1.centos6.5安装到U盘出问题
2.计算机风险评估怎么写
我只知道USB移动设备做引导需要用USBBOOT这个软件处理一下,可以装WinPE系统,WinXP能不能用不太清楚。反正IDE设备的引导程序引导不了USB。
你想做维护么,维护Linux的话可以刻张Ubuntu live的光盘,Ubuntu Live的U盘也可以做,要不然Windows起来也识别不了文件系统
centos6.5安装到U盘出问题
修改bash_porfile 添加
LD_LIBRARY_PATH=$ORACLE_HOME/lib
或者
LD_LIBRARY_PATH=$ORACLE_HOME/lib64
你的应该是64的。一般这样的安装问题都是缺包或者路径问题。另外,这里可以选择继续,安装完成后再补一步即可:
[oracle@hyl bin]$ /u01//oracle/product/10.2.0/db_1/bin/relink all
计算机风险评估怎么写
usblinux 把linux系统安装到u盘里
加电
BIOS 找启动方式,找设备
MBR
grub
vmlinux initrd
产生init
/etc/inittab -->找到应该启动的级别
按照不同的级别启动不同类型的服务 /etc/rcX.d/
/etc/rc.sysinit
/etc/rc.local
产生终端 可以登录
ls /root/install.log
livecd 不用安装,直接可以使用系统的CD,DVD
回顾开机启动的过程:
开机-->bios(配置主板的程序,basic input and output system,加电自检,找到启动设备的编号)-->找到mbr(master bootloader record,它是属于硬盘的0磁盘0扇区)-->grub-->通过grub找到vmlinuz和initrd(驱动硬件)--> 内核启动,产生init进程-->/etc/inittab(确定系统的启动级别)-->/etc/rc.sysinit(获取主机的网络环境和主机类型,测试与载入设备,是否启动selinux,模块的加载,设置系统时间.................)-->/etc/rc.local
与USB有关的模块
[root@li ~]# lsmod |grep ci
uhci_hcd 25421 0
ohci_hcd 24553 0
ehci_hcd 33869 0
--因为U盘分区在windows下不认,所以我这里两G的U盘,直接都用来做usblinux
1,首先删除U盘里原有分区
第一种:用fdisk /dev/sdb,然后用d命令去删除
第二种:dd if=/dev/zero of=/dev/sdb bs= count=1 --删除磁盘分区信息
重新按照规划的去分区:
Disk /dev/sdb: 2000 MB, 2000570368 bytes
62 heads, 62 sectors/track, 1016 cylinders
Units = cylinders of 3844 * 512 = 1968128 bytes
Device Boot Start End Blocks Id System
/dev/sdb1 * 1 763 1466455 83 Linux
/dev/sdb2 764 1016 486266 82 Linux swap / Solaris
Command (m for help): w
--或者分为1G做usblinux,500m做swap,500m留给fat32
Disk /dev/sdb: 2000 MB, 2000570368 bytes
62 heads, 62 sectors/track, 1016 cylinders
Units = cylinders of 3844 * 512 = 1968128 bytes
Device Boot Start End Blocks Id System
/dev/sdb1 * 1 509 8267 83 Linux
/dev/sdb2 510 764 490110 82 Linux swap / Solaris
/dev/sdb3 765 1016 484344 b W95 FAT32
Command (m for help): w
[root@li ~]# partprobe
--有些U盘报kerenl相关的两到三段信息,就不要使用多分区,就分一个分区。
2,格式化分区,并挂载
[root@li ]# partprobe --fdisk分区后,都要用此命令刷新
--这一步,有很多U盘会报错,如果报错的话最好去windows虚拟机下全格一下,再重新在linux下来做
[root@li ]# mkfs -t ext3 /dev/sdb1
[root@li ]# mkswap /dev/sdb2
[root@li ]# mkdir /usb
[root@li ]# mount /dev/sdb1 /usb/ --建立一个目录,挂载/dev/sdb1
3,安装基本的目录结构
准备光盘iso文件,挂载到一个目录去
[root@li ]# mount /share/iso/rhel-5.4-server-i386-dvd.iso /yum/ -o loop
[root@li ]# cd /yum/Server/
[root@li Server]# rpm -qip filesystem-2.4.0-2.i386.rpm
Description :
filesystem 软件包是安装在红帽 Linux 系统上的一个基本
软件包。filesystem 含有一个 Linux 操作系统的基本目录布局,
包括各目录的正确许可权限。
要使用--nodeps脱离依赖性才可以安装
[root@li Server]# rpm -ivh --root=/usb/ --nodeps filesystem-2.4.0-2.i386.rpm
或者先装setup包,再装filesystem包
[root@li ~]# rpm -ivh --root=/usb /share/yum/Server/setup-2.5.58-7.el5.noarch.rpm
