終端安全(書)

本書作者、頂級安全專家Mark S.Kadrich系統地闡述了終端安全是影響信息系統安全的根源這個學術觀點，同時提出了以過程控制模型構建網路安全的方法。同時本書也從實際出發，介紹了如何通過過程控制技術來幫助讀者保護所有的終端設備，從Microsoft Windows、Apple OS X、Linux到PDA、智慧型電話、嵌入式設備。儘管在安全技術和培訓中已經投入了大量人力和資金，但黑客們總是能成功攻擊網路中最薄弱的環節——終端。在本書中，作者還介紹了許多實際的信息安全技術、軟體和工具，對讀者有很高的參考和套用價值。

本書特別適合用作信息安全、計算機、通信、電子工程等領域的科技人員的技術參考書，或作為相關專業的教材。

在過去20年裡，Mark S.Kadrich是信息安全界頗有貢獻的一員。他長於系統級設計、策略制訂、終端安全和風險管理。Kadrich先生已經出版過很多書籍和刊物，是一個熱心的作者。

Kadrich先生目前是The Security Consortium（TSC）公司的總裁兼執行長，這是一家私人控股公司，其任務是向客戶提供更好的安全產品知識。TSC深入地測試並評價安全產品及其廠商。作為執行長和主要推廣人員，Kadrich先生負責確保公司能持續增長。

Symantec公司收購了Sygate公司之後，Kadrich先生擔任了Symantec公司的網路與終端安全高級經理一職。他的職責是：確保Symantec公司的業務部門在追求創新的技術解決方案的同時，能正確理解安全策略。

在Symantec收購Sygate之前，Kadrich先生是Sygate的資深科學家。在擔任資深科學家期間，Kadrich先生負責制定公司策略，把握未來安全趨勢，設法讓公司規劃通過政府的審批並根據需要推動規劃。作為Altview公司的創始人之一，在Sygate收購這家創業公司的時候，Kadrich先生加入了Sygate。

Kadrich先生是Altview公司的創始人，作為主要架構師，他負責設計了一個對網路及其終端進行掃描和場境化的系統，並建立了詳細的知識庫。該系統最終叫做Magellan系統，它能確定網路上有什麼終端、網路在如何變化；如果有終端要管理的話，該系統還能確定什麼樣的終端易於管理。

作為LDT Systems公司的首席技術官（CTO）和首席安全官（CSO），Kadrich先生協助開發和維護了一個基於Web的系統，用於可靠地獲取和跟蹤器官捐贈者的資料。

Kadrich先生曾是Counterpane網際網路安全公司的技術服務主任。他負責擬定方法，以培養和提高Counterpane公司在與客戶相關的安全活動方面，部署產品和提供服務支持的能力。

Kadrich先生擔任過Conxion公司的安全主任。作為安全主任，其職責是規劃Conxion信息安全解決方案的戰略方針。

在擔任Conxion公司的安全主任之前，他是International Network Service（INS）公司的首席顧問，創建了一種安全評估的方法，並向業界主管解釋正確實施安全規劃的好處。

Kadrich先生是一個信息系統安全認證專家（CISSP），持有Phoenix大學管理信息系統的學士學位，並有計算機工程和電氣工程學位（Memphis，1979年）。他的論著發表在《TCP 內幕》、《出版雜誌》、《全球信息技術》、《RSA》、《CSI》，以及《黑帽簡報》等雜誌和出版物上。

