章IV
4.1
オペレーティングシステムは、コンピュータプログラムの便利なコンピューティング・サービスのセットをユーザーに提供するためのコンピュータソフトウェアおよびハードウェア資源の管理とコントロールのセットです
コンピュータのオペレーティングシステムドライバは、基盤となるハードウェアドライバの様々なを介して動作し、その統一派遣管理手順を管理するために、
コンピュータのオペレーティング・システム機能:プロセス管理、メモリ管理、デバイス管理、ファイル管理、ユーザーインターフェース
4.2
システムのセキュリティの脅威動作時:権限のないユーザーや偽のユーザ侵入システムを、データが違法な破壊やデータの損失であり、未知のウイルスやハッカーの侵入の破壊;オペレーティングシステムが正常に機能していません
オペレーティングシステムの脆弱性:オペレーティング・システムとリモート通話システムの脆弱性、問題のプロセス管理システム
オペレーティングシステムの一般的な脆弱性:空のパスワードまたは弱いパスワード;デフォルトの共有鍵、システムコンポーネントの脆弱性、アプリケーションの脆弱性
オペレーティングシステムのセキュリティメカニズム:単離およびメモリ保護、動作モード(カーネル・モード、ユーザ・モード)、ユーザアクセス制御、ファイルシステムアクセス制御
オペレーティングシステムの安全性評価メカニズム:低高がA、B、C、Dの4つに分割されています
- クラスD(保護されていないレベル)は、唯一のレベルがあります
- クラスC:自律的な保護レベル、いくつかの保護と、セキュリティ対策は、クラスC1(カスタマイズセキュリティレベル)とC2レベル(アクセス制御保護レベル)に、制御およびカスタマイズ監査証跡に使用されています
- クラスB:主な要件は、TCBは、セキュリティタグの完全性を維持し、これに基づいて、強制アクセス制御ルールのシリーズを実行する必要があることである(保護レベル構造)は、3つのレベルB1レベル(セキュリティレベルマーク)クラスB2レベルB3 (保護ゾーンレベル)
- クラスA:厳密に設計、制御、および検証プロセスを含みます。2つのレベルがあります:A1レベル(レベル設計検証)スーパークラスA1
Windowsシステムセキュリティ:A WindowsセキュリティサブシステムとNTFSファイルシステム、Windowsのサービスパックやパッチのメカニズム、システムログなどによってサポートされているが、完全なセキュリティシステムを形成するために
- Windowsセキュリティサブシステム(コア)
- 制御システムのログインプロセス:またはローカルユーザのログイン要求を受信するための責任は、Telnet要求します
- セキュリティアカウントマネージャ:SAMは、アカウントのセキュリティ管理データベースを維持します
- ローカルセキュリティ機関は:ハンドルにセキュリティアカウントマネージャによる確認のための責任は、ユーザーのログインを要求します
- セキュリティリファレンスモニタ:アクセスは、Windowsのシステムの合法性を確認するための責任があります
- NTFSファイルシステム:だけでなく、はるかに多くのアクセスログファイルアクセス管理メカニズムを導入することで、ファイルシステムのパフォーマンスを向上させ、ファイルシステムのセキュリティを向上させます
- Windowsのサービスパックやパッチ
4件のシステムの脆弱性Microsoftソリューション:
- Windows UpdateのWindowsオペレーティングシステム・ソフトウェアとWindowsベースのハードウェア用の更新プログラムを提供することに専念
- SUS:クイックは、最新の重要な更新プログラムを展開し、セキュリティを顧客に提供するために、無料のMicrosoftソフトウェアを更新
- WSUS:Microsoftの新しいパッチ分散型サーバーシステム
- SMS
4.Windowsシステムログ:さまざまなWindowsシステムの詳細を記録するだけでなく、さまざまなサービスは、Windowsの安定性とセキュリティを強化するために、実行されているが、非常に重要な役割を果たしています
Windowsユーザは、次のWindowsのセキュリティシステムによって、システムをアップグレードすることができます。システムが適切に設定され、ユーザーアカウントを管理、外部ネットワーク・サービスの安全管理システムを、Windowsのシステムログを有効にします
Linuxシステムのセキュリティ
Linuxシステムのセキュリティ
- PAM機構:プラグインモジュール識別機構は、柔軟で強力なユーザ認証メカニズムであります
