网亚机房管理软件博客

新实用主义典范

Internet应用安全漏洞

     (Internet的)Internet主要包括Int ernet中Internet系统安全、协议安全、Internet三方面。要真正解决Internet的安全隐患问题,就要从这三方面人手。前面读者已经了解到网络操作系统安全的安全隐患,本节将详细介绍Internet提供的服务以及隐患,Internet提供的服务通常有邮件服务、Web服务、域名服务(DNS).Internet控制报文协议(ICMP)、网络时间协议(NTP)等,Internet应用安全以及攻击主要来自软件漏洞、协议漏洞以及服务器配置的不安全性引起的。本节将使读者了解一些常见服务及其安全隐患,后续的章节将会详细探讨。下面是这两年Internet最严重的安全隐患。
    (1)未经验证的参数。某信息在被一种网络应用软件使用之前未被验证其合法性,攻击者可以利用这种信息攻击后方应用软件组件。
    (2)失效的访问控制。控制各种授权用户的访问权限的限制性条件使用不当, 造成攻击者利用这些漏洞访问其他用户的账户或者使用未经授权的功能。
    (3)失效的账户及对话管理。账户证书和对话权限没有得到妥当的保护,导致攻击者对密码、密钥、对话信息或者权限实施非法操作,并以其他用户的身份通过认证。
    (4)跨站点脚本漏洞(也称为XSS):指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站,使用即时通信软件,甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和Javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会运行,用户乙的session信息将被盗取。
    (5)缓冲区溢出攻击:缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为“堆栈”在各个操作进程之间,指令会被临时储存在堆栈当中,堆栈也会出现缓冲区溢出。缓冲区溢出攻击是指:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出'从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
    (6)命令注入漏洞:当网络应用软件访问外部系统或者是本地操作系统时,网络应用软件可能会传递出一些参数。如果攻击者能够在这些参数中嵌入一些恶意命令,那么外部系统可能会以这种网络应用软件的名义来执行这些命令,如常见的SQL注入攻击。
    (7)出错时的非正确处理:在用户对系统进行正常操作的过程中出现一些错误'这些错误没有得到正确的处理。在这种情况下,攻击者能够利用这些错误获取到详细的系统信息,拒绝服务,引起安全系统瘫痪或者摧毁服务器。
    (8)拒绝服务攻击:攻击者极度消耗网络应用资源,以致其他合法用户再无法利用这些资源或使用服务器提供的功能。攻击者还可以封锁用户的账户或导致无法进行账户申请。
    (9)不安全的配置管理:拥有一个过得硬的服务器配置标准对于保护网络应用软件来说是至关重要的。服务器有,许多可以影响安全的配置选项,如果这些选项选择错误将使服务器失去安全性。