[root@li ~]# rpm -ivh --root=/usb /share/yum/Server/filesystem-2.4.0-2.i386.rpm
[root@li ~]# ls /usb --一个基本的目录布局就已经装好了
bin etc lost+found opt sbin sys var
boot home media proc selinux tmp
dev lib mnt root srv usr
4,安装相应的软件包,也就是定制功能
下面最主要的一步就是安装系统的软件包,首先要思考安装的这个USB系统需要什么功能,比如最基本的命令ls,cd等
这里可以选择使用busybox(是一个基本命令工具集),但如果对其不是特别熟悉,还是按基本命令一个一个的来选
首先要ash包,包含50多个内部命令
[root@dns Server]# chroot /usb --不ash无法 chroot进去
chroot: cannot run command `/bin/bash': No such file or directory
[root@dns Server]# rpm -qf /bin/ls
coreutils-5.-23.el5
[root@dns Server]# rpm -qf `which vi`
vim-minimal-7.0.109-6.el5
[root@dns Server]# rpm -qf `which vim`
vim-enhanced-7.0.109-6.el5
[root@dns Server]# rpm -qf `which ping`
iputils-20020927-46.el5
[root@dns Server]# rpm -qf `which mount`
util-linux-2.13-0.52.el5
[root@dns Server]# rpm -qf `which tar`
tar-1.15.1-23.0.1.el5
[root@dns Server]# rpm -qf `which rpm`
rpm-4.4.2.3-18.el5
[root@dns Server]# rpm -qf `which man`
man-1.6d-1.1
[root@dns Server]# rpm -qf `which ssh`
openssh-clients-4.3p2-36.el5
[root@dns Server]# rpm -qf `which awk`
gawk-3.1.5-14.el5
[root@dns Server]# rpm -qf `which sed`
sed-4.1.5-5.fc6
[root@dns Server]# rpm -qf `which grep`
grep-2.5.1-55.el5
[root@dns Server]# rpm -qf `which find`
findutils-4.2.27-6.el5
[root@dns Server]# rpm -qf `which locate`
mlocate-0.15-1.el5.2
[root@dns Server]# rpm -qf `which useradd`
shadow-utils-4.0.17-14.el5
[root@dns Server]# rpm -qf `which passwd`
passwd-0.73-1
[root@dns Server]# rpm -qf `which init`
SysVinit-2.86-15.el5
[root@dns Server]# rpm -qf `which clear`
ncurses-5.5-24.20060715
[root@dns Server]# rpm -qf `which ps`
procps-3.2.7-11.1.el5
[root@dns Server]# rpm -qf /usr/bin/which
which-2.16-7
[root@dns Server]# rpm -qf `which ifconfig`
net-tools-1.60-78.el5
[root@dns Server]# rpm -qf `which fdisk`
util-linux-2.13-0.52.el5
[root@dns Server]# rpm -qf `which partprobe`
parted-1.8.1-23.el5
[root@li ~]# rpm -qf `which showmount`
nfs-utils-1.0.9-42.el5
[root@li ~]# rpm -qf `which service`
initscripts-8.45.30-2.el5
[root@li Server]# rpm -qf `which bzip2`
bzip2-1.0.3-4.el5_2
[root@li Server]# rpm -qf `which gzip`
gzip-1.3.5-10.el5
--经过上面对基本命令的包查找,最终安装下列这些基本包
[root@dns Server]# yum install --installroot=/usb bash coreutils vim-minimal vim-enhanced iputils util-linux tar rpm man openssh-clients gawk sed grep findutils mlocate shadow-utils passwd SysVinit ncurses procps which net-tools util-linux parted nfs-utils initscripts bzip2 gzip
--如果上面步骤安装完后,有忘记安装的包,再使用yum装不上去
[root@li ~]# yum install --installroot=/usb iptables
Loaded plugins: downloadonly, rhnplugin, security
This system is not registered with RHN.
