我的《信息保卫战》读书笔记：主机系统安全与应用安全

主机系统安全

主机系统安全也称操作系统安全，由于现代操作系统的代码庞大，从而不 同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如UNIX、Window NT,其安全漏洞更是广为流传。另一方面，系统管理员或使用人员对复杂的操 作系统和其自身的安全机制了解不够，配置不当也会造成安全隐患。

一、系统扫描技术

对操作系统层设备和系统的需要进行智能化的检测，以帮助网络管理员高 效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有 关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和

文件进行备份和妥善保存，随时留意系统文件的变化。

二、系统实时入侵探测技术

为了加强主机的安全，还应采用基于操作系统的入侵探测技术。系统入侵 探测技术监控主机的系统事件，从中检测出攻击的可疑特征，并给予响应和处理。

配置实时系统传感器对计算机主机操作系统进行自主地、实时地攻击检测 与响应，一旦发现对主机的入侵，可以马上切断系统用户进程通信，作出各种 安全反应。

实时系统传感器还具有伪装功能，可以将服务器不开放的端口进行伪装， 进一步迷惑可能的入侵者，提高系统的防护时间。

应用安全

一、应用安全概述

应用安全的总体目标是保障其所实现的业务正常运行，防止应用系统遭受 外部和内部的破坏和滥用，避免和降低对其所实现的业务系统的损害。应用系 统是指根据业务要求设计幵发的应用软件及其运行环境。

1. 应用身份识别和认证

应用系统应提供除用户名/口令外其他身份验证机制，必要时还需支持双因 素认证；同时还应具备登录控制模块，对用户身份鉴别信息复杂度检查、登录 失败处理和用户身份唯一性标识等进行安全控制。

2. 访问权限控制

应用系统应实行独立的访问权限控制和基于角色的权限管理等功能，并对 相关的资源进行细粒度的权限控制，从而最终通过安全标识的比较来确定主体 对客体的访问是否合法。

3. 通信数据的机密性保护

应用系统应在通信过程中对其敏感信息，如客户账号、密码、交易金额等 字段进行加密，同时保证其整个报文或会话过程也是加密的。

4. 通信数据的完整性保护

应用系统应釆用秘密的单向算法（如MD5等摘要算法）或事先约定的密码 用加密算法进行数据报文的完整性校验。常用的机制根据算法的类型可分为以 下两种：

(1) 数字签名：采用非对称加密机制，发送方利用自身的私有签名密钥计 算报文的数字签名，接收方利用对方的公开签名密钥进行验证。

(2) 报文验证码（MAC):利用对称加密机制，在一定周期内，双方约定 交易验证密码，发送方利用该密码计算交易验证码，接收方进行验证。

5. 密码管理

应用系统应对密码进行生命期的管理，并根据实际密级需求采用对应的对 称加密和非对称加密的算法和密钥位数；如采用软件的密码管理系统，则应提 供在系统安装初始化时产生密钥种子且其密钥种子不得固化在程序中的方法， 同时如果密级较高时建议密码管理由相应的硬件完成，其密码装置还需具备防 物理攻击的特性。

6. 可信路径

应用系统对用户进行身份鉴别时，应能够建立一条安全的信息传输路径； 同时在用户通过应用系统对资源进行访问时，应用系统还应保证在被访问的资 源与用户之间应能够建立一条安全的信息传输路径。

7. 通信保护

应用系统在其通信会话中应提供安全的标记方法和验证机制，必要时提供 安全的密码保护技术，如专用的安全密码算法和硬件密码设备等。

8. 应用代码安全

应用系统应建立标准的代码编写安全规范，并严格要求开发人员进行执行， 同时通过外聘专家对其静态代码进行扫描分析和应用的渗透性测试。

9. 应用安全审计

应用系统应提供完善的日志审计功能，能记录业务访问活动、账户管理活 动、认证登录活动、配置管理活动和应用系统活动等类型的日志，并保证每类 日志记录充分的信息内容，如时间、日志类型ID、访问主客体名称、应用系统 的操作类型、访问的资源名称等，同时能保证每类日志类型的格式唯一性和标 准的日志输出接口，如Syslog、Snmptrap等。

10. 应用软件容错

应用系统应对输入数据进行有效性检验，包括用户通过人机接口输入或其 他软件模块通过通信接口输入；通过专门的状态监控进程，当故障发生并中断 退出时能向管理员提供故障类型和故障发生点的信息，同时保证在一般情况下 其他功能还能继续正常运行，即达到有限容错保护的目的；最后它还应提供自 动恢复功能，当故障发生时立即自动启动新的进程，恢复原来的工作状态。

11. 应用软件资源配置

应用系统应支持将服务优先级的控制范围限定于某个资源子集，确定访问 用户或请求进程的优先级，并指出对何种资源使用该优先级。如果一个访问用 户或请求进程准备对由服务优先级控制的资源进行操作，那么其访问和/或访问 时间将取决于其优先级、当前正在对该资源进行操作和等待进行该操作的队列 中的访问用户或请求进程的优先级，达到有限服务优先级；同时提供其资源分 配最大和最小的限额功能，能可确保某一访问用户或请求进程不会超过或低于 某一数量或独占某种受控资源。应用软件可限定所要求的最大或最小资源分配 限额的受控资源（如处理器、磁盘空间、内存、传输带宽）清单。

12. 应用安全保证

应用系统的安全保证是指从应用软件的设计、测试、分发、运行维护的过 程来保证应用系统的安全性，防止由于管理不当引起的威胁，应用系统安全对 应用安全保证的强度需求主要取决于由于管理不当引起风险的大小，具体包括 版本和配置管理、测试、分发和操作等。

二、数据库安全

大多数业务系统都是运行在数据库平台上的，如果数据库安全无法保证， 那么其上的应用系统也会被非法访问或破坏。

1. 主要数据库安全隐患

通过进一步的分析，数据库安全隐患的主要表现如下：

(1) 系统认证问题.•口令强度不够、过期账号、受到登录攻击等。

(2) 系统授权：账号权限不清、登录时间超时等。

(3) 系统完整性：特洛伊木马、审核配置、补丁和修正程序不及时等。

2. 解决方案——设置数据库扫描器

(1) 配置方法：数据库扫描器（Database Scanner)可以与网络安全扫描工 具安装在同一台笔记本式计算机上，也可以单独安装在一台PC上。定期对灾 备中心内的数据库服务器软件进行漏洞评估，并将软件生成的漏洞报告诉分发 给数据库管理员，对数据库系统中的安全问题及时修复。

(2) Database Scanner漏洞检测的主要范围包括••

① 登录口令：口令长度、检查有登录权限的过去用户、检查用户名的信任度。

② 配置：是否具有潜在破坏力的功能被允许、配置是否需要修改。

③ 安装检查：打补丁及补丁的热链接。

④ 权限控制：一些用户有权限得到存储的过程及何时用户能未授权存取文件 和数据资源。它还能检查“特洛伊木马”程序的存在。

⑤ 动态身份认证：数据中心重要主机和网络设备上要部署动态身份认证系 统，实现中心各系统的主要网络设备、核心主机以及数据库的全网口令统一管理 功能，更好地避免来自弱密码的威胁。