计算机网络病毒的特征

     1.传染性
    病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒一旦进入计算机并得以执行,就会寻找符合感染条件的目标,将其感染.达到自我繁殖的目的。所谓“感染”,就是病毒将自身潜入到合法程序的指令序列中,致使执行合法程序的操作会引发病毒程序的执行或以病毒程序的执行取代正常程序的执行。因此.只要一台计算机染上病毒,如不及时处理,那么病毒会在这台机子上迅速扩散-其中的大量文件(一般是可执行文件)就会被感染。而被感染的文件又成了新的传染源,再与其造机子进行数据交换或通过网络接触,病毒会继续传染。病毒通过各种可能的渠道,如可移动存储介质(如软盘)、计算机网络去传染其他计算机。往往曾在一台染毒的计算机上用过的软盘已感染上了病毒,在这台机器联网的其他计算机也许也被染上了病毒了。传染性是病毒的基本特征。
    2.隐蔽性
    病毒一般是具有很高编程技巧的,短小精悍的一段代码,躲在合法程序当中。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的,这是病毒程序的隐蔽性。在没有防护措施的情况下,病毒程序取得系统控制权后,可以在很短的时间里传染大量其他程序,而且计算机系统通常仍能正常运行,用户不会感到任何异常,好像在计算机内不曾发生过什么。这就是病毒传染的隐蔽性。
    3.潜伏性
    病毒进入系统之后一般不会马上发作,可以在几周或者几个月甚至几年内隐蔽在合法程序中,默默地进行传染扩散而不被人发现,潜伏性越好,在系统中,存在时间就会越长,传染范围也就会越大。病毒的内部有一种触发机制,不满足触发条件时,病毒除了传染外不做什么破坏。  旦触发条件得到满足,病毒便开始表现,有的只是在屏幕上显示信息图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除文件、加密数据、封锁键盘、毁坏系统等。触发条件可能是预定时间或日期特定数据出现、特定事件发生等。
    4.多态性
    病毒试图在每一次感染时改变它的形态,使对它的检测变得更困难。一个多态病毒还是原来的病毒,但不能通过扫描特征字符串来发现。病毒代码的主要部分相同,但表达方式发生了变化,也就是同一程序由不同的字节序列表示。
    5.破坏性
    病毒一旦被触发而发作就会造成系统或数据的损伤甚至毁灭。病毒都是可执行程序,而且又必然要运行,因此所有的病毒都会降低计算机系统的工作效率,占用系统资源,其侵占程度取决于病毒程序自身。病毒的破坏程度主要取决于病毒设计者的目的,如果病毒设计者的目的底在于彻底破坏系统及其数据,那么这种病毒对于计算机系统进行攻击造成的后果是难以想象的.它可以毁撞系统的部分或全部数据并使之无法恢复,虽然不是所有的病毒都对系统产生及其恶劣的破坏作用,但有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果。

过滤防火墙系统

    针对“Internet全问题”,最为广泛的商业解决方案是防火墙frewall)。防火墙是一台位于本地系统和Internet之间的计算机,用于过滤那些可能会有害的网络流量。很多机构都对这种“盒装式解决方案”的思想有兴趣,该技术被广泛接受,已经被看做是整个机构安全体系中不可或缺的一个基本组成部分(这本身也会带来风险——很多公司在购买时不求最好,只求最贵。

