제 4 장 시스템 보안
4.1 운영 시스템 개요
컴퓨터는 복잡한 시스템은 시스템 소프트웨어, 응용 소프트웨어를 함께 동작 구성, 하드웨어 구성이다.
일반적인 컴퓨터 운영 체제 : 윈도우, 리눅스, 안드로이드, 아이폰 OS.
OS (운영체제) : 컬렉션 관리 및 컴퓨터 소프트웨어 및 하드웨어 자원의 제어, 컴퓨터 프로그램의 집합이 편리한 컴퓨팅 서비스를 사용자에게 제공합니다.
컴퓨터 운영 체제의 기능은 다음과 같습니다 : 프로세스 관리, 메모리 관리, 장치 관리, 파일 관리, 사용자 인터페이스.
운영 체제의 취약점 및 보안 문제는 시스템 보안 운영 환경에 심각한 위협이 가상화 될 것입니다.
4.2 운영 체제 보안
4.2.1 운영 체제 보안 위협 및 취약점
운영 체제의 보안 위협은 다음과 같습니다 : 불법 사용자 또는 가짜 사용자 시스템의 침공, 데이터는 불법적 인 파괴 또는 데이터의 손실, 알 수없는 바이러스 및 해킹 피해는 운영 시스템이 제대로 작동하지 않습니다.
운영 체제의 취약점은 다음과 같습니다 장거리 전화의 문제와 운영 체제의 취약점 및 프로세스 관리 시스템을.
운영 체제의 일반적인 취약점은 다음과 같습니다 : 빈 암호 또는 취약한 암호는 기본 시스템 구성 요소의 취약점과 애플리케이션 취약점 키를 공유했다.
일반적인 보안 보호 메커니즘 4.2.2 운영 체제
프로세스 격리 및 메모리 보호
프로세스 격리 및 메모리 보호 메커니즘, 컴퓨터 운영 체제에 추가 메모리 관리 장치 모듈 (MMU)를 달성하기 위해, MMU 모듈에 의한 프로그램 실행 프로세스를 실행하는 데 필요한 메모리 공간, 프로세스 격리 및 메모리를 할당 할 책임이 보호 메커니즘은 각 프로세스에 대한 독립적 인 실행 공간을 제공합니다.
작동 모드
현대 CPU의 작동 모드는 일반적으로 커널 모드와 사용자 모드의 두 가지 모드로 나누어 져 있습니다
또한 코어 층이라는 특권 모드, 인텔 x86 시리즈로 알려진 (링 0) : 1) 커널 모드.
2) 사용자 모드 : 또한, 비 특권 모드, 또는 사용자 층 (링 (3))라고 함.
사용자 액세스 제어는
현재 인기있는 운영 체제는 일반적으로 서로 다른 사용자 권한 시스템 관리자 사용자 권한, 일반 사용자, 게스트 사용자와 다른 레벨로 구분되어있다.
파일 시스템 액세스 제어
일반적인 파일 작업 액세스 제어 파일의 읽기, 쓰기 및 파일 읽기를 다루는 각각 세 가지 영역을 제한, 수정 및 실행 권한을 실행한다.
4.2.3 운영 체제 보안 평가
학년 측정하여 TCSEC는 처리 정보에 컴퓨터 보안 하강에 응답하여 채용되어야 A, B, C, D (7) 보안 레벨 네 27 개 평가 기준 총.
클래스 D는 평가 후 보안의 가장 낮은 수준이지만, 시스템은 D 등급의 평가에서 높은 등급의 요구 사항을 충족하지 않습니다.
클래스 C에 대한 보안 조치는 임의 액세스 제어 및 감사 추적을 사용합니다. 사용자 액세스 제어 및 보안 레벨 액세스 보호 등급 : 등급 C는 두 레벨 C1 및 C2로 분할된다.