RHN support will be disabled.
Setting up Install Process
No package iptables ailable.
Nothing to do
--所以再安装的话使用rpm去安装
[root@li ~]# rpm -ivh --root=/usb /share/yum/Server/iptables-1.3.5-5.3.el5.i386.rpm
5,安装启动引导文件和模块
[root@li Server]# chroot /usb --使用此命令,就是以/usb目录为根目录了
bash-3.2# ls /boot/ --可以看到现在usblinux里的/boot目录没有任何文件
bash-3.2# exit --用exit退出chroot模式
exit
[root@li ~]# cp /etc/skel/.bash* /usb/root/ -rf
--拷环境变量模版过去
定制支持usb存储启动的ramdisk(initrd文件)
[root@li Server]# mkinitrd --with usb_storage /usb/boot/initrd.img `uname -r`
从真机上拷贝vmlinuz到usblinux对应目录
[root@li Server]# cp /boot/vmlinuz-2.6.18-164.el5 /usb/boot/vmlinuz
从真机上拷贝内核模块到usblinux对应目录
[root@li Server]# cp /lib/modules/2.6.18-164.el5/ /usb/lib/modules/ -rf
拷内核源码,可选步骤
[root@li Server]# mkdir /usb/usr/src/kernels/
[root@dns Server]# cp /usr/src/kernels/2.6.18-164.el5-i686/ /usb/usr/src/kernels/ -rf
6,安装并手动写grub
--如果是用真实机分区来代替U盘做usblinux的话,这一步不用做,只需要把这个分区的引导信息加入到真实机的配置文件里就可以了
安装grub包,用--nodeps脱离依赖性
[root@li Server]# rpm -ivh --nodeps --root=/usb grub-0.-13.5.i386.rpm
--脱离依赖安装,会没有splash.xpm.gz,可以从真机拷一个
也可以按下面安装
[root@li ~]# rpm -ivh --root=/usb /share/yum/Server/*logos*
warning: /share/yum/Server/redhat-logos-4.9.16-1.noarch.rpm
[root@li ~]# rpm -ivh --root=/usb /share/yum/Server/grub-0.-13.5.i386.rpm
--但这样安装完后,grub目录下只有一个背景
[root@dns Server]# ls /usb/boot/grub/
splash.xpm.gz
grub-install安装到/dev/sdb
[root@li Server]# grub-install --root-directory=/usb --recheck /dev/sdb
--如果是用真实机分区来做的话,这里/dev/sdb改成/dev/sda
--grub-install之后,grub目录的基本文件就有了(除了配置文件grub.conf)
[root@dns Server]# ls /usb/boot/grub/
device.map iso9660_stage1_5 splash.xpm.gz vstafs_stage1_5
e2fs_stage1_5 jfs_stage1_5 stage1 xfs_stage1_5
fat_stage1_5 minix_stage1_5 stage2
ffs_stage1_5 reiserfs_stage1_5 ufs2_stage1_5
修改device.map
[root@li Server]# vim /usb/boot/grub/device.map
(hd0) /dev/sdb
--如果是用真实机分区来做的话,这里/dev/sdb改成/dev/sda
手动写grub.conf文件
--下面是以u盘来做的写法
[root@li Server]# vim /usb/boot/grub/grub.conf
default=0
timeout=-1
splashimage=(hd0,0)/boot/grub/splash.xpm.gz
title usblinux
root (hd0,0)