- 暗号化ファイルシステム:ファイルシステムの暗号化サービスに
- ファイアウォール:あなたは、アクセス制御、監査、抗攻撃、認証などの機能を提供することができます
Linuxシステムのセキュリティ設定:Linuxはプログラムによるセキュリティ設定をやる気;システムを再起動するキーの組み合わせを防ぐため、安全なログイン、ログアウト、ユーザーアカウントのセキュリティ管理、セキュリティ文書、リソースの使用制限、履歴のクリア、システム・サービス制御へのアクセス、システムログをセキュリティ(接続時間ログ、プロセスログの統計、エラーログ);不必要なサービスをオフにし、ウイルス対策、ファイアウォール、セキュリティツールの使用、重要なファイルバックアップ、アップグレード、ルートキットのセキュリティ(ルートキットは、すべてのいくつかの独立したプログラムで構成されています:イーサネットスニファプログラム;隠された攻撃者のディレクトリと処理手順)
4.3
移動端末であってもよい:可動ケーブル端子(Uディスク、モバイルハードディスク)、無線移動端末(無線接続モジュールを使用して無線伝送プロトコル)
モバイル端末が直面するセキュリティ問題:機密情報をローカルに保存され、ネットワークデータ伝送、アプリケーションのセキュリティ問題悪意のあるソフトウェア、システムのセキュリティ上の問題
Androidシステムは、複数のレベルに分けることができる:アプリケーション層(ソフトウェアが直接サービスをユーザーに提供する);フレームワーク層(コア部分、いくつかのシステム・サービス組成物が存在する)ランタイム(Javaコア・ライブラリとのDalvik仮想マシンによって一緒に構成します)内顆粒層(Linuxカーネル層(下Androidシステム)
Androidのセキュリティプラットフォーム:ROOT、主にマルウェアから
ROOTの危険
ROOTは、所有しているユーザーの最高権威であります
悪意のあるソフトウェアの脅威:ユーザーの知識がなくても情報の盗難の実装、背景が静かに他のプログラムをインストールし、フロー・コールをこっそり
iOSのプラットフォームとそのセキュリティ
そのため、閉じたiOSの開発環境とセキュリティメカニズムの比較的完全なシステムの手によって、いくつかのはるかに小さい表面をそれを作ります
iOSのセキュリティメカニズム:特権分離、必須のコード署名、ランダムなアドレス空間レイアウト、サンドボックス(サンドボックスの特徴:あなたは、アプリケーションディレクトリの場所の外を破ることはできません。システム上の他のプロセスがアクセスすることはできません。直接、任意のハードウェアデバイスを使用していない;生成できません動的コード)
引き起こさXcodeGhost害:アップロードユーザー情報、アプリ内のポップ; URLSchemeによって
4.3.4モバイルシステムのリバースエンジニアリングとデバッグ
コード分析フェーズ、バイナリプログラムの分析:セキュリティ侵害、悪質なコードを検出し、トロイの木馬ウイルス解析
保護対策:コード難読化、パッカー、デバッガ検出
4.4
仮想化技術は、資源管理技術である、彼は抽象的、コンピュータや他の物理リソースの変換を介してユーザに提示されます
アプリケーション(オペレーティングシステムの仮想化、アプリケーションの仮想化、デスクトップ仮想化)することにより、分類アプリケーションモード(、多くのものに多く、多動などへの1)によると、通話モードのハードウェアリソースによって分類(フル:仮想化技術の分類仮想化、準仮想化、ハードウェア支援による仮想化)、動作プラットフォーム(X86プラットフォームによって分類し、非x86プラットフォーム)
仮想化セキュリティシステム:仮想マシンのエスケープ;仮想化ネットワーク環境リスク、仮想マシンイメージとスナップショットファイルをリスク、仮想化環境上のリスク
ハイパーバイザーのセキュリティを強化する案:ハイパーバイザーのインストールが更新されたすべてのリリースをベンダー、アクセスを制限するハイパーバイザー管理インターフェース、無効、未使用のハイパーバイザサービス;使用は、すべてのゲストOSのの安全性を監視するために監視することと密接にハイパーバイザー自体に脆弱性の兆候を監視
ゲストOSのセキュリティ:物理OSが推奨管理慣行に準拠し、すべてのゲストOSのアップデートのタイムリーなインストール、ゲストOSのことを確認してください。各ゲストOS用の独立した認証スキームを使用して、各ゲストOSで、ああ、仮想ハードウェアを抜かないでください仮想デバイスが正しく、ホストシステム上の物理デバイスに関連付けられています
