导图社区 OSG9第九章 安全漏洞、威胁和对策-下
第九章 安全漏洞、威胁和对策-下,CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
编辑于2023-07-14 11:30:32 广东关于GBT 35273—2020个人信息安全规范的思维导图,本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
社区模板帮助中心,点此进入>>
关于GBT 35273—2020个人信息安全规范的思维导图,本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
第九章 安全漏洞、威胁和对策-下
9.11 专用设备
专用设备:是指为某一特定目的而设计,供某一特定类型机构使用或执行某一特定功能的任何设备。它们可被看作 DCS、物联网、智能设备、端点设备或边缘计算系统的一个类型。医疗设备、智能汽车、无人机和智能电表
9.12 微服务
微服务(micro service)是基于 Web 解决方案的一个新兴特性,属于面向服务架构(Service oriented architecture, SOA) 的衍生品
微服务的创建往往是为了通过独立部署的服务提供特定用途的业务功能。微服务通常很小,专注于某一单项操作,被设计得很少依赖其他元素,开发周期短平快(类似于敏捷)。
微服务与应用编程接口(API) 的关系是,每个微服务都必须有一个定义明确(并受到保护)的 API 以实现多个微服务之间以及微服务和其他应用程序之间的输入、输出
9.13 基础设施即代码
基础设施即代码(infrastructure as code, IaC):体现了人们在认知和处理硬件管理方面的一种改变
不可变架构(innnutable architecture) :是指服务器一旦部署就绝不可变更的概念
软件定义网络(SDN):是基础设施即代码(IaC)和分布式计算环境(DCE)的衍生品。SDN 是指把网络当作虚拟或软件资源进行管理一即便从技术上说管理依然发生在硬件上。
9.14 虚拟化系统
虚拟化技术(virtualization technology)用于在一台主计算机的内存中托管一个或多个操作系统,或用于运行与主机操作系统不兼容的应用程序
例子
VMwareWorkstation Pro
VMware vSphere
vSphere Hypervisor
Oracle VirtualBox
Citrix Hypervisor
Parallels Desktop for Mac
Microsoft Hyper-V Server
管理程序(hypervisor)也被称为虚拟机监视器/管理器(virtual machine monitor/manager,VMM),是创建、管理和运行虚拟机的虚拟化组件
运行管理程序的计算机叫主机操作系统
在管理程序支持的虚拟机中运行的操作系统叫客户操作系统或虚拟化系统
管理程序类型
I 型管理程序(type I hypervisor):是一个本地或裸机管理程序(图 9.3 的上半部分)。这个配置中没有主机操作系统
II 型管理程序(type II hypervisor):是一个受托管的管理程序(图 9.3 的下半部分)。在这种配 虚拟机置中,硬件上有一个标准的常规操作系统,管理程序作为另一个软件应用程序被安装和使用。
虚拟化还可以提供一种合理的安全方式来继续运行使用生产期终止(end-of-life, EOL) 、服务期终止(end-of-service-life, EOSL)/支持期终止(end-of-support, EOS) 的操作系统,以支持旧有业务应用程序
弹性(elasticity):是指虚拟化和云解决方案(见第 16 章)根据需要扩展或缩减资源使用情况的灵活性
9.14.1 虚拟软件
虚拟应用程序(virtual application)或虚拟软件(virtual software)是这样一种软件产品:它的部署方式会让访问者误认为自己正在与整个主机操作系统交互。
软件虚拟化的概念已经进化出它自己的虚拟化派生概念,即容器化(containerization)
9.14.2 虚拟化网络
虚拟化网络(virtualizednetwork)或网络虚拟化(network virtualization) 是指将硬件和软件网络组件组合成一个集成的实体。由此产生的解决方案允许对管理、通信流整型、地址分配等所有网络功能实施软件控制
包括软件定义网络(SDN)、虚拟存储区域网(SAN)、客户操作系统和端口隔离。
9.14.3 软件定义一切
