第四章

4.1 系統安全概述
4.1.1 系統安全的演進
網路空間是人類活動的第五大疆域，不同於海陸空天這四大疆域的來源不清，網路空間的起源一定是清晰的——隨著計算機的誕生而誕生。在網路空間中，系統安全由作業系統的問世而催生。
沿著相關歷史的脈絡摸索前進，我們終於瞭解系統安全的廣闊前景和深遠意義。

4.1.2 系統與系統安全
系統多種多樣，只能下一個簡單的描述性的定義：

一個系統是由互相作用或互相依賴的元素或成分構成的某種型別的一個統一整體，其中的元素完整地關聯在一起，它們之間的這種關聯關係有別於它們與系統外其他元素之間可能存在的關係。

一個系統是一個統一整體，同時系統由元素構成。元素與元素之間的關係內外有別，即同屬於一個系統的元素之間的關係不同於它們與該系統外其他元素之間的關係。該定義隱含著系統存在邊界，它們把系統包圍起來，區分出內部元素和外部元素，位於系統邊界內部的屬於系統的組成元素，位於系統邊界外部的屬於系統的環境。
不管如何，系統是存在邊界的。
我們可以採取自外觀察法、自內觀察法觀察系統，我們觀察到網路空間中的系統處在各式各樣的安全風險之中。

4.1.3 整體論與還原論
研究系統安全必須要有正確的方法論。因為還原論存在著一些侷限性，我們便提出了整體論。
系統的巨集觀特性（整體特性）可以區分為湧現性和綜合特性。
綜合特性可以通過系統組成部分的特性的綜合而得到。而湧現性是系統組成部分相互作用產生的組成部分所不具有的新特性，是不可還原的特性。網路空間中的安全性屬於湧現性。
現在國際上已經意識到整體論在解決網路空間安全問題中的重要性，大量問題有待不斷探索。

4.1.4 系統安全思維
網路空間安全系統安全知識領域的核心包含著兩大理念，一是保護物件，二是思維方法。系統一方面表示會受到威脅因此需要保護的物件，另一方面表示考慮安全問題時應具有的思維方法，即系統化思維方法。系統化思維方法具有普適性，不是網路空間獨有，運用到網路空間安全之中就稱為系統安全思維。
系統工程是涵蓋系統生命週期的具有關聯活動和任務的技術性和非技術性過程的集合，技術性過程應用工程分析與設計原則建設系統，非技術性過程通過工程管理保障系統建設工程專案的順利實施。
系統工程的主要目標是獲得總體上可信賴的系統，核心是系統整體思想。它為建設可信賴的人工系統提供了一套基礎保障，適用於網路空間中的系統建設。
簡而言之，系統安全思維重視整體論思想，強調從系統的全生命週期衡量系統的安全性，主張通過系統安全工程措施建立和維護系統的安全性。當然並不是否認還原論，而是說，僅僅靠還原論是不夠的。

4.2 系統安全原理
站在系統建設者的位置，要把安全理念貫徹到系統建設之中。

4.2.1 基本原則
在網路空間中，系統的設計與實現是系統生命週期中分量很重的兩個階段，長期以來受到人們高度關注，形成了一系列對系統安全具有重要影響的基本原則。劃分為三類：
一.限制性原則：
①最小特權原則
②失敗-保險預設原則
③完全仲裁原則
④特權分離原則
⑤信任最小化原則
二.簡單性原則：
①機制經濟性原則
②公共機制最小化原則
③最小驚訝原則
三.方法性原則：
①公開設計原則
②層次化原則
③抽象化原則
④模組化原則
⑤完全關聯原則
⑥設計迭代原則
系統的設計者和開發者應該深入理解。正確把握、自覺遵守以上原則。

4.2.2 威脅建模
安全是一種應對威脅的屬性，二者是一對對立統一的矛盾。只有把威脅弄清楚，才可能知道安全問題會出現在哪裡。
我們需要知曉安全、威脅、風險的相關概念。

