台进行,不需要用户知晓或进行干预
保持网络资源可用性的技术总结
磁盘映像(镜像)
冗余服务器
RAID RAIT MAID
群集
备份
双重主干
直接访问存储设备
冗余电源
网状拓扑结构、而非星形,总线型拓扑结构
应急计划
保存
至少3份
在现场保留原件和一份副本
并在受保护的、防火的异地场所保留一份副本
应急计划只有在测试后才能被信任,组织机构应进行演练
不断更新
应急计划
处理不能称之为灾难的小型事故
Subtopic
电源中断、服务器故障、Internet通信连接中断或软件错误
业务连续性BCP
说明如在在灾难发生后保证组织机构的正常运行
它考虑是组织机构的存活能力,确保关键功能在灾难发生后仍然能够运行
大型机
可靠性和高可用性
处理速度快,处理能力强
实现对虚拟化的工业规模级利用
超级计算机(supercomputer)
一类特殊的大型机,用于复杂的科学计算
电子邮件安全
电子邮件工作原理
SMTP简单邮件传输协议
POP邮局协议
使用不同身份验证,通过用户名和口令处理
IMAP(Internet Message Access Protocol,internet消息访问协议
可以让用户访问在邮件服务器上的邮件的Internet协议
IMAP是一种被认为是POP替代品的存储转发邮件服务器
电子邮件中继
Subtopic
传真安全
传真服务器
日志和审计
传真加密器(fax encryptor)
是一种批量数据链路加密机制
可以加密任何通过网络线缆或电话线的传真数据
黑客和攻击方法
网络映射工具
可能拥有一个数据库,它映射了操作系统、应用程序、应用程序以及他们使用的响应和消息字段类型的版本
脆弱性扫描工具(vulnerability scanning tool)
具有一个巨大的脆弱性数据库,并有能力利用它们标识的大多数脆弱性
浏览
是一个被入侵者用于获得未经授权访问的信息的常用技巧
查看其他人保存在服务器或工作站上的文件、寻找在垃圾中不小心丢弃的信息、检查存储在U盘上的信息来完成
浏览存储在介质中的残留信息,恢复删除的文件、数据等
肩窥(shoulder surfing)
一个用户越过另一个用户的肩膀偷看那个人显示器上的内容或者在键盘上键入的内容
嗅探器
网络嗅探器(network sniffer)
监控流量的工具
监控混杂模式下的计算机
会话劫持
伪造地址进行劫持
利用工具(Juggernaut和HUNT Project),将自己掺入到他们的会话中间儿不被察觉
使用IPSEC或Kerberos)进行会话身份验证
Loki
是一种隐蔽通道攻击
这种攻击使用ICMP协议进行通信
最初ICMP主要用于传送状态和错误信息,攻击者利用Loki工具,允许攻击者紧接着ICMP首部写入数据
这样就能够通过一条隐蔽通道与其他系统通信
口令破解
Crack和L0phtcrack是两个强大的攻击,执行字典攻击和蛮力攻击
对策,使用强口令等
后门
使用主机型IDS检测
类型
拒绝服务(DOS)攻击
向服务器发出多个服务请求,让受害系统不堪重负,导致死机、重启,最后无法执行正常任务
中间人攻击
入侵者将自己插入两台计算机正在进行的对话中,因而能拦截并阅读他们之间来回传送的信息
使用数字签名和相互身份验证技术可以防止攻击
邮件轰炸
发生大量未经请求的邮件,另邮件服务器和客户端崩溃
在邮件服务器上使用电子邮件过滤和正确配置电子邮件中继功能,可以防止这类DOS攻击
战争拨号
一种蛮力攻击
攻击者使用一个程序系统性地拨打大量电话号码,以期望找到那些调制解调器而非电话使用的号码,利用这些调制解调器,可轻松进入某个环境