仮想化インフラストラクチャのセキュリティ:企画、設計(認証の問題、パスワードの問題);実装(セキュリティ仮想変換への物理的、監視、実施、O&M)
第VII章
1、クラウドのセキュリティ:
クラウドの定義:通常、大規模なサーバクラスタの数のためのコンピューティングリソースのプール、。サービスとしてサービスソフトウェア、サービスなどのサービスとインフラとしてのプラットフォーム:技術アーキテクチャからクラウドの分類は3層に分割することができます。パブリッククラウド、プライベートおよびハイブリッドクラウド:オブジェクト指向のクラウドからは、に分けることができます。
図2に示すように、クラウドコンピューティング:計算方法を、今後のオンデマンドサービスは、効率的なリソースプールを収束します。
クラウドコンピューティングは、コンピューティング、並列コンピューティング、ユーティリティコンピューティング、ネットワークストレージ、仮想化、ロード・バランシング、ホットスタンバイの冗長性、伝統的なコンピュータネットワーク技術や製品の統合配布されています。
3、クラウドサービス:サービスとしてのサービスとしてのインフラ、サービスとしてのプラットフォーム、ソフトウェア。
4、クラウドホスティング
5、クラウドセキュリティ
6、クラウドセキュリティセキュリティ上の課題:
リソースデータのリスクを計画する方法、新しい技術によってもたらされる新たなリスクに対処する方法。リスク方針、規制、そしてどのようにクラウドとそのリソースの運用および保守のリスクを管理するの時計製造の要件を実装する方法。
1)新技術:制御、ダイナミック、仮想マシンのエスケープ
2は、集中しました:
1)、クラウドデータセンターの計画やネットワーク構造の設計、特定と遠回りシフトシステム、集中型の権限とその他の問題のセキュリティの側面があります。
2、クラウドプラットフォームの管理者権限の乱用の危険性があります
3)ユーザーのセキュリティの分離
ユーザーや悪意のある攻撃を奪うための4)リソースプールのリソース
3.コンプライアンス
4、運用、保守管理
7、クラウドのセキュリティ:
クラウドセキュリティ規格:CSA、ENISA、NIST、OWASP、CPNI、SANA、PCI-DSS
スマート建設:1)物理的セキュリティアクセス制御を考慮する必要があり、火災、温度と湿度の制御、電磁シールド、
2)ネットワークセキュリティの構成はFW、IDS / IPS、DDoS攻撃、VPN等を介してセキュリティを達成するために
3)ホストセキュリティ端末セキュリティ検討する必要があります
4)仮想化セキュリティの建物は、仮想化プラットフォームの強化、強化と独立した仮想マシン、仮想ネットワークの監視、悪意のあるVMの防止を考慮することができます
5)アプリケーションのセキュリティの建物は、マルチファクタ認証アクセスを採用することを望むかもしれません
6)、データのセキュリティは、情報セキュリティは、アクセス制御等からデータを保護することができます。
8、ネットワークセキュリティ:
物事の定義
レベル構造と物事の特性:データセンシング部、ネットワークの送信部のみ処理部
知覚層:人間の世界を解決し、データ・アクセスの問題の物理的な世界
輸送層は:また、長距離伝送の問題を解決するために、ネットワーク層と呼ばれ、情報を交換して得られたデータの認識層、アクセス及び送信完了の主な機能は、データパスの送信です。
アプリケーション層は、加工層と呼ぶことができる:情報処理およびヒューマンマシンインターフェースの問題を解決するために
層の間の情報のではなく、一方向の伝送、及び対話制御モード。
10、三つの機能が含まれています。
1)全体的な認知
2)信頼性の高い配信
3)のみ扱うことができます
11、セキュリティ問題や物事の特徴:
このようなセンサや消費者のオブジェクトとして物事デバイス
他のデバイスとのものデバイスが動的に接続を確立し、予測不可能であることができます。
物事の展開は、デバイスの同一または類似のセットが含まれています
ハイテク機器を使用して物事機器は、機器の平均寿命よりも長いを取得するように構成されて
物事デバイスは、任意のアップグレード機能、またはアップグレードプロセスの煩雑な、非現実的で設計されていません
特定の方法でデバイスの物事操作
ユーザデバイスと動作状態検出器に気づくためのインターネット環境センサーなどのデバイス、環境に埋め込まれたものの、しかし、難しいです。
12物事セキュリティ上の課題:
基準と指標、規制、共同責任、費用および廃止された機器、拡張性、データの機密性、認証およびアクセス制御技術のセキュリティのトレードオフの処分、
13物事セキュリティアーキテクチャ
14、工学的管理と安全性