第四章系统安全

4.1 操作系统概述

计算机是由硬件、操作系统软件、应用软件共同构成的复杂系统。
操作系统是一组管理与控制计算机软、硬件资源，为用户提供便捷计算服务的计算机程序的集合。
计算机操作系统的功能主要包括：
1）进程管理：也称处理器管理，主要对CPU的时间进行分配、对处理器的运行进行有效的管理。
2）内存管理
3）设备管理
4)文件管理
5）用户接口：用户接口主要分为命令行接口、图形界面接口和程序调用接口几种类型。

4.2 操作系统安全

4.2.1 操作系统的安全威胁与脆弱性

操作系统的安全威胁
威胁计算机操作系统安全的因素有很多，主要有以下几个方面：
（1）非法用户或假冒用户入侵系统
（2）数据被非法破坏或者数据丢失
（3）不明病毒的破坏和黑客入侵
（4）操作系统运行不正常
操作系统的脆弱性
操作系统的脆弱性主要来自以下几方面：
（1）操作系统的远程调用和系统漏洞
（2）进程管理体系存在问题
操作系统的常见漏洞包括：
1）空口令或弱口令
2）默认共享密钥
3）系统组件漏洞
4）应用程序漏洞

4.2.2 操作系统中常见的安全保护机制
安全保护机制有如下几种：
进程隔离和内存保护
运行模式：现代CPU的运行模式通常分为内核模式与用户模式两种运行模式：1）内核模式：也称为特权模式。 2）用户模式：也称为非特权模式。
用户权限控制
文件系统访问控制：典型的文件操作权限控制是对文件的读、写和执行三方面权限进行限制，分别对应对文件进行读取、修改和运行的操作。

4.2.3 操作系统的安全评估标准

美国国防部提出“可信计算机系统评估标准”，该标准一直被视为评估计算机操作系统安全性的一项重要标准。将计算机安全从高到低分为A、B、C、D四类7个安全级别，共27条评估准则。
D类是最低的安全级别，经过评估、但不满足较高评估等级要求的系统划归到D级，只具有一个级别。
C类为自主保护级别，具有一定的保护能力，采用的安全措施是自主访问控制和审视跟踪。一般只适用于具有一定等级的多用户环境。C类分为C1和C2两个级别：自主安全保护级（C1）和控制访问保护级（C2）。
B级为强制保护级别，主要要求是TCB（可信计算基）应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则。
B类分为三个级别：标记安全保护级（B1级）、机构化保护级（B2级）和安全区域保护级（B3级）
A级为验证保护级，包含严格的设计、控制和验证过程。
A类分为2个级别：验证设计级、超A1级。

4.2.4 常用的操作系统及其安全性
一般可分为普通计算机操作系统、移动终端操作系统、嵌入式操作系统等，其中应用范围最广的普通计算机操作系统有Windows和Linux。
Windows系统安全
Windows系统的安全性以Windows安全子系统为基础，辅以NTFS文件系统、Windows服务与补丁包机制、系统日志等，形成了完整的安全保障体系。
（1）Windows安全子系统
Windows安全子系统位于Windows操作系统的核心层，是Windows系统安全的基础，Windows安全子系统由系统登录控制流程、安全账号管理器、本地安全认证和安全引用监控器等模块构成。
（2）NTFS文件系统
其主要特点包括：
●NTFS可以支持的分区(如果采用动态磁盘则称为卷)天小可以达到2TB。而Windows2000中的FAT32支持的分区大小可达到32GB。
●NTFS是一个可恢复的文件系统。
●NTFS支持对分区、文件夹和文件的压缩及加密。
●NTFS采用了更小的簇，可以更有效率地管理磁盘空间。
●在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。,在NTFS文件系统下可以进行磁盘配额管理。
●NTFS文件系统中的访问权限是累积的。
●NTFS的文件权限超越文件夹的权限。
●NTFS文件系统中的拒绝权限超越其他权限。
●NTFS权限具有继承性
（3）Windows服务包和补丁包
解决系统漏洞最有效的方法就是安装补丁程序，微软公司有四种系统漏洞解决方案：Windows Update、SUS、SMS和WUS。
Windows Update是Windows操作系统自带的一种自动更新工具。
SUS是微软公司为客户提供的快速部署最新的重要更新和安全更新的免费软件。
Windows Server Update Services（WSUS）是微软新的系统补丁发放服务器。
SMS即系统管理服务器，是一个管理基于Windows桌面和服务器系统变动和配置的解决方案，其主要功能包括软、硬件清单、软件计量、软件分发以及远程排错等。
（4）Windows系统日志
Linux系统安全
（1）Linux系统的安全机制
1）PAM机制 2）加密文件系统 3）防火墙
（2）Linux系统安全防范及设置
1）Linux引导程序安全设置 2)防止使用组合键重启系统 3）安全登录、注销 4）用户账号安全管理 5）文件的安全 6）资源使用的限制 7）清除历史记录 8）系统服务的访问控制
9）系统日志安全：在Linux系统中，有三个主要的日志子系统：连接时间日志、进程统计日志、错误日志。
10）关闭不必要的服务 11）病毒防范 12）防火墙 13）使用安全工具 14）备份重要文件 15）升级
16）Rootkit安全防范：Rootkit是可以获得系统root访问权限的一类工具。
Rootkit的组成：以太网嗅探器程序、隐藏攻击者的目录和进程的程序、一些复杂的Rootkit还可以向攻击者提供telnet、shell和finger等服务、一些用来清理/var/log和/var/adm目录中其他文件的脚本。
目前最常见的Rootkit是Linux Rootkit。

