第7章應(yīng)用系統(tǒng)安全

2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)1第7章應(yīng)用系統(tǒng)安全2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)2本章主要內(nèi)容惡意程序應(yīng)用系統(tǒng)的編程安全Web安全安全軟件工程

2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)37.1惡意程序惡意程序(MaliciousProgram)其分類如圖

:2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)47.1.1計(jì)算機(jī)病毒

第一個被檢測到的病毒出現(xiàn)于1986年，稱為Brain(巴基斯坦智囊病毒)。這是一個駐留內(nèi)存的根扇區(qū)病毒，本無惡意的破壞和擴(kuò)散意圖，但病毒代碼中的小錯誤使磁盤文件或文件分配表中的數(shù)據(jù)被攪亂，從而造成數(shù)據(jù)丟失。

2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)51．計(jì)算機(jī)病毒的概念

在1994年2月28日頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中是這樣定義計(jì)算機(jī)病毒的：“是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，且能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)62．病毒剖析計(jì)算機(jī)病毒在結(jié)構(gòu)上有著共同性，一般由3部分組成:（1）潛伏模塊/初始化、進(jìn)入內(nèi)存（2）傳染模塊/找目標(biāo)進(jìn)行感染（3）表現(xiàn)模塊/破壞2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)73．常用反病毒技術(shù)（1）訪問控制（2）進(jìn)程監(jiān)視（3）完整性驗(yàn)證（4）病毒查殺軟件2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)84．反病毒技術(shù)的發(fā)展（1）主動內(nèi)核技術(shù)（2）人工智能技術(shù)在反病毒中的應(yīng)用（3）數(shù)字免疫2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)97.1.2蠕蟲早期惡意代碼的主要形式是計(jì)算機(jī)病毒，1988年Morris蠕蟲爆發(fā)后，人們?yōu)榱藚^(qū)分蠕蟲和病毒，對病毒重新進(jìn)行了定義。一般認(rèn)為“網(wǎng)絡(luò)蠕蟲是一種智能化、自動化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點(diǎn)傳播到另外一個節(jié)點(diǎn)”。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)10蠕蟲的一個功能結(jié)構(gòu)框架如圖2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)11網(wǎng)絡(luò)蠕蟲的工作機(jī)制2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)127.1.3陷門陷門是一個模塊的未公開的秘密入口。陷門產(chǎn)生的原因：程序員在程序開發(fā)期間故意插入用于程序調(diào)試或惡意目的；為了連接未來的擴(kuò)展而提供的“鉤子”（HOOKS）；為了在程序出錯后，了解模塊內(nèi)部各變量的狀況；2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)13為了在程序出錯后，了解模塊內(nèi)部各變量的狀況；稍大一點(diǎn)程序一般都由若干個模塊組成，調(diào)試期間為了跟蹤程序運(yùn)行蹤跡，常常在各個模塊內(nèi)部插入一些調(diào)試語句，以打印或顯示的方式透視變量的取值情況，調(diào)試結(jié)束后，由未將這些語句去掉，形成了陷門。在硬件處理器中并非所有操作碼都有相應(yīng)的指令碼，這些未定義指令可能成為操作處理器的陷門。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)147.1.4特洛伊木馬特洛伊木馬是隱藏在正常程序中完成惡意功能的代碼。特洛伊木馬代碼是程序員故意放在正常程序中。有的特洛伊木馬代碼分散在整個程序中，有的是在宿主程序執(zhí)行后通過修改一串指令后才形成的，有的特洛伊木馬指令則是以加密形式存放的，只有在執(zhí)行的瞬間才解密。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)15一個完整的木馬系統(tǒng)由三部分組成：（1）硬件部分：控制端、服務(wù)端、因特網(wǎng)；（2）軟件部分：控制端程序、木馬程序、木馬配置程序；

（3）具體連接部分：控制端IP、服務(wù)器端IP，控制端端口、木馬端口。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)16木馬入侵，大致可分為六步：（1）配置木馬（2）傳播木馬（3）運(yùn)行木馬（4）信息反饋（5）建立連接（6）遠(yuǎn)程控制2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)177.2應(yīng)用系統(tǒng)的編程安全

在1988年11月，世界上出現(xiàn)了第一個針對緩沖區(qū)溢出的攻擊——名為RobertT.Morris的finger蠕蟲病毒，它利用了VAX機(jī)上的BSDUNIX的一個實(shí)用程序finger的緩沖區(qū)溢出錯誤，成功入侵了Internet上數(shù)以百計(jì)的主機(jī)，致使全世界大約10%的Internet崩潰。事實(shí)上，目前網(wǎng)絡(luò)上的惡意攻擊有一半以上是利用了緩沖區(qū)溢出的漏洞。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)187.2.1緩沖區(qū)溢出簡單的說，緩沖區(qū)溢出(BufferOverflow)就是通過在程序的緩沖區(qū)寫入超出其長度的內(nèi)容，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)19系統(tǒng)區(qū)用戶堆棧區(qū)