kernel /boot/vmlinuz ro root=/dev/sdb1
initrd /boot/initrd.img
=============================================
--因为我这次是使用真实机的/dev/sda14来做根./dev/sda15做swap
上面的第6步不用做,只做这一小段就好了
所以把下面这段加到真实机的/boot/grub/grub.conf里
title usblinux
root (hd0,13) --因为我模拟的这个usblinux的根为sda14,所以这里写13
kernel /boot/vmlinuz ro root=/dev/sda14
initrd /boot/initrd.img
# grub-install /dev/sda --加完后,就grub-install安装一下
--------------------------------------------------
7,拷贝密码文件,拷贝环境变量
--这一步可以不拷,因为现在usblinux上默认有passwd和group文件,没有shadow和gshadow
--里面默认有root用户和系统用户
[root@li Server]# cp /etc/passwd /usb/etc/passwd
[root@li Server]# chroot /usb/ --再次chroot到/usb目录,提示符就变了
[root@li /]# pwconv --同步/etc/passwd和/etc/shadow
[root@li /]# grpconv --同步/etc/group和/etc/gshadow
[root@li /]# passwd root --修改root的密码,到时候登录需要
8,手动编写fstab文件
[root@li /]# vim /etc/fstab --注意这里是usblinux系统里的fstab,因为已经chroot进来了
/dev/sdb1 / ext3 defaults 0 0
/dev/sdb2 swap swap defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
tmpfs /dev/shm tmpfs defaults 0 0
--用真实机的/dev/sda14来做根./dev/sda15做swap的话,就把上面的sdb1换成sda14,sdb2换成sda15,其它的不变
9,让usblinux支持网络
从真机拷贝eth0的配置文件到usblinux对应目录中:
[root@li Server]# cp /etc/sysconfig/network-scripts/ifcfg-eth0 /usb/etc/sysconfig/network-scripts/
修改网络配置文件,可以改成静态IP
[root@li Server]# vim /usb/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
从真机拷贝全局网络配置文件到usblinux对应目录中
[root@li Server]# cp /etc/sysconfig/network /usb/etc/sysconfig/
从真机拷贝modprobe.conf到usblinux对应目录中
[root@li Server]# cp /etc/modprobe.conf /usb/etc/
alias eth0 8139too --注意这一句在不同的系统里可能要修改,现在这里的网卡模块是8139too,所以这里是8139too就可以;这个在虚拟机里为pcnet32
然后重启系统,在bios选择使用usb引导进入系统,去验证功能
--如果是真实机分区做的,就不用改bios,直接在grub选择菜单选择usblinux引导进入就可以了
-------------------------------------------------------------
上面的步骤里还没有去加的功能有 动态获取IP (需要安装dhclient包)
没有yum命令,没有图形界面 (有需要的话,自己使用rpm安装yum命令后,使用yum安装图形包的两个组)
启动时有大量无用信息, 可以在grub.conf里加rhgb quiet来解决
但重启后还会有一个错误信息:
(会有一个usb_storage的报错信息,但此信息没有影响,是mkinitrd --with usb_storage时造成的)
如果一定要除掉这句报错,可以手工修改initrd文件