监控局域网内入侵检测系统

     相对于试图防止所有危险的发生而言,防止某些攻击类型,并同时对其他种类的攻击进行必要的检测所付出的代价要小很多:这种用来检测安全事件发生的系统通常称为入侵检测系统(intrusion detection systems):前面章节中讨论的防病毒软件产品就是入侵检测系统的一个实例;但是,这一术语最常用于那些部署在网络中并寻找攻击迹象或被攻陷计算机的软件或设备【1100】。这样的实例包括:
    ◆  来自网络中某台计算机的垃圾邮件。
    ◆  带有伪造源地址的数据包——比如宣称来自子网外部的数据包,或宣称来自子网内部的数据包。
    ◆  某台试图连接“己知的恶意,服务的计算机,比如正被用于控制僵尸网络的IRC通遁。在类似于这样的案例中,IDS实质上会告诉系统管理员某台特定的计算机需要进行净化处理,并重装该计算机上运行的软件。
     入侵检测的其他实例,前面章节中已经看到过,用于检测移动电话复制、银行诈骗等。还有一些银行系统关注客户对信用卡诈骗的抱怨,并试图判断哪个商家泄漏了卡数据,某些股票市场安装了专门的系统,并通过寻找与价格相关的通知发布之前出现的交易量激增和查找可疑活动模式的方式来检测内部人士的交易活动。还有一些由机场安检保存的“可疑”列表,如果你的名字列在其中,就可能会被“随机地”选中进行额外的安检。尽管这些入侵检测系统都执行非常类似的任务,但其开发者彼此之间并不进行很多交流,重复的工作经常可以看到。但这一切慢慢地开始遵循协同的法则,因为美国政府已经在这一问题上花费了数亿美元。
      这一领域的研究实际上始于上世纪90年代中期,原因在于很多系统没有对日志和审计数据进行有效的利用。比如,对Sun公司的操作系统Solas,在1996年我们发现,其审计数据格式并没有文档说明,也没有可用于读取审计数据的可用工具。其审计功能实现的目的看起来是满足采购部门的正式检查列表要求,而并非执行任何有用的功能。至少可以期望,提高审计功能将有助于系统管理员检测攻击,不管是在攻击生效后还是攻击正在进行中。当然,自9.11以来,关注的重点已转移到对大规模的政府数据与商业数据进行数据挖掘。
      1.入侵检测的类型
      最简单的入侵检测方法是在超过阈值时发出告警信息0 3次或者更多次的登录失败、信用卡的支出情况在最近的3个月中超过2次提取可使用钱款、或者移动电话呼叫持续时间超过6个小时,这些情况都应该对相应账号进行标记,从而引起注意。更复杂的系统通常可归为两类。
      第一类叫做误用检测(misuse dete!Ction)系统,使用入侵者可能的行为方式作为模型。比如,在银行系统中,如果某用户连续3天从提款机中提取超过最大允许提取数额的钱款,就会发出告警信息;在unix的入侵检测系统中,如果本来很初级的用户使用编译器等复杂工具,就会发出告警,并判断是否有账号被攻击者接管。实际上,大多数误用检测系统,像反病毒扫描器一样,都在寻找签名——即一种特定攻击方式的已知特征。
      第二种类型的入侵检测系统是异常检测(anomaly detection)系统。这类系统试图完成更加困难的工作,即在没有攻击者行为方式的清晰模型的情况下,寻找异常行为模式,希望以此来发现某些以前不曾被识别的攻击手段并将其纳入识别范畴。这类系统通常使用人工智能技术——神经网络技术不时地流行起来。
      误用检测系统与异常检测系统之间的分界线有些模糊。由Benford规则提出的分类标准似乎更好一些,该规则描述了随机数字的分布情况。人们也许认为以数字1、2……9起始的数字应该均匀分布。但实际上,来自随机自然源的数字的分布并不像数字系统中所表述的那样,而是一种对数分布:大约30%的十进制数字以1为起始数字。那些搞诈骗的职员捏造数据来伪造账目,甚至使用随机数字生成器来产生账目,但由于他们不懂Benford规则,因此常常会被抓住[846】。另一种分界线例子是美人计(honeytrap)~  故意设置一些有吸引力的内容来引起注意。比如,  些医院有一些伪造记录,其中包含了名人的名字,以便让那些不遵守医疗机密性的员工落入圈套。
     2-入侵检测的普遍局限性
     有些入侵是十分明显的。如果担心那些脚本小子来破坏公司的网页,那么最显而易见的防御措施就是在你的操作间中设置一台计算机,定时地取出网页并对其进行检查,一旦发现网页被改变就马上告警(要注意确保利用外部代理服务器做这些事情,不要忘记不仅仅是你自己统正面临威胁。脚本小子可以将主页上的广告代之以色情图片,那时你最希望的就是尽可能快地将此链接抹去)。

