第4章システムセキュリティ
4.1オペレーティングシステムの概要
コンピュータは、複雑なシステムであり、システムソフトウェア、アプリケーションソフトウェアと共に構成を動作させるハードウェアから構成されています。
一般的なコンピュータのオペレーティング・システム:Windows、Linuxの、アンドロイド、iOSの。
便利なコンピューティング・サービスをユーザーに提供するために、コンピュータソフトウェアおよびハードウェア資源の収集管理と制御は、コンピュータプログラムのセットです:OS(オペレーティングシステム)。
コンピュータのオペレーティングシステムの機能が含まれます:プロセス管理、メモリ管理、デバイス管理、ファイル管理、ユーザーインターフェースを。
オペレーティングシステムの脆弱性やセキュリティの問題は、システムのセキュリティを動作させる環境は深刻な脅威をもたらす仮想化されます。
4.2オペレーティングシステムのセキュリティ
4.2.1オペレーティングシステムのセキュリティの脅威と脆弱性
オペレーティングシステムのセキュリティ上の脅威が含まれます:違法ユーザーまたは偽のユーザシステムの侵入、データが違法な破壊やデータの損失、未知のウイルスやハッキング被害があり、オペレーティングシステムが正しく機能していません。
オペレーティングシステムの脆弱性が含まれます:長距離電話の問題やオペレーティングシステムの脆弱性やプロセス管理システムを。
オペレーティングシステムの一般的な脆弱性が含まれます:空のパスワードまたは弱いパスワードは、デフォルトのシステム・コンポーネントの脆弱性やアプリケーションの脆弱性の鍵を共有しました。
共通のセキュリティ保護メカニズム4.2.2オペレーティングシステム
プロセスの分離とメモリ保護
プロセス分離とメモリ保護機構を実現するために、コンピュータのオペレーティングシステム加えメモリ管理ユニットモジュール(MMU)、MMUモジュールによるプログラム実行処理を実行するために必要なメモリ空間、プロセス分離とメモリを割り当てる責任があります保護メカニズムは、プロセスごとに独立した走行空間を提供します。
動作モード
現代CPUの動作モードは、通常、カーネルモードとユーザモードの2つのモードに分割され
、コア層と呼ばれる特権モード、インテルのx86シリーズとして知られている(リング0):1)カーネルモード。
2)ユーザモード:非特権モード、又はユーザ層(リング3)と称します。
ユーザーのアクセス制御は、
現在、一般的なオペレーティングシステムは、通常、異なるユーザー権限をシステム管理者ユーザー権限、一般ユーザ、ゲストユーザおよびその他のレベルに分けられています。
ファイルシステムのアクセス制御
一般的なファイル操作のアクセス制御ファイルが読み込まれ、書き込み、および、それぞれ、三つの領域を制限するために、ファイルの読み込みに対処するために、変更、および実行権限を実行します。
4.2.3オペレーティングシステムのセキュリティ評価
グレード措置によってTCSEC処理情報に応じて採用されるべきで、A、B、C、D 7セキュリティレベル4、27の評価基準の合計にコンピュータセキュリティ下降。
クラスDは、評価後に、セキュリティの最も低いレベルであるが、システムは、D級の評価の下で高いグレードの要件を満たしていません。
クラスCのためのセキュリティ対策は、任意アクセス制御と監査証跡を使用しています。カスタマイズアクセス制御およびセキュリティレベルのアクセス保護レベル:クラスCは二つのレベルC1及びC2に分割されています。
クラスBは、保護の必須のレベルであり、主な要件は、TCB(トラステッド・コンピューティング・ベース)の安全マークの完全性を維持し、これに基づいて強制アクセス制御ルールのシリーズを実行する必要があることです。レベルのセキュリティマーカー(B1)、保護レベル(B2)の手段および保護レベルのセキュリティゾーン(B3):クラスBは、3つのレベルに分割されています。
システムによってサポートB3の側面:
セキュリティ管理者機能
監査メカニズムを拡張
セキュリティ関連イベントが発生したとき、シグナリング
システム回復機構の提供
システムは浸透に対する高い抵抗有する
厳しい設計を含む、検証のためにクラスAの保護レベルを、制御および検証プロセス。設計検証段階(A1グレード)と、スーパークラスA1:クラスは、2つのレベルに分かれています。
