陈枭第67810章答案.docx
《陈枭第67810章答案.docx》由会员分享,可在线阅读,更多相关《陈枭第67810章答案.docx(18页珍藏版)》请在冰豆网上搜索。
陈枭第67810章答案
第6章
1.答:
就一般而言,软件被分为3种可信类别。
(1)可信的。
软件保证能安全运行,但是系统的安全仍依赖于对软件的无错操作。
(2)良性的。
软件并不确保安全运行,但由于使用了特权或对敏感信息的存取权,因而必须确信它不会有意的违反规则。
良性软件的错误被视为偶然性的,而且这类错误不会影响系统的安全。
(3)恶意的。
软件来源不明,从安全的角度出发,该软件被认为将对系统进行破坏。
日常使用的软件,不管是由谁编写的以及它是何种软件,都是良性软件。
因为它们不能确保系统的安全运行,而它们又不是恶意的欺骗用户,所以都是不可信的。
通常将良性和恶意软件统称为不可信软件,这是因为没有一个客观、通用的方法度量它们的差异。
在大多数情况下操作系统被认为是可信的,应用程序是不可信的。
2.答:
在WindowsXP中由于引入了对象指定的ACE并且自动继承,所以ACE的顺序变得更加复杂了。
非继承的ACE置于继承的ACE之前。
在继承和非继承的ACE中,依据ACE的类型来排列次序:
应用于对象自身的访问拒绝ACE;应用于对象的子对象的访问拒绝ACE;应用于对象自身的访问允许ACE;应用于对象的子对象的访问允许ACE。
由于在进程每次使用句柄时,系统都处理DACL是缺乏效率的,所以这种检查只在打开句柄时进行,并不是每次使用句柄时都进行。
而且需要记住的是由于核心态代码使用指针而不是句柄去访问对象:
所以操作系统使用对象时并不进行访问检查。
换句话说,在安全性方面,WindowsXP是完全“信任”它自己的。
一旦进程成功地打开一个句柄,安全系统也不能取消已授予的访问权力,即使对象的DACL改变了。
这就要求每次使用句柄时都要进行彻底的安全检查,而不是仅在最初创建句柄时才做这样的检查。
把已经授予的访问权力直接存储在句柄中将显著地提高性能,特别是对那些具有较长DACL的对象。
3.答:
(1)清空日志
(2)截断事务日志
(3)压缩数据库文件
(4)为了最大化的缩小日志文件
a.分离数据库:
b.在我的电脑中删除LOG文件
c.附加数据库:
此法将生成新的LOG,较原来的小
(5)设定最大允许文件大小
4.答:
WindowsXP安全漏洞及解决方案
WindowsXP远程桌面明文帐户名传送漏洞
漏洞描述:
WindowsXP远程桌面存在设计缺陷,可能导致攻击者得到系统远程桌面的帐户信息,有助于其进一步攻击。
在连接建立的时候,WindowsXP远程桌面把帐户名以明文发送给连接它的客户端。
发送的帐户名不一定是远端主机的用户帐号,而是最常被客户端使用的帐户名,网络上的嗅探程序可能会捕获到这些帐户信息。
防范措施:
建议安装补丁或者升级程序,如果不能立刻安装补丁或者升级,建议采取以下措施以减少风险:
暂时停止远程桌面的使用,直到有厂商的解决方案。
MicrosoftWindowsXP快速帐号切换功能造成帐号锁定漏洞
漏洞描述:
MicrosoftWindowsXP新设计了帐号快速切换功能,可以使用户快速地在不同的帐号之间切换而不需要先退出再登录。
但MicrosoftWindowsXP快速帐号切换功能设计存在漏洞问题,该漏洞可被用来造成帐号锁定,使所有非管理员帐号都不能登录。
配合帐号锁定功能,用户可以利用帐号快速切换功能,快速地重试登录一个用户名,使系统认为有暴力猜解攻击,从而造成全部非管理员帐号的锁定,这样一来其他用户如果没有管理员的解禁就不能登录主机了。
TomaszPolus(Tomasz_Polus@.pl)提供了如下的漏洞测试方法:
(1)设置最多错误口令尝试为3次;
(2)以一般用户权限创建10个帐户(User1—User10);
(3)用User1帐号登录;
(4)使用快速帐号切换登录到User2帐号;
(5)用快速帐号切换从User1帐号登录User2帐号连续失败3次;
(6)试着去登录User3帐号,这时你会发现所有非管理员帐号均已经锁定。
防范措施:
临时解决方法是,如果你不能立刻安装补丁或者升级,建议你采取以下措施以减少风险:
暂时禁止帐户快速切换功能。
