计算环境是由服务器、终端/工作站等硬件设备与设备内运行的操作系统、数据库及其他系统软件共同构成。设备和计算包括了操作系统安全、数据库安全、终端安全等相关内容。
设备和计算安全概述
主机安全通过操作系统、数据库管理系统及其他安全软件(包括防病毒、防入侵、 木马检测)实现的安全功能来满足。信息系统内的服务器按其功能划分,可分为应用服务器、数据库服务器、网络管理服务器、通信和服务器、文件服务器等。终端可分为管理终端、业务终端、办公终端(PC 终端与智能终端)等。
主机是网络上的单个节点,因此主机安全是分散在各个主机系统上的,不像网络安全可以整体考虑,需要针对不同的用途、操作系统及系统软件来分别解决。
主机安全是指通过各种手段,保证主机在数据存储和处理的保密性、完整性、可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。
主机安全的要求主要有: 身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
设备和计算安全保护要求
基本要求
身份鉴别
1)应对登录操作系统和数据库的用户进行身份标识和鉴别,严禁匿名登录。
2)为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码,禁止账号和密码共享。
3)应要求系统的静态密码在 8 位以上,由字母、数字、符号等混合组成。
4)首次登录系统时应强制修改密码,至少每 90 天更改一次密码,不允许提交与上次相同的新密码。
5)在收到用户重置密码的请求后,应先对用户身份进行核实再进行后续操作。
6)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
通过锁定用户的方式限制连续的访问企图(最多不允许超过6 次)。
锁定时间至少设定为 30 分钟或直至管理员为其解锁。
7)应确保对密码进行强效加密保护,不允许明文密码出现。
8)对服务器进行远程管理时,如果数据通过不可信网络传输,应采取加密通信方式,防止认证信息在网络传输过程中被窃听。
9)应采用两种或两种以上的组合鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的,如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。
10)系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码纸质密封交相关部门保管,未经主管领导许可,任何人不得擅自拆阅密封的口令密码,拆阅后的口令密码使用后应立即更改并再次密封存放。
访问控制
1)根据“业务必需”原则授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
2)应根据管理用户的角色(例如,系统管理员、安全管理员、安全审计员等) 分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
3)应实现操作系统和数据库系统特权用户的权限分离。
4)严格限制默认用户的访问权限,重命名系统默认用户,修改默认用户密码,及时删除多余的、过期的用户及调试用户。
5)严格控制操作系统重要目录及文件的访问权限。
安全审计
1)审计范围应覆盖到服务器和管理终端上的每个操作系统用户和数据库用户。
2)审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用、账号的创建分配与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。
3)审计记录包括时间、类型、访问者标识、访问对象标识和事件结果,保存时间不少于半年。
4)应根据记录数据进行安全分析,生成审计报表,并及时备份到集中的日志服务器上或难以更改的介质上。
5)应保护审计进程,避免受到未预期的中断。
6)应保护审计记录,避免遭受未授权的删除、修改或覆盖:
只允许具有工作需要的人员查看。
使用文件完整性监视和变更检测软件保护日志,确保已有的日志被改变时产生 报警。
每天复审所有系统的日志。
入侵防范
1)应能够检测到对重要服务器进行入侵的行为,包括但不限于主机运行监视、特定进程监控、入侵行为监测和完整性检测等,能够记录和入侵的源 IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时进行警。