클래스 B는 보호의 필수 수준, 주요 요구 사항은 (컴퓨팅 자료 신뢰할 수있는) 그 TCB 안전 마크의 무결성을 유지하고,이 기준으로 필수 액세스 제어 규칙의 시리즈를 수행해야합니다. 클래스 B가 세 개의 레벨로 나누어 져 레벨 보안 마커 (B1), 보호 레벨 (B2) 및 보호 레벨 보안 영역 (B3)의 수단을 포함한다.
시스템에 의해 지원 B3의 측면 :
보안 관리자 기능
확장 감사 메커니즘
보안 관련 이벤트가 발생했을 때는 신호가
시스템 복구 메커니즘 제공
시스템 침투에 대한 높은 저항이
엄격한 디자인을 포함하여 검증을위한 클래스 A 보호 수준을, 제어 및 검증 과정. 설계 검증 단계 (A1 등급) 슈퍼 클래스 A1 : 클래스는 두 가지 수준으로 구분됩니다.
울트라 범위 A1 레벨 시스템이 포함됩니다 : 시스템 아키텍처, 보안 테스트, 정형 명세 및 검증, 신뢰할 수있는 설계 환경을.
4.2.4 일반적으로 사용되는 운영 체제 및 보안
현대적 운영체제는 일반적으로 통상의 컴퓨터 오퍼레이팅 시스템, 이동 단말기의 운영 시스템, 임베디드 운영 체제들로 분할 될 수있다.
Windows 시스템 보안
보안 Windows에서 Windows 보안 서브 시스템에 대한 시스템과 NTFS 파일 시스템, Windows 서비스 팩 및 패치 메커니즘, 시스템 로그 등 완벽한 보안 시스템에 의해 지원됩니다.
1) Windows 보안 하위 시스템
Windows 운영 체제 코어의 Windows 보안 서브 시스템은 Windows 시스템의 보안이다.
참조 모니터로 인한 시스템 제어 프로세스, 보안 계정 관리자, 현지 안전 인증 및 안전에 의해 Windows 로그온.
NTFS 파일 시스템은
Windows NT 버전은 Windows 시스템의 기본 파일 시스템으로 마이크로 소프트에 의해 시작에서 파일 시스템을 NTFS 만 아니라 액세스 권한 관리 시스템 및 파일 액세스 로깅 메커니즘의 도입을 통해, 파일 시스템의 성능을 향상되지 않습니다 파일 시스템은 크게 파일 시스템을 향상 보안.
NTFS 파일의 주요 특징은 다음과 같습니다 :
NTFS는 파티션 크기가 2TB에 도달 할 수 있습니다 지원할 수있는
NTFS는 복구 가능한 파일 시스템입니다 것은
파티션, 압축 및 암호화 폴더에 대한 NTFS 지원 및 파일
NTFS가 작은 클러스터를보다 효율적으로 할 수 있습니다 사용 디스크 공간 관리
NTFS 파티션에를 공유 리소스, 폴더 및 파일 액세스 권한 설정이 될 수
가 NTFS 파일 시스템에서 할 수있는 디스크 할당량 관리
NTFS 파일 시스템에 액세스하는 것은 누적
폴더에 대한 사용 권한을 넘어 NTFS 파일 권한
다른 권한 이상의 권한 거부 NTFS 파일 시스템
NTFS 권한을 상속
Windows 서비스 팩 및 패치
스캔 및 시스템 악용의 사용은 일반적으로 해커의 공격에 의해 사용되는, 해결하기 위해 시스템의 취약점을 가장 효과적인 방법은 패치를 설치하는 것입니다.
윈도우 업데이트, SUS, SMS 및 WUS : 네 개의 취약점 Microsoft 솔루션이 있습니다.
Windows 시스템 로그
1)가 제대로 설정하고 시스템 사용자 계정 관리
2) 외부 네트워크 서비스의 안전 관리 시스템
Windows 시스템 로깅 가능) (3)
리눅스 시스템 보안
리눅스를 사용하고 무료 보급, POSIX 호환 유닉스 운영 체제에 완전히 무료입니다 공공 저작권 라이센스 다음, 소스 코드를 무료로 배포, 수정 자유, 개방, 다중 사용자는 멀티 태스킹 운영 체제, 하드웨어 플랫폼의 모든 유형에서 실행 할 수 있습니다.