此漏洞目前还没有提供厂商补丁或者升级程序。
微软Windows2000/XP终端服务IP欺骗漏洞
漏洞描述:
Windows2000/XP的终端服务器存在一个安全问题:
允许远程攻击者匿名访问该服务。
这是由于Windows2000/XP的终端服务器不是从TCP栈中取客户端的IP地址,而是接受客户端提供的IP地址,该IP地址客户是通过基于ITUT.120协议的RemoteDesktopProtocol传输的。
如果某个客户端位于路由器的后面,并且只有内部IP地址,那么如果该客户端与远程终端服务器建立连接的话,远程的终端服务器就会记录该端的内部IP地址,而该地址是没有什么意义的。
防范措施:
如果你不能立刻安装补丁或者升级,因此建议你采取以下措施以减少风险:
使用第三方工具来记录日志,如windump限制不可信用户访问终端服务。
该漏洞目前还没有提供补丁或者升级程序。
MicrosoftWindows2000/XPGDI拒绝服务漏洞
漏洞描述:
WindowsGraphicsDeviceInterface(GDI)是一套应用程序接口,用于显示图形输出。
但是它存在一个安全问题,可能导致系统拒绝服务。
这是由于GDI无法正确处理畸形或无效的参数和标志位造成的,出现该问题时系统表现为蓝屏,只有重新启动才能恢复正常功能。
防范措施:
立刻安装补丁或者升级,禁止不可信用户登录到系统。
Oracle安全策略和方法:
在安装OracleServer前,创建数据库管理员组(DBA)并且分配root和Oracle软件拥有者的用户ID给这个组。
在安装过程中系统权限命令被自动分配给DBA组。
允许一部分UNIX用户有限制地访问Oracle服务器系统,确保给Oracle服务器实用例程Oracle组ID,公用的可执行程序(例如SQL*Plus、SQL*Forms等)应该可被这个组执行。
然后设定这个实用例程的权限,允许同组的用户执行,而其他用户不能。
改变那些不会影响数据库安全性的程序的权限。
为了保护Oracle服务器不被非法用户使用,可以采取如下几条措施。
确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有。
给所有用户实用例程(sqiplus、sqiforms、exp、imp等)特定权限,使服务器上所有的用户都可访问Oracle服务器。
给所有的DBA实用例程(比如SQL*DBA)特定权限。
当Oracle服务器和UNIX组访问本地的服务器时,用户可以通过在操作系统下把Oracle服务器的角色映射到UNIX组的方式来使用UNIX管理服务器的安全性。
这种方法适应于本地访问。
Oracle软件的拥有者应该设置数据库文件的使用权限,使得文件的拥有者可读可写,同组的和其他组的用户没有写的权限。
Oracle软件的拥有者应该拥有包含数据库文件的目录,为了增加安全性,建议收回同组和其他组用户对这些文件的可读权限。
保护默认的用户账号
必须牢记在心的是:
商业应用服务,包括Oracle应用服务,都包含有若干众所周知的模式,而这些都是黑客们的机会和目标。
这些账号需要被严加看守。
虽然在各个应用程序中账号的数量和权限都各有不同,但确保这些账号的安全则是非常重要的,只有这样,才能把危险降到最低点。
(1)对数据库的访问和登录进行保护
(2)抛弃任何陈旧的东西
Oracle密码
Oracle在数据字典中存放用户密码。
对于得到数据库认证的用户,其中所存放的实际上不是密码明文本身,而是密码校验(passwordverifiers)。
密码校验是密码明文的哈希(hash)表示。
其中存放的密码校验值以十六进制表示。
数据库认证的过程则是计算用户为了通过认证所提供的密码明文的密码校验,并把计算结果与数据字典中存放的某一密码校验比较,如果相符合,则表示用户提供了相同的密码,从而可以通过认证。
(1)使用Oracle本地存储的密码验证密码
(2)检测弱密码或默认密码
(3)管理并确保安全密码
①复杂密码
②密码规范
③确保密码策略的可操作性
(4)限制数据库资源
(5)确保网络的安全
①加密
②数据库监听器
③外部调用
④IP地址调用
第7章
1.答:
参见书7.1.4章节内容。
2.答:
步骤1:
用户下载后,直接运行KaBoom!