第1章 定義終端 1

1.1 概要 2

1.2 特別注意 3

1.3 Windows終端 3

1.4 非Windows終端 5

1.5 嵌入式終端 5

1.6 行動電話和個人數字助理（PDA） 7

1.7 Palm 8

1.8 Windows CE——Windows Mobile 8

1.9 SYMBIAN作業系統 9

1.10 黑莓 10

1.11 消失的邊界——騙人 11

1.11.1 邊界在變化 12

1.11.2 快速移動不等於消失 12

1.11.3 終端是新的邊界 13

1.11.4 保護數據 14

1.12 關鍵點 14

1.12.1 終端是新的戰場 14

1.12.2 對人類來說變化太快 14

第2章 安全防護為什麼會失敗 15

2.1 概要 16

2.2 特別注意 16

2.3 設定舞台 17

2.4 商業利益驅動的過程 19

2.4.1 解決過去問題的方案 20

2.4.2 我們沒有嚴格地質問廠商 21

2.5 病毒、蠕蟲、木馬和殭屍程式 21

2.5.1 今天的惡意軟體：大、快而且危險 22

2.5.2 引人矚目的失敗 23

2.5.3 攻擊利用的是什麼 24

2.5.4 殭屍程式 24

2.6 可以料想的悲慘結果 26

2.6.1 比以往更多的花費 26

2.6.2 我們無法獲得預期的成功 28

2.6.3 我們仍然很詫異 28

2.7 有什麼遺漏嗎 29

2.7.1 我們做錯了什麼 29

2.7.2 我們錯過了一些線索嗎 30

2.8 關鍵點 31

2.8.1 惡意軟體繼續肆虐 31

2.8.2 廠商沒有幫上忙 31

2.8.3 我們需要問更難的問題 31

2.8.4 我們遺漏了什麼嗎 32

第3章 缺失之處 33

3.1 概要 34

3.2 特別注意 34

3.3 現有嘗試已經失敗（目前的模型） 35

3.4 我們不明白為什麼失敗 36

3.5 我們還在沿用舊的思想 37

3.6 像控制問題那樣定義網路 39

3.6.1 將控制模型與技術對應 41

3.6.2 確定反饋路徑 42

3.6.3 識別出影響其他度量的那些度量 43

3.6.4 規劃業務途徑和技術路線 44

3.6.5 我們可以建立一個更好的模型嗎 45

3.7 確定控制節點 45

3.7.1 將技術和控制節點對應 46

3.7.2 將控制節點與控制模式對應 46

3.7.3 測定時間常數 47

3.7.4 控制路徑與業務過程 48

3.8 完成圖釋 49

3.9 關鍵點 54

3.9.1 我們需要更好的思想 54

3.9.2 信任與風險 54

3.9.3 過程控制有助於建立模型 54

3.9.4 不能忽視業務過程 55

3.9.5 我們需要共同的語言 55

第4章 查明缺失的環節 56

4.1 概要 56

4.2 特別注意 57

4.3 兩個數據點蘊含一個解決方案 57

4.3.1 攻擊載體 58

4.3.2 過程控制分析 59

4.4 聯繫似乎就是終端 59

4.4.1 惡意軟體的目標 59

4.4.2 允許網路接入 60

4.5 需要做些什麼 61

4.5.1 基本的阻斷和治理 61

4.5.2 管理主機的完整性 62

4.5.3 控制接入網路 63

4.6 網路訪問控制 63

4.6.1 驗證最低限度的信任 65

4.6.2 只允許可信系統 65

4.6.3 亡羊補牢 66

4.6.4 利用技術強制實施決策 66

4.7 關鍵點 67

4.7.1 終端是關鍵 67

4.7.2 必須利用技術 67

4.7.3 網路是比例過程控制解決方案的一部分 67

第5章 終端與網路集成 68

5.1 概要 68

5.2 特別注意 68

5.3 體系是關鍵 69

5.4 基礎 69

5.4.1 多老才算過時 70

5.4.2 網路分區仍然有效 70

5.5 我需要鏟車嗎 74

5.5.1 升級的代價不菲 74

5.5.2 一種花銷較少的方法 75

5.5.3 技術展望與未來 78

5.6 終端支持 79

5.6.1 認證 79

5.6.2 廠商支持 79

5.7 安全漏洞與修復 81

5.7.1 檢測 82

5.7.2 漏洞跟蹤服務 82

5.7.3 漏洞管理 82

5.7.4 修復 84

5.7.5 滲透測試 84

5.8 簽約客戶與訪客 86

5.9 關鍵點 86

5.9.1 了解你的體系結構 86

5.9.2 三種基本的網路訪問控制模型 86

5.9.3 謹慎選擇廠商 87

5.9.4 不要相信未來 87

5.9.5 允許受控接入是重要的 87

5.9.6 漏洞管理在安全過程中有一席之地 88

5.9.7 技術，流程，然後閉合迴路 88

第6章 信任的起點 89

6.1 概要 89

6.2 特別注意 90