(1) 보안 메커니즘 리눅스 시스템
1) PAM 메커니즘
2) 암호화 파일 시스템
3) 방화벽
(2) 리눅스 시스템 보안 및 세트
1) 리눅스 부트 로더 보안 설정 2) 시스템을 재부팅 키 조합의 사용을 방지
3) 보안 로그인, 로그 아웃
4) 사용자 계정 보안 관리
5) 파일 보안
6) 자원의 사용에 대한 제한
7) 기록 지우기
8) 액세스 제어 시스템 서비스
9) 시스템 로그 보안
불필요한 서비스 다운 10) 차단
11) 바이러스 방지하기 위해
방화벽 12)
13) 사용하는 보안 도구
중요한 파일을 백업 할 14)
15) 업그레이드
16) 루트킷 보안을
Rookit가 구성되어 공격자의 카탈로그 및 처리 절차를 숨기고, 이더넷 스니퍼 프로그램,는 / var의 일부를 정리하는 데 사용 또한 공격자가 텔넷, 쉘을 제공하고 손가락 수있는 몇 가지 복잡한 루트킷은 /는 / var / ADM 로그인 디렉토리 스크립트 다른 파일.
첫째, 네트워크를 통해 일반 텍스트 암호를 사용하지 않는, 또는 일회용 패스워드를 사용 수단은 루트킷을 방지합니다. 둘째, 같은 트립 와이어 및 보좌관 공격자로 탐지 도구의 사용이 적시에 침입 감지 할 수 있습니다, 그들은 시스템 무결성 검사를 제공 할 수 있습니다. 또한,도 사용될 chkrootkit (루트킷 특정 테스트 도구) 검사 할 수있다.
4.3 휴대 단말 보안
현재 주류 휴대 단말기 운영체제 플랫폼은 두 진영으로 나누어 져 있습니다 : 생산 된 애플의 아이폰 OS 플랫폼과 구글의 안드로이드 플랫폼에 의해 생산.
보안 기초는 여전히 얕은에 모바일 단말기 개발이 있지만, 관심의 정도가 높지 않다, 모바일 단말 보안 문제의 가장 큰 원인이다.
4.3.1 이동 통신 단말기의 개념과 주요 보안 문제
상기 이동 단말기는 이동에 사용될 수있는 컴퓨터 장치를 의미한다.
상기 이동 단말기의 분류
a) 가동 케이블 단말은 다음 U 디스크, 모바일 하드 디스크의 데이터 라인과 연결되는 컴퓨터를 사용할 필요를 의미한다.
2) 무선 이동 단말기에 무선 전송 프로토콜 모듈을 사용하는 수단은, 무선 연결, 스마트 폰, POS 포함하는 일반적인 무선 모바일 단말기, 노트북 컴퓨터들과 같은 이동 무선 단말기에 속을 제공한다.
이러한 보안 시스템과 같은 민감한 로컬 저장소, 데이터 전송 네트워크, 악성 소프트웨어, 애플리케이션, 보안 정보의 타입 : 이동 단말기의 보안 문제는 다음과 같이 요약 될 수있다.
4.3.2 안드로이드 플랫폼 및 보안
안드로이드 시스템은 리눅스 오픈 소스 운영 시스템을 기반으로, 휴대 전화 제조 업체 또는 개인 개발자 모두에 표준 안드로이드 운영 체제를 기초로 사용자 정의 할 수 있습니다.
안드로이드 플랫폼은 시스템 아키텍처의 여러 단계로 나누어 져 있습니다, 더 중요한 것은 애플리케이션 계층, 계층 프레임 워크, 런타임, 리눅스 커널 계층입니다.
다른 모바일 단말 플랫폼 더 큰 보안 위험에 상대적 때문에 개방성의 안드로이드 플랫폼.