3.exe程序文件,即可弹出如图1所示的窗口。
步骤2:
单击"Mailbomber"按钮,即可打开"Mailbomber"设置界面,如图2所示。
图1
图2
步骤3:
在"To"文本框中输入要攻击的邮箱地址;在"From"文本框中输入自己的邮箱地址;在"Subject"文本框中输入邮件的标题;在"MessageBody"文本框中输入邮件的内容,在"Server"下拉列表中选择一个匿名邮件服务器;在"Priority"下拉列表选择该邮件的发送优先级别。
步骤4:
选择"Numberofmessages"单选按钮可设定重复发信次数;选择"MailPerpetually"单选按钮,则可以一直重复发信,直至单击"Stop"按钮。
勾选"CC"复选框,则可以添加其他同时要攻击的邮箱地址。
步骤5:
单击"Open"按钮,可添加邮件的附件,如病毒与木马程序等,如图3所示。
单击"Finger"按钮,可探测被攻击目标的活动情况。
图3
步骤6:
在全部设置完毕后,单击"Send"按钮,即可开始发送邮件。
如果邮件的容量过多,发送次数过多,就会形成炸弹的效果,将对方邮箱挤爆。
因为"邮箱炸弹"工具的使用非常简单,且威力强大,所以很多心怀不轨的人就会使用这些工具对别人的邮箱进行破坏。
为防止自己的邮箱遭到"邮箱炸弹"的袭击,可采取如下措施进行防范。
不要将自己的邮箱地址到处传播,特别是申请上网账号的ISP送的邮箱。
如果允许,可以使用一些工具防止邮箱炸弹的攻击。
最好通过Outlook、Foxmail等邮件工具的POP3收信。
这样即使自己的邮箱遭遇"邮箱炸弹",也可以避免本地遭受危险。
如果发现某个邮箱不停地向自己的邮箱中发送邮件,则可以先打开一封信,查看清对方的邮件地址,使用邮件过滤功能将该地址发送的邮件过滤掉,不再接收其发送的邮件,再从邮件服务器上将其进行删除。
在收信时一旦发现邮件列表的数量,超过平时正常邮件的数量若干倍,就应当立即停止下载邮件,并从服务器删除"邮箱炸弹"。
为了确保万一,用户还可以使用E-mailChomper来对付邮件炸弹。
该工具可以每分钟清除邮箱中的1000封邮件,这足以对付"邮箱炸弹"。
具体的操作方法如下。
步骤1:
用户下载并安装后,选择"开始"→"程序"→"E-mailChomper"→"E-mailChomper"命令,即可进入其初始界面,如图4所示。
步骤2:
单击"OK"按钮,则显示"Options(邮箱设置)"对话框,如图5所示。
在"POP"选项卡中,可以在"Accountdesc"文本框中输入项目的名称;在"HostAddress"文本框中输入收信服务器的域名;在"UserName"文本框中输入登录邮箱服务器的用户名称;在"Password"文本框中输入登录邮箱服务器的密码。
图4
图5
步骤3:
单击"Add"按钮,即可将其添加到项目列表中。
单击"OK"按钮,即可进入"E-mailChomper"主界面,如图6所示。
步骤4:
单击"ConnectPOPserver"按钮,即可登录远程邮箱服务器,并将在其下方显示邮件列表,如图7所示。
在选取需要删除的邮件之后,单击"DeleteSelectedE-mail(s)"按钮,即可将所选邮件快速删除。
图6
图7
4.答:
分解压力与威胁法
分解压力与威胁法,即弱化DNS功能,将单点故障和风险分散到网络的各个层次。
①将DNS功能分解到主机、其他服务器、路由器上,为每个域提供多台域名服务器,采用SplitDNS的策略,内部DNS守护进程监听内部网络接口,负责提供本地局域网内部域名的查询,外部DNS守护进程监听外部网络接口,负责提供外部用户的查询,同时处理来自内部守护进程提交的请求。