2)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施或在检测到完整性即将受到破坏时进行事前阻断。
3)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,禁用所有不必要和不安全的服务和协议,移除所有不必要的功能。
4)应及时对主要服务器进行补丁升级。
5)应严格限制下载和使用免费软件或共享软件,确保服务器系统安装的软件来源可靠,且在使用前进行测试。
恶意代码防范
1)应安装国家安全部门认证的正版防恶意代码软件。对于依附于病毒库进行恶意代码查杀的软件,应及时更新防恶意代码软件版本和恶意代码库;对于非依赖于病毒库进行恶意代码防御的软件,如主动防御类软件,应保证软件所采用特征库的有效性与实时性;对于某些不能安装相应软件的系统,可以采取其他安全防护措施来保证系统不被 恶意代码攻击。
2)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
3)应支持防恶意代码工具的统一管理。
4)应建立病毒监控中心,对网络内计算机感染病毒的情况进行监控。
资源控制
1)应通过设定终端接入方式、网络地址范围等条件限制终端登录,如部署堡垒机统一管理终端接入。
2)应根据安全策略设置登录终端的操作超时锁定,超时时间应小于 15 分钟。
3)应对重要服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况,并提供资源使用异常情况下的报警功能。
4)应设定单个用户对系统资源的最大或最小使用限度。
5)应定期对系统的性能和容量进行规划,能够在系统的服务水平降低到预先规定的最小值时进行检测和报警。
6)所有的服务器应全部专用化,不使用服务器进行收取邮件、浏览互联网等客户端操作。
增强要求
1)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
3)应对重要信息资源设置敏感标记。
4)应依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。
操作系统安全机制
操作系统是安装在计算机等设备上 ,用来控制其他程序运行,管理系统资源并为用户提供操作界面的系统软件的集合,是连接计算机硬件与上层软件和用户之间的桥梁。操作系统安全是主机安全的基础,主要通过以下机制实现:
1)标识与鉴别:用户身份合法性鉴别、操作系统登录等。
2)访问控制:防止对资源的非法使用、限制访问主体对访问客体的访问权限、DAC&MAC&RBAC。
3)最小特权管理:限制、分割用户及进程对系统资源的访问权限;“必不可少的”权限。
以上机制,归根结底要依靠操作系统的安全配置来实现。
标识与鉴别
标识与鉴别的主要作用是控制外界对于系统的访问。其中标识指的是系统分配、提供的唯一的用户ID作为标识,鉴别则是系统要验证用户的身份,一般多使用口令来实现。一旦系统验证了用户身份,就要开始赋予用户唯一标识的用户ID、组ID,还要检查用户申请的安全级、计算特权集、审计屏蔽码:赋予用户进程安全级、特权集标识和 审计屏蔽码。系统负责检查用户的安全级应在其定义时规定的安全级之内,和否则系统拒绝用户的本次登录。
访问控制
访问控制的基本概念
访问控制(Acecess Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
访问控制包括 3 个要素;
1)主体(Subject,S) :是指提出访问资源的具体请求的实体。
2)客体(Object,O):是指被访问资源的实体。
3)访问控制策略 (Attribution,A) 。
访问控制模型
访问控制的主要功能包括:保证合法用户访问授权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制的内容包括认证、控制策略实现和安全审计。
访问控制模型是对上述一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的。常用的访问控制模型包括自主访问控制、强制访问控制和基于角色的访问控制,如图。
自主访问控制
“自主”主要体现在客体(访问的对象)的所有者有权指定其他主体对该客体的访问权限,这里的所有者也可以是专门具有授予权限的主体,将权限的子集授予其他主体。
