2020-2021-1学期 20202410《网络空间安全导论》第十一周学习总结
2020-2021-1学期 20202410《网络空间安全导论》第十一周学习总结
第4章 系统安全基础
系统安全包含两层含义,已是以系统思维应对安全问题,二是应对系统面临的安全问题,两者相辅相成,深度融合
4.1 系统安全概述
4.1.1 系统安全的演进
网络空间是人类活动的第五大疆域。网络空间是随着计算机的诞生而逐渐形成的。
网络空间中的系统,从大型主机系统到网络化系统,再到网络空间生态系统,其形态不断演变,其内涵不断丰富,其影响不断深入。与此同时,系统安全所面临的挑战更加严峻,系统安全的探索全景广阔,意义深远。
4.1.2 系统与系统安全
一个系统是由相互作用或相互依赖的元素或成分构成的某种类型的一个统一整体,其中的元素完整地关联在一起,它们之间的这种关联关系有别于它们与系统外其他元素之间可能存在的关系。
上述定义表明,一个系统是一个统一整体,同时,系统由元素构成,另外,元素 与元素之间的关系内外有别,即同属一个系统的元素之间的关系不同于它们与该系统外其他元素之间的关系。该定义隐含着系统存在边界,它把系统包围起来,区分出内部元素和外部元素。位于系统边界内部的属于系统的组成元素,位于系统边界外部的属于系统的环境。
网络空间中的系统,从大型主机系统到网络化系统,再到网络空间生态系统,其形态不断演变,其内涵不断丰富,其影响不断深入。与此同时,系统安全所面临的挑战更加严峻,系统安全的探索全景广阔,意义深远。
4.1.3 整体论与还原论
还原论把大系统分解为小系统,就是把系统分解为它的组成部分,通过对系统的组成成分的研究去了解原有系统的情况。
整体论把一个系统看成一个完整的统一体,而不是简单把它看作部分的组合。
整体论和还原论都关心整体特性,但它们关心的是整体特性中的两种不同形态,整体论聚焦的是涌现性,而还原论聚焦的是综合特性。
4.1.4 系统安全思维
网络空间安全系统安全知识领域的核心包含着两大理念,一是保护对象,二是思维方法。系统一方面表示会受到威胁因此需要保护的对象,另一方面表示考虑安全问题时应具有的思维方法,即系统化思维方法。系统化思维方法具有普适性,不是网络空间独有,运用到网络空间安全之中就称为系统安全思维。
统安全思维重视整体论思想,强调从系统的全生命周期衡量系统的安全性,主张通过系统安全工程措施建立和维护系统的安全性。
4.2 系统安全原理
4.2.1 基本原则
在网络空间中,系统的设计与实现是系统生命周期中分量很重的两个阶段,长期以来受到人们高度关注,形成了一系列对系统安全具有重要影响的基本原则。这些原则可以划分为三类:
1、限制性原则
(1)最小特权原则
(2)失败-保险默认原则
(3)完全仲裁原则
(4)特权分离原则
(5)信任最小化原则
2、简单性原则
(1)机制经济性原则
(2)公共机制最小化原则
(3)最小惊讶原则
3、方法性原则
(1)公开设计原则
(2)层次化原则
(3)抽象化原则
(4)模块化原则
(5)完全关联原则
(6)设计迭代原则
4.2.2 威胁建模
安全是一种属性,是应对威胁的属性。只有把威胁弄清楚,才可能知道安全问题会出现在哪儿,才能制定出应对安全问题的方法,从而获得所期待的安全。
威胁建模就是标识潜在安全威胁并审视风险缓解途径的过程。威胁建模的目的是:在明确了系统的本质特征、潜在攻击者的基本情况、最有可能的被攻击角度、攻击者最想得到的好处等的情况下,为防御者提供系统地分析应采取的控制或防御措施的机会。威胁建模回答像这样的问题:被攻击的最薄弱之处在哪里、最相关的攻击是什么、为应对这些攻击应该怎么做等。