6.3 從一個安全的創建環境開始 90

6.3.1 過程是關鍵 90

6.3.2 在安全明亮的地方創建 91

6.3.3 需要一個安全底線 93

6.3.4 控制你的原始碼 93

6.4 必要的工具 94

6.4.1 軟體防火牆 94

6.4.2 反病毒 95

6.4.3 補丁管理 97

6.4.4 入侵檢測 98

6.4.5 入侵防禦 99

6.4.6 主機完整性 101

6.4.7 加密 102

6.5 信任，但要驗證 103

6.5.1 測試，測試，測試 103

6.5.2 跟蹤你的結果 104

6.6 關鍵點 104

6.6.1 起點安全 104

6.6.2 必需的工具 105

6.6.3 檢查你的結果 105

第7章 威脅載體 106

7.1 概要 106

7.2 特別注意 106

7.3 保護作業系統 107

7.3.1 一些內置的保護 107

7.3.2 一些內在的弱點 110

7.4 “殺手級”套用 111

7.4.1 P2P攻擊 113

7.4.2 讓我們“聊聊”它 113

7.5 關鍵點 114

7.5.1 作業系統是你最好的敵人 114

7.5.2 軟體是你最壞的朋友 114

第8章 Microsoft Windows 115

8.1 概要 115

8.2 特別注意 116

8.3 簡單說說Vista 117

8.4 最初的安全檢查 118

8.4.1 系統掃描 118

8.4.2 查找Rootkit包 119

8.4.3 系統檔案 121

8.4.4 交換數據流 122

8.4.5 檢查註冊表 123

8.4.6 關於進程 126

8.4.7 間諜軟體 126

8.4.8 查看日誌 127

8.4.9 網路欺騙 127

8.4.10 掃尾工作 127

8.5 加固作業系統 128

8.5.1 獨立系統 129

8.5.2 檢查你的反病毒軟體 133

8.5.3 上緊螺絲 135

8.6 應用程式 138

8.6.1 軟體限制策略 138

8.6.2 IE瀏覽器 139

8.6.3 網路會議 140

8.6.4 終端服務 140

8.6.5 Windows Messenger 140

8.6.6 Windows更新 141

8.7 企業安全 141

8.8 伺服器 143

8.9 閉合迴路 144

8.10 工具和廠商 145

8.11 關鍵點 146

8.11.1 從新鮮環境開始 146

8.11.2 Rootkit包 146

8.11.3 安全裝備競賽 147

8.11.4 Windows可以是安全的 147

8.11.5 過程是關鍵 147

8.11.6 閉合迴路 147

第9章 Apple OS X 148

9.1 概要 148

9.2 特別注意 149

9.3 最初的安全檢查 151

9.3.1 系統掃描 151

9.3.2 查找rootkit包 154

9.3.3 系統檔案 155

9.3.4 處理你的進程 156

9.3.5 網路上有些什麼 160

9.3.6 間諜軟體和其他惡意軟體 162

9.3.7 查看日誌檔案 164

9.4 加固作業系統 166

9.5 應用程式 168

9.6 網路 169

9.7 工具和廠商 171

9.7.1 Apple遠程桌面 171

9.7.2 Little Snitch 172

9.7.3 反病毒軟體 172

9.7.4 Symantec 173

9.7.5 Virex 173

9.7.6 ClamXav 174

9.8 閉合迴路 174

9.9 關鍵點 174

9.9.1 網路 175

9.9.2 應用程式 175

9.9.3 Rootkit包 175

9.9.4 數據保護 175

9.9.5 檢查日誌 176

9.9.6 主機完整性 176

9.9.7 安全工具 176

9.9.8 閉合迴路 176

第10章 Linux 177

10.1 概要 178

10.2 特別注意 178

10.2.1 支持 179

10.2.2 套用 179

10.2.3 FEDORA 180

10.2.4 XANDROS 180

10.2.5 支持的套用 180

10.2.6 漫談 181

10.2.7 合適與完美 181

10.2.8 不是背書 182

10.3 初始安全檢查 182

10.3.1 系統掃描 182

10.3.2 查找ROOTKIT包 184

10.3.3 系統檔案 185

10.3.4 進程 187

10.3.5 網路 189

10.3.6 間諜軟體和惡意軟體 190

10.3.7 查看日誌 190

10.4 加固作業系統 191

10.4.1 安裝 191

10.4.2 清除無用軟體（Dunselware） 191