數(shù)據(jù)區(qū)代碼區(qū)緩沖區(qū)緩沖區(qū)溢出示意系統(tǒng)堆棧區(qū)2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)207.2.2格式化字符串格式化串的漏洞也是源自于C程序中不對數(shù)組邊界進(jìn)行檢查的緩沖區(qū)錯誤。以printf()函數(shù)為例：intprintf(constchar*format,agr1,agr2,……);format的內(nèi)容可能為(%s,%d,%p,%x,%n……)，將數(shù)據(jù)格式化后輸出。這種函數(shù)的問題在于函數(shù)printf不能確定數(shù)據(jù)參數(shù)arg1,arg2,……究竟在什么地方結(jié)束，也就是說，它不知道參數(shù)的個數(shù)。printf函數(shù)只會根據(jù)format中的打印格式的數(shù)目依次打印堆棧中參數(shù)format后面地址的內(nèi)容。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)217.2.3安全編程編寫正確的代碼雖然可以在一定的程度上減少程序的安全問題。但是這是一項(xiàng)耗時(shí)的工作，而且它只能在一定的程度上減少緩沖區(qū)溢出的可能。因此在注意編碼的同時(shí)，也需要用其他的安全手段來保證系統(tǒng)的安全。

1．緩沖區(qū)檢測技術(shù)

2．?dāng)?shù)組邊界檢查

3．程序指針完整性檢查2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)227.3.1Web安全概述三類安全威脅：1．對Web服務(wù)器的安全威脅2．對Web客戶端的安全威脅3．對數(shù)據(jù)傳輸?shù)陌踩{

7.3Web安全2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)23從Web應(yīng)用程序的基本體系結(jié)構(gòu)方面來說，其安全主要包括3個環(huán)節(jié)：（1）Web服務(wù)器及其存儲數(shù)據(jù)的安全（2）Web服務(wù)器和Web瀏覽器之間的信息傳輸安全（3）用戶計(jì)算機(jī)的安全2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)247.3.2客戶端安全控制保證客戶端安全的第一步就是保證用戶計(jì)算機(jī)中安裝的Web瀏覽器是安全的，不存在任何形式的bug。同時(shí)，用戶必須定期訪問Web瀏覽器廠商的站點(diǎn)，隨時(shí)下載升級或補(bǔ)丁程序。1．瀏覽器安全2．Cookie安全控制3．P3P2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)257.3.3腳本程序安全控制

1．腳本語言目前常用的腳本語言有：PHP(超文本預(yù)處理器)、ASP(活動服務(wù)器頁面)和Perl(PracticalExtractionandReportingLanguage，實(shí)用抽取和報(bào)告語言)等。2．網(wǎng)頁惡意代碼2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)26下面內(nèi)容開始2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)277.3.4服務(wù)器安全控制

1．部署防火墻保護(hù)Web服務(wù)器2．Web服務(wù)器安全配置（1）IIS的安全機(jī)制（2）主機(jī)訪問控制（3）用戶身份驗(yàn)證（4）Web服務(wù)器權(quán)限控制（5）文件系統(tǒng)權(quán)限控制（6）審核IIS日志記錄2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)28（7）禁止或刪除不必要的IIS選項(xiàng)或相關(guān)組件（8）禁用Content-Location標(biāo)頭的IP地址（9）使用微軟IIS鎖定向?qū)?yōu)化安全配置3．Web應(yīng)用程序安全控制除了操作系統(tǒng)級、網(wǎng)絡(luò)級和IIS服務(wù)器級的安全措施外，Web應(yīng)用程序、后端數(shù)據(jù)庫等安全也很重要。

2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)297.3.5網(wǎng)絡(luò)傳輸安全控制

1．SSL的工作原理一個SSL會話的建立通常需要以下基本步驟：·客戶端發(fā)送請求，與服務(wù)器建立連接?！し?wù)器向?yàn)g覽器發(fā)送自己的公鑰和服務(wù)器證書。·客戶端和服務(wù)器相互協(xié)商數(shù)據(jù)加密強(qiáng)度?！た蛻舳藙?chuàng)建一個會話密鑰，該密鑰用來在當(dāng)前的SSL會話中加密數(shù)據(jù)?！た蛻舳擞霉€對會話密鑰加密，然后將其發(fā)送給服務(wù)器?！し?wù)器接到加密過的會話密鑰并使用私鑰解密。2．為Web應(yīng)用程序配置SSL2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)307.4安全軟件工程遵照軟件工程原則，在每階段中進(jìn)行安全控制。7.4.1需求分析階段的安全措施詳細(xì)說明安全與保密要求；把安全保密分配到處理流程中；確定用戶數(shù)據(jù)的敏感等級；確定安全計(jì)劃，建立安全模型。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)317.4.2設(shè)計(jì)階段的安全措施驗(yàn)證安全模型的正確性設(shè)計(jì)整體安全機(jī)制和安全方案（自己實(shí)現(xiàn)的和利用系統(tǒng)安全功能）把安全要求分解到相關(guān)模塊中，把對數(shù)據(jù)的安全要求體現(xiàn)在安全數(shù)據(jù)庫的設(shè)計(jì)中2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)32

