欢迎来到天天文库
浏览记录
ID:34398926
大小:221.50 KB
页数:6页
时间:2019-03-05
《系统漏洞原理与常见攻击方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、系统漏洞原理与常见攻击方法王雨晨华北计算技术研究所(北京#"""H%)摘要文章介绍了系统安全漏洞的基本概念,漏洞与不同安全级别操作系统之间的关系,及环境相关特性与时效性。通过对常见的系统攻击手段的描述,分析了系统攻击与系统漏洞之间的关系,通过实例,分析了计算机病毒问题与系统安全漏洞之间的联系。说明对系统安全漏洞问题进行研究对于保障系统安全的积极意义。关键词安全漏洞系统攻击计算机病毒!"#$%#&’()*+,-.(/01’$("23#’#.,2$4.5(6$2’,-()*6..2%782$9:1%5($63-."2%.:&I7
2、)*I+)7)0’.47,+)5J+8+’56<.8<+0*.G12)*+/F(68+’5K767*2,58,58562)+)7*L)<5()+58,7*L)’+65*7.8)I70>7*I/(6*706+)2)*+/+6+/+8*)766()*’5*+)*I+4(68+’5K767*20’.K6+/7))./+I.>+@7)*&-13-065*G.’/78,+0+8,+8*78-(’’+8*8+*>.’M+8(7.’8/+8*$;(,<)"4-:12)*+/F(68+’5K767*2,5**53、)#漏洞的概念的安全特点在于系统的客体(如文件、目录)可由该系统主体#$#什么是漏洞(如系统管理员、用户、应用程序)自主定义访问权。例如:管理漏洞是在硬件、软件、协议的具体实现或系统安全策略上员可以决定系统中任意文件的权限。当前?87@、A78(@、=78B存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或,.>)C&等操作系统都属此安全等级。破坏系统。D级———强制访问控制(:58,5*.’2;’.*+<*7.8),该等级的#$!漏洞与具体系统环境之间的关系及其时间相关安全特点在于由系统强制对客体进行安全保护,在该级安4、全系统中,每个系统客体及主体都有自己的安全标签,系统依据用特性户的安全等级赋予其对各个对象的访问权限。漏洞会影响到很大范围的软硬件设备,包括操作系统本身E级———可验证访问控制(F+’7G7+,;’.*+<*7.8),其特点在及支撑软件,路由器、防火墙等。在不同的软、硬件设备中,不同于系统拥有正式的分析及数学式方法可完全证明该系统的安系统,或同种系统在不同的设置条件下,都会存在各自不同的全策略及安全规格的完整性与一致性。安全漏洞问题。根据定义,系统所属安全级别越高,理论上该系统也越健漏洞问题有其时效性。一个系统从发布的那一天5、起,随着全。可以说,系统安全级别是一种理论上的安全保证机制。是指用户的使用,系统中存在的漏洞会被不断暴露出来,也会不断在某个系统根据理论得以正确实现时,系统应该可以达到的安被相应的补丁软件修补,或在随后发布的新版系统中纠正。而全程度。在系统中旧的漏洞被纠正的同时,往往也会引入一些新的漏洞安全漏洞的出现,是安全机制理论具体实现时出现的非正和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞常情况。比如建立安全机制规划时,在考虑上存在的缺陷,软件会不断出现。漏洞问题也会长期存在。编程中的错误,以及在实际使用时人为的配置错误等6、。而在一脱离具体的时间和具体的系统环境来讨论漏洞问题是毫切由人类实现的系统中都会不同程度地存在各种潜在错误。因无意义的。只能针对目标系统的实际环境来讨论其中可能存在的漏洞及其可行的解决办法。而可以说在所有系统中必定存在某些安全漏洞,不管这些漏洞应该看到,对漏洞问题的研究必须要跟踪当前最新的计算是否已被发现,也不管该系统的理论安全级别如何。机系统及其安全问题的最新发展动态。这一点与对计算机病毒可以认为,在一定程度上,安全漏洞问题是独立于操作系发展问题的研究相似。统本身的理论安全级别而存在的。并不是说,系统所属的安全级别越高,该7、系统中存在的安全漏洞就越少。!漏洞问题与不同安全级别计算机系统之间的关系安全与不安全只是一个相对的概念。