2021-2022-2学期 20212320《网络空间安全专业导论》第十四周学习总结

第四章 系统安全基础

4.1系统安全概述

4.2系统安全原理

4.2.1基本原则

限制性原则
1最小特权原则：系统中执行任务的实体应该只拥有完成该项任务所需的最小特权的最小集合
2失败-保险默认原则：安全机制实施的授权检查必须能够覆盖系统中的任何一个访问操作，避免出现能逃过检查的访问操作
3完全仲裁原则：安全机制实施的授权检查必须能够覆盖系统中的任何一个访问操作，避免出现能够逃过检查的任何问题
4特权分离原则：对资源的访问请求进行授权其他安全相关行动，不要仅凭单一条件做决定。
5信任最小化原则：系统应该建立在尽量少的信任假设的基础上，减少对不明对象的信任。
简单性原则
1机制经济性原则2公共机制最小化原则3最小惊讶原则
方法性原则
1公开设计原则：不要把系统安全性的希望寄托在保守安全机制设计密码的基础上，应该在公开安全机制设计方案的前提。
2层次化原则：应该采用分层的方法设计和实现系统
3抽象化原则：在分层的基础上，屏蔽每一层的内部细节，只公布该层的对外接口
4模块化原则：把系统设计成相互协作的组件集合，用模块实现组件，用相互协作的模块的集合实现系统
5完全关联原则：把系统的安全设计和实现与该系统的安全规划说明紧密联系起来

4.2.2威胁建模

标识潜在安全威胁并审视风险缓解途径的过程。目的是：在明确了系统的本质特征、潜在攻击者的基本情况、最有可能的被攻击角度、攻击者最想得到的好处等的情况下，为防御者提供系统地分析应采取的控制或防御措施的机会。

4.2.3安全控制

s、o、p分别表示主体客体操作，p可以是read,copy,modify,execute的任何一个。访问控制机制重要的任务之一是在接收到一个sop请求时，判断能不能批准sop执行，作出允许执行或禁止执行的决定，并指示和协助系统实施该决定。
访问权限的分配情况用一个矩阵表示，矩阵的每一行对应一个主体，每一列对应一个客体。矩阵的每一个元素是一组权限。

4.2.4安全监测

主机入侵检测系统，HIDS，一个典型例子是对操作系统的重要文件进行检测，检测时，它把操作系统的重要文件的当时快照与事先采集的基准快照进行对比，如果发现关键文件被删，就发出警告

4.3系统安全结构

4.3.1硬件系统安全

用户态和内核态两种状态，内核态给操作系统用，用户态给其他程序用，规定用户态的程序不能干扰内核态的程序。
硬件把指令和内存地址空间分成了两大部分，内核态程序可以看见所有的指令和地址空间，用户态程序只能看到其中一个部分的指令和地址空间。

4.3.2操作系统安全

第一个弱点是无法保证硬件设备的加密机制能够顺利启动。因为应用程序与硬件加密机制之间缺乏一条可信的交互路径。
第二个弱点是无法保证硬件设备的加密机制不被滥用。
操作系统提供的第二个基本安全功能是自主访问控制，在自主访问控制中，文件的拥有者可以自主确定任何用户对该文件的访问权限，也就是可以授权用户对该文件的访问。

4.3.3数据库系统安全

强制访问控制和多级安全数据库系统以数据的级别划分为基础对数据库数据进行访问控制。敏感等级越高，表示用户可以访问的数据的敏感级别越高。
访问控制机制可以防止用户数据库进行非法直接访问，但无法防止用户对数据库进行非法间接访问。数据推理可以根据合法的非敏感数据推导出非法的敏感数据，是数据库数据面临的严重的间接访问威胁。