ウルトラ範囲A1レベルのシステムは、システム・アーキテクチャ、セキュリティテスト、正式な仕様と検証、信頼できる設計環境を。
4.2.4一般的に使用されるオペレーティングシステムとそのセキュリティ
現代のオペレーティングシステムは、一般に、通常のコンピュータオペレーティングシステム、モバイル端末のオペレーティングシステム、組み込みオペレーティングシステムに分けることができます。
Windowsのシステムのセキュリティ
のセキュリティWindowsは、WindowsのセキュリティサブシステムへのシステムとNTFSファイルシステム、Windowsサービスパックやパッチのメカニズム、システムログなど、完全なセキュリティシステムによってサポートされています。
1)Windowsセキュリティサブシステム
のWindowsオペレーティングシステムのコアのWindowsセキュリティサブシステムは、Windowsのシステムのセキュリティがあります。
リファレンス・モニターによってもたらされるシステム制御プロセス、セキュリティアカウントマネージャ、地域の安全認証と安全性により、Windowsログオン。
NTFSファイルシステム
のWindows NTのバージョンからNTFSファイルシステムのファイルシステムは、専用のファイルシステムのパフォーマンスだけでなく、アクセス権管理システムの導入により、ファイルアクセスのログメカニズムを改善しません大幅にファイルシステムを改善し、WindowsシステムのデフォルトのファイルシステムとしてMicrosoftが始まりましたセキュリティ。
NTFSファイルの主な機能は次のとおりです。
NTFSパーティションのサイズをサポートすることができ2TBに達することができる
NTFSを回復可能なファイルシステムであり
、パーティション用のNTFSをサポート圧縮と暗号化フォルダとファイル
NTFSは小さいクラスターを使用して、より効率的にすることができディスクスペースを管理する
NTFSパーティション上の共有リソース、フォルダやファイルセットすることができ、アクセス権限は、
NTFSファイルシステムのディスククォータ管理することができ
NTFSファイルシステムへのアクセスが累積的である
フォルダのアクセス許可を超えたNTFSファイルアクセス許可
他の権限以上の権限が拒否されましたNTFSファイルシステム
NTFSアクセス権が継承されている
Windowsサービスパックやパッチを
スキャンとシステムの悪用の使用は一般的にハッカー攻撃で使用され、解決するために、システムの脆弱性の最も効果的な方法は、パッチをインストールすることです。
Windows Updateを、SUS、SMSおよびWUS:4件の脆弱性Microsoftソリューションがあります。
Windowsのシステムログ
1)正しく設定し、システムユーザアカウントの管理
2)外部ネットワーク・サービスの安全管理システム
3)Windowsのシステムのログを有効
Linuxシステムのセキュリティ
Linuxは完全に自由に使用すると無料の普及であるが、POSIX準拠のUnixライクなオペレーティングシステム、公共の著作権の許諾以下、ソースコードは自由に配布、自由に変更でき、開いている、マルチユーザーは、マルチタスクオペレーティングシステム、ハードウェアプラットフォームのすべての種類の上で実行することができます。
(1)セキュリティ・メカニズムのLinuxシステム
1)PAMメカニズム
2)暗号化ファイルシステム
3)ファイアウォール
(2)Linuxシステムのセキュリティとセット
1)Linuxのブートローダーのセキュリティ設定2)システム再起動するキーの組み合わせを使用することを防ぐ
)3を安全なログイン、ログアウト
4)ユーザーアカウントのセキュリティ管理
5)ファイルのセキュリティ
6)資源の使用の制限
7)クリア歴史
8)アクセス制御システムサービス
9)システムログのセキュリティ
不要なサービスダウン10)シャット
11)ウイルスを防止するために
、ファイアウォール12)
13)使用セキュリティツール
の重要なファイルをバックアップする14)
15)アップグレード
16)ルートキットのセキュリティを
Rookitは、から構成されています。攻撃者のカタログと処理手順を隠しイーサネットスニファプログラム、いくつかの複雑なルートキットはまた、ログ/の/ varの一部をクリーンアップするために使用され、攻撃者のtelnet、シェルと指の提供と/ var / admのことができますディレクトリのスクリプト、他のファイル。