可以这么理解,当系统中存在的某些漏洞被入侵者利用,使入侵者得以绕过系统中目前计算机系统安全的分级标准一般都是依据“受信任的一部分安全机制并获得对系统一定程度的访问权限后,在安计算机系统评估标准”(&’()*+,-./0(*+’12)*+/3456(5*7.8-’7*+’75),即“橘皮书”中的定义,将计算机系统的安全性能由全性较高的系统当中,入侵者如果希望获得特权或对系统造成高而低划分为四个等级。其中:较大的破坏,必须要克8、服更大的障碍。9级———最低保护(:787/56;’.*+<*7.8),凡没有通过其他安全等级测试项目的系统即属于该级,如9.),=78,.>)个人计%安全漏洞与系统攻击之间的关系算机系统。系统安全漏洞是在系统的实现和使用中产生的,在某些条-级———自主访问控制(97)<’+*7.85’2
3、)#漏洞的概念的安全特点在于系统的客体(如文件、目录)可由该系统主体#$#什么是漏洞(如系统管理员、用户、应用程序)自主定义访问权。例如:管理漏洞是在硬件、软件、协议的具体实现或系统安全策略上员可以决定系统中任意文件的权限。当前?87@、A78(@、=78B存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或,.>)C&等操作系统都属此安全等级。破坏系统。D级———强制访问控制(:58,5*.’2;’.*+<*7.8),该等级的#$!漏洞与具体系统环境之间的关系及其时间相关安全特点在于由系统强制对客体进行安全保护,在该级安
4、全系统中,每个系统客体及主体都有自己的安全标签,系统依据用特性户的安全等级赋予其对各个对象的访问权限。漏洞会影响到很大范围的软硬件设备,包括操作系统本身E级———可验证访问控制(F+’7G7+,;’.*+<*7.8),其特点在及支撑软件,路由器、防火墙等。在不同的软、硬件设备中,不同于系统拥有正式的分析及数学式方法可完全证明该系统的安系统,或同种系统在不同的设置条件下,都会存在各自不同的全策略及安全规格的完整性与一致性。安全漏洞问题。根据定义,系统所属安全级别越高,理论上该系统也越健漏洞问题有其时效性。一个系统从发布的那一天
5、起,随着全。可以说,系统安全级别是一种理论上的安全保证机制。是指用户的使用,系统中存在的漏洞会被不断暴露出来,也会不断在某个系统根据理论得以正确实现时,系统应该可以达到的安被相应的补丁软件修补,或在随后发布的新版系统中纠正。而全程度。在系统中旧的漏洞被纠正的同时,往往也会引入一些新的漏洞安全漏洞的出现,是安全机制理论具体实现时出现的非正和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞常情况。比如建立安全机制规划时,在考虑上存在的缺陷,软件会不断出现。漏洞问题也会长期存在。编程中的错误,以及在实际使用时人为的配置错误等
6、。而在一脱离具体的时间和具体的系统环境来讨论漏洞问题是毫切由人类实现的系统中都会不同程度地存在各种潜在错误。因无意义的。只能针对目标系统的实际环境来讨论其中可能存在的漏洞及其可行的解决办法。而可以说在所有系统中必定存在某些安全漏洞,不管这些漏洞应该看到,对漏洞问题的研究必须要跟踪当前最新的计算是否已被发现,也不管该系统的理论安全级别如何。机系统及其安全问题的最新发展动态。这一点与对计算机病毒可以认为,在一定程度上,安全漏洞问题是独立于操作系发展问题的研究相似。统本身的理论安全级别而存在的。并不是说,系统所属的安全级别越高,该
7、系统中存在的安全漏洞就越少。!漏洞问题与不同安全级别计算机系统之间的关系安全与不安全只是一个相对的概念。可以这么理解,当系统中存在的某些漏洞被入侵者利用,使入侵者得以绕过系统中目前计算机系统安全的分级标准一般都是依据“受信任的一部分安全机制并获得对系统一定程度的访问权限后,在安计算机系统评估标准”(&’()*+,-./0(*+’12)*+/3456(5*7.8-’7*+’75),即“橘皮书”中的定义,将计算机系统的安全性能由全性较高的系统当中,入侵者如果希望获得特权或对系统造成高而低划分为四个等级。其中:较大的破坏,必须要克
8、服更大的障碍。9级———最低保护(:787/56;’.*+<*7.8),凡没有通过其他安全等级测试项目的系统即属于该级,如9.),=78,.>)个人计%安全漏洞与系统攻击之间的关系算机系统。系统安全漏洞是在系统的实现和使用中产生的,在某些条-级———自主访问控制(97)<’+*7.85’2
此文档下载收益归作者所有