10.4.3 更新和補丁 192

10.4.4 網路 193

10.4.5 訪問控制 195

10.5 套用 200

10.5.1 讀，寫，算 200

10.5.2 遠程管理 202

10.6 網路 203

10.6.1 NETBIOS的不幸 203

10.6.2 無線網路 203

10.6.3 網路套用 204

10.6.4 802.1X 205

10.7 企業管理 205

10.8 工具和廠商 206

10.9 閉合迴路 208

10.10 關鍵點 209

10.10.1 兩個極端的對比 209

10.10.2 XANDROS運行NETBIOS 210

10.10.3 更新FEDORA 210

10.10.4 用戶依然是問題 210

10.10.5 為成功而籌劃 211

10.10.6 閉合迴路的可能性 211

第11章 PDA與智慧型電話 212

11.1 概要 212

11.2 注意 212

11.2.1 當前的嚴重威脅 213

11.2.2 有趣的解決方法 214

11.2.3 連線 214

11.2.4 新領域 215

11.3 作業系統 215

11.3.1 Windows Mobile 215

11.3.2 SYMBIAN OS 217

11.3.3 黑莓 218

11.3.4 PALM 220

11.3.5 移動Linux 220

11.3.6 初始安全檢查 220

11.4 手持設備安全保護 221

11.4.1 Windows Mobile 221

11.4.2 SYMBIAN OS 221

11.4.3 PALM 222

11.4.4 黑莓 222

11.4.5 同步 223

11.5 套用 224

11.5.1 電子郵件 224

11.5.2 簡訊 224

11.5.3 瀏覽 225

11.6 網路 225

11.6.1 WiFi 225

11.6.2 藍牙安全 226

11.6.3 蜂窩協定 229

11.7 工具與廠商 230

11.7.1 GOOD 231

11.7.2 BLUEFIRE安全技術 231

11.7.3 SMOBILE系統 232

11.7.4 移動ARMOR 233

11.7.5 反病毒廠商 233

11.7.6 非企業用戶 234

11.7.7 WEB站點 235

11.8 閉合迴路 235

11.9 關鍵點 235

11.9.1 行業尚未成熟 236

11.9.2 手持設備將是下一個攻擊目標 236

11.9.3 網路的不幸 236

11.9.4 解決方案和安全分歧 236

11.9.5 強制措施將會啟用 236

11.9.6 還沒有實現閉環過程控制 237

第12章 嵌入式設備 238

12.1 概要 238

12.2 特別注意 238

12.3 什麼是嵌入式系統 239

12.4 哪裡有嵌入式系統 239

12.5 為什麼擔心 241

12.6 嵌入式安全威脅 243

12.7 初始安全檢查 244

12.8 套用 249

12.9 網路 250

12.10 工具及廠商 250

12.11 嵌入式安全 251

12.12 閉合迴路 252

12.13 關鍵點 252

12.13.1 我們被嵌入式系統包圍 252

12.13.2 沒有真正的安全 253

12.13.3 TPM沒給嵌入式解決方案幫上忙 253

12.13.4 閉合迴路 253

12.13.5 你可以做一些工作 254

第13章 終端安全失敗案例研究 255

13.1 概要 255

13.2 案例研究1 255

13.2.1 失敗模式：出了什麼問題 255

13.2.2 終端如何捲入其中 256

13.2.3 影響 256

13.2.4 過程控制缺失 256

13.2.5 如何避免 257

13.3 案例研究2 257

13.3.1 失敗模式：出了什麼問題 257

13.3.2 終端如何捲入其中 258

13.3.3 影響 258

13.3.4 過程控制缺失 258

13.3.5 如何避免 259

13.4 案例研究3 259

13.4.1 失敗模式：出了什麼問題 259

13.4.2 終端如何捲入其中 259

13.4.3 影響 259

13.4.4 過程控制缺失 260

13.4.5 如何避免 260

13.5 案例研究4 260

13.5.1 失敗模式：出了什麼問題 260

13.5.2 終端如何捲入其中 261

13.5.3 影響 261

13.5.4 過程控制缺失 261

13.5.5 如何避免 261

13.6 關鍵點 262

13.6.1 不同點和相似點 262

13.6.2 閉環過程控制哲學 263

13.6.3 餘下的工作 263

附錄：術語 264