ch5主机安全.pptx

Ch5 主机安全相关技术主要内容平台安全漏洞管理5.1 平台安全5.1 概述5.1.1 基本概念平台是一种环境，一种信息的生存的综合的软硬件资源环境。这个环境需要技术的支撑、策略的指导和人员的维护。平台为信息的交互、共享、存储、传输、处理提供必要的资源和安全保障5.1.1 基本概念平台安全技术可以定义为：为了保证平台服务、平台资源的整体性、机密性、可控性而采取的方法、措施的总称。它包括了平台相关的各个层面的安全技术基本概念主机，在这里，是一个相对网络的概念，是指连接到互联网上计算机系统，包括了服务器计算机系统和桌面计算机系统。主机是一种计算环境。主机安全是指主机系统作为计算环境的安全，涉及相关软硬件的安全问题，即确保主机系统的可用性、真实性、完整性等安全属性。主机加固是指针对不同目标主机系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。其主要目的是消除与降低主机系统的安全隐患。 风险因素威胁恶意代码脆弱性漏洞缺陷典型技术主机防护技术主机防火墙技术、主机入侵检测技术、主机监控技术主机加固技术操作系统加固技术、数据库加固技术内部存储器的保护技术沙箱技术5.1 操作系统平台5.1.1 概述操作系统平台操作系统是一种能控制和管理计算机系统内各种硬件资源和软件资源的一种软件环境，它能合理、有效的组织计算机系统的工作，为用户提供一个使用方便、可扩展的工作环境，从而给用户提供一个操作计算机的软、硬件接口计算机系统资源包括硬件资源（微处理 器，存储器，输入、输出设备及其它外部设备）和软件资源（程序、文件或数据等5.1 操作系统平台相关技术存储器保护技术平台防护技术存储器保护内存储器是操作系统中的共享资源，即使对于单用户的个人计算机，内存也是被用户程序与系统程序所共享，在多道环境下更是被多个进程所共享为了防止共享失去控制和产生不安全问题，对内存进行保护是必要的常用保护技术单用户内存保护技术内存标记法分段分页技术虚拟存储器技术单用户内存保护利用地址界限寄存器在内存中规定一条区域边界（一个内存地址），用户程序运行时不能跨越这个地址利用该寄存器也可以实现程序重定位功能，可以指定用户程序的装入地址 系统区?用户区?（内存）界限寄存器单用户内存保护 多道程序的保护单用户内存保护存在的问题利用一个基址寄存器无法使把用户程序分隔在不同内存区运行 多道程序的保护解决办法再增加一个寄存器保存用户程序的上边界地址硬件系统将自动检查程序代码所访问的地址是否在基址与上边界之间，若不在则报错用这种办法可以把程序完整地封闭在上下两个边界地址空间中，可以有效地防止一个用户程序访问甚至修改另一个用户的内存系统区?程序R内存区?程序S内存区?程序T内存区?基地址寄存器边界址寄存器多道程序的保护 标记保护法多对基址与边界寄存器技术的问题只能保护数据区不被其他用户程序访问，不能控制自身程序对同一个数据区内单元有选择的读或写例如缓冲区溢出，数组越界需求能对每个存储单元按其内容要求进行保护，例如有的单元只读，读/写、或仅执行（代码单元）等不同要求解决方法可以在每个内存字单元中专用几个比特来标记该字单元的属性。除了标记读、写、执行等属性外，还可以标记该单元的数据类型，如数据、字符、地址、指针或未定义等E代码?E代码?E代码E代码………………..OR数据RW数据加标记的内存其中E表示执行，R表示读，W表示写，OR表示只读。 分段与分页技术对于复杂程序，按功能划分成若干个模块（过程）每个模块有自己的数据区，各模块之间也可能有共享数据区各用户程序之间也可能有共享模块或共享数据区这些模块或数据区有着不同的访问属性和安全要求使用上述各种保护技术很难满足这些要求 分段与分页技术分段技术的作用试图解决较大程序的装入、调度、运行和安全保护等问题的一种技术分段以模块（过程或子程序）为单位采用分段技术，用户不知道他的程序实际使用的内存物理地址。这种隐藏对保护用户代码与数据的安全是极有好处的 分段与分页技术为了解决分段可能产生的内存碎片问题，引入了分页技术。分页是把目标程序与内存都划分成相同大小的片段，这些片段就称为“页”分页技术解决了碎片问题，但损失了分段技术的安全功能由于段具有逻辑上的完整意义，而页则没有这样的意义，程序员可以为段规定某些安全控制要求，但却无法指定各页的访问控制要求虚拟存储器虚拟存储器的基本思想实质是一种内存管理技术，采用了地址映射机制，使得所有分散的、不连贯的存储空间被组织在一个连贯的线性内存地址空间中将分页与分段技术结合起来使用，把程序划分为段，再由操作系统把段划分为页操作系统同时管理段表与页表，完成地址映射任务和页面的调进调出，并使同一段内的各页具有相同安全管理要求隔离技术包括物理隔离时间隔离逻辑隔离加密隔离5.1.4 隔离技术隔离控制 ① 物理隔离在物理设备