4.3 移动终端安全

4.3.1 移动终端的概念及其主要安全问题
移动终端的概念
移动终端面临的安全问题
目前，移动终端中存在的安全问题可归纳为敏感信息本地存储、网络数据传输、恶意软件、应用安全和系统安全问题等类型。

4.3.2 Android平台及其安全

Android平台在系统架构上分为多个层次，其次比较重要的有应用层、框架层、运行时和Linux内核层。

应用层：即直接为用户提供服务的应用软件
框架层：Android系统的核心部分，由多个系统服务组成。
运行时：Android平台的运行时由Java核心类库与Dalvik虚拟机共同组成。
内核层：Linux内核层是Android系统的最底层

在Linux系统中，ROOT是拥有最高权限的用户。虽然ROOT能为部分用户带来使用时的便利，但同时也会带来部分安全隐患。

4.3.3 iOS平台及其安全

iOS平台的安全机制中，具有代表性的有权限分离、强制代码签名、地址空间随机布局和沙盒。
沙盒机制的功能限制如下：
1）无法突破应用程序目录之外的位置
2）无法访问系统上的其他的进程
3)无法直接使用任何硬件设备
4）无法生成动态代码
iOS因拥有强大的安全机制曾一度被认为是安全性极高的系统，但iOS也并不是绝对安全的。iOS平台应用开发所基于的Xcode就成为安全的一个薄弱环节。
XcodeGhost造成的危害有如下几种：1）上传用户信息 2）应用内弹窗

4.3.4 移动系统逆向工程和调试

移动终端逆向工程概述
逆向工程，顾名思义，是通过反汇编、反编译等手段从应用程序的可执行文件中还原出程序源代码的过程。1）发现安全漏洞 2)检测恶意代码 3）病毒木马分析
逆向工程主要有两个作用：攻破目标程序和借鉴他人的程序功能来开发自己的软件。
Android平台逆向工程
以下介绍classes.dex的简要分析方法：
1）对可执行文件进行反汇编，分析生成的Darvik字节码。
2）使用Apktool或Baksmail生成smali文件进行阅读。
3）使用DDMS等工具监控Android程序的运行状态，对Android程序进行动态调试。
为防止应用软件被Android逆向工程，可以采用以下几种防护措施：
1）代码混淆 2）加壳 3）调试器检测
iOS平台逆向工程
Info.plist是分析一个iOS应用的入口，记录了一个APP的基本信息。其中比较重要的内容为Executable file，即APP可执行文件的名称。可执行文件是IPA的核心文件，也是逆向工程的主要分析目标。
常用的iOS逆向分析工具有以下几种：

Dumpcrypy
class-dump
IDAPro与HopperDisassembler
GDB与LLDB
Cycript

4.4 虚拟化安全

4.4.1 虚拟化概述

计算机概述技术是一种资源管理技术，它将计算机的各种物理资源，通过抽象、转换后呈现给用户。

4.4.2 虚拟化技术的分类

按应用分类:操作系统虚拟化、应用程序虚拟化、桌面虚拟化、存储虚拟化、网络虚拟化。
按照应用模式分类：一对多、多对一、多对多
按硬件资源调用模式分类：全虚拟化、半虚拟化、硬件辅助虚拟化
按运行平台分类：X86平台、非X86平台