监控可行的密钥管理系统

     我们可以使用类似于Kerberos的协议来建立与管理用户之间实际工作的密钥,这要求每个用户与充当密钥分发中心的服务器之间共享一个或多个长期密钥。本书后面将描述大量其他类似协议,比如第1 0章将讨论银行如何与其每台ATM以及与其连接的每个银行内网络建立长期共享密钥,之后,银行会使用与Kerberos不太相同的协议与其每台ATM以及网络交换机建立一个日密钥,因此,当你在属于其他银行的ATM上进行操作并试图通过Cirrus网络取钱时,ATM将使用其与所属银行共享的工作密钥对交易数据进行加密,之后,银行将使用该网络的日密钥进行加密的交易数据传递给Cirrus网络。
    到现在似乎一切都不错,但只要稍稍考虑一下就会发现,如果按上面的方式实现,银行就必须为其所拥有的数百台ATM取款机分别维护不同的密钥—— 一个长期的主密钥,可能还需要一个加密密钥与一个身份验证密钥,银行网络的每个子网络都需要一些密钥。数百万电子银行客户使用的密码与安全信息,如果这些客户所在计算机上安装了使用密码学机制的客户端,也需要为其提供相应密钥。此外,还需要为数干个员工提供加密的密码,形式上也可能是使用用户密码加密的Kerberos密钥。面对如此之多的密钥原料,如何进行管理?
    密钥管理是一个复杂而困难的问题,并且经常出错,因为这通常不是要考虑的首要问题。一个负责任的工程师会认真思考需要多少个密钥、如何生成这些密钥、密钥需要存活多久以及最终如何销毁密钥。还有更多需要考虑的问题,FederaZ Informcrvtion Processing Standard for keymanagment[948]中列出了大多数这类问题。此外,由于应用程序的不断演化,会导致出现新的问题,所以提供额外密钥以支持未来的功能是重要的,这样就不会因为在不兼容的协议中重用而导致现有功能损坏。为从安全失败中恢复提供必要支持也是重要的。然而,这些都没有标准的做法。
    有很多实际可行的策略,但没有哪一种是直截了当的。公钥加密(将在第5章进行讨论)可以在一一定程度上简化密钥管理的工作,长期密钥可以分为私钥与公钥两个部分,你不需要保存公钥部分,但必须保证其完整性。在银行系统中,通常的做法是使用称为安全模块的专用密码处理器,第1 6章将对其进行详细描述。这些设备完成所有密码学处理,并包含一些用于保护应用程序密钥的内部密钥。由此,你可以让安全模块为每个ATM生成主密钥,并将其加密后的值存放在ATM主文件中。当有来自某个ATM的交易数据时,就可以从该文件中取回加密后的密钥,并将加密数据与其一起传送给安全模块,之后由安全模块进行必要的处理:对PIN进行解密,并对其进行验证——或许通过与本地保存的加密值进行比较来实现。遗憾的是,用于完成这些操作的协议经常会失败。有很多种攻击方法可以渗透安全模块的应用程序接口(API,而协议在API中是暴露的。第1 8章将详细描述这些攻击方法c现在只要知道让安全协议正确运行并不容易就足够了。你不能在家中设计协议,这比设计爆炸装置可要复杂得多。

机房媒体安全和电源保护

 一、媒体安全

    计算机网络系统的信息要存储在某种介质上,常用的存储介质有:硬盘、磁盘、磁带、打印纸、光盘等。对存储介质的安全管理主要包括。
    1)存放有业务数据或程序的磁盘、磁带或光盘,应视同文字记录妥善保管。必须注意防磁、防潮、防火、防盗,必须垂直放置。
    2)对硬盘上的数据,要建立有效的级别、权限,并严格管理,必要时要对数据进行加密,以确保硬盘数据的安全。
    3)存放业务数据或程序的磁盘、磁带或光盘,管理必须落实到人,并分类建立登记簿,记录编号、名称、用途、规格、制作日期、有效期、使用者、批准者等信息。
    4)对存放有重要信息的磁盘、磁带、光盘,要备份两份并分两处保管。
    5)打印有业务数据或程序的打印纸,要视同档案进行管理。
    6)凡超过数据保存期的磁盘、磁带、光盘,必须经过特殊的数据清除处理,视同空白磁盘、磁带、光盘。
    7)凡不能正常记录数据的磁盘、磁带、光盘,须经测试确认后由专人进行销毁,并做好登记工作。
    8)对需要长期保存的有效数据,应在磁盘、磁带、光盘的质量保证期内进行转储,转储时应确保内容正确。

