第7章應用系統(tǒng)安全

2023/2/1計算機系統(tǒng)安全原理與技術1第7章應用系統(tǒng)安全2023/2/1計算機系統(tǒng)安全原理與技術2本章主要內(nèi)容惡意程序應用系統(tǒng)的編程安全Web安全安全軟件工程

2023/2/1計算機系統(tǒng)安全原理與技術37.1惡意程序惡意程序(MaliciousProgram)其分類如圖

:2023/2/1計算機系統(tǒng)安全原理與技術47.1.1計算機病毒

第一個被檢測到的病毒出現(xiàn)于1986年，稱為Brain(巴基斯坦智囊病毒)。這是一個駐留內(nèi)存的根扇區(qū)病毒，本無惡意的破壞和擴散意圖，但病毒代碼中的小錯誤使磁盤文件或文件分配表中的數(shù)據(jù)被攪亂，從而造成數(shù)據(jù)丟失。

2023/2/1計算機系統(tǒng)安全原理與技術51．計算機病毒的概念

在1994年2月28日頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》中是這樣定義計算機病毒的：“是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，且能自我復制的一組計算機指令或者程序代碼?！?023/2/1計算機系統(tǒng)安全原理與技術62．病毒剖析計算機病毒在結構上有著共同性，一般由3部分組成:（1）潛伏模塊/初始化、進入內(nèi)存（2）傳染模塊/找目標進行感染（3）表現(xiàn)模塊/破壞2023/2/1計算機系統(tǒng)安全原理與技術73．常用反病毒技術（1）訪問控制（2）進程監(jiān)視（3）完整性驗證（4）病毒查殺軟件2023/2/1計算機系統(tǒng)安全原理與技術84．反病毒技術的發(fā)展（1）主動內(nèi)核技術（2）人工智能技術在反病毒中的應用（3）數(shù)字免疫2023/2/1計算機系統(tǒng)安全原理與技術97.1.2蠕蟲早期惡意代碼的主要形式是計算機病毒，1988年Morris蠕蟲爆發(fā)后，人們?yōu)榱藚^(qū)分蠕蟲和病毒，對病毒重新進行了定義。一般認為“網(wǎng)絡蠕蟲是一種智能化、自動化，綜合網(wǎng)絡攻擊、密碼學和計算機病毒技術，不需要計算機使用者干預即可運行的攻擊程序或代碼。它會掃描和攻擊網(wǎng)絡上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點”。2023/2/1計算機系統(tǒng)安全原理與技術10蠕蟲的一個功能結構框架如圖2023/2/1計算機系統(tǒng)安全原理與技術11網(wǎng)絡蠕蟲的工作機制2023/2/1計算機系統(tǒng)安全原理與技術127.1.3陷門陷門是一個模塊的未公開的秘密入口。陷門產(chǎn)生的原因：程序員在程序開發(fā)期間故意插入用于程序調(diào)試或惡意目的；為了連接未來的擴展而提供的“鉤子”（HOOKS）；為了在程序出錯后，了解模塊內(nèi)部各變量的狀況；2023/2/1計算機系統(tǒng)安全原理與技術13為了在程序出錯后，了解模塊內(nèi)部各變量的狀況；稍大一點程序一般都由若干個模塊組成，調(diào)試期間為了跟蹤程序運行蹤跡，常常在各個模塊內(nèi)部插入一些調(diào)試語句，以打印或顯示的方式透視變量的取值情況，調(diào)試結束后，由未將這些語句去掉，形成了陷門。在硬件處理器中并非所有操作碼都有相應的指令碼，這些未定義指令可能成為操作處理器的陷門。2023/2/1計算機系統(tǒng)安全原理與技術147.1.4特洛伊木馬特洛伊木馬是隱藏在正常程序中完成惡意功能的代碼。特洛伊木馬代碼是程序員故意放在正常程序中。有的特洛伊木馬代碼分散在整個程序中，有的是在宿主程序執(zhí)行后通過修改一串指令后才形成的，有的特洛伊木馬指令則是以加密形式存放的，只有在執(zhí)行的瞬間才解密。2023/2/1計算機系統(tǒng)安全原理與技術15一個完整的木馬系統(tǒng)由三部分組成：（1）硬件部分：控制端、服務端、因特網(wǎng)；（2）軟件部分：控制端程序、木馬程序、木馬配置程序；

（3）具體連接部分：控制端IP、服務器端IP，控制端端口、木馬端口。2023/2/1計算機系統(tǒng)安全原理與技術16木馬入侵，大致可分為六步：（1）配置木馬（2）傳播木馬（3）運行木馬（4）信息反饋（5）建立連接（6）遠程控制2023/2/1計算機系統(tǒng)安全原理與技術177.2應用系統(tǒng)的編程安全

