2020软考 信息安全工程师(第二版)学习总结【十五】
第十九章 操作系统安全保护
操作系统安全概述
- 操作系统安全概念
- 满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资源安全
- 五个安全等级
- 用户自主保护级
- 系统审计保护级
- 安全标记保护级
- 结构化保护级
- 访问验证保护级
- 操作系统安全需求
- 主要包括:
- 标识和鉴别
- 访问控制
- 系统资源安全
- 网络安全
- 抗攻击
- 自身安全
- 主要包括:
- 操作系统安全机制
- 主要包括:硬件安全、标识与鉴别、访问控制、最小特权管理、可信路径、安全审计、系统安全增强
- 操作系统安全技术
- 包括:硬件容灾备份技术、可信计算技术、身份认证技术、访问控制技术、加密技术、安全审计和监测技术、系统安全增强技术、特权管理技术、形式化分析技术、安全渗透技术、隐蔽信道分析、安全补丁、防火墙、入侵检测、安全沙箱、攻击欺骗、地址空间随机化和系统恢复等技术
Windows操作系统安全分析与防护
- Windows操作系统安全分析
- Windows系统架构
- Windows XP架构
- 最底层是硬件抽象层,为上层提供硬件结构的接口,方便移植
- 第二层是内核层,为底层提供执行、中断、异常处理和同步的支持
- 第三层由一系列实现基本系统服务的模块组成,如虚拟内存管理、I/O管理
- Windows 2000架构:有专门的安全子系统
- 本地安全授权(LSA):提供了许多服务程序;产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由SRM产生的审查记录信息
- 安全账户管理(SAM):对SAM数据库进行维护,该数据库包含所有组和用户信息
- 安全参考监视器(SRM):负责访问控制和审查策略,由LSA支持
- Windows XP架构
- Windows安全机制
- Windows认证机制
- Windows2000提供两种基本认证类型:本地认证和网络认证
- Windows2000安全系统集成三种身份验证技术:Kerberos V5、公钥证书和NTLM
- Windows访问控制机制
- Windows审计/日志机制
- 日志有三种类型:系统日志、应用程序日志和安全日志,目录为“system32\config”
- Windows协议过滤和防火墙
- Windows文件加密系统
- 抗攻击机制
- Windows认证机制
- Windows系统安全分析
- Windows口令
- Windows恶意代码
- Windows应用软件漏洞
- Windows系统出现的漏洞
- Windows注册表安全
- Windows文件共享安全
- Windows物理临近攻击:使用启动盘引导系统,进而访问NTFS文件系统
- Windows系统架构
- Windows操作系统安全防护
- Windows系统安全增强技术方法与流程
- 系统安全增强技术:
- 安全漏洞打补丁(Patch)
- 停止服务和卸载软件
- 升级或更换程序
- 修改配置或权限
- 去除特洛伊等恶意程序
- 安装专用的安全工具软件
- Windows系统安全增强的步骤:
- 确认系统安全增强的安全目标和系统的业务用途
- 安装最小化的操作系统
- 要求如下:
- 尽量使用英文版Windows操作系统
- 不要安装不需要的网络协议
- 使用NTFS分区
- 删除不必要的服务和组件
- 要求如下:
- 安装最新系统补丁
- 配置安装的系统服务
- 配置安全策略
- 主要有:账户策略、审计策略、远程访问、文件共享等
- 禁用NetBIOS
- 账户安全配置
- 禁用默认账号
- 定期检查账户,尽早发现可疑账户
- 锁定Guest账户
- 文件系统安全配置
- 配置TCP/IP筛选和ICF
- 禁用光盘或软盘启动
- 使用屏幕保护口令
- 设置应用软件安全
- 安装第三方防护软件
- 系统安全增强技术:
- Windows系统典型安全工具
- 远程安全登录管理工具OpenSSH(开源)
- 系统身份认证增强工具Kerberos(开源)
- 恶意代码查杀工具ClamAV(开源)、360杀毒、火绒剑
- 系统安全检查工具Nmap(开源)、Fport、Sysinternals(工具集成)
- 系统安全监测工具Netstat(系统自带)、WinDump(开源)