监控网络备份系统

   1.网络备份系统
    网络备份系统是指在分布式网络环境下,通过专业的数据存储管理软件,结合相应的硬件和存储设备,对全网络的数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储以及灾难恢复等。
    网络备份系统的工作原理是在网络上选择一台应用服务器(当然也可以在网络中另配一台服务器作为专用的备份服务器)作为网络数据存储管理服务器,安装网络数据存储管理服务器端软件,作为整个网络的备份服务器。存备份服务器上连接一台大容量存储设备
  (磁带库、光盘库)o在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件,通过局域网将数据集中备份管理到与备份服务器连接的存储设备上。
    网络备份系统的核心是备份管理软件,通过备份软件的计划功能,可为整个企业建立一个完善的备份计划及策略,并可借助备份时的呼叫功能,让所有的服务器备份都能在在同一时间进行。备份软件也提供完善的灾难恢复手段,能够将备份硬件的优良特性完全发挥出来,使备份和灾难恢复时间大大缩短,实现网络数据备份的全自动智能化管理。
    2.相关技术介绍
    (1)分级存储管理( HS M)技术
    在单机运行环境中,由于数据量有限,因而数据的存储备份也相对简单。但随着网络的普及和数据量的巨增,简单的备份已经无法满足需求.分级存锗管理也就应运而生。HSM主要是用于对海量数据的存储备份,当系统中有很多数据以至于不能经济有效地将它们都存放在磁盘上时,就需要使用分级存储备份技术。
    通常,HSM是一个将硬驱、磁带驱动器和光驱组合起来的自动存储系统。其基本原则是把绝大部分最常用到的数据保留在磁盘上,而将很少使用的数据存储到数据库中或磁带和光盘上。系统随时监视文件和数据的使用情况,并且根据卷、目录对其进行实时跟踪。当数据使用率较低时,系统自动将其转移到中间存储媒介,然后存放到专用的存储介质中进行长期保存。  般情况下,直接访问磁盘上的数据文件所需时间不超过几微秒,而从磁盘或磁带库中读取数据大约需要1 min。 HSM系统不仅使数据的存储备份更加容易,而且也将数据检索的时间减少到最低限度。
    (2)存储区域网( SAN)技术
    SAN是随着光纤通道技术的出现而产生的新一代磁盘共享系统。实际上,SAN就是通过集线器或交换机,把两个或更多的存储系统连接到两个或更多的服务器上。这一定义对使用什么样的互连技术、软件的功能和网络节点间必须使用什么样的协议没有进行规定。一般说来,SAN拥有三种主要部件:接口(包括SCSI、光纤通道等)、互连设备(如路由器、交换机、集线器等)和交换光纤。
    SAN的诱人之处在于它能够对一个存储网络设备中的带宽进行集中、多路复用和分散使用,并且将对数据的访问扩展到多个平台=在SAN环境中,SAN将取代服务器实施对整个存储过程的管理和控制,服务器仅负责监督工作。SAN的前端设备只进行文件传输'从而使用户能获得更高的传输速率。例如,通过光纤通道可获得100 Mbit/s的速率,而通过传统的SCSI连接只能得到40Mbit/s的速率。

监控防止恶意代码扩散系统

    防止恶意代码扩散是防止恶意代码感染的延续,其目的是将恶意代码的传播限制在一定的范围之内,控制其危害范围。实际上,许多用于防止恶意代码感染的措施也可以用于防止恶意代码的扩散,如果恶意代码失去了可感染的对象,自然无法继续扩散。
    1.防止恶意代码通过网络扩散
    目前,网络已经成为恶意代码传播的主要途径,防止恶意代码扩散就必须首先做好防止通过网络传播。防止恶意代码通过网络扩散的主要措施如下。
    (1)及时升级操作系统和应用软件,修补可能存在的安全漏洞
    许多恶意代码通过利用操作系统或应用软件的安全漏洞进行传播,通过升级系统修补漏洞可以有效阻断恶意代码的这一传播途径。修补漏洞贵在及时,一定要在补丁程序发布后尽快安装补丁程序。
    (2)配置防火墙,禁止恶意代码访问网络
    通过配置防火墙的ACL规则,禁止恶意代码及其他未知程序访问网络,可以阻止恶意代码通过网络进行传播扩散。即使计算机感染了恶意代码,也可以将其影响限制在一定的范围之内。
    (3)配置防病毒软件,禁止恶意代码运行
    通过配置防病毒软件的实时监测功能,监视所有程序的运行,一旦发现恶意代码活动,立即将其禁止,使恶意代码失去传播扩散的机会。
    2-防止恶意代码通过移动存储介质扩散
    U盘等移动存储介质是恶意代码传播又一重要途径,甚至可能成为在内部网络与外部网络之间进行通信的桥梁,是恶意代码威胁内部网络的主要方式c
    (1)禁用自动播放功能
    Windows系统提供的自动播放功能为自动运行软件的安装程序、自动播放多媒体文件等提供了便利,但同时也为恶意代码的传播扩散提供了便利。为了防止恶意代码通过移动存储介质跨网络扩散,应禁用自动播放功能。具体操作方法参见第6章的6.2.3节。
    (2)正确使用移动存储介质的写保护功能
    为了防止恶意代码可能造成的信息泄露危害,除了禁用自动播放功能外,还应正确使用移动存储介质的写保护功能,在只需要进行移动存储介质的读操作的情况下,应及时开启写保护功能,防止恶意代码趁机扩散到移动存储介质或将隐私信息泄露到移动存储介质。