# cd /tmp
# cp /usb/boot/initrd.img /tmp/initrd.img.gz
# gunzip initrd.img.gz
# cpio -i --make-directories < initrd.img
# rm initrd.img
# vim init --打开,删除以下的几行
echo "loading usb-storage.ko module"
insmod /lib/usb-storage.ko
echo waiting for dirver initialization
stabilized /proc/bus/usb/devices
echo waiting for driver initializtin
# find . | cpio -c -o > ../initrd.img
# gzip -9 ../initrd.img
# cp ../initrd.mg.gz /usb/boot/initrd.img
=============================================================
1. 版本演变评估规则
1.1. 基本原则
这个问题可以参考任何一本关于计算机网络、操作系统的教材,可以看到各式各样的要求,总体上的要求都是源于国际化的评估标准ISO来确定的。所以在这里我们不再细说,仅列表显示:
静态网络安全风险分析与评估; 网络拓扑结构安全性分析; 网络拓扑结构是否满足安全需求; 内外服务器的安全策略; 内部网络的安全域范围划分。 防火墙系统的安全性分析; 防火墙口令强度分析; 防火墙安全策略分析; 防火墙日志分析。 操作系统和服务器系统的安全性分析; 操作系统的版本及其补丁分析; 服务器的版本及其补丁分析; IIS的系统设置,用户管理,访问规则的风险评估; 提供各种网络服务软件的版本,补丁及其配置文件; 相关日志分析,检查可疑操作及行为; 检测系统后门程序。 网络设备的安全性分析; 路由器的口令强度分析; 交换机的划分区域分析; 拨号设备的安全策略分析; 加密设备的安全性分析; 数据备份的安全性分析; 防恶意代码的安全性分析; 系统处理的有效性分析; 系统处理特洛伊木马的有效性分析。 提供分析报告和安全建议; 系统漏洞和网络漏洞扫描及安全检测; 系统安全检测; 系统帐号检测; 组帐号检测; 系统日志检测; 主机信任关系检测; 系统配置文件检测; 关键系统文件的基线检测; 口令强度检测; 系统安全漏洞检测; 系统脆弱性分析; 有控制的渗透检测; 日志文件检查; 提供分析报告及安全建议。 网络安全检测; 端口扫描测试; 拒绝服务攻击测试; Web 扫描和攻击测试; 口令强度猜测; 针对 Ftp 、 Sendmail 、 Telnet 、 Rpc 、 NFS 等网络服务攻击测试; 提供分析报告和安全建议1.1.1. 可生存性
这个概念基于1993年Barnes提出的原始定义:将安全视为可伸缩的概念。具有可生存能力的系统,对内,不依赖于任何一个专门的组件;对外,系统可以容忍一定级别的入侵。严格的来说,这样的系统是一个具备灾难恢复容侵容错的整体,在网络攻击、系统出错和意外事故出现的情况下仍能完成其任务的特性。针对当前黑客对系统有效性攻击为目的的情况,系统的生存能力成为传统的机密性保护之外系统必备的考虑因素。系统的安全不再受某一个单一组件的制约,而成为一个拥有足够自救能力的实体。
对生存性主要考察的因素包括:
系统的具体功能:数据库?web server?还是PC? 所处物理环境:与非操作人员隔离?直接暴露在internet上?处于防火墙后或DMZ中?有无防护机制或入侵检测软件? 系统各项配置:无关服务是否关闭?不必要的网络端口是否禁用? 是否配置有保证系统生存能力的部件和机制:备份机制、替换机制、服务退化机制?1.1.2. 传统保护机制要求CIAA
1.2. 保护机制
1.2.1. 实体保护
1.2.1.1. 隔离保护
对于多线程多进程的操作系统,必须保证各个进程与线程都是相互独立彼此无影响的。结合进程的定义,因此,线程与进程所调用控制的必须是互不相同的,及彼此无认知。
物理隔离:不同的进程和线程使用不同的对象和设备 暂时隔离:同一进程在不同的时间按不同的安全需要执行 逻辑隔离:操作系统限制程序的访问:不能访问允许之外的客体 加密隔离:利用加密算法对相应对象进行加密 隔绝1.2.1.2. 存储器保护
多道程序的最重要问题是如何防止一个程序影响其他程序的存储空间,保护存储器的有效使用成本较低,包括栅栏保护、基址边界保护和段页式保护。
1.2.1.3. 运行保护
根据安全策略,把进程的运行区域划分为同心环,进行运行的安全保护
1.2.1.4. I/O保护
将I/O视为文件,规定I/O是操作系统的特权操作,读写操作作为高层系统调用,对用户忽略操作细节
1.2.2. 标识与认证
正确识别认证和管理实体的符号,作为标识;用户名是身份认证的标识;安全级别是访问控制的标识。
1.2.3. 访问控制
1.2.3.1. 概念