4.2.3 安全控制
对系统进行安全保护的最美好的愿景是提前做好准备,防止安全事件的发生。访问控制就是这方面的努力之一,它的目标是防止系统中出现不按规矩对资源进行访问的事件。
系统中负责访问控制的组成部分称为访问控制机制。访问控制机制的重要任务之一是在接收到一个请求时,判断能不能批准执行,作出允许执行或禁止执行的决定,并指示和协助系统实施该决定。
访问控制需要确定主体的身份,确定主体身份的过程称为身份认证。身份认证最常用的方法是基于口令进行认证,主体向系统提供账户名和口令信息,由系统对这些信息进行核实。
口令认证法与现实中对暗号的方法很相似。主体事先与系统约定了账户名和口令信息,认证时系统就可以进行核实。
身份认证方法很多,除了口令认证,还有生物特征认证和物理介质认证等。指纹识别、人脸识别、虹膜识别等属于生物特征认证。智能门卡属于物理介质认证。
4.2.4 安全监测
网络空间安全事件的监测是有基础的。
系统的完整性检查机制提供从开机引导到应用运行各个环节的完整性检查功能,可以帮助发现系统中某些重要组成部分受到篡改或破坏的现象。病毒或恶意软件是困扰系统安全的常见因素.病毒查杀和恶意软件检测机制可以通过对系统中的各种文件进行扫描.帮助发现或清除进人到系统之中的大多数病毒或恶意软件。
入侵检测是安全监测中广泛采用的重要形式,它对恶意行为或违反安全策略的现象进行监测。一且发现情况就及时报告.必要时发出告警。入侵检测机制具有较大的伸缩性,监测范围可以小到单台设备,大到一个大型网络。
从监测对象的角度看,入侵检测可分为主机入侵检测和网络入侵检测。
从的角度看检测方法,入侵检测可分为基于特征的入侵检测和基于异常的入侵检测。
4.2.5 安全管理
一般意义上的安全管理指的是把一个组织的资产标识出来,并制定、说明和实施保护这些资产的策略和流程,其中资产包括人员、建筑物、机器、系统和信息资产。安全管理的目的是使一个组织的资产得到保护,由资产的范围可知,该目的涵盖了使系统和信息得到保护。
4.3 系统安全结构
4.3.1 硬件系统安全
网络空间是个计算环境,由各式各样的计算机通过网络连接构成,关键特征是都有处理器。
计算机由硬件和软件构成,硬件是软件的载体,软件在硬件之上工作。
在系统安全的背景下观察硬件安全,主要是观察它能给软件提供什么样的安全支持,如何帮助软件实现想要实现的安全功能。同时,也观察它自身可能存在什么安全隐患,会给系统安全带来什么样的影响。
简要地说,硬件安全是软件安全的支撑,它的很多方面体现在密码工程之中,密码技术是它的重要基础。硬件安全涉及硬件设计、访问控制、安全多方计算、安全密钥存储密钥真实性保障等方面,当然.需要特别指出的是,还涉及确保产品生产供应链安全的措施。
4.3.2 操作系统安全
操作系统是直接控制硬件工作的基础软件系统,它紧贴在硬件之上,介于硬件与应用软件之间,这样的特殊地位决定了它在系统安全中具有不可替代的作用。没有操作系统提供的安全支持,应用系统的安全性无法得到保障。
4.3.3 数据库系统安全
数据库系统是提供数据管理功能的软件系统,它由数据库管理系统和数据库应用构成。相对于操作系统而言,数据库系统属于应用软件系统,但由于它为很多应用系统提供基础数据管理支持,所以它属于基础软件系统。
4.3.4 应用系统安全
4.3.5 安全生态系统
这个概念强调整体思想,互联网生态系统组成部分可以划分成6类:
(1)域名和地址分配(2)开放标准开发(3)全球共享服务与运营(4)用户(5)教育与能力建设(6)地方地区与国家和全球政策制定