在1988年11月，世界上出現(xiàn)了第一個針對緩沖區(qū)溢出的攻擊——名為RobertT.Morris的finger蠕蟲病毒，它利用了VAX機上的BSDUNIX的一個實用程序finger的緩沖區(qū)溢出錯誤，成功入侵了Internet上數(shù)以百計的主機，致使全世界大約10%的Internet崩潰。事實上，目前網(wǎng)絡上的惡意攻擊有一半以上是利用了緩沖區(qū)溢出的漏洞。2023/2/1計算機系統(tǒng)安全原理與技術187.2.1緩沖區(qū)溢出簡單的說，緩沖區(qū)溢出(BufferOverflow)就是通過在程序的緩沖區(qū)寫入超出其長度的內(nèi)容，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達到攻擊的目的。2023/2/1計算機系統(tǒng)安全原理與技術19系統(tǒng)區(qū)用戶堆棧區(qū)

數(shù)據(jù)區(qū)代碼區(qū)緩沖區(qū)緩沖區(qū)溢出示意系統(tǒng)堆棧區(qū)2023/2/1計算機系統(tǒng)安全原理與技術207.2.2格式化字符串格式化串的漏洞也是源自于C程序中不對數(shù)組邊界進行檢查的緩沖區(qū)錯誤。以printf()函數(shù)為例：intprintf(constchar*format,agr1,agr2,……);format的內(nèi)容可能為(%s,%d,%p,%x,%n……)，將數(shù)據(jù)格式化后輸出。這種函數(shù)的問題在于函數(shù)printf不能確定數(shù)據(jù)參數(shù)arg1,arg2,……究竟在什么地方結束，也就是說，它不知道參數(shù)的個數(shù)。printf函數(shù)只會根據(jù)format中的打印格式的數(shù)目依次打印堆棧中參數(shù)format后面地址的內(nèi)容。2023/2/1計算機系統(tǒng)安全原理與技術217.2.3安全編程編寫正確的代碼雖然可以在一定的程度上減少程序的安全問題。但是這是一項耗時的工作，而且它只能在一定的程度上減少緩沖區(qū)溢出的可能。因此在注意編碼的同時，也需要用其他的安全手段來保證系統(tǒng)的安全。

1．緩沖區(qū)檢測技術

2．數(shù)組邊界檢查

3．程序指針完整性檢查2023/2/1計算機系統(tǒng)安全原理與技術227.3.1Web安全概述三類安全威脅：1．對Web服務器的安全威脅2．對Web客戶端的安全威脅3．對數(shù)據(jù)傳輸?shù)陌踩{

7.3Web安全2023/2/1計算機系統(tǒng)安全原理與技術23從Web應用程序的基本體系結構方面來說，其安全主要包括3個環(huán)節(jié)：（1）Web服務器及其存儲數(shù)據(jù)的安全（2）Web服務器和Web瀏覽器之間的信息傳輸安全（3）用戶計算機的安全2023/2/1計算機系統(tǒng)安全原理與技術247.3.2客戶端安全控制保證客戶端安全的第一步就是保證用戶計算機中安裝的Web瀏覽器是安全的，不存在任何形式的bug。同時，用戶必須定期訪問Web瀏覽器廠商的站點，隨時下載升級或補丁程序。1．瀏覽器安全2．Cookie安全控制3．P3P2023/2/1計算機系統(tǒng)安全原理與技術257.3.3腳本程序安全控制

1．腳本語言目前常用的腳本語言有：PHP(超文本預處理器)、ASP(活動服務器頁面)和Perl(PracticalExtractionandReportingLanguage，實用抽取和報告語言)等。2．網(wǎng)頁惡意代碼2023/2/1計算機系統(tǒng)安全原理與技術26下面內(nèi)容開始2023/2/1計算機系統(tǒng)安全原理與技術277.3.4服務器安全控制

1．部署防火墻保護Web服務器2．Web服務器安全配置（1）IIS的安全機制（2）主機訪問控制（3）用戶身份驗證（4）Web服務器權限控制（5）文件系統(tǒng)權限控制（6）審核IIS日志記錄2023/2/1計算機系統(tǒng)安全原理與技術28（7）禁止或刪除不必要的IIS選項或相關組件（8）禁用Content-Location標頭的IP地址（9）使用微軟IIS鎖定向?qū)?yōu)化安全配置3．Web應用程序安全控制除了操作系統(tǒng)級、網(wǎng)絡級和IIS服務器級的安全措施外，Web應用程序、后端數(shù)據(jù)庫等安全也很重要。

2023/2/1計算機系統(tǒng)安全原理與技術297.3.5網(wǎng)絡傳輸安全控制

1．SSL的工作原理一個SSL會話的建立通常需要以下基本步驟：·客戶端發(fā)送請求，與服務器建立連接?！し掌飨驗g覽器發(fā)送自己的公鑰和服務器證書。·客戶端和服務器相互協(xié)商數(shù)據(jù)加密強度?！た蛻舳藙?chuàng)建一個會話密鑰，該密鑰用來在當前的SSL會話中加密數(shù)據(jù)?！た蛻舳擞霉€對會話密鑰加密，然后將其發(fā)送給服務器?！し掌鹘拥郊用苓^的會話密鑰并使用私鑰解密。2．為Web應用程序配置SSL2023/2/1計算機系統(tǒng)安全原理與技術307.4安全軟件工程遵照軟件工程原則，在每階段中進行安全控制。7.4.1需求分析階段的安全措施詳細說明安全與保密要求；把安全保密分配到處理流程中；確定用戶數(shù)據(jù)的敏感等級；確定安全計劃，建立安全模型。2023/2/1計算機系統(tǒng)安全原理與技術317.4.2設計階段的安全措施驗證安全模型的正確性設計整體安全機制和安全方案（自己實現(xiàn)的和利用系統(tǒng)安全功能）把安全要求分解到相關模塊中，把對數(shù)據(jù)的安全要求體現(xiàn)在安全數(shù)據(jù)庫的設計中2023/2/1計算機系統(tǒng)安全原理與技術32