- Windows系统安全增强技术方法与流程
UNIX/Linux操作系统安全分析与防护
UNIX/Linux操作系统安全分析
系统安全架构
一般的UNIX/Linux操作系统分为硬件层、系统内核和应用层
系统安全机制
- UNIX/Linux认证
- 基于口令的认证方式
- 终端认证
- 主机信任机制:不同主机之间的相互信任机制
- 第三方认证:如一次一密口令认证S/key,Kerberos认证系统
- UNIX/Linux访问控制
- 通过文件访问控制列表ACL实现
- UNIX/Linux审计机制
- 记录在日志文件中
- UNIX/Linux认证
系统安全威胁分析
- UNIX/Linux口令/账号安全
- UNIX/Linux可信主机文件安全
- UNIX/Linux应用软件漏洞
- UNIX/Linux的SUID文件安全
- SUID文件是指被设置成可以带有文件拥有者的身份和权限被执行的可执行文件,可以使普通用户以root权限执行某个程序
- UNIX/Linux的恶意代码
- UNIX/Linux文件系统安全
- UNIX/Linux网络服务安全
- UNIX/Linux系统程序漏洞
UNIX/Linux操作系统安全防护
UNIX/Linux系统安全增强方法和流程
UNIX/Linux系统安全增强方法
- 给安全漏洞打补丁
- 停止不必要的服务
- 升级或更换软件包
- 修改系统配置
- 安装专用的安全工具软件
UNIX/Linux系统安全增强基本流程
UNIX/Linux系统安全增强技术
- 安装系统补丁软件包
- 最小化系统网络服务
- 设置系统开机保护口令
- 弱口令检查
- 禁用默认账号
- 用SSH增强网络服务安全
- 利用tcp_wrapper增强访问控制
- 构筑UNIX/Linux主机防火墙
- 使用Tripwire或MD5Sum完整性检测工具
- 检测LKM后门
- 系统安全监测
Linux安全增强配置参考
- 禁止访问重要文件
- 禁止不必要的SUID程序
- 为LILO增加开机口令
- 设置口令最小长度和最短使用时间
- 限制远程访问
- 用户超时注销
- 注销时删除命令记录
UNIX/Linux系统典型安全工具与参考规范
- 典型工具
- 远程安全登录管理开源工具OpenSSH
- 系统身份认证增强开源工具Kerberos
- 系统访问控制增强开源工具SELinux、iptables、TCP Wrappers等
- 恶意代码查杀工具ClamAV(开源)、Chkrootkit、Rootkit Hunter
- 系统安全检查工具Nmap(开源)、John the Ripper、OpenVAS
- 系统安全监测工具Netstat、lsof、Snort
- 参考规范:CIS,SANS
- 典型工具
国产操作系统安全分析与防护
- 国产操作系统概况
- 在开源操作系统Linux的基础上研发
- 早期:安胜操作系统
- 新型:华为鸿蒙操作系统、阿里飞天云操作系统
- 国产操作系统安全分析
- Linux内核的安全风险
- 自主研发系统组件的安全
- 依赖第三方系统组件的安全
- 系统安全配置的安全
- 硬件的安全
- 国产操作系统安全增强措施
- 中科方德方舟安全操作系统
- 安全特点:
- 基于三权分立的管理机制
- 强化的身份标识与认证机制
- 综合应用多种安全策略,提高系统的安全性
- 基于内核层的安全审计
- 支持各类通用软件、具有良好的软硬件兼容性
- 安全特点:
- 中标麒麟安全操作系统
- 中标麒麟可信操作系统
- 主要功能:
- 提供基于三权分立机制的多项安全功能(身份鉴别、访问控制、数据保护、安全标记、可信路径、安全审计等)和统一的安全控制中心
- 支持国内外可信计算规范(TCM/TPCM、TPM2.0)
- 支持国家密码管理部门发布的SM2、SM3、SM4等国密算法;兼容主流等软硬件和自主CPU平台
- 提供可持续性的安全保障,防止软硬件被篡改和信息被窃取,系统免受攻击
- 主要功能:
- 中科方德方舟安全操作系统
2020软考 信息安全工程师(第二版)学习总结【十五】相关推荐
- 2020软考 信息安全工程师(第二版)学习总结【一】
第一章 网络信息安全概述 网络信息安全基本属性 机密性 : 不被泄露 完整性 : 不被篡改 可用性 抗抵赖性 可控性 网络信息安全现状与问题 网络信息安全状况:环境/攻击类型复杂,APT常态化 网络信 ...