机房管理软件之个人防火墙的功能及特点

     1-个人防火墙的主要功能
    不同厂商的个人防火墙产品的功能不尽相同,但是作为一个完整的个人防火墙系统,一般应包含以下功能。
    (1)IP数据包过滤功能
    个人防火墙能够依据TCP/IP协议中的网络数据包的数据格式约定制定规则,并根据规则对数据包进行过滤,对数据包的过滤动作应包含拦截、通行和继续匹配下一规则等。每一条匹配规则一般包括下列要素。
    •数据包方向(连接发起方/接收方)。
    •远程IP地址(任何IP地址/指定IP地址/指定IP地址范围)。
    •协议的匹配类型。
    具体协议至少应包括以下三种。
    1)ICMP数据包过滤。根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时,按对应规则中的数据包处理方式进行处理。
    2)UDP数据包过滤。根据UDP网络数据包中的本地端口(包括单一端口和(或)端口范围)和(或)远程端口(包括单一端口和(或)端口范围进行规则厅匹配。
    3)TCP数据包过滤。根据TCP网络数据包中的本地端口(包括单一端口和(或)端口范围)和(或)远程端口(包括单一端口和(或)端口范围).以及TCP数据包的标志位进行规则匹配过滤。
    (2)安全规则的修订功能
    个人防火墙一般都允许用户选择使用或弃用个人防火墙产品提供的安全规则,根据需要添加、删除或修改自定义安全规则。
    (3)对特定网络攻击数据包的拦截功能
    个人防火墙产品一般具备对于某些特定攻击的抵挡及防御能力.配合抵御攻击的能力,个人防火墙产品一般还具备建立可更新的攻击特征库的能力。
    (4)应用程序网络访问控制功能
    个人防火墙产品一般都能控制每个应用程序访问网络的权限,对应用程序网络访问控制包括以下三种方式。
    •允许访问:允许该程序使用网络。
    •禁止访问:禁止该程序使用网络。
    •网络访问时询问:当应用程序访问网络时,个人防火墙产品应对其将进行的访问操作向用户提供详细的报告及询问,根据询问结果对应用程序访问网络的行为进行处理。
    (5)网络快速切断/恢复功能
    个人防火墙一般都提供快捷的方式方便用户迅速地切断/恢复所有网络通信。
    (6)日志记录功能
    个人防火墙一般都提供一个有关包过滤和网络攻击事件的网络通信日志,便于用户查阅网络系统近况。
    (7)网络攻击的报警功能
    根据匹配系统指定规则发现异常网络数据包,个人防火墙一般可以以一定的方式警告用户,并能够建议用户采取哪些应对措施。
    (8)产品自身安全功能
    个人防火墙产品一般都能抵御已知手段攻击,保证其自身正常运行而不受影响。某些具有特殊安全功能要求(如控制儿童上网)的个人防火墙,还具备身份鉴别功能,以防止控制规则被随意更改。
    2.个人防火墙的特点
    与传统防火墙相比,个人防火墙体现出了一些自身的特点。
    (1)个人防火墙的优点
    个人防火墙的优点主要体现在以下几个方面。
    1)增加了保护级别,不需要额外的硬件资源。
    2)个人防火墙除了可以抵挡外来攻击,还可以抵挡内部的攻击。
    3)个人防火墙是对公共网络中的单个系统提供保护,能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息c
    (2)个人防火墙的缺点
    个人防火墙的主要缺点体现在以下几个方面。
    1)个人防火墙对公共网络只有一个物理接口,导致个人防火墙本身容易受到威胁。
    2)个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源。
    3)个人防火墙只能对单机提供保护,不能保护网络系统。