访问控制矩阵(Access Control Matrix)是实现自主访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。访问控制实现方法包括:访问控制列表(Access Control List,ACL)和访问能力列表(Access Capacity List)。表中展示了一个基本的访问控制矩阵: 主体 S1 对客体 O1、P2、O3 具有Read 权限,还对 O1 具有Write 权限;主体 S2 对客体O2具有Write权限;主体 S3 对客体O1具有Execute权限,对客体O3具有Read权限。
| 主体 | 客体 | ||
|---|---|---|---|
| O1 | O2 | O3 | |
| S1 | Read/Write | Read | Read |
| S2 | Write | ||
| S3 | Execute | Read |
从表中可以看到,任何访问控制策略最终均可被模型化为访问矩阵形式。在访问控制矩阵中行对应于主体,列对应于客体,每个矩阵元素规定了相应的主体对应于相应的客体被准予的访问许可或实施行为。
在具体实现上,访问控制矩阵主要采用以下 2 种方法。
1)访问控制列表:访问控制列表被定义为一个表,它标识计算机操作系统上的每个用户拥有一个特定的系统对象的访问权限,如文件目录或单个文件的。每个对象都有标识其访问控制列表中的安全属性。该列表具有每个系统用户的访问权限条目。最常见的权限包括读取一个文件或目录中的所有文件的能力、写入到一个或多个文件和执行 该文件(如果它是一个可执行文件或程序)的能力,每个操作系统访问控制列表的实现是不同的。比如在Windows中,ACL 与每个系统对象息息相关,每个ACL具有一个或多个访问控制条目,每个ACL包括一个用户或一组用户的名称,用户也可以是一个角色的名字,如程序员或测试人员。对于每个用户、组或角色,访问权限均以比特串表示 ,称为访问掩码。一般情况下,系统管理员或对象所有者为一个对象创建访问控制列表。
访问控制列表的特点是:访问控制矩阵按列索引 ,标识出每个客体可以被访问的主体及权限。
2)访问能力列表:访问能力列表是以用户为中心建立的访问权限表。与ACL不同,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。检索具有授权访问特定客体的所有主体,则需查遍所有主体的访问能力列表。
访问控制列表的特点是: 访问控制矩阵按行索引,标识出每个主体可访问的客体及权限。
强制访问控制
”强制“体现在每个进程、文件、IPC 客体都被 Administrator 或 OS 赋予了不可改变的安全属性,这些安全属性不能再由用户自己进行修改,实际应用中常常将二者结合起来使用。用户使用自主防问控制防止其他用户非法入侵自己的文件,强制访问控制则作为更有力的安全保护方式,使用户不能通过意外事件和有意识的误操作来逃避安全控制。
强制访问控制(MAC)是系统强制主体服从访问控制策略,是由系统对用户所创建的对象,按照规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。
MAC的安全级别常用的为4级:绝密级(T)、秘密级(S)、机密级(C) 和无级别级(U),其中T>S>C>U。系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
基于强制的访问控制,存在不同的安全模型。
机密性安全模型——BLP模型:BLP模型是由 D.Elliott Bell 和 Leonard J.LaPadula 于1973年提出的一种适用于军事安全策略的计算机操作系统安全模型,它是最早、也是最常用的计算机多级安全模型之一。BLP 将主体定义为能够发起行为的实体,如进程;将客体定义为被动的主体行为承担者,如数据、文件等;将主体对客体的 访问分为r只读、w读写、a只写、e执行与 c控制等访问模式,其中c控制是用来描述该主体用来授予或者撤销另一主体对某一个客体的访问权限的能力。BLP 的安全策略包括两个部分: 自主安全策略和强制安全策略。自主安全策略借助访问矩阵实现,强制安全策略包括简单安全特性和 * 特性,系统对所有的主体和客体都分配一个访问类属性,包括密级和范畴,系统通过比较主体和客体的访问类属性来控制主体对客体的访问。
完整性安全模型——Biba 模型:BLP 模型注重了机密性,但是忽略了完整性保护,于是后人对 BLP 模型进行了一些改进。1977 年 Biba 等人提出了第一个完整性安全模型一一Biba 模型 ,主要应用类似 BLP 模型的规则来保护信息的完整性。Biba 模型提出的不是一个唯一的安全策略,而是一个安全策略系列。比如非自主安全策略里的对于主体/客体的下限标记策略,使得主体、客体的完整级别动态变化;自主安全策略里的 ACL 和环机制等。