안드로이드 폰 ROOT 후 하나 개의 큰 영향은 공식 시스템 업그레이드를 통해 아니라 타사 시스템 펌웨어의 많은 다운로드 할 수 있습니다, 휴대 전화는 더 나은 확장 성 몸을 가지고있다.
악성 소프트웨어가 사용자의 개인 정보 보호 및 재산의 안전을 위협, 통화, 다른 응용 프로그램의 배경 자동 설치 작업 흐름 몰래 사용자의 지식 절도없이 실행 할 수있다.
악성 코드 자신의 모바일 장치를 방지하기 위해 사용자가 알 수없는 출처에서 응용 프로그램을 설치하기를 거부한다, 공식 채널 또는 제 3 자 신뢰할 수를 통해 응용 프로그램을 다운로드하기 위해 시장을 사용하려고합니다. 동시에, 당신은 이동 단말의 보안을 강화하기 위해 안티 바이러스 소프트웨어를 설치하도록 선택할 수 있습니다.
4.3.3 아이폰 OS 플랫폼 및 보안
아이폰 OS는 유선형의 변화는 애플의 바탕 화면에서라도에서 온다이다,에 따라 두 운영 체제 UNIX는 같은 커널, 다윈의했다.
안드로이드의 장점에 비해 아이폰 OS : 크게 공격 표면을 감소 때문에 폐쇄 된 개발 환경과 보안 메커니즘의 비교적 완전한 시스템은 더 나은 사용자의 데이터를 보호 할 수 있습니다, 따라서 많은 사용자의 신뢰를 획득, 악성 코드의 침해를 방지하기 위해 .
많은 아이폰 OS 보안 메커니즘에서는 대표는 분리 할 수있는 권한이 필수 코드 서명, 임의의 주소 공간 레이아웃과 샌드 박스가 있습니다.
기능 샌드 박스 메커니즘의 한계 :; 시스템에 액세스 할 수없는 다른 프로세스, 위치 응용 프로그램 디렉토리 외부의 균형을 직접 하드웨어 장치를 사용하지 않는, 동적 코드를 생성 할 수 없습니다.
다음으로 인한 XcodeGhost의 해 :
1) 업로드 사용자 정보
2) 응용 프로그램 팝업 내
3) URLScheme에 의해 다른 작업을 수행하기 위해
, 악성 코드 응용 프로그램을 검토하지 않는 개발 환경에서 컴파일시에 악성 코드를 시작 XcodeGhost은 중요한 의미를 가지고 이유 ; 보안 개발자에 대한 인식의 부족.
4.3.4 모바일 시스템 리버스 엔지니어링 및 디버깅
리버스 엔지니어링은 다음 분해, 역 컴파일 및 기타 수단은 응용 프로그램의 실행 파일에서 프로그램 소스 코드의 과정을 복원합니다.
리버스 엔지니어링은 두 시스템 분석 및 코드 분석 단계로 나눌 수 있습니다.
주로 보안 취약점, 악성 코드 및 트로이 목마 바이러스 분석 및 분석을위한 바이너리 프로그램의 탐지를 발견하여 코드 분석 단계에서는.
리버스 엔지니어링의 두 가지 중요한 역할 :
1) 보안 관련 리버스 엔지니어링으로 분류 할 수있다, 중요한 정보를 얻기 위해, 대상 프로그램을 위반.
리버스 엔지니어링 및 개발과 관련된으로 다른 사람의 프로그램이 자신의 소프트웨어를 개발하는 기능에서 2) 배우고, 그것을 분류 할 수있다.
파일에 포함 APK 파일 :
. 1) AndroidMainifest.xml 문헌
2) 폴더 입술
3) classes.dex 파일
. 4) resources.arsc
. 5) META-INF 폴더
안드로이드 리버스 엔지니어링 소프트웨어 애플리케이션되는 것을 방지하기 위해, 다음을 이용할 수있다 보호 조치 :
1) 코드 난독 화 : 당신은 코드를 더 읽기 어려울 디 컴파일, 자바 코드를 당황하게하는 ProGuard를 사용할 수 있습니다.