防止这类攻击,不公开这些电话号码和对调制解调器池实现严格的访问控制
死亡之ping
Dos攻击
发送无数ping包
对策:给系统安装补丁,并执行进入过滤以检测这类型的数据包
伪造的登陆界面
攻击者伪造一个登录界面并将它安装到受害者的系统中,如果用户尝试登录该系统,那么这个伪造的界面就会出现,要求用户输入凭证
从而截获凭证并退出,
主机型IDS可用于检测这类活动
泪滴攻击
向受害者发送畸形的分片数据包
通常受害者的系统并不能正确地重新装配这些数据,造成死机
防止这类攻击,给系统安装补丁,并使用进入过滤以检测这些数据包
流量分析
这是一种通过监控网络流量模式而产找信息的方法
流量填充用于防止这类攻击
这种方法通过在网络中发送欺骗性的流量来掩饰流量模式,使得攻击者难以确定他们
擅自转换(slamming)与强迫消费(cramming)
擅自转换是指不经用户同意就更换用户的服务提供商
强迫消费值增加用户没有要求的虚假消费
正确监控账单收费是防止这类工技的唯一办法
有规律地扫描网络,及时更新补丁
并留意一些特征攻击、病毒、特洛伊木马和后面的征兆性影响
脆弱性扫描等
脆弱性测试
脆弱性测试
概述
自动化的脆弱性扫描工具会产生误报
或一个具体的脆弱性报警,但不会危机环境或在其他地方已经进行了充分的保护
可能存在两个单独脆弱性,本身不重要,但是结合一起就好构成严重影响
漏报,如某个脆弱性的一个隐蔽元素会带来重大危害,没被工具指出来
执行脆弱性测试之前,管理层需要制定一份书面协议,这样可以防止测试人员因这项工作而被起诉,通过书面形式说明工作职责
测试评估
评估一个环境的真是安全状况
标识尽可能多的脆弱性,对每个脆弱性进行公正的评估并排定优先顺序
测试系统如何应对某些情况和攻击,不仅了解已知的脆弱性(如数据库的版本、操作系统的版本或一个没有设置口令的用户ID)
还要了解环境中的特定元素如何被滥用(SQL注入攻击、缓冲区溢出以及易于遭受社会工程学攻击的进程设计缺陷
人员测试
检查员工的任务,从而标识在员工遵守的标准实践和措施中存在的脆弱性
证明社会工程攻击以及培训用户检测和阻止这类攻击的价值
审查员工策略和措施,以确保通过最后一类(行政管理控制)来缓解那些不能通过物理和罗控制消除的风险
物理测试
审查设施和周边保护机制
评估定期进行
优先级较低、保护较完善、风险较小的环境趋于可以一年1-2次
高优先级、更加脆弱的目标(电子商务Web服务器组件以及他们后面的中间件)应当几乎持续进行扫描
应当使用几个工具,或者每次测试都使用一个不同的工具
各种工具供应商更新其工具的扫描器数据库的速度各不相同,添加特定脆弱性的顺序也各不相同
应始终在使用工具钳更新每一个工具的脆弱性数据库
应经常聘请不同的专家进行测试与解释测试结果,任何专家都不能找到结果中所有脆弱性
脆弱性扫描器功能
标识网络中活动主机
标识主机上的活动和易受攻击的服务(端口)
标识应用程序和标志提取
标识操作系统
标识与查明的操作系统和应用程序相关的脆弱性
标识配置不当的设置
测试主机应用程序使用/安全策略的合规性
为渗透测试建立基础
渗透测试
概念
指应所有者(高级管理层)的要求模拟攻击的一个网络及其系统的过程
渗透测试应用一组专门进行测试及可能绕过系统安全控制的程序和工具
目的是评估组织机构抵御某种攻击的能力,以及暴露环境中存在的任何弱点
应利用最新的黑客技术和强大的基本测试方法
渗透测试能够评估Web服务器、DNS服务器、路由器配置、工作站脆弱性、敏感信息访问、远程拨号访问、开放端口以及真正的攻击者可能用来危机公司郑天启的有效服务属性
一些测试具有相当的入侵性和破坏性,应测试的期限达成一致,是公司生产不受影响,必要时可以是系统重新上线