主控模塊過濾層敏感模塊

普通模塊過濾層敏感模塊普通模塊安全過濾層敏感模塊敏感模塊普通模塊安全模塊的訪問控制2023/2/1計算機系統(tǒng)安全原理與技術337.4.3編程階段的安全控制按要求實現(xiàn)各模塊的安全功能；組織獨立人員審查模塊代碼；（仔細閱讀源程序）保護源代碼不與無關人員接觸。2023/2/1計算機系統(tǒng)安全原理與技術347.4.4測試階段安全控制測試各模塊安全功能，最好通過第三方獨立測試；根據(jù)安全要求綜合測試程序與運行環(huán)境；組織安全專業(yè)人員進行攻擊性測試。2023/2/1計算機系統(tǒng)安全原理與技術357.4.5運行維護階段的安全控制成立軟件配置管理機構對提交運行的軟件，對其任何修改必須得到批準；對修改后的源程序需要再審查；由配置管理機構自己對源代碼編譯生成目標代碼，防止引入不安全功能。2023/2/1計算機系統(tǒng)安全原理與技術36配置管理在安全上的好處：1、可以防止非故意威脅保護程序和文件的完整性是采用配置管理的主要安全動機。因為所有修改只能在配置管理部門同意后才能進行，對所有修改的副作用做了仔細地評估。由于程序的各個版本都已保存，可以追蹤到錯誤的修改。2023/2/1計算機系統(tǒng)安全原理與技術372、可以防止程序被惡意修改：一旦一個程序檢查后被管理部門接受，且用于系統(tǒng)，程序員便無法再偷偷摸摸進行地進行微妙地修改。由于有管理部門監(jiān)督檢查，修改者會處處留心違反安全的事件發(fā)生。為了對修改進行可懂和可審計的控制，配置部門只接受在源程序級別上的修改：語句的插入、刪除和替換。管理部門保存原始源程序及各個版本的單個修改指令。2023/2/1計算機系統(tǒng)安全原理與技術387.4.6行政管理控制1、指定程序開發(fā)標準1）設計標準：專用設計工具、語言或方法的使用；2）文件、語言和編碼風格的標準；3）編程標準，包括強制性的程序員對等檢查，以及對程序的正確性和與標準的一致性進行周期性的代碼審查；4）測試標準，驗證技術、獨立測試、測試結果的存檔備查；5）配置管理標準：控制對成品程序的訪問與修改；2023/2/1計算機系統(tǒng)安全原理與技術392、實施程序開發(fā)標準遵循程序開發(fā)標準有利于項目的持續(xù)進行，即使項目中途換人，也不影響項目按標準完成。對開發(fā)安全軟件的公司需要進行安全審計。由一個獨立的安全評價小組以不聲張的方式檢查每一個項目。該小組檢查設計、文件和代碼。這本身就是一種警告性措施。程序員不太可能在模塊中放入可疑代碼。2023/2/1計算機系統(tǒng)安全原理與技術403、責任分開：模塊化編程和設計迫使程序員取得非法的程序結果必須合謀，由獨立測試小組而不是由編寫這段程序的程序員對模塊進行測試，這些分離措施可以使程序具有更高的安全性。4、對職員的管理：招收雇員時需要調(diào)查其背景，在公司對他取得信任之前，應限制其訪問權限。為了安全上的原因公司還應該要求其遵守一般的行為準則。2023/2/1計算機系統(tǒng)安全原理與技術41思考與練習

7.1試述計算機病毒的一般構成、各個功能模塊的作用和作用機制。7.2簡述計算機病毒的防治措施和感染病毒后的修復方法。7.3什么是計算機病毒免疫?7.4一個計算機程序能用來自動測試陷門嗎？也就是說，你能夠設計一個計算機程序，在給定另一個程序的源或目標代碼以及對那個程序的適當描述后，能夠?qū)@個程序中是否存在陷門回答“是”與“否”嗎？說明你的方法。2023/2/1計算機系統(tǒng)安全原理與技術427.5使用瑞星殺毒軟件單機版和網(wǎng)絡版在實際環(huán)境下對單機和網(wǎng)絡系統(tǒng)進行病毒的查殺，并檢測系統(tǒng)漏洞，分析單機版和網(wǎng)絡版在應用上和功能上的區(qū)別。7.6如何防