2) 셸 APK가 보호 하우징의 방법에있어서, 상기 보호 코드가 증가되고, 디 컴파일 불법 변경의 어려움이 증가된다.
3) 디버거 검출 : 동적 코드 디버거 모듈 검출기를 추가 프로그램이 디버거 결합되면 바로 프로그램 종료를 검출한다.
다음과 같이 IOS는 일반적인 분석 도구를 역
. 1) Dumpcrypt을 : 응용 프로그램이 작업이 수행 도정 앱 스토어에서 다운로드.
2) 클래스 덤프 : 리버스 엔지니어링의 초기 단계에서 일반적으로 클래스 덤프.
3)과 IDAPro HopperDisassembler : 공지 디스어셈블러 근방의 소스 코드에 정적 의사 코드의 정확하고 상세한 해석을위한 실행 파일.
4) 및 GDB LLDB
5) Cycript
리버스 엔지니어링, 상기 검색 시스템의 취약성과 보안 위험 시스템 보안, 리버스 엔지니어링을 보장하기 위해 더 나은 사용자의 보안을 보장하는 주요 수단이되었다.
4.4 가상화 보안
가상화는 전체 가상 환경의 스토리지 기술 지원 요구 사항을 계산 컴퓨팅 및 네트워크 보안 및 기타 지원 자원을 흐리게하는 것이 중요하다.
4.4.1 가상화 개요
컴퓨터 가상화 기술은 자원 관리 기술, 컴퓨터의 물리적 자원의 모든 종류의 그 것이다, 추상을 통해, 사용자로의 전환.
분류 4.4.2 가상화 기술
어플리케이션 별 :
1) 운영체제 가상화
2) 애플리케이션 가상화
3) 데스크톱 가상화
4) 스토리지 가상화, 가상 네트워크
장비 응용 모드에 따라 :
1) 많은
2) 다수 -
쌍 3) 복수 멀티
: 눌러 모드는 하드웨어 자원 분류 호출
1) 전체 가상화
2) 반 가상화
3) 하드웨어 지원 가상화
: 운영 플랫폼에 따라 분류
1) X86 플랫폼
이 아닌 X86 플랫폼) 2
보안 위협 4.4.3 가상화 환경
가상화 시스템 가능한 보안 문제 : 가상 머신 탈출, 가상화 된 네트워크 환경 위험, 가상화의 위험과 미러링 가상화 환경 위험 및 스냅 샷 파일.
4.4.4 가상화 보안 시스템
하이퍼 바이저 가상화 시스템의 핵심이며, 그 새로운 게스트 OS 이미지를 만들기 시작 게스트 OS로 제어 할 수 있고, 다른 특권 동작을 수행한다.
의 보안을 강화하는 방법에 대한 하이퍼 바이저 권장 사항 :
하이퍼 바이저의 설치가 업데이트 된 모든 자료 공급 업체 1)
2) 인터페이스 하이퍼 바이저 관리에 대한 접근 제한
3)을 모두 닫되지 않는 서비스 하이퍼 바이저
의 각 게스트 OS 모니터링하는 모니터링 기능을 사용하여 보안 4)
5) 하이퍼 바이저는 신중하게 서명을 자신의 취약점을 모니터링
: 게스트 OS의 자신의 안전 권고에 대해
1) 권장 경영 물리적 OS 준수하기 위해
신속하게 고객 OS의 모든 업데이트 설치)이
각 게스트 OS 3), 단절하지 않는 가상 하드웨어를 .
4) 각 게스트 OS에 대한 독립적 인 인증 제도 사용하여
제대로 물리적 호스트 시스템 장치에 연결되어 가상 게스트 OS 장치 보안 5)
,) 계획, 설계 (암호 인증 문제와 문제 : 보안 계획 및 배포의 주요 조치 실시 예 등 및 (물리적, 모니터링, 보안 구현, 운영 및 유지 보수에 대한 가상의 변환).
