昨天看《我是歌手》去了,今天又刚看完电影回来,赶紧补作业。。。
—–
三、恶意代码与安全漏洞
恶意代码类型有:二进制代码,二进制文件,脚本语言,宏等等
常见的主要是病毒、木马和蠕虫
传染的独立型恶意代码的危害性最大
传播方式主要有:主动放置、网页、邮件、漏洞、移动存储、共享、网络通讯、软件捆绑等
—–
恶意代码的关键技术:加载,隐蔽,生存
加载:启动项,注册表,服务,组策略,感染文件合并,浏览器插件,修改文件关联(修改注册表)等等
隐藏:进程迷惑,DLL注入,端口复用,无端口,流文件等
生存:进程守护,超级权限,反跟踪,反分析,模糊变换等
—–
恶意代码检测技术:模式匹配(病毒库,扫描;准确,易于管理,但是滞后,效率低),校验和(完整性保护),行为检测(能检测未知恶意代码,但误报率高)
另外还有恶意代码的分析技术,清除技术,预防技术和基于互联网的防御(蜜罐,云查杀等)
—–
信息安全漏洞,即脆弱性,类似于基因天生的缺陷,不可避免
漏洞是信息安全的核心,漏洞也是一种战略资源(美国提出:海,陆,空,太空,网络空间)
常用漏洞库:
CVE,通用漏洞披露,统一编号,是国际通用标准
NVD,采用CVE编号,扩充了一些属性,美国所有
Secunia,漏洞挖掘,曾和微软合作
CNNVD,中国本地化漏洞库
安装补丁是漏洞消减的技术手段之一,另外还可以安全加固
—–
四、软件安全开发
平均每1000行代码存在10到20个缺陷
用户应提出除交付期和软件功能之外的软件安全方面的压力
软件漏洞来源于:需求分析阶段,总体设计阶段,代码编制阶段
越早发现漏洞,越少的修复时间和开销
—–
安全开发周期,Security Development Lifecycle,SDL是微软提出的从安全角度指导软件开发过程的管理模式
七个阶段:培训,需求,设计,实现,验证,发布,响应
安全设计原则:最小特权原则,职责分离原则,纵深防御原则,默认安全原则,减少攻击面原则,心理可接受原则,隐私保护原则
减少攻击面,即减少入口点,包括网络输入输出和文件输入输出
威胁建模:了解系统面临的安全威胁,确定风险并通过措施来缓解
—–
软件安全开发:溢出攻击(数据代码不分,堆栈溢出数据变代码指令),跨站脚本(数据不要直传),SQL注入(对输入验证)
Fuzz测试,黑盒测试,构造畸形数据
找到所有入口点,权限分类,可访问点
任何的崩溃都是漏洞
下节学习:五、信息安全保障基本知识;六、信息安全工程