Biba 模型的优势在于其简单性及与 BLP 模型相结合的可能性。简单性体现在Biba的严格完整性策略是BLP机密性策略的对偶,所以它的实现是直观和易于理解的;基于Biba和BLP的相似性,二者有可能结合产生集机密性与完整性于一身的安全模型。 但是其不足是:
1)完整性标签确定的困难性。
2)Biba 模型最主要的完整性目的是保护数据免受非授权用户的恶意修改,同时其认为内部完整性威胁应该通过程序验证来解决,但是在模型中并没有包括这个 要求。
3)Biba 和 BLP 模型的结合看似容易,实则困难,而且即使结合之后,也无法抵御 病毒攻击
完整性安全模型——Clark-Wilson(CW)完整性模型 1987 年 David Clark 和 David wilson 提出的完整性模型具有里程碑意义,它是完整意义上的完整性目标、策略和机制的起源。为了体现用户完整性,CW 模型提出了职责隔离目标;为了保证数据完整性,CW模型提出了应用相关的完整性验证进程;为了建立过程完整性,CW 模型定义了对于转换过程的应用相关验证;为了约束用户、进程和数据之间的关系,CW 模型使用了三元组结构。
CW 模型的核心在于以良构事务(Well-formal Transaction)为基础实现在商务环境中所需的完整性策略。良构事务是指一个用户不能任意操纵数据,只能用一种能够确保数据完整性的受控方式来操作数据。为了确保数据项仅仅能被良构事务操作,首先得确认一个数据项仅仅能被一组特定的程序来操作,而这些程序是经过验证特殊构造,并且被正确安装的。
多策略安全模型一一中国墙(Chinese Wall)模型,和根据现实的商业策略提出了中国墙模型,该模型试图解决的问题是为了保护相互竞争的客户,咨询公司需要在代理间建立密不可透的墙,比如分析员面对客户银行A、石油公司A、石油公司B,一旦分析员访问了石油公司A(或B),则都不能再访问石油公司B(或A),因为A和B处于竞争关系,因而用户只能访问其中之一;初始之时用户可以随意访问任意一个客体,但是一旦访问过一个客体,就不能再访问与该客体有竞争关系的其他客体,或者叫不能访问其利益冲突类。这里体现了自由选择和强制控制的微妙组合。
基于角色的访问控制
基于角色的访问控制(RBAC)模型在用户和访问权限之间引入了角色的概念,它的基本特征是根据安全策略划分角色,对每个角色分配操作许可;为用户指派角色,用户通过角色间接地对信息资源进行访问,如图所示。
在RBAC模型中权限与角色相关联,用户通过取得适当的角色从而获得合适的权限。这可以有效地简化权限管理。在新的应用中同一角色可以授予新的权限,当需要时应用权限可以从角色上被撤销,而无须修改用户的角色,同样可修改用户的角色,使其具有复杂的权限 ,而不需要修改角色权限。
角色是一定数量的权限的集合,即完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制是通过对角色的访问所进行的控制,它使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限,可极大地简化权限管理。
RBAC 模型的授权管理方法,主要有 3 种:
根据任务需要定义具体不同的角色。
为不同角色分配资源和操作权限。
给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC 支持 3 个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。
最小特权原则
最小特权原则是系统安全中最基本的原则之一。所谓最小特权(Least Privilege), 指的是在完成某种操作时所赋予系统中每个主体(用户或进程) 必不可少的特权。
最小特权原则一方面给予主体“必不可少”的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体“必不 可少”的特权,这就限制了每个主体所能进行的操作。
最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权,而角色多许主体以参与某特定工作所需要的最小特权去签入(Sign)系统。被授权拥有强力角色(Powerful Roles)的主体,不需要动辑运用到其所有的特权,只有在那些特权有实际需求时,主体才去运用它们。如此一来,将可减少由于不注意的错误或是侵入者伪装为合法主体所造成的损坏发生,限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用,从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法还可以引申到程序内部:只有程序中需要那些特权的最小部分才拥有特权。