7.2 클라우드 보안
관련 개념의 7.2.1 구름
VM : 소프트웨어는 완전히 격리 된 환경 전체 컴퓨터 시스템, 패키지, 독립, 차단 성, 호환성 및 하드웨어 독립적으로 운영, 완벽한 하드웨어 시스템의 기능을함으로써 시뮬레이션.
클라우드는 일반적으로 대형 서버 클러스터의 번호, 각 그룹은 수십만 또는 서버의 수백만, 서비스의 공급 및 전체 가상 환경의 개발을 포함, 컴퓨팅 자원의 풀입니다.
기술 아키텍처에서 세 개의 층으로 나눌 수 있습니다 : 서비스 소프트웨어를 서비스로 서비스 및 인프라 같은 서비스 플랫폼으로.
객체 지향 클라우드에서이 퍼블릭 클라우드, 프라이빗 및 하이브리드 클라우드로 나눌 수 있습니다.
클라우드 컴퓨팅 : 사용자에게 서비스로 제공되는 자원을 효율적으로 풀을 수렴 곧 온 디맨드 서비스를위한 알고리즘.
클라우드 서비스의 패턴의 세 가지 다른 수준 : 서비스, 소프트웨어 서비스 등의 서비스, 플랫폼 등 인프라입니다.
클라우드 보안 : 클라우드 수단에서 파생 된 새로운 용어 계산이 할 수있는 안전하고 효율적인 실행을 클라우드 및 호스팅 서비스를 제공합니다.
구름에 직면 7.2.2 보안 문제
: 클라우드 보안 문제는 현재 주로 네 가지 영역에 집중되어있다 직면
1) 새로운 기술에 의해 제기 될 위험이 방법을 주소로
하는 방법 자원, 데이터 등과 관련된 위험을 계획하는 방법 2)
정책, 규제 문제의 위험 지표의 요구 사항을 구현하는 방법 3)
4) 방법 클라우드 자원의 운영 및 유지 보수를 관리하고 위험을 감수하는
새로운 기술의 보안 위험은 주로 제어, 동적 가상 머신 탈출 등등에 초점을 맞추었다.
중앙 집중식 보안 문제에 직면 클라우드 :
시스템, 중앙 권한 및 기타 문제를 식별하고 마이그레이션 1) 계획 및 네트워크 구조의 디자인의 존재는, 데이터 센터의 보안 측면 클라우드
2) 클라우드 플랫폼 관리자 권한 위험 학대가
) 사용자의 보안 격리 (3)
4) 자원 풀 리소스는 사용자를 납치하고 악의적 인 공격은
보안 요구 사항은 물리 계층, 네트워크 계층, 호스트 층, 애플리케이션 계층, 가상화 및 데이터 계층을 포함하여 6 단계의 건설에서 고려해야 할 클라우드 :
액세스 제어를 고려하는 1) 물리적 보안 측면, 화재 온도 및 습도 조절, 전자파 차폐, 피뢰기, 환경 모니터링 시스템의 정보 보안 측면.
2) 네트워크 보안 빌딩 보안은 FW, IDS / IPS, DDoS 공격에 의해 달성 될 VPN 등
3) 호스트 보안 엔드 포인트 보안, 등등 호스트 보안, 시스템 무결성 보호, OS 강화, 보안 패치, 바이러스 보호 및 정보 보안 보호 측면을 고려합니다.
4) 가상화 보안 건물은 가상화 플랫폼 강화, 강화 및 격리 된 가상 머신, 가상 네트워크 모니터링, 악성 VM, 가상 보안 게이트웨이 VFW / VIPS 및 기술 구현에 다른 측면의 예방을 고려할 수 있습니다.
5) 응용 프로그램 보안 건물은 다중 요소 인증 액세스, 웹 애플리케이션 방화벽, 보안 감사 기술을 채택 할 수도 있습니다.
보안을위한 데이터 액세스 보안 DB-FW, 암호화 된 화상 데이터 둔감 잔류 보호 정보 저장 위치 정보 보안 요구의 데이터를 제어 할 수있다 양태 6)