- 2020软考 信息安全工程师(第二版)学习总结【九】
第十三章 网络安全漏洞防护技术原理与应用 网络安全漏洞概述 网络安全漏洞概念 又称为脆弱性,简称漏洞,致使网络信息系统安全策略相冲突的缺陷 根据漏洞补丁情况:分为普通漏洞和0day漏洞 网络安全漏洞危 ...
- 2020软考 信息安全工程师(第二版)学习总结【二】
第四章 网络安全体系与网络安全模型 网络安全体系概述 网络安全体系概念 网络安全体系包括法律法规政策文件.安全策略.组织管理.技术措施.标准规范.安全建设与运营.人员队伍.教育培训.产业生态.安全投入 ...
- 软考信息安全工程师备考笔记5:第五章应用系统安全基础备考要点
第5章:应用系统安全基础 应用系统安全基础备考要点 https://www.moondream.cn/?p=1325 扫一扫加入信息安全工程师备考群 欢迎加入最棒的信息安全工程师社群,分享信息安全工程 ...
- 2020年软考信息安全工程师考试学习资料包
信息安全工程师自2016年11月首次开考,目前已开考了四次,即2016年11月,2017年5月,2018年5月,2019年5月. 2020年软考信息安全工程师考试学习资料包 https://www.m ...
- 软考信息安全工程师学习笔记汇总
软考信息安全工程师学习笔记汇总 https://www.moondream.cn/?p=178 2020年软考信息安全工程师备考学习资料包 1.<信息安全工程师教程>重点标记版 2.& ...
- 2023年软考信息安全工程师备考学习笔记汇总
信息安全工程师分属"信息系统"专业,位处中级资格,2016年下半年,第一次开考信息安全工程师(中级)考试.目前每年考试一次.已开考六次,2016年11月12日,2017年5月20日 ...
- 2021年软考信息安全工程师下午真题(考生回忆版)
如有完整真题或更全的大佬,请在下面留言.万分感谢! 参考答案为个人理解和回忆,如有错误请在下方留言,感谢! 真题内容为考生回忆,只供学习交流使用,请勿用于商业用途! 2021年下午一共四道题 第一题 ...
- 软考信息安全工程师学习笔记目录
软考信息安全工程师学习笔记目录 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料. 备考交流QQ群:39460595 2019年软考信息安全工程师备考学习资料包 1.<信息安全工 ...
最新文章
- Redis入门教程(二)
- 启动azkaban报错_解决启动Azkaban报错问题:java.lang.NoSuchMethodError: com.google.comm
- php图片制作源码,php进行图片裁剪及生成缩略图程序源代码
- CentOS添加明细路由
- Android 蓝牙技术 实现终端间数据传输
- 【统一异常处理】@ControllerAdvice + @ExceptionHandler 全局处理 Controller 层异常
- oracle中的代码在那里写,oracle中如何编写树级代码-数据库专栏,ORACLE
- 【极客】神器——常用的一些小工具
- ESP32-cam 初体验 从esp32-cam的购买到局域网监控的实现
- 数据结构实验三 线性表的链式存储结构及实现
- kpi权重设置原则_绩效指标确定权重的原则
- python求残差_用Python计算Pearson标准残差
- 信息化系统软件实施工程师基础技能
- android app套壳马甲开发,Android应用开发最佳实践:马甲包配置管理
- KeyguardBouncer启动流程
- 用酒精,湿巾,擦笔记本电脑/键盘,然后触摸板就不能用了?什么情况?
- 网站app被劫持怎么办?dns被劫持,域名被劫持,HTTPDNS阿里云域名防劫持, DNSPod移动解析防劫持服务D+...
- Metis异常检测初体验
- 如何撰写一篇好的英文论文(感谢导师的指导,学到很多)
- nodejs(10):AntV,Viser 企业级可视化解决方案,蚂蚁金服开发的
热门文章
- 中国十大知名调查研究咨询机构公司瞭望
- 杂议 Windows 和 Linux
- Ubuntu 下 安装 RabbitVCS 教程
- iNFTnews | GGAC联合中国航天ASES 独家出品《中国2065典藏版》
- log4j源码解析及一个log4j:ERROR Attempted to append to closed appender named 的问题
- HMA82GU7CJR8N-VK T0 AD内存条HMA82GU7MFR8N-TF T0 AC
- 机械键盘 按一次字母有时候出来2个
- centos 安装pxe报错ERROR:could not insert ‘floppy’ Warning:
- python实现五子棋续
- python模板安装