最小特权在安全操作系统中占据了非常重要的地位,依据“最小特权”原则对系统管理员的特权进行分化,每个用户只能拥有刚够完成工作的最小权限。然后根据系统管理任务设立角色,依据角色划分权限,每个角色各负其责,权限各自分立,一个管理角色不拥有另一个管理角色的特权。如当入侵者取得系统管理员权限后欲访问一个高安全级别的文件,则很有可能被拒绝。因为用户(包括系统管理员)在登录后默认的安全级别是最低的,他无法访问高级别的文件,而安全级别的调整只有通过安全管理员才能完成。因此,安全管理员只要对敏感文件配置了合理的安全标记,系统管理员就无法访问这些文件。由此可知,最小特权对系统不同角色的权限进行了有力的限制。
操作系统安全加固
考虑到操作系统结构体系本身的固有缺陷,功能多样性所带来的风险及守护进程与后门存在的可利用漏洞,操作系统安全加固需要针对不同方面的不同特点进行专项配置管理。
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及一些模块或程序,如果这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机 系统,特别是服务器系统立刻瘫痪。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络的一个很重要的功能就是文件传输功能,比如 FTP,这些安装程序经常会带一些可执行文件,而这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像远程调用、文件传输,如果生产厂家或 个人在上面安装“间谍”程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍” 软件的条件。若将“间谍”软件以打补于的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或“间谍”软件就可以使系统进程与作业的监视程序监测不到它的存在。不过,将传统 root 进行分权可以有效地解决这个问题,如深度操作系统使用 capabi Lities 与审计、系统、安全管理员三权分立的方法可以有效降低特权进程所造成的危害,并将其及早发现。
4)操作系统有些守护进程,它是系统的一些进程,总是在等待某些事件的出现,比如说用户有没有按键盘或鼠标,或者做别的一些处理。一些监控病毒的监控软件也是守护进程,这些进程可能是好的,比如防病毒程序,一有病毒出现就会被捕捉到。但是有些进程是一些病毒,一碰到特定的情况,比如碰到7 月 1 日,它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件发生时,它才发生作用,如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如 telnet。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题。解决此问题的方法之一是采用非对称加密通信、最小权限原则与纵深防御。在深度操作系统里缺 省,仅在非公知端口开设了 SSL 安全登录,而且通过防火墙限制了有效端口,并限制了远程用户的权限,这样可以有效防御远程调用的攻击。
6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以方便修改程序设计中的不足。一旦后门被黑客利用,或在发布软件前没有删除后门程序,容易被黑客当成漏洞进行攻击 ,造成信息泄密和丢失。此外,操作系统的无口令的入口,也是信息安全的一大隐患。
7)尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间 ,一个小的漏洞就足以使整个网络瘫痪。
数据库安全配置
随着信息系统对数据库的依赖性越来越大,拖库现象(数据库中的数据被窃取)频发,盗取数据库的技术在不断提升。虽然数据库的防护能力也在提升,但相比攻击手段来说,单纯的数据库防护还是心有余而力不足。数据库受到的威胁来源如下。
内部人员错误