在多台主机的网络环境下,可以将DNS的功能扩展到主机系统,采用多播协议连接多台主机,利用多台主机的cookie缓存能力保证常用网站的可连接。
②采用DNS转发器的策略为其他DNS服务器完成DNS查询请求,减轻DNS处理的压力;使用负责解析域中查询的DNS广告者(DNSadvertisers),只应答其授权的域名的查询;使用可以完成递归查询的DNS解析者(DNSresolver)来解析未授权的域名,从而减少与公共服务器DNS解析者相关的风险(包括缓存中毒),增加了安全。
保障服务器硬件的安全
做到硬件资源配备要充足,能提供DNS服务的硬件服务器足够高的配置,对伪造信息和DoS攻击具有健壮性。
DNS服务器一般应放置DMZ(DemilitarizedZone)非军事区,并配有完善的安全管理办法,禁止未授权用户直接操作服务器。
在网络拓扑布局上做到主从DNS服务器物理隔离,并为服务器提供一个UPS电源系统,不间断地为用户提供服务,保证服务器运行的完整性、安全性。
合理配置DNS软件
及时更新版本和下载补丁程序,进行系统升级,利用软件提供的如下特性来提高系统的安全程度:
使用TSIG机制,即事务签名(TransactionSignature),进行Client与Server的双向身份验证,确保交换数据的完整性认证以及保护查询、响应、区传送和动态更新;缓存服务器要设置更新周期,每小时或每几天更新一次,并通过配置DNS服务器的属性里面的“防止缓存污染”选项保护DNS不受缓存污染;限制外部用户查询DNS服务器中的allow-query语句,严格限制区传输,限制动态更新和递归查询,DNS有选择地限制一些IP的查询请求,限制对权威资源的查询;使DNS服务器功能专一化,在DNS服务器上不用提供其他服务,对外只开放UDP53和TCP53端口,配置防火墙,进行流量控制,降低风险。
访问控制
采取allow-transfer控制来加强安全,只有授权的辅名字服务器才能从主名字服务器上获得区数据信息。
使用防火墙来控制DNS访问,组织外部主机连接这些DNS服务器。
对于缓存DNS服务器,进行防火墙的配置,阻止内部用户使用DNS协议连接外部DNS服务器。
在堡垒主机上建立一个伪DNS服务器共外部使用,对外隐藏DNS信息,而在内建立一个真实的DNS服务器供内部主机使用。
在DNS注册表和DNS文件系统入口设置中访问控制,使DDNS(动态DNS)只用安全连接。
利用DNS安全扩展机制
IETF提出采用公开密钥加密体制的DNSSEC(DomainNameSystemSecurityExtentions)机制,是在兼顾现有协议的基础上引入加密和认证体系,在每个区域(zone)都有一对区域级的密钥对,密钥对中的公钥用于区域中的域名记录信息作数字签名,从而使DNSSEC的接收者得以校验应答信息的可靠性,允许客户端和域名服务器对任何DNS数据来源进行密钥验证,通过密码同时提供权限认证和信息完整性,确保了数据完整性及数据源认证。
第8章
1.答:
基于行的自主访问控制机制
基于行的自主访问控制机制在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同又可分为以下3种形式:
(1)能力表(capabilitieslist)。
目前利用能力表实现的自主访问控制系统不多,并且在这些为数不多的系统中,只有少数系统试图实现完备的自主访问控制机制。
(2)前缀表(prefixes)。
作为一般的安全规则,除非主体被授予某种访问模式,否则任何主体对任何客体都不具有任何访问权力。
相对而言用专门的安全管理员控制主体前缀是比较安全的,但这种方法非常受限。
在一个频繁更迭对客体的访问权的环境下,这种方法肯定是不适宜的。
因为访问权的撤销一般也是比较困难的,除非对每种访问权,系统都能自动校验主体的前缀。