软件定义一切(software-defmed everything, SDx)指的是通过虚拟化用软件取代硬件的一种趋势
SDx 包括虚拟化、虚拟化软件、虚拟化网络、容器化、无服务器架构、基咄设施即代码、软件定义网络(SDN,第 11 章)、虚拟存储区域网(VSAN,第 11 章)、软件定义存储(SDS ,第 11 章)、虚拟桌面基础设施(VDI) 、虚拟移动基础设施(VMI) 、软件定义可见性(SDV)和软件定义数据中心(SDDC) 。
虚拟桌面基础设施(virtual desktop infrastructure, VDT) 旨在通过在可供用户远程访问的中央服务器上托管桌面/工作站操作系统虚拟机来降低终端设备安全风险和满足性能要求。VDI 也被称为虚拟桌面环境(VDE)
瘦客户机(thin client) 是一种计算机或移动设备,具有较低或中等功能或一个虚拟接口,用于远程访问和控制大型机、虚拟机、 VDI 或 VMI
软件定义可见性(software-defined visibility, SDV)是一个推动网络监控和响应进程实现自动化的框架。它旨在让每个数据包都得到分析,可以使有关转发、剔除或以其他方式响应威 胁的决定在深度情报的基础上做到有的放矢。
一切即服务(anything as a service, XaaS):是一种笼统的说法,指可以通过或借助云解决方 案向客户提供任何类型的计算服务或功能
软件定义数据中心(software-defined data center, SDDC) 或虚拟数据中心(virtual data center, VDC)是指用虚拟提供的解决方案替代物理 IT 元素的概念,该解决方案往往由一个外部第三方(例如云服务商)提供
9.14.4 虚拟化的安全管理
虚拟化中的主要软件组件是管理程序(hypervisor) 。管理程序负责管理虚拟机、虚拟数据 存储和虚拟网络组件
当客户操作系统中的软件能够突破管理程序提供的隔离保护,从而破坏其他客户操作系 统的容器或渗透主机操作系统时,就惹味着发生了虚拟机逃逸(VMescaping)。
9.15 容器化
容器化(containerization): 是内部托管系统以及云提供商和服务虚拟化趋势向前发展的下一个阶段,所有应用程序都放进一个容器,而容器中只包含支持被封闭的应用程序真正需要的资源,然后把公共或共享的操作系统元素纳入管理程序
9.16 无服务器架构
无服务器架构(serverless architecture)是一种云计算概念,其中代码由客户管理,平台(即支持性硬件和软件)或服务器由云服务提供商(CSP) 管理
在无服务器架构上开发的应用程序与微服务相似,每项功能都被设计得可以独立、自主地运行
9.17 移动设备
移动设备(mobile device):是指电池驱动的任何东西(如果你不想把可现场供电、太阳能供电之类的东西也包括进来,那么移动设备是指通常不需要电源线就可以运行的任何东西)
9.17.1 移动设备的安全性能
1. 移动设备管理
管理员在移动设备管理(mobile device management, MDM)系统上注册员工的设备。移动设备管理(MDM)系统是一种软件解决方案,旨在管理员工用来访问公司资源的无数移动设备
统一端点管理(unified endpoint management, UEM):是一种软件工具,它提供一个管理平台来控制移动设备、 PC 机、物联网设备、可穿戴设备、 ICS 和其他设备
2. 设备身份认证
在移动设备上或对移动设备进行身份认证的操作通常非常简单,对于移动电话和平板电 脑来说,尤其如此。这便是所谓的设备身份认证(device authentication)
3. 全设备加密
一些移动设备,包括便携式电脑、平板电脑和移动电话,可以提供全设备加密(full-deviceencryption, FDE) 。
4. 通信保护
使用互联网协议电话(VoIP)服务时,可以在移动设备上进行语音加密。
5 远程擦除
设备丢失、被盗后,可对设备进行远程擦除(remote wipe)或远程清理(remote sanitization) 。
6. 设备锁定
移动设备的锁定(lockout) :与公司工作站上的账户锁定类似。如果用户多次尝试后仍不能 提供凭证,他的账户或设备将被禁用(锁定)一段时1司,直到管理员清除锁定标志。
7. 屏幕锁
屏幕锁(screen lock) :的设计是为了防止有人拿起你的手机或移动设备便能随意使用
8.GPS 和定位服务
全球定位系统(Global Positioning System, GPS)是一种基于卫星的地理位置服务。
地理标记(geotagging)可以用于邪恶的目的,例如确定一个人的日常活动规律