数据库安全的一个潜在风险就是“非故意的授权用户攻击”和内部人员错误。这种安全事件类型的最常见表现包括:由于不慎而造成意外删除或泄露,非故意的规避安全策略。在授权用户无意访问敏感数据并错误地修改或删除信息时,就会发生第一种风 险。在用户为了备份或“将工作带回家”而做了非授权的备份时,就会发生第二种风险。虽然这并不是一种恶意行为,但很明显,它违反了公司的安全策略,并会造成数据存放到存储设备上,在该设备遭到恶意攻击时,就会导致非故意的安全事件。例如,笔记本电脑就能造成这种风险。
社会工程
由于攻击者使用的高级钓鱼技术,在合法用户不知不觉地将安全机密提供给攻击者时 ,就会发生大量的严重攻击。在这种情况下,用户会通过一个受到损害的网站或通过一个电子邮件响应将信息提供给看似合法的请求。应当通知员工这种非法的请求,并教育他们不要做出响应。此外,还可以通过适时地检测可疑活动,来减轻成功的钓鱼攻击的影响。数据库活动监视和审计可以使这种攻击的影响最小化。
内部人员攻击
很多数据库攻击源自内部。当前的经济环境和管理都有可能引起员工的不满,从而导致内部人员攻击的增加。这些内部人员受到贪欲或报复欲的驱使,且不受防火墙及入侵防御系统等的影响,容易给企业带来风险。
错误配置
黑客可以使用数据库的错误配置控制“肉机”访问点,借此绕过认证方法并访问敏感信息。这种配置缺陷成为攻击者借助特权提升发动某些攻击的主要手段。如果没有正确设置数据库的配置,非特权用户就有可能访问未加密的文件,未打补丁的漏洞就有可能导致非授权用户访问敏感数据。
未打补丁的漏洞
如今攻击已经从公开的漏洞利用发展到更精细的方法,并敢于挑战传统的入侵检测机制。漏洞利用的脚本在数据库补丁发布的几小时内就可以被发到网上,当即就可以使用的漏洞利用代码,再加上了几十天的补丁周期(在多数企业中如此),实质上几乎把数据库的大门完全打开了。
高级持续性威胁
高级持续性威胁,是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。其攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的命令控制网络。其行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。鉴于数据库攻击涉及成千上万甚至上百万的记录,所以其日益增长和普遍。通过锁定数据库漏洞并密切监视对关键数据存储的访问,数据库的专家们可以及时发现并阻止这些攻击。
PC 终端安全
PC 终端安全指的是内部员工使用的PC电脑,它们是内部作业的终端,其安全非常重要。
内部 PC 终端也是接入内部网络中,其安全对整体的安全十分重要。而目前病毒和木马繁多,传播广泛,对 PC 终端的安全构成巨大威胁,因此有必要采取相关技术来保证其安全。
1)终端资产管理:通过对终端的资产注册和管理,确保终端的实名制管理,加强终端网络准入的安全管控和审计,并可以实时监控终端硬件变化,避免硬件或外设的丢失。
2)终端防病毒管理:通过统一的防病毒平台,对所有的终端实现统一的终端防病毒,以及保障病毒库的实时更新,并实现全行终端病毒感染情况的统计。
3)终端补丁管理:通过补丁管理,实现终端系统、应用漏洞补丁的验证。多采用统一分发、安装的方式确保补丁的及时修复,减少终端系统的脆弱性,并通过报表展示全行终端的补丁修复率。
4)终端桌面管理:通过终端桌面管理平台,加强终端的应用安全管理,统一地对终端系统的安全组策略、主机名、外设、安装及运行软件的黑白名单等进行管控,加强终端运行环境的安全性,同时为数据防泄密提供管理手段。
5)终端准入管理:为确保网络接入终端的合法性和安全性控制,通过统一的终端网络准入管理平台,对所有入网的终端统一采取终端使用人员的身份验证、接入终端资产合法性的验证,接入终端运行环境合法性的验证等手段,来进一步保障全行网络的安全性和稳定性。
智能终端安全
随着通信技术和移动互联网的高速发展,移动智能终端成为访问互联网的主要方式之一。由于移动智能终端的功能不断强大和大面积普及,移动智能终端已成为人们日常生活不可或缺的用品。据 IDC 数据显示,2012 年第二季度,中国移动手机出货量达到 8700 万部,其中 51% 为智能手机。在 2012 年全球智能手机市场中,中国市场份额占比达 26.5% ,美国占 17.8%,中国已经超越美国成全球最大智能手机市场。
由于移动智能终端本身的开放性、灵活性,以及移动智能终端的广泛应用,给移动用户乃至国家在信息安全方面造成极大威胁。移动智能终端面临着各种各样的安全问题, 如恶意软件可以控制移动智能终端后台发送短信及后台联网等,造成话费损失;恶意软件还可以在用户不知情的情况下,监听通话、获取用户位置信息、读取和删除用户的个人数据等,造成用户隐私的泄露。
移动智能终端安全架构