主控模塊過濾層敏感模塊

普通模塊過濾層敏感模塊普通模塊安全過濾層敏感模塊敏感模塊普通模塊安全模塊的訪問控制2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)337.4.3編程階段的安全控制按要求實(shí)現(xiàn)各模塊的安全功能；組織獨(dú)立人員審查模塊代碼；（仔細(xì)閱讀源程序）保護(hù)源代碼不與無關(guān)人員接觸。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)347.4.4測試階段安全控制測試各模塊安全功能，最好通過第三方獨(dú)立測試；根據(jù)安全要求綜合測試程序與運(yùn)行環(huán)境；組織安全專業(yè)人員進(jìn)行攻擊性測試。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)357.4.5運(yùn)行維護(hù)階段的安全控制成立軟件配置管理機(jī)構(gòu)對提交運(yùn)行的軟件，對其任何修改必須得到批準(zhǔn)；對修改后的源程序需要再審查；由配置管理機(jī)構(gòu)自己對源代碼編譯生成目標(biāo)代碼，防止引入不安全功能。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)36配置管理在安全上的好處：1、可以防止非故意威脅保護(hù)程序和文件的完整性是采用配置管理的主要安全動機(jī)。因?yàn)樗行薷闹荒茉谂渲霉芾聿块T同意后才能進(jìn)行，對所有修改的副作用做了仔細(xì)地評估。由于程序的各個版本都已保存，可以追蹤到錯誤的修改。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)372、可以防止程序被惡意修改：一旦一個程序檢查后被管理部門接受，且用于系統(tǒng)，程序員便無法再偷偷摸摸進(jìn)行地進(jìn)行微妙地修改。由于有管理部門監(jiān)督檢查，修改者會處處留心違反安全的事件發(fā)生。為了對修改進(jìn)行可懂和可審計(jì)的控制，配置部門只接受在源程序級別上的修改：語句的插入、刪除和替換。管理部門保存原始源程序及各個版本的單個修改指令。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)387.4.6行政管理控制1、指定程序開發(fā)標(biāo)準(zhǔn)1）設(shè)計(jì)標(biāo)準(zhǔn)：專用設(shè)計(jì)工具、語言或方法的使用；2）文件、語言和編碼風(fēng)格的標(biāo)準(zhǔn)；3）編程標(biāo)準(zhǔn)，包括強(qiáng)制性的程序員對等檢查，以及對程序的正確性和與標(biāo)準(zhǔn)的一致性進(jìn)行周期性的代碼審查；4）測試標(biāo)準(zhǔn)，驗(yàn)證技術(shù)、獨(dú)立測試、測試結(jié)果的存檔備查；5）配置管理標(biāo)準(zhǔn)：控制對成品程序的訪問與修改；2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)392、實(shí)施程序開發(fā)標(biāo)準(zhǔn)遵循程序開發(fā)標(biāo)準(zhǔn)有利于項(xiàng)目的持續(xù)進(jìn)行，即使項(xiàng)目中途換人，也不影響項(xiàng)目按標(biāo)準(zhǔn)完成。對開發(fā)安全軟件的公司需要進(jìn)行安全審計(jì)。由一個獨(dú)立的安全評價(jià)小組以不聲張的方式檢查每一個項(xiàng)目。該小組檢查設(shè)計(jì)、文件和代碼。這本身就是一種警告性措施。程序員不太可能在模塊中放入可疑代碼。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)403、責(zé)任分開：模塊化編程和設(shè)計(jì)迫使程序員取得非法的程序結(jié)果必須合謀，由獨(dú)立測試小組而不是由編寫這段程序的程序員對模塊進(jìn)行測試，這些分離措施可以使程序具有更高的安全性。4、對職員的管理：招收雇員時(shí)需要調(diào)查其背景，在公司對他取得信任之前，應(yīng)限制其訪問權(quán)限。為了安全上的原因公司還應(yīng)該要求其遵守一般的行為準(zhǔn)則。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)41思考與練習(xí)

7.1試述計(jì)算機(jī)病毒的一般構(gòu)成、各個功能模塊的作用和作用機(jī)制。7.2簡述計(jì)算機(jī)病毒的防治措施和感染病毒后的修復(fù)方法。7.3什么是計(jì)算機(jī)病毒免疫?7.4一個計(jì)算機(jī)程序能用來自動測試陷門嗎？也就是說，你能夠設(shè)計(jì)一個計(jì)算機(jī)程序，在給定另一個程序的源或目標(biāo)代碼以及對那個程序的適當(dāng)描述后，能夠?qū)@個程序中是否存在陷門回答“是”與“否”嗎？說明你的方法。2023/2/1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)427.5使用瑞星殺毒軟件單機(jī)版和網(wǎng)絡(luò)版在實(shí)際環(huán)境下對單機(jī)和網(wǎng)絡(luò)系統(tǒng)進(jìn)行病毒的查殺，并檢測系統(tǒng)漏洞，分析單機(jī)版和網(wǎng)絡(luò)版在應(yīng)用上和功能上的區(qū)別。7.6如何防