结果以报告的形式提交管理层,其中说明被标识的脆弱性和这些脆弱性的严重程度,冰酒如何处理提出合理的建议
安全专业人员应获得包含授权测试范围的授权书
测试过程
发现
搜集和手机目标的相关信息
枚举
执行端口扫描和资源标识方法
脆弱性映射
在确定的系统和资源中标识脆弱性
利用
尝试利用脆弱性进行为授权访问
向管理层报告
提交测试结果报告文件,并提供应对措施建议
测试类型
概念
测试应在外部(从一个远程地点进行测试)或内部(指测试人员在网络中进行测试)
测试可能是盲目的、双盲的或有针对性的
盲目测试
指的是评估人员只能利用公开可用的数据,而网络人员知道将进行测试
双盲测试
(也称为隐蔽评估)
对评估人员而言也是一种盲目的测试,只是安全人员不会收到测试通知
这种测试能够评估网络的安全级别以及员工的响应能力、日之间空和上报流程,从而更加现实地说明了发起某种工技大额成功或失败率
针对性的测试
指的是由外部顾问和内部员工共同对特别感兴趣的区域进行集中测试
测试团队应该从基本的用户级访问开始,适当地模拟各种攻击。测试团队需要利用一系列工具和攻击方法
并考虑各种脆弱性,引文这些都是攻击者采用的手段
战争拨号攻击
允许攻击者和管理员通过拨打大量电话号码来搜索可用的调制解调器
战争拨号是一种成熟的科学,使用廉价的设备即可迅速完成这类攻击
战争拨号器设置能够指纹识别作出应答的主机(类似于网络脆弱性扫描器),并尝试进行数据量有限的自动渗透测试
向攻击者返回环境中现有的漏洞
一些PBX(电话系统)或电话诊断工具还可以标识调制解调器线路并向攻击者报告
公司自身测试
其他脆弱性类型
内和缺陷
在后台出现,深入到操作系统内。
内核中的任何缺陷都可能被攻击者发现,如被利用,攻击者可以最大限度的控制系统
对策
确保环境中的操作系统及时安装安全补丁(经过充分测试后),尽可能减少出现脆弱性的可能性
缓冲区溢出
对策
良好的编程实践和开发人员教育、自动化的源代码扫描器、改良的编程库元以及防止缓冲区溢出的强类型语言
符号链接
如果一个程序访问一个符号链接(一个将访问重定向至其他位置的存根文件),那么攻击者就可以入侵这个符号链接,从而获得未授权访问(符号链接主要用在Unix和Linux)
这样攻击者就可以破坏重要的数据或获得系统的特权访问级别
对策
必须编写程序和特定的脚本,确保无法绕开文件的完整性
文件扫描符攻击
问价描述符是许多操作系统用于表示某个进程中的开放文件的编号
某些文件描述符是通用的,在所有程序中都是指相同的文件
如果程序以不安全的方式使用文件描述符,那么攻击者就能够向程序提供无法预料的输入,或者输出转移到一个具有执行程序权限的、意想不到的位置
对策
良好的编程实践和开发人员教育、自动化的源代码扫描器以及应用程序安全测试都可以减少这种脆弱性
竞态条件
如果一个程序的设计方式使它处于某种易受攻击的条件,而后再设法减少易受攻击的条件,就会出新竞态条件
示例:如打开临时文件,而没有首先确保未授权用户或进程无法读取或写入这些文件
在特权模式下运行或初始化动态负载库功能,而没有首先确认动态负载库路径是否安全
攻击者可以利用这些竞态条件让程序(使用它得到提升的权限)读取或写入无法预料的数据,或者执行未授权的命令
对策
良好的编程实践和开发人员教育、自动化的源代码扫描器以及应用程序安全测试都可以减少这种脆弱性
文件和目录许可
利用不适当的文件或目录权限
对策
文件完整性检查器(它还检查预期的文件和目录权限)可以及时甚至有望在攻击者注意并利用它们之前检测出这类问题
事后检查
风险对比成本,缓解风险
管理层指导实施措施