2020-2021-1学期 20202409 《网络空间安全专业导论》第十一周学习总结

第四章、系统安全基础

4·1 系统安全概述

系统（system）的描述性定义：一个系统是由相互作用或相互依赖的元素或成分构成的某种类型的一个统一整体，其中元素完整地关联在一起，它们之间的这种联系内外有别，即同属一个系统的元素之间的关系不同于它们与系统外其他元素之间的关系。

系统的安全性属于系统层级所具有的涌现性属性，需要在建立了对系统认识的基础上，以系统化的视野去观察。这就是系统安全需要探讨的课题。

还原论：把大系统分解为小系统，把系统分解为他的组成部分，通过对系统的组成部分的研究去了解原有系统的情况。还原论有局限性。

整体论：把一个系统看成一个完整的统一体，一个完整的被观察单位。

涌现性是系统组成部分相互作用产生的组成部分所不具有的新特性，它是不可还原的特性。

操作系统的机密性无法还原到它的子系统中，它的形成依赖于子系统的相互作用。

整体论和还原论都关心整体特性，但他们关心的是整体特性中两种不同的形态，整体论聚焦的是涌现性，而还原论聚焦的是综合特性。

系统工程（System Engineering）是涵盖系统生命周期的具有关联活动和任务的技术和非技术性过程的集合。系统工程的主要目标是获得总体上可信赖的系统，它的核心思想是系统整体思想。

系统安全工程（System Security Engineering）它力求从系统生命周期的全过程保障系统的安全性。

4·2 系统安全原理

基本原则：限制性原则、简单性原则、方法性原则。

限制性原则：

1· 最小特权原则（Least Privilege）：执行任务的实体应该拥有特权的最小集合。

2· 失败-保险默认原则（Fail-Safe Defaults）：对访问请求采取默认拒绝的方案。

3· 完全仲裁原则（Complete Mediation）：授权检查必须能完全覆盖系统中任何一个访问操作。

4· 特权分离原则（Seperation of Privilege）：相关行动的执行授权不要只凭单一条件做决定。

5· 信任最小化原则（Minimize Trust）：建立在尽量少的信任假设基础上。

简单性原则：

1· 机制经济性原则（Economy of Mechanism）：把安全机制设计得尽可能简单和短小。

2· 公共机制最小化原则（Minimize Common Mechanism）：减少共用机制的数量。

3· 最小惊讶原则（Least Astonishment）：设计尽可能地符合逻辑并简单，与用户de的经验、驭骐和想想相吻合。

方法性原则：

1· 公开设计原则（Open Design）：安全机制设计方案应该公开。

2· 层次化原则（Layering）：采用分层的方法设计和实现系统，以便某层的模块只可以与紧邻的上下层之间进行交互，便于采用自顶向下的方法进行测试。

3· 抽象化原则（Abstraction）：在分层的基础上屏蔽每一层的内部细节，只公布该层的对外接口。

4· 模块化原则（Modularity）：把系统设计成相互协作组件的集合1，每一个接口就是一种抽象。

5· 完全关联原则（Complete Linkage）：把系统的安全设计与实现与该系统的安全规格说明紧密地联系起来。

6· 设计迭代原则（（Design for Iteration）：使设计的改变对系统安全性的影响降到最低。

威胁引起风险，风险影响安全。

威胁建模（Threat Modeling）：标识潜在安全威胁并审视风险缓解途径的过程。它的目的是在明确了系统的本质特征、潜在攻击者的基本情况、最有可能的被攻击角度、攻击者最想得到的好处等的情况下，为防御者提供系统地分析应采用的控制或防御的措施的机会。

一般过程是首先勾画该系统的抽象模型，以可视化的形式将它表示出来，在其中画出该系统的各个组成元素，可以基于数据流图或过程流图进行表示；然后以系统的可视化表示为基础，标识和列举出系统中的存在威胁，得到威胁框架。威胁建模实践在威胁建模方法的指引下进行，威胁建模的方法有以风险为中心、以资产为中心、以攻击者为中心、以软件为中心等类型。

安全控制：用s、o、p分别表示主体、客体、操作，那么一个访问行为，可以表示为以下三元组：（s，o，p）。

系统中负责访问控制的组成部分称为访问控制机制。重要任务之一是在接受到一个（s，o，p）请求时，判断能不能批准（s，o，p）的执行，作出允许执行或禁止执行的决定，并指示和协助系统实施该决定。

访问控制需要确定主体的身份（Identity），其过程称为身份认证（Authentication），其方法有口令认证还有生物特征认证和物理介质认证。

访问控制机制另一项重要任务是定义访问控制策略（Policy），分配访问权限的过程称为授权（Authorization）。

安全监测：

入侵检测：主机入侵检测系统（Host Instrusion Detection System，HIDS）对流入和流出主机的数据包进行监测，一旦发现可疑行为就会发出警告。网络入侵检测系统（Network Intrusion Detection System）对网络中所有设备的流入和流出流量进行监测，与攻击库中的流量对比识别攻击行为，感到异常时，就会发出警告。基于特征的入侵检测和基于异常的入侵检测。

4·3 系统安全结构

硬件系统安全，操作系统安全，数据库系统安全，应用系统安全，安全生态系统。

小结：