而删除一个客体则需要判定在哪个主体前缀中有该客体。
另外客体名由于通常是杂乱无章的,所以很难分类。
对于一个可访问许多客体的主体,它的前缀量将是非常大的,因而是很难管理的。
此外,所有受保护的客体都必须具有唯一的客体名,互相不能重名,而在一个客体很多的系统中,应用这种方法就十分困难。
(3)口令(password)。
口令机制对于确认用户身份,也许是一种比较有效的方法,但用于客体访问控制,它并不是一种合适的方法。
因为如果要撤销某用户对一个客体的访问权,只有通过改变该客体的口令才行,这同时也意味着废除了所有其他可访问该客体的用户的访问权力。
当然可以对每个客体使用多个口令来解决这个问题,但每个用户必须记住许多不同的口令,当客体很多时,用户就不得不将这些口令记录下来才不至于混淆或遗忘,这种管理方式很麻烦也不安全。
另外,口令是手工分发的,无须系统参与,所以不知道究竟是哪个用户访问了该客体。
并且当一个程序运行期间要访问某个客体时,该客体的口令就必须镶嵌在程序中,这就大大增加了口令意外泄露的危险。
因为其他用户完全不必知道某客体的口令,只需运行一段镶嵌该客体口令的程序就可以访问到该客体了。
这同样给这种机制带来了不安全性。
基于列的自主访问控制机制
基于列的自主访问控制机制,在每个客体都附加一个可访问它的主体的明细表,它有两种形式,即保护位和访问控制表。
(1)保护位(protectionbits)。
这种方法对所有主体、主体组以及客体的拥有者指明一个访问模式集合。
保护位机制不能完备地表达访问控制矩阵,一般很少使用。
(2)存取控制表(accesscontrollist,ACL)。
这是国际上流行的一种十分有效的自主访问控制模式,它在每个客体上都附加一个主体明细表,表示访问控制矩阵。
自主访问控制的访问许可
在许多系统中,对访问许可与访问模式不加区分。
但是,在自主访问控制机制中,应当对此加以区分,这种区分会把客体的控制与对客体的访问区别开来。
由于访问许可允许主体修改客体的存取控制表,因此利用它可以实现对自主访问控制机制的控制。
这种控制有3种类型:
(1)拥有型
(2)等级型
这种结构的优点是:
通过选择可信任的人担任各级领导,使得能力以可信方式对客体施加控制,并且这种控制和人员的组织体系相近似。
缺点是,对于一个客体而言,可能会同时有多个主体有能力修改它的访问控制表。
(3)自由型
自由型方式的特点是:
一个客体的生产者可以对任何一个主体分配对它拥有的客体的访问控制权,即对客体的访问控制表有修改权,并且还可以使其对其它主体也具有分配这种权力的能力。
在这种系统中,不存在“拥有者”概念。
2.答:
强制访问控制的安全性比自主访问控制的安全性有了提高,但灵活性要差一些。
强制访问控制包括规则型(Rule-based)访问控制和管理指定型(Administratively-based)访问控制。
MAC模型中有几种比较主要的模型:
Lattice模型、Bell-LaPadula模型(BLPmodel)和Biba模型(Bibamodel)。
BLP模型为通用的计算机系统定义了安全性属性,即以一组规则表示什么是一个安全的系统,尽管这种基于规则的模型比较容易实现,但是它不能以语义的形式阐明安全性的含义,因此这种模型不能解释主-客体框架以外的安全性问题。
Biba模型可同时针对有层次的安全级别和无层次的安全种类。
Biba模型的主要特征是禁止向上读。
这个特征使得完整性级别高的文件一定是由完整性高的进程所产生的,从而保证了完整性级别高的文件不会被完整性低的进程中的信息所覆盖。
Lattices模型是实现安全分级的系统,这种方案非常适用于需要对信息资源进行明显分类的系统。
3.答:
基于角色的访问控制RBAC(Role-basedAccessControl)是由美国国家标准化和技术委员会(NIST)的Ferraiolo等人在20世纪90年代提出的,其特有的优点引起了学术界和工业界的广泛关注,成为研究计算机和数据库安全性的一个热点。
此后NIST专门成立了RBAC研究机构,对基于角色的访问控制进行了系统的研究。
RBAC的基本思想是在用户和访问权限之间引入角色的概念,将用户和角色联系起来,通过对角色的授权来控制用户对系统资源的访问。
这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者,这样的话,访问控制应该基于用户的职务而不是基于用户在哪个组或是谁是信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的。
例如,一个学校可以有教工、老师、学生和其他管理人员等角色。
RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。
角色成为访问控制中访问主体和受控对象之间的一座桥梁。
相比较而言,RBAC是实施面向机构的安全策略的一种有效的访问控制方式,其具有灵活性、方便性和安全性的特点。
目前在大型数据库系统的权限管理中得到普遍应用,角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。
用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。
角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。
依据角色的不同,每个主体只能执行自己所制定的访问功能。
系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。
角色的定义
角色由用户自行定义,根据业务岗位不同可以定义多个角色。
登录系统,首先需要向系统申请注册,同一个用户只能在系统中登记一次,因此角色是用户权限的基础,用户可以扮演多个角色。
将某一角色授予某一用户时,权限不能超越该角色权限,但可以小于该角色权限。
每个用户在系统中有一个唯一的USERID标识。
用户通过系统登录界面登录系统。
系统通过加密算法验证用户身份和判断用户是否已经登录系统。
如果登录成功,则通知Applicationpreferenceservice和安全管理系统保存用户登录信息。
角色由用户根据自己设想的组织机构进行添加设置,提供一个专门的模块用来设置组织机构,用户通过组织机构方便地进行角色管理。
例如用户可以通过部门机构来进行角色的管理,部门采用编号分层的方式,编号的每两位为一个层次。
例如一级部门编号为两位,二级部门编号为4位,依次类推下去,直到将全部的部门机构建立树状结构图。
这类数据仅为方便用户管理角色而存在,在系统的其他方面不存在任何意义。
每个角色在系统中也是由一个唯一的角色编号来标识的,同时必须保存用户所设置的机构信息,一般来说每个角色只需要保存自己所在机构的代码即可。
4.答:
根据应用环境的不同,VPN主要分为三种典型的应用方式:
内联网VPN、外联网VPN和远程接入VPN。
在内联网VPN未使用之前,如果要实现两个异地网络之间的互联,就必须直接铺设网络线路,或租用运营商的专线。
不管采用哪一种方式,使用和维护成本都很高,而且不便于网络的扩展。
在使用了内联网VPN后,可以很方便实现两个局域网之间的互联,其条件是分别在每一个局域网中设置一台VPN网关,同时每一个VPN网关都需要分配一个公用IP地址,以实现VPN网关的远程连接。
而局域网中的所有主机都可以使用私有IP地址进行通信。
外联网VPN是随着企业经营方式的发展而出现的一种网络连