9. 内容管理
内容管理旨在控制移动设备及其对被托管在公司系统上的内容的访问,并控制人员对保存在移动设备上的公司数据的访问
10. 应用程序控制
应用程序控制(application control):或应用程序管理(application management)是一种设备管 理解决方案,规定了哪些应用程序可以被安装到设备上
应用程序允许列表(application allow listing):(以前叫白名单)是一个禁止执行未经授权软件 的安全选项允许列表也被称为默认拒绝(deny by default)或隐式拒绝(implicit deny)
11. 推送通知
推送通知(push notification):服务能够向你的设备发送信息,而不是让设备(或设备的应用 程序)从在线资源获取信息
12. 第三方应用商店
苹果 iTunes 和 Google Play 的第一方应用(app)商店是典型或标准 iOS 和 Android 智能手 机或设备所用应用的合理来源
13. 存储分段
存储分段(storage segmentation):用于在存储介质上按各种类型和数值对数据进行人为划分
14. 资产跟踪和存货控制
资产跟踪是用来保持存货(例如已部署的移动设备)监控的管理进程
存货控制是指用移动设备来跟踪库房或存储柜中的存货
15. 可移动存储
许多移动设备支持可移动存储。有些设备还支持可用来扩展移动设备存储空间的 microSD 卡
16. 连接方法
移动设备可以支持多种不同的连接选项,包括可与外部提供商(如电信公司)相连的网络 连接以及与本地专用网络相连的网络连接。
17. 禁用无用性能
尽管安全性能只有在被启用了的情况下才能产生有益效应,但是那些对业务任务或常规 个人用途而言并不重要的应用程序和性能应被移除和禁用,这一点也非常重要
18. ROOT或越狱
生根(rooting)或越狱(Jailbreaking)是苹果设备的特殊用语,拒打破移动设备引导加载程序 数字权限管理(DRM)的安全保护并以根或全系统特权操作设备的行为。
19. 旁加载
旁加载(sideloading):是指通过某种形式的文件传输或 USB 存储介质把安装程序文件带到设备上来安装某款应用程序的行为
20. 自定义固件
移动设备出厂时预装了供应商或电信公司提供的固件或核心操作系统
21. 运营商解锁
大多数直接从电信公司购买的移动设备都是被运营商锁定的
22. 固件无线更新
固件无线(over-the-air, OTA):更新是指从电信公司或供应商无线下载(通过运营商提供的 数据连接或通过 Wi-Fi) 的固件更新
23. 密钥管理
涉及密码技术时,密钥管理始终都是一个问题。
24. 凭证管理
把凭证保存在一个中央位置的行为就是凭证管理。鉴于互联网站点和服务范围的广泛性, 每个站点和服务都有自己的特定登录要求,因此可能难以使用唯一的名称和口令
25. 手机短信
短消息服务(SMS)、多媒体消息传递服务(MMS)和富通信服务(RCS)都是具有实用价值的 通信系统,但它们也可以成为攻击向量(如 s1nishing 和 SPIM-—相关讨论诸见第 2 童)
9.17.2 移动设备的部署策略
移动设备部署策略(mobile device deployment policy):必须阐明与机构 IT基础设施和业务任务相关的涉及个人电子设备的使用的广泛安全问题。
1. 自带设备
自带设备(bring your owi1 device, BYOD)策略允许员工携带自己的个人移动设备上班,且 允许他们用这些设备通过公司网络连接业务资源和/或互联网
2. 公司拥有,个人使用
“公司拥有,个人使用 ”(corporate-owned, personally enabled, COPE) 的概念是指机构购买设备并将其提供给员工使用
3. 自选设备
自选设备(choose your own device, CYOD)的概念为用户提供了一个已获批准的设备列 表,用户可以从中挑选自已将要使用的设备。
4. 公司拥有移动设备战略
公司拥有移动设备战略(corporate-owned mobile strategy, COMS)或公司拥有仅用于业务 (corporate-owned, business-only, COBO)战略是指公司购买可支持安全策略合规的移动设备。
5. 移动设备部署策略的细节
无论你选择采取哪种移动设备部署策略,你的策略都要解决本节前面列出的诸多设备安 全归E 问题
6. 数据的拥有权
7. 对拥有权的支持
员工的移动设备出现故障、错误或损坏时,该由谁负责设备的维修、更换或技术支持?