4.4.3 虚拟化环境中的安全威胁

虚拟机系统可能会存在如下安全问题：1）虚拟机逃逸 2）虚拟化网络环境风险 3）虚拟机镜像和快照文件的风险 4）虚拟化环境风险

4.4.4 虚拟化系统的安全保障
Hypervisor安全
Guest OS安全
虚拟化基础社设施安全
规划和部署的安全

第七章大数据背景下的先进计算安全问题

7.2 云安全

7.2.1 云的相关概念
云
虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统，具有封装性、独立性、隔离性、兼容性，且独立于硬件。
云计算
云计算是一种计算方法，即将按需提供的服务汇聚成高效资源池，以服务的形式交付给用户使用。云计算是分布式计算，并行计算、效用计算、网络存储、虚拟化、负载均衡、热备份冗余等。
云服务
云服务是在云计算环境下的服务交付模式，是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提高动态易扩展的资源，云服务提供的资源通常是虚拟化的资源。目前云计算提供三种不同层次的模式：基础架构即服务、平台即服务、软件即服务。
云主机
云主机是云计算在基础设施应用上的重要组成部分，处于云计算产业链金字塔的底层。
云安全
云安全是指云及其承载的服务，可以高效、安全的持续运行。

7.2.2 云面临的安全挑战
目前云面临的安全挑战主要集中在四个方面：
1）如何解决新技术带来的新风险
2）如何规划资源、数据等带来的风险
3)如何落实政策、法规方面的各项要求指标的风险
4）如何去运维管理云及其资源的风险
新技术
安全风险有虚拟化网络和主机的安全性、可控性、动态性和虚拟机逃逸攻击等。
集中化
集中化安全挑战至少包括以下几点：
1)云数据中心安全防护方面存在网络结构的规划与设计，系统的识别与迁移，权限集中等问题。
2)云平台管理员存在权限滥用风险，一旦恶意人员通过非法手段获得了云平台管理员账号，将会给整个云平台带来不可估量的损失。
3)用户的安全隔离。不同的租户之间使用的计算资源、网络资源、存储资源如没有做好安全隔离，将会造成恶意人员获取机密信息、破坏重要数据、植入病毒木马等严重后果
4）资源池内用户抢夺资源和恶意攻击等。
合规性
运维管理

7.2.3 云环境下的安全保障

云安全建设需要从六大层面考虑，包括物理层、网络层、主机层、应用层、虚拟化层和数据层。网络安全的安全建设通过FW、IDS/IPS、DDoS、VPN等方式去实现，举例说明产品功能如下:
●FW :通过防火墙实现安全隔离。划分不同的安全组，安全组是由同一个地域内具有相同安全保护需求并相互信任的ECS实例组成。安全组防火墙用于设置单台或多台云服务器的网络访问控制，它是重要的安全隔离手段。
●IDS/IPS :部署入侵防御系统，通过日志监控、文件分析、特征扫描等手段提供账号暴力破解、WebShell 查杀等防入侵措施。
●DDoS:防DDoS清洗系统可抵御各类基于网络层、传输层及应用层的各种DDoS攻击(包括CC、SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood等所有DDoS攻击方式)，并实时短信通知网站防御状态。
●VPN:建立安全通道，保证用户访问数据的信息进行保密性、完整性和可用性。
3)主机安全需要考虑终端安全、主机安全、系统完整性保护、OS加固、安全补丁、病毒防护等方面的信息安全建设防护。
4)虚拟化安全建设可以通过虑虚拟化平台加固、虚拟机加固与隔离、虚拟网络监控、恶意VM预防、虚拟安全网关VFW/VIPS等多方面去进行技术实现。其中，VFW/VIPS是虚拟化防火墙与虚拟化人侵防御系统，能提供全方位的云安全服务，包括访问控制、流量及应用可视化、虚机之间威胁检测与隔离，网络攻击审计与溯源等。
5)应用安全建设可以考虑通过多因素接入认证、WAF、安全审计等技术实现。
6)数据安全可以从数据访问控制、DB-FW、镜像加密、数据脱敏、剩余信息保护、存储位置要求等方面进行信息安全建设防护。