4.2.3 安全控制
“宜未雨而綢繆，毋臨渴而掘井”
對系統進行安全保護的最美好的願景是提前做好準備，防止安全事件的發生。訪問控制就是這方面的努力之一，它的目標是防止系統中出現不按規矩對資源進行訪問的事件。
有很多身份認證方法，如口令認證、生物特徵認證、物理介質認證等等。
在實際應用中，涉密等級和保密級別分別是給主體和客體打上的安全標籤。訪問控制策略是為了滿足應用的需要指定的，由於應用需求多種多樣，所以訪問控制策略也就多種多樣。

4.2.4 安全監測
亡羊補牢為時不晚。各種監控攝像早已融入網路空間之中，網路空間安全事件的監測也是有基礎的。
系統的完整性檢查機制提供從開機引導到應用執行各個環節的完整性檢查功能，可以幫助發現系統中某些重要組成部分受到篡改或破壞的現象。入侵檢測是安全監測中廣泛採用的重要形式，它對惡意行為或違反安全策略的現象進行監測，一旦發現情況就及時報告，必要時發出告警。
從監測物件的角度看，入侵檢測可分為主機入侵檢測和網路入侵檢測。

4.2.5 安全管理
一般意義上的安全管理指的是把一個組織的資產標識出來，並制定、說明和實施保護這些資產的策略和流程，其中資產包括人員、建築物、機器、系統和資訊資產。安全管理的目的是使一個組織的資產得到保護，由資產的範圍可知，該目的涵蓋了使系統和資訊得到保護。
我們需要牢記國際標準化組織確定的風險管理原則。
還應掌握一些相關的內容，比如安全模型、內部威脅等。

4.3系統安全結構
我們要從硬體系統安全、作業系統安全、資料庫系統安全、應用系統安全和安全生態系統等角度研究系統安全的體系結構。

4.3.1 硬體系統安全
網路空間是個計算環境，由各式各樣的計算機通過網路連線構成，關鍵特徵是都有處理器。
計算機由硬體和軟體構成，硬體是軟體的載體，軟體在硬體之上工作。硬體為軟體提供了許多安全支援，最平凡的就是保護作業系統的功能。硬體把指令和記憶體地址空間都分成了兩大部分，核心態程式可以看到所有的指令和地址空間，使用者態程式只能看到其中一個部分的指令和地址空間。使用者態程式看不到的指令叫做特權指令，看不到的地址空間叫做內盒地址空間。作業系統由此得到保護。對於使用者程式破壞作業系統這樣的威脅模型，使用者態/核心態策略是有效的。可是黑客有可能繼續篡改，任何程式都有可能被篡改。
於是我們需要了解一些支援硬體系統安全的東西。

4.3.2 作業系統安全
作業系統是直接控制硬體工作的基礎軟體系統，地位特殊，不可替代。
如果沒有作業系統，應用程式完成加密就會有薄弱之處：
一是無法保證硬體裝置的加密機制能夠順利啟動。
二是無法保障硬體裝置的加密機制不被濫用。等
使用者身份標識與認證是作業系統提供的最基礎的安全功能……
看了一些抽象（讀不懂+讀不下去）的內容，我們知道了作業系統安全極其重要。

4.3.3 資料庫系統安全
資料庫系統是提供資料管理功能的軟體系統，它由資料庫管理系統和資料庫應用構成。對於資料庫系統安全，我們要從DBMS角度增強資料庫應具有的安全功能，還要從資料庫應用的角度緩解資料庫系統無法迴避的安全風險。

4.3.4 應用系統安全
書上舉了翔實的例子為我們展現了應用系統安全。

4.3.5 安全生態系統
這個概念強調整體思想，網際網路生態系統組成部分可以劃分成6類。
①域名和地址分配②開放標準開發③全球共享服務與運營④使用者⑤教育與能力建設⑥地方地區與國家和全球政策制定

在網路空間中從生態系統的角度應對系統安全問題，要把系統概念從傳統意義拓展到生態系統範圍，還要有新的支撐技術，有新突破。

總結與心得
這一章從更加巨集觀、更加廣義的角度向我們展示了有關於網路空間安全的涉及範圍，讓我一時壓力倍增。通過之前在華為科技講座中學習到的關於資訊系統的知識，我知道了一個系統的構建在當今生產生活中是必不可少的，而維護其安全更是重中之重，以防止保護物件在底層上被破壞入侵。因此，此章又可以看作網空的基礎。