机房管理软件的硬件保护

    大多数访问控制系统不仪要控制用户的行为,还要限制程序的行为。在大多数系统中,用户或者可以编写程序,或者可以下载并安装程序。因此,程序中可能包含漏洞甚至恶意代码。
     保护问题(protection problem)的定义是防止一个程序干扰其他程序。限制问题(confinementproblem)通常定义为防止程序通过未授权的通道与外部通信。这些定义带来了几种改进,目标是要防止主动干扰(如内存重写),或防止程序直接读取其他程序的内存一  •这也是商业操作系统要达到的目的。军事系统还要尽力保护元数据(metadata),即关于其他数据、主题或者进程的数据,以便用户无法发现登录到系统的用户或他们运行的进程。在一些应用程序(比如用于处理人口调查数据的程序)中,限制措施意味着允许程序读取数据,但是除一些受限的查询结果外,不允许程序泄露其他信息。
    除非使用沙盒技术(对于一般程序环境而言,它的限制太多了),在单处理器中解决限制问题意味着至少要存在一种机制,以防程序覆盖其他程序的代码和数据。系统中可能有一些共享的内存区域,供进程内通信使用;但是必须防止程序被偶然或者恶意地修改,它们所访问的内存也要采取类似的保护措施。
    这通常意味着硬件访问控制必须与处理器的内存管理功能整合起来。段寻址(segmentaddressing)就是一种典型的机制。内存是通过两个寄存器寻址的,其中段寄存器指向内存段,而地址寄存器指向段内的位置。段寄存器是由操作系统控制的,它是连接访问控制机制和硬件的桥梁。
    这种技术具体实现起来比处理器本身还要复杂。早期的IBM大型机具有一个双态CPU:机器或者为授权状态,或者为非授权状态。在第2种状态下,程序被限制在操作系统分配的内存段内。在第1种状态下,程序可以随意改变段寄存器。授权的程序是从授权库中加载的。
    只要给定合理的授权库,可以在此基础上实现所需的任何访问控制策略,但并不始终有效,并且系统安全必须依赖于把糟糕的(恶意的或者有错误的)代码隔离在授权库之外。因此,后来的处理器中提供了更加复杂的硬件机制。在20世纪60年代,麻省理工学院开发出对后来的Unix发展有激励作用的Multics操作系统,其中引入了保护环(ring of protection)机制,提出了区分权限级别的思路:ring O程序可以访问整个硬盘,超级用户在ring 2运行,用户代码在各种更低的权限中使用【1 1 3 9】。这些特性在一定程度上被后来的处理器采用了,比如在80286以后的Intel生产的主要处理器中。
    在硬件和软件安全机制中存在大量常规问题。比如,经常出现低权限进程需要调用高权限程序的情况,如应用程序代码调用设备驱动程序。这种机制需要谨慎设计,否则会产生安全漏洞。比如,IBM大型机操作系统~/IVS有一个漏洞:如果一个程序正在并发执行一个普通任务和一个授权任务,它可以使普通任务也得到授权[774]。另外,不同权限级别的例程是通过引用还是通过值进行调用,会对性能产生极大影响[1139】。

«12»

Powered By Z-Blog 2.0 Doomsday Build 121221

版权所有©2007-2013 南京网亚计算机有限公司
QQ:502800066(购买咨询) 1074187861(技术支持) 邮件: sales@ji-fang.cn
电话:( 025)84533318 (025)84533319 (025)66671103 13913982176 传真: (025)84533320
地址: 江苏省南京市中山东路198号龙台国际大厦1205室