、まず、ネットワーク上でクリアテキストのパスワードを使用していない、またはワンタイムパスワードを使用:手段はルートキットを阻止します。第二に、そのようTripwireのと補佐官の攻撃として検出ツールの使用が適時に侵入を検出することができ、彼らは、システムの整合性チェックを提供することが可能です。さらに、また、チェックするために使用chkrootkitの(ルートキットの特定のテストツール)であってもよいです。
4.3モバイル端末のセキュリティ
AppleのiOSのプラットフォームによって生成され、GoogleのAndroidプラットフォームは、生産:現在主流のモバイル端末のオペレーティング・システム・プラットフォームは、2つの陣営に分かれています。
携帯端末の開発には、セキュリティの基礎の上にあり、まだ浅いですが、注目度は高くないが、携帯端末のセキュリティ問題の最大の原因です。
4.3.1モバイル端末のコンセプトと主なセキュリティ問題
移動端末は、移動中に使用することができるコンピュータ装置を意味します。
移動端末の分類
)可動ケーブル端子は:Uディスク、モバイルハードディスクデータ線と接続されたコンピュータを使用する必要性を意味します。
2)無線移動端末:無線伝送プロトコルモジュールを用い手段は、無線接続、スマートフォン、POSなどの一般的な無線携帯端末、ノートパソコン、携帯無線端末に属するを提供します。
このようなセキュリティシステムのような敏感なローカルストレージの種類、データ伝送ネットワーク、悪意のあるソフトウェア、アプリケーション、およびセキュリティ情報:モバイル端末のセキュリティ上の問題がのように要約することができます。
4.3.2 Androidプラットフォームおよびそのセキュリティ
Androidシステムは、Linuxのオープンソースのオペレーティングシステムに基づいており、携帯電話メーカーや個々の開発者の両方が上の標準のAndroidオペレーティングシステムに基づいてカスタマイズすることができます。
Androidプラットフォームは、システム・アーキテクチャ上の複数のレベルに分けられ、より重要なのは、アプリケーション層、層のフレームワーク、ランタイム、およびLinuxカーネル層です。
他の携帯端末プラットフォームより大きなセキュリティリスクに対する、そのオープンな性質のAndroidプラットフォーム、。
Androidの携帯電話のROOT後に一つの大きな影響は、公式のシステムのアップグレードを通じてではなく、サードパーティ製のシステムファームウェアの多くをダウンロードすることができ、携帯電話は、優れたスケーラビリティの体を持っています。
不正なソフトウェアは、ユーザの知識の盗難、スニークフロー・コール、他のアプリケーションのバックグラウンドサイレントインストール作業なしで実行することができる利用者のプライバシーや財産の安全に脅威を与えます。
マルウェア自身のモバイルデバイスを回避するために、ユーザーが不明なソースからアプリケーションをインストールすることを拒否すべきである、公式チャネルを通じてアプリケーションをダウンロードしたり、第三者が信頼できる市場を使用するようにしてください。同時に、あなたは、携帯端末のセキュリティを強化するためにアンチウイルスソフトウェアをインストールすることを選択することができます。
4.3.3 iOSのプラットフォームとそのセキュリティ
iOSのは合理化の変化は、AppleのデスクトップMacOSXは、UNIXのようなダーウィンと呼ばれるカーネル、に基づいて2つのオペレーティングシステムから来ています。
Androidの利点と比べてのiOS:クローズドな開発環境とセキュリティメカニズムの比較的完全なシステムので、大幅に減少し、攻撃面、優れたマルウェアの侵害を避けるために、ユーザーのデータを保護することができ、したがって、多くのユーザの信頼を獲得。
多くのiOSセキュリティ機構では、代表的には独立した、必須コード署名、ランダムなアドレス空間レイアウトやサンドボックスへのアクセス権を持っています。
機能サンドボックス機構の制限は:アプリケーションディレクトリの位置外側を破壊しない、システム上の他のプロセスができていないアクセス、直接ハードウェアデバイスを使用していない、動的なコードを生成することができません。
以下に起因するXcodeGhostの害:
1)アップロードユーザー情報
2)アプリケーションポップアップ内の
3)はURLSchemeので他の操作を実行するには
、悪意のあるコードのアプリケーションをレビューしていない開発環境からコンパイル時に悪質なコードを起動します。XcodeGhostは重要な意味を持っている理由;セキュリティ開発者の意識の欠如。
4.3.4モバイルシステムのリバースエンジニアリングとデバッグ
リバースエンジニアリング:分解、逆コンパイルおよびアプリケーションの実行可能ファイルからプログラムソースコードのプロセスを復元するために他の手段。
リバースエンジニアリングは、2つのシステム分析とコード分析フェーズに分けることができます。
コード分析フェーズでは、主にセキュリティの脆弱性、悪意のあるコードおよびトロイの木馬ウイルスの解析や分析を行うために、バイナリプログラムの検出を見つけることによって。
リバースエンジニアリングの二つの重要な役割:
1)は、セキュリティ関連のリバースエンジニアリングに分類することができ、重要な情報を取得するには、ターゲットプログラムを突破しました。
リバースエンジニアリングおよび開発に関連して2)独自のソフトウェアを開発するために他の人のプログラム機能から学ぶ、それは分類することができます。
ファイルに含まれてAPKファイル:
1)AndroidMainifest.xml文書
2)RESフォルダ
3)classes.dexファイル
4)resources.arsc
。5)META-INFフォルダ
リバースエンジニアリング・ソフトウェア・アプリケーションを防止するためには、Androidであり、次のように使用することができます保護対策:
1)コードの難読化:あなたは読みにくく、コードを逆コンパイル、Javaコードを難読化するProGuardのを使用することができます。
2)シェル:APKは保護ハウジングの方法であって、前記保護コードによって増加し、逆コンパイル不正変更の難しさを増加することです。
3)デバッガ検出:動的コードデバッガモジュール検出器を追加して、プログラムがデバッガが結合した場合、直ちにプログラムを終了検出します。
次のようにIOSは、一般的な分析ツールをリバース:
。1)Dumpcrypt:アプリケーションは、操作が実行されるHUSKINGのAppStoreからダウンロード。
2)クラスダンプ:リバースエンジニアリングの初期段階では通常クラスダンプ。
3)IDAProとHopperDisassembler:既知の分解、近接のソースコードに静的、擬似コードの正確かつ詳細な分析の実行可能ファイル。
4)GDBとLLDB
5)Cycript
リバースエンジニアリングは、より良好なユーザのセキュリティを確保するために、さらに発見システムの脆弱性とセキュリティリスクにシステムセキュリティ、リバースエンジニアリングを確保するための主な手段となっています。
4.4仮想化セキュリティ
仮想化は、仮想環境全体のストレージの技術サポートのニーズを計算する計算し、ネットワークセキュリティおよびその他のサポートリソースをクラウドに重要です。
4.4.1仮想化の概要
コンピュータの仮想化技術は、ユーザーへの変換、抽象て、それがするコンピュータの物理リソースのすべての種類、リソース管理技術です。
分類4.4.2仮想化技術
アプリケーションによって:
1)オペレーティングシステムの仮想化
2)アプリケーション仮想
3)デスクトップ仮想
4)ストレージ仮想化、ネットワークの仮想化は、
アプリケーションモードに従って分類:
1)多くの
2)多対
3)複数対のマルチ
:ハードウェアリソースの分類呼び出すためのプレスモード
1)完全仮想化
2)準仮想化
3)ハードウェア支援による仮想化
オペレーティング・プラットフォームによって分類:
1)X86プラットフォーム
2)非X86プラットフォームの
セキュリティの脅威4.4.3仮想化環境
仮想化システムの可能なセキュリティ問題:仮想マシンのエスケープ、仮想化ネットワーク環境リスク、ミラーリング仮想化と仮想化環境リスクおよびスナップショットファイルの危険性。
4.4.4仮想化のセキュリティシステム
ハイパーバイザの仮想化は、システムの中核であり、それは他の特権操作を実行し、新しいゲストOSイメージを作成し、[スタート]ゲストOSのを制御することができます。
セキュリティ強化する方法についてはハイパーバイザーの推奨:
ハイパーバイザのインストールが更新されたすべてのリリースベンダー)1
2)インタフェースハイパーバイザー管理へのアクセスを制限
3)を閉じるすべての未使用のサービスハイパーバイザ
の各ゲストOS監視するための監視機能を使用して、セキュリティ4)
5) Hypervisorは慎重に署名する彼らの脆弱性を監視
:ゲストOSの独自の安全勧告のために
1)推奨経営慣行物理OSを遵守するため
、速やかにゲストOSのすべての更新プログラムをインストール)2
各ゲストOSで3)、切断、未使用の仮想ハードウェアを。
4)各ゲストOS用の独立した認証スキーム使用して
適切に物理ホスト・システム・デバイスに関連付けられている仮想ゲストOSデバイスの確保5)
、)企画、設計(パスワード認証の問題や課題:セキュリティの計画と展開の主要施策を実施形態ようにし、(物理的、監視、セキュリティの実装、運用および保守に仮想の変換)。
7.2クラウドセキュリティ
関連する概念の7.2.1雲
VM:完全に隔離された環境の完全なコンピュータシステム、パッケージ、独立性、バリア性、互換性、およびハードウェアの独立に動作し、完全なハードウェアシステムの機能を有するソフトウェアでシミュレートしました。
クラウドは、通常、大規模なサーバクラスタの数のために、各グループは、数十万人またはサーバー百万もの、サービスの供給と仮想環境全体の開発が含まれ、コンピューティングリソースのプールです。
サービスとしてのサービスやインフラなどのサービス、プラットフォームとしてサービスソフトウェア:技術アーキテクチャから3層に分割することができます。
オブジェクト指向のクラウドからは、パブリッククラウド、プライベートおよびハイブリッドクラウドに分けることができます。
クラウドコンピューティング:ユーザーへのサービスとして提供資源の効率的なプールを、収束今後のオンデマンドサービスのためのアルゴリズム。
クラウドサービスのパターンの3つの異なるレベル:インフラストラクチャサービスとしてサービス、サービスとしてのプラットフォーム、ソフトウェアなど。
クラウドセキュリティ:クラウド手段から派生した新しい用語の計算は、することができ、効率的で安全な運転を曇らせるとホスティングサービス。
雲が直面している7.2.2セキュリティの課題
:クラウドセキュリティの課題は、現在主に四つの領域に集中している直面
1)新技術によるリスクどのアドレスに
どのようなリソース、データなどに関連するリスクを計画する2)
政策、規制問題のリスク指標の要件を実装する方法3)
4)どのようにクラウドリソースの運用・保守を管理し、リスクに
新技術のセキュリティリスクは、主制御、動的な仮想マシンのエスケープなどに焦点を当てました。
クラウドに向け集中セキュリティ上の課題:
1)ネットワーク構造の計画と設計の存在、システムを識別し、移行、集中型の権限とその他の問題は、データセンターのセキュリティ面クラウド
2)クラウドプラットフォームの管理者がある権利は、リスク虐待
3)ユーザーのセキュリティの分離
4)ユーザーと悪意のある攻撃を奪うために、リソースプールのリソースは
:物理層、ネットワーク層、ホスト層、アプリケーション層、仮想化とデータ層を含む6つのレベル、の建設から検討するセキュリティニーズをクラウド
、アクセス制御を考慮すべき1)物理的セキュリティ面の火を、温湿度制御、電磁シールド、雷保護、環境モニタリングシステムの情報セキュリティの観点。
2)ネットワークセキュリティはFW、IDS / IPS、DDoS攻撃によって達成されるセキュリティを構築する VPN 等、
3)ホストセキュリティを、ホストセキュリティ、システムの完全性保護、OSの強化、セキュリティパッチ、ウイルス対策などの情報セキュリティ保護の側面をエンドポイントセキュリティを検討します。
4)仮想化セキュリティの建物は、仮想化プラットフォームの強化、強化を検討し、技術的な実装に仮想マシン、仮想ネットワークの監視、悪意のあるVMの予防、仮想セキュリティゲートウェイVFW / VIPSおよび他の側面を分離することができます。
5)アプリケーションのセキュリティの建物は、マルチファクタ認証アクセス、WAF、セキュリティ監査の技術を採用することを望むかもしれません。
保護のためのデータ・アクセス・セキュリティ、DB-FW、暗号化された画像データの減感、残留保護情報、格納場所情報セキュリティ要件からのデータを制御することができる請求項6)