操作系统安全保障机制的核心,实现数据机密性和完整性的主要手段。访问控制限制访问主体对被访问客体的访问权限,确保主体对客体的访问必须是授权访问,而且授权策略是安全的,从而保证计算机系统使用环境为合法范围。
1.2.3.2. 过程
通过“鉴别”来验证主体合法身份。 通过“授权”来限制用户对的访问级别。常用的访问控制可分为自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。
1.3. 评估方法
目前,根据我看过的资料至少有以下几种:
基于特权提升的量化评估 基于粗糙集理论的主机评估 基于弱点数目的安全评估 基于安全弱点的综合量化评估2. 主流os基于版本的演变
2.1. Windows
2.1.1. Windows vista版本安全性比较
2.1.2. 服务器角度评估主流操作系统
服务器操作系统主要分为四大流派:WINDOWS、NETWARE、UNIX、LINUX。
WINDOWS主流产品:WINNT4.0Server、Win2000/Advanced Server、Win2003/Advanced Server。 NetWare主要应用于某些特定的行业中。以其优异的批处理功能和安全、稳定的系统性能也有很大的生存空间。 Unix服务器操作系统是由AT&T公司和SCO公司共同推出,主要支持大型的文件系统服务、数据服务等应用。市场流传主要是SCO SVR、BSD Unix、SUN Solaris、IBM-AIX。 Linux服务器操作系统是国内外几位IT前辈,在Posix和Unix基础上开发出来的,支持多用户、多任务、多线程、多CPU。因为开发源码,其成为国内外很多保密机构服务器操作系统购的首选。主流产品Novell中文版、Red Hat、红旗Linux。综述
优点
缺点
Windows
WINNT 4.0
直观、稳定、安全的服务器平台先河。尤为突出的是其NT架构内核意义深远。
操作直观,易于使用,功能实用,安全性能较好,可用于单一的防火墙的服务器上。
运行速度慢,功能不够完善,当进行超出系统处理能力的多项并发处理时,单个线程的不响应使系统由于不堪重负产生死机现象
Win2000/
Advanced Server
对NT内核的壳部分进行了很大程度的响应与传输优化并附加管理功能。实现速度与功能的提升,安全上修不了所有以往的后门。
操作直观、易于使用,功能随时代发展具有大幅的提升,管理更加全面,单个线程不响应问题得到解决
运行速度有所提升但仍有缺憾,系统的稳定性与安全性较NT有削弱。
Win2003/Advanced Server
继承人性化的WinXP界面,内核处理技术很大改良,安全性能很大提升,管理功能增加流行新技术
操作易用性,人性化版本,安全性Windows系列中最佳的,线程处理速度跟随硬件的发展有所提升,管理能力不小的改善。
安全性能不够完善,线程处理更加繁杂。
UNIX
SCO SVR、BSD Unix
支持网络大型文件系统、数据库系统,兼容更多的软件应用,属于非开源代码,系统稳定性与安全性地位高高在上,无法动摇
系统安全性与稳定性稳如泰山,能够支持大型文件系统与数据库系统
代码式命令触动,人性化差,阻碍中低端服务器市场的发展,深层技术研究推广有限,改善不明显。
SUN Solaris、IBM-AIX
后来居上!服务器厂商对于己身的服务器操作系统支持比较足够,对两这服务器的市场占有率及技术含量起了很大的推动作用。
支持大型文件系统与数据库、传承了UNIX一贯的高能级系统安全性、稳定性,对于系统应用软件的支持比较完善。
沾染了Unix系统的通病,人性化界面不着边,非开源使得技术层面为得到推广,不够“物美价廉”。
Linux
Red Hat、红旗Linux
中国商用化是购的推动,考虑到机密数据的安全性。红旗的官方获利最大,小红帽的民间流传最广
源码开放使得技术完善从民间得到了其他厂商无法比拟的雄厚力量,其兼容、安全、稳定特性不容忽视
基于Unix的修补开发属于类Unix模式,兼容性较其他os有差距,代码输入命令为主,人性化不足,维护成本偏高。
Suse Linux
结合Linux开源与人性化界面的操作系统,绚丽而高难的三维立体空间显示!
稳定、安全,兼容性有提高,有人性化设计,漂亮的显示
兼容性照微软有差距,立体空间显示技术不成熟。
NetWare
Netware
基础设备低要求,方便的实现网络连接与支持、对无盘工作站的优化组建、支持更多应用软件的优势。
操作相对方便,设备要求低,网络组建先天优势,支持金融行业所需的无盘工作站同时节约成本,支持很多游戏软件的开发环境搭建,系统稳定性和Unix系统基本持平。
操作大部分以来手工输入命令实现,人性化弱势,硬盘识别最高只能达到1G,无法满足现代社会对于大容量服务器的需求,个版本的升级只是实现了部分功能的实现与软件支持,没有深层次的技术更新。