移动智能终端安全架构以开放式操作系统为核心,这是移动智能终端的重要特征。移动智能终端的安全架构包括三大层面:硬件层、操作系统层和应用软件层。移动智能终端的安全架构是首先保证安全的硬件,通过安全的硬件绑定安全的操作系统,安全的操作系统绑定安全的应用软件,这样层层绑定从而实现移动智能终端整体的安全。移动 智能终端通常有丰富的外围接口,这些外围接口在增强用户体验的同时增加了病毒传播的风险,一些攻击者会通过这些外围接口对移动智能终端进行攻击,从而威胁移动智能终端的安全。另外随着移动智能终端的智能化及存储空间的不断增大,用户的很多重要数据存储在终端中,如通讯录、短信、日程安排等,终端中的大量隐私一旦遭到泄露,那么将对用户造成很大的危害,因此用户数据的保护也是确保移动智能终端安全的非常重要的方面。
移动智能终端面临的威胁
国内移动智能终端服务在迅速发展的同时,原先在PC电脑中上演的信息安全问题也在移动终端上再次发生,设备制造商、网络服务商、应用服务提供商和最终客户都已经意识到此问题,并且因为移动智能设备的便利性和时时在线的属性,导致其所面临的信息安全风险更为严重。移动智能终端本身普遍固有的信息安全风险如下:
1)应用与系统软件层:应用软件与数据层包括在操作系统之上运行的各类应用程序、存储和处理的各类数据信息。其主要风险来自于移动恶意软件,可在用户不知情或未授权的情况下自动安装、和运行,窃取或自改终端敏感信息、恶意扣费等,同时也能借助移动网络进行更大范围的恶意传播。
2)操作系统层:操作系统是智能终端上层应用软件运行的基础,提供了丰富、开放的 API 接口 ,因此会存在功能接口被非法滥用的安全风险,这也是导致恶意软件日益增加的主要原因之一。部分终端操作系统自身隐藏的后门或漏洞使终端存在被远程控制的风险,如Android可被Google云端服务器远程控制。
3)硬件层:智能终端硬件层主要指其物理器件、芯片及相关驱动等,可能面临探针、电磁辐射监控等物理攻击,这些攻击通过硬件道向工程或漏洞破解加密算法和密钥等方式窃取或自改硬件中的敏感数据。较典型的问题如 SIM 卡克隆,目前由于针对硬件层的攻击成本较高,因此实际发生的案例较少。
移动智能终端安全对应策略
由于移动智能终端的安全威胁可归结为移动智能终端(信宿)、移动应用商店(渠 道)和第三方应用服务器(信源)3 个方面,因此应对相关安全威胁的措施手段应主要针对移动智能终端自身安全能力、提供应用软件下载和销售的应用商店及向应用软件提供升级和内容服务的第三方服务器 3 个环节。将这几个关键环节的安全控制住,就能极大地提高移动智能终端的安全。
在移动智能终端环节 ,通过终端安全技术攻关、安全标准引导及进网管理规范提升终端安全能力。在终端安全技术攻关方面,扶持国内操作系统、芯片等核心技术的研发和产业发展,争取对移动智能终端安全管理的主动权和控制力,加大国家项目中对于移动智能终端的软硬件技术、安全技术、系统软件和应用软件安全漏洞后门分析及处置技术等专项研究的力度,扶持国内企业构建自主可控的移动智能终端安全技术能力与产品方案;在安全标准引导方面,系统梳理并不断完善移动智能终端安全标准体系,推动相关安全标准的制定和贯彻实施,并根据实施情况及时完善标准;在终端进网管理环节,加强对智能终端进网安全检测内容及测试方法手段的研究,补充对硬件芯片及外围接口、用户数据保护、操作系统漏洞、操作系统 API 调用、预置应用等关键环节的安全保障技术和管理措施要求,同时持续跟踪新出现的移动智能终端,如可穿戴设备等,将新型终端及时纳入进网检测。
在移动应用商店环节,积极推进第三方权威认证实验室建设,开展对应用软件、应用商店和第三方服务器的第三方权威安全监测和评估,督促企业落实相关安全要求。此外还需制定针对各类应用软件的安全技术标准,加强对应用软件安全评估工具和方法的研究 ,保障安全评估高效客观开展。从软件研发源头提高软件质量和安全水平,在软件研发、上线、运行的整个生命周期内实施安全措施保障。对于缺乏应用软件检测能力的移动应用商店经营者,可以要求其委托权威的第三方终端软件测评认证机构按照相关规定代为进行应用软件的测试和认证。
在第三方应用服务器环节,应依照《互联网信息服务管理办法》进一步加强管理。 同时,针对境外移动应用商店和新型第三方应用平台的运营者,要与其进行积极沟通,要求其遵守国内的法律法规;远期可通过谈判或法律法规等手段,要求其将服务器搬移到境内,纳入国内法律法规管理体系。同时,要求基础电信运营企业加强业务拨测、内容过滤等安全机制,并要求 IDC/ISP 加强业务接入管理,研究实施 DC/ISP 层面的恶意代码和不良内容过滤技术手段。