8. 补丁和更新管理
移动设备部署策略应该规定针对个人拥有的移动设备的安全补丁管理和更新管理方法、机制
9. 安全产品管理
移动设备部署策略应该规定是否要在移动设备上安装杀毒软件、反恶意软件、反间谍软 件扫描程序、防火墙、 HIDS 或其他安全工具
10. 取证
移动设备部署策略应该阐明与移动设备相关的取证和调查问题。
11. 隐私
移动设备部署策略应该阐明隐私和监控问题。
12. 列装/退役
移动设备部署策略应该阐明个人移动设备的列装和退役规程
13. 遵守公司策略
移动设备部署策略应该清晰阐明,在业务活动中使用个人移动设备时员工仍有义务遵守公司策略
14. 用户接受
移动设备部署策略必须明确并具体地说明在工作中使用个人设备时应具备的所有要素。
15. 架构/基础设施方面的考虑
机构在落实移动设备部署策略时,应该对自己的网络和安全设计、架构和基础设施进行评估
16. 法律问题
公司律师应该评估移动设备涉及的法律问题
17. 可接受的使用策略
移动设备部署策略应该参考公司可接受的使用策略(AUP) ,或者从中吸收专门针对移动设备特有问题的内容
18. 板载相机/摄像头
移动设备部署策略需要论及带板载相机的移动设备
19. 可录音的麦克风
大多数带扬声器的移动设备都有麦克风。麦克风可用来记录附近的音频、噪声和人们讲话的声音
20. Wi-Fi Direct
Wi-Fi Direct 是临时或对等连接无线拓扑的新名
21. 网络共享和热点
网络共享(tethering)也被称为热点(hot spot) ,是指将移动设备的蜂窝网数据连接和其他设备共享的行为
22. 无接触支付方式
基于移动设备的支付系统被称为无接触支付方式(contactless payment method) ,其中有许 多系统不要求移动设备与 PoS 机直接物理接触。它们有的基于 NFC, 有的基于 RFID基于 SMS, 还有的基于依靠光学相机的解决方案,例如扫描快速响应(QR)码。
23. SIM 卡克隆
订户身份识别模块(SIM)卡可被用来在移动或无线电信公司把设备与订户身份以及服务关联起来
9.18 基本安全保护机制
操作系统内部对安全机制的需要源自这样一个简单的事实:任何软件都不可信任
9.18.1 进程隔离
进程隔离(process isolation:)要求操作系统为每个进程的指令和数据提供单独的内存空间。
进程隔离优点
防止未经授权的数据访间。
可保护进程的完整性。
9.18.2 硬件分隔
硬件分隔(hardware segmentation):与进程隔离类似,旨在阻止人员对属于不同进程/安全级别的信息的访问,物理控制
9.18.3 系统安全策略
安全策略引导着机构的日常安全运行、流程和规程,与此类似,系统安全策略在系统的 设计和实现过程中也发挥着重要作用
9.19 常见的安全架构缺陷和问题
没有哪个安全架构是万无一失的。每个计算机系统都有自己的弱点和漏洞
9.19.1 隐蔽通道
隐蔽通道(covert channel):是指在不常被通信使用的路径上传递信息的一种方法。
隐蔽通道类型
隐蔽时序通道(covert timing channel):通过改变系统组件的性能或以某种可预测方式修改资源时序来传达信息。通常是秘密传输数据的方法并且很难被检测出来
人楼外闪烁着盏可见的灯,假设每两秒记录一次读数,灯亮时,读数为 l ,叮灭时, 读数为 0 。通过连接到记录系统的外部摄像机,可发生二进制数据的缓慢传输。
麦克风收听某一区域内或与计算机系统相关的噪声。然后调整机箱风扇的转速,加 快(为 1)或放漫(为 0) ,从而使噪声每 10 秒发牛一次变化。
由一名内部人员每 30 秒手动填充或限制流量,从而监拧互联网连接的利用率水平。 当流量利用率超过 80%时记录为 1, 利用率低于 40%时记录为 0
隐蔽存储通道(covert storage channel):通过将数据写入可由另 进程读取的公共存储区来传达信息
数据写入未分配或未分区的空间 可巾一个十六进制编辑器完成。
数据直接马入HDD 的一个坏扇区或 SSD 上的一个坏块。
数据写入集群末尾的未使用空间(空闲空间)。
未在目录系统、文件容器或标头适当注册便把数据直接写入扇区或集群。
9.19.2 基于设计或编码缺陷的攻击
人类永远编写不出绝对安全(没有缺陷)的代码
9.19.3 rootkit
rootkit 可以操纵能被操作系统看到并显示给用户的信息。
9.19.4 增量攻击
有些形式的攻击以缓慢、渐进的方式发生,而不是通过明显或可识别的尝试来危害系统的安全性或完整性。这便是增量攻击(incremental attack)
攻击有两种形式
数据欺骗(data diddling):不是明显修改文件内容或者损坏或删除整个文件时
萨拉米香肠攻击(salami attack):系统性地消减败户或其他具有财务价值的记录中的资产,定期和常规性地从余额中扣除不起眼的金额