2.2. 多种os相互比较
2.2.1. 基于特权提升的量化评估
以下数据来自计算机风险评估课件,显示利用如题方法比较三种主流服务器的安全性能得到的结果,结论如图。比较过程不再赘述。
2.2.2. 漏洞大比拼
这里看到的数据是微软推出vista六个月的统计数据。虽然漏洞数目不足以作为说明安全性优劣的唯一证据,但是一定程度上反映了该系统即将面对的攻击威胁以及脆弱性挑战或者更是受关注度的指标。以下数据来自微软可信计算组(TCG)安全战略总监Jeff Jones。
ü Vista - 2006年11月30日正式上市,六个月内微软发布了四次大型安全公告,处理了12个影响Windows Vista的漏洞,仅有一个高危漏洞。
ü Windows XP – 2001年10月25日正式上市。前三周已披露和修复了IE中的3个漏洞。上市后六个月内修复漏洞36个,其中23个属于高危漏洞。
ü RHEL4W – 最受欢迎的Linux发行版,2005年2月15日上市,提供一般使用之前,出货的组件就有129个公开披露的bug,其中40个属于高危漏洞。上市六个月内,Red Hat修复了281个漏洞,其中86个属于高危。而对于RHEL4W精简组件版本,Red Hat修复了214个影响精简的RHEL4WS组建集漏洞,包括62个高危。
ü Ubuntu 6.06 LTS – 2006年6月1日正式上市。在此之前已公开披露的漏洞有29个,其中9个高危漏洞。上市六个月,Ubuntu修复了145个影响Ubuntu6.06 LTS的漏洞,其中47个高危。而其精简组件版本六个月内漏洞74个,其中28个高危。
ü Novell的SLED 10(SUSE Linux Enterprise Desktop 10)- 2006年7月17日正式上市,出货日期前已公开23个漏洞,六个月内对其中20个进行修复,其中5个高危漏洞。上市六个月共修复159个影响SLED 10 的漏洞,其中50个为高危。
ü Mac OS X v10.4 – 2005年4月20日正式上市,上市前批露10个漏洞,六个月内修补其中9个,包括3个高危。上市六个月内苹果公司60个影响OS X v10.4的漏洞,其中18个列为高危。
3. 系统安全风险基于时间的演变
3.1. 系统内部
这一类的问题集中在代码层,可能存在开发人员的疏忽,也可能是使用者错误操作或特殊操作引起的软件本身的漏洞和错误,更可能出于特定物理环境的诱因。从这一角度来说,系统内部威胁取决于用户需求的发展,硬件发展,编程语言环境发展等多个问题。因此,间接性的与时间挂钩!
3.2. 外来入侵
3.2.1.
最初的制造者通常以炫技、恶作剧或者仇视破坏为目的;从2000年开始,制造者逐渐开始贪婪,越来越多的以获取经济利益为目的;而近一两年来,黑客和制造者越来越狡猾,他们正改变以往的编写方式,研究各种网络平台系统和网络应用的流程,甚至杀毒软件的查杀、防御技术,寻找各种漏洞进行攻击。除了在程序编写上越来越巧妙外,他们更加注重攻击“策略”和传播、入侵流程,通过各种手段躲避杀毒软件的追杀和安全防护措施,达到获取经济利益的目的。产生这种现象的原因主要有两个,一是国内互联网软件和应用存在大量安全隐患,普遍缺乏有效的安全防护措施,而是国内黑客/制造者集团化、产业化运作,批量地制造电脑。
3.2.2. 攻击
攻击者以前是利用高严重级别漏洞发起直接攻击,现在用的方式转变为发现并利用第三方应用程序(如Web应用程序和Web浏览器)中的中等严重级别漏洞。这些漏洞通常被“网关”攻击加以利用,这类攻击的特点是,初始的漏洞利用并不会立即危及数据,而是先建立安身之所,随后在发起更多恶意攻击。根据赛门铁克的安全报告,互联网上的恶意活动肆虐,其中网络钓鱼、垃圾邮件、bot网络、特洛伊木马和零日威胁与日俱增。然而,过去攻击者往往是单独利用这些威胁,现在他们用了更高明的手段,将整合成为全球网络,以便利于实施相互协作的犯罪活动。从而导致不同的威胁和方法逐渐相互贯通互相利用。如,有目标性的恶意代码可能利用支持Web的技术和第三方应用程序来安装后门,然后下载并安ot软件。随后,这些bot用来分发垃圾邮件,托管网络钓鱼站点或以创建一个恶意活动协作网络的方式来发起攻击。这些网络建立之后成为恶意活动的全球网络,支持其各自的持续发展。
值得一提的是,攻击的形式也随着技术的发展而不断升级。软件虚拟化的实现,随之而来的是虚拟技术威胁的上市。针对虚拟机不对主机信息提供保护的特性,以虚拟机中实际使用的硬件为目标和对虚拟机上访客操作系统中使用的随机数生成器产生的影响为基础,演变成为新的两类威胁。
如此看来,信息时代的经济化带动了网络威胁的系统化、经济化。
本文来自CSDN博客,转载请标明出处:://blog.csdn.net/April_ye/archive/2007/12/12/1931198.aspx