2021-2022-1學期20212423《網路空間安全專業導論》第十一週學習總結
第四章 系統安全基礎
系統安全的兩層含義:以系統思維應對安全問題;應對系統面臨的安全問題,兩者相輔相成,深度融合。
4.1 系統安全概述
4.1.1 系統安全的演進
網路空間是人類活動的第五大疆域。網路空間是隨著計算機的誕生而逐漸形成的。
網路空間中的系統,從大型主機系統到網路化系統,再到網路空間生態系統,其形態不斷演變,其內涵不斷豐富,其影響不斷深入。與此同時,系統安全所面臨的挑戰更加嚴峻,系統安全的探索全景廣闊,意義深遠。
4.1.2 系統與系統安全
一個系統是由相互作用或相互依賴的元素或成分構成的某種型別的一個統一整體,其中的元素完整地關聯在一起,它們之間的這種關聯關係有別於它們與系統外其他元素之間可能存在的關係。
上述定義表明,一個系統是一個統一整體,同時,系統由元素構成,另外,元素 與元素之間的關係內外有別,即同屬一個系統的元素之間的關係不同於它們與該系統外其他元素之間的關係。該定義隱含著系統存在邊界,它把系統包圍起來,區分出內部元素和外部元素。位於系統邊界內部的屬於系統的組成元素,位於系統邊界外部的屬於系統的環境。
網路空間中的系統,從大型主機系統到網路化系統,再到網路空間生態系統,其形態不斷演變,其內涵不斷豐富,其影響不斷深入。與此同時,系統安全所面臨的挑戰更加嚴峻,系統安全的探索全景廣闊,意義深遠。
4.1.3 整體論與還原論
還原論:大系統分解為小系統,就是把系統分解為它的組成部分,通過對系統的組成成分的研究去了解原有系統的情況。
整體論:把一個系統看成一個完整的統一體,而不是簡單把它看作部分的組合。
整體論和還原論都關心整體特性,但它們關心的是整體特性中的兩種不同形態,整體論聚焦的是湧現性,而還原論聚焦的是綜合特性。
4.1.4 系統安全思維
網路空間安全系統安全知識領域的核心包含著兩大理念,一是保護物件,二是思維方法。系統一方面表示會受到威脅因此需要保護的物件,另一方面表示考慮安全問題時應具有的思維方法,即系統化思維方法。系統化思維方法具有普適性,不是網路空間獨有,運用到網路空間安全之中就稱為系統安全思維。
統安全思維重視整體論思想,強調從系統的全生命週期衡量系統的安全性,主張通過系統安全工程措施建立和維護系統的安全性。
4.2 系統安全原理
站在系統建設者的位置,要把安全理念貫徹到系統建設之中。
4.2.1 基本原則
在網路空間中,系統的設計與實現是系統生命週期中分量很重的兩個階段,長期以來受到人們高度關注,形成了一系列對系統安全具有重要影響的基本原則。劃分為三類:
一.限制性原則:
①最小特權原則
②失敗-保險預設原則
③完全仲裁原則
④特權分離原則
⑤信任最小化原則
二.簡單性原則:
①機制經濟性原則
②公共機制最小化原則
③最小驚訝原則
三.方法性原則:
①公開設計原則
②層次化原則
③抽象化原則
④模組化原則
⑤完全關聯原則
⑥設計迭代原則
系統的設計者和開發者應該深入理解。正確把握、自覺遵守以上原則。
4.2.2 威脅建模
安全是一種應對威脅的屬性,二者是一對對立統一的矛盾。只有把威脅弄清楚,才可能知道安全問題會出現在哪裡。
我們需要知曉安全、威脅、風險的相關概念。
4.2.3 安全控制
“宜未雨而綢繆,毋臨渴而掘井”
對系統進行安全保護的最美好的願景是提前做好準備,防止安全事件的發生。訪問控制就是這方面的努力之一,它的目標是防止系統中出現不按規矩對資源進行訪問的事件。
有很多身份認證方法,如口令認證、生物特徵認證、物理介質認證等等。
在實際應用中,涉密等級和保密級別分別是給主體和客體打上的安全標籤。訪問控制策略是為了滿足應用的需要指定的,由於應用需求多種多樣,所以訪問控制策略也就多種多樣。
4.2.4 安全監測
亡羊補牢為時不晚。各種監控攝像早已融入網路空間之中,網路空間安全事件的監測也是有基礎的。
系統的完整性檢查機制提供從開機引導到應用執行各個環節的完整性檢查功能,可以幫助發現系統中某些重要組成部分受到篡改或破壞的現象。入侵檢測是安全監測中廣泛採用的重要形式,它對惡意行為或違反安全策略的現象進行監測,一旦發現情況就及時報告,必要時發出告警。
從監測物件的角度看,入侵檢測可分為主機入侵檢測和網路入侵檢測。
4.2.5 安全管理
一般意義上的安全管理指的是把一個組織的資產標識出來,並制定、說明和實施保護這些資產的策略和流程,其中資產包括人員、建築物、機器、系統和資訊資產。安全管理的目的是使一個組織的資產得到保護,由資產的範圍可知,該目的涵蓋了使系統和資訊得到保護。
我們需要牢記國際標準化組織確定的風險管理原則。
還應掌握一些相關的內容,比如安全模型、內部威脅等。
4.3 系統安全結構
應用安全(惡意程式碼篡改應用程式)、資料庫安全、作業系統安全、硬體安全(自身漏洞,有意無意)
4.3.1硬體系統安全(數目少、隱蔽性強、危害性大)
網路空間是個計算環境,它主要由各式各樣的計算機通過網路連線起來構成。這裡所說的計算機並非只是常見的膝上型電腦、桌上型電腦、伺服器、平板計算機、手機等,還有很多藏在嵌人式裝置或物聯網裝置等之中不易被看到的東西,它們的關鍵特徵是都有處理器。
計算機由硬體和軟體組成,儘管有些軟體因為固化在硬體上而被稱為韌體。計算機提供的豐富多彩的功能,不管是拍照,還是播放音樂,或是別的,都是通過計算實現的。硬體負責計算,軟體負責釋出計算命令。硬體是軟體的載體,軟體在硬體之上工作。
在系統安全的背景下觀察硬體安全,主要是觀察它能給軟體提供什麼樣的安全支援,如何幫助軟體實現想要實現的安全功能。同時,也觀察它自身可能存在什麼安全隱患,會給系統安全帶來什麼樣的影響。
在硬體為軟體提供的安全支援功能中,最平凡的一項是使用者態/核心態功能。(應用程式無法訪問,超級許可權)
處理器硬體定義了使用者態和核心態兩種狀態,核心態給作業系統用,使用者態給其他程式用,規定使用者態的程式不能干擾核心態的程式。這樣,在免受其他程式破壞的意義上,作業系統受到了硬體的保護。
以通俗的方式說得更具體一點,硬體把指令和記憶體地址空間都分成了兩大部分,核心態程式可以看到所有的指令和地址空間,使用者態程式只
能看到其中一個部分的指令和地址空間。使用者態程式看不到的那部分指令稱為特權指令,看不到的那部分地址空間稱為核心地址空間。
對於使用者程式破壞作業系統程式這樣的威脅模型,使用者態/核心態策略是有效的。黑客有辦法把惡意程式插到核心地址空間中,讓它在核心態執行。就很恐怖
4.3.2 作業系統安全(使用者管理+身份驗證)
作業系統是直接控制硬體工作的基礎軟體系統,它緊貼在硬體之上,介於硬體與應用軟體之間,這樣的特殊地位決定了它在系統安全中具有
不可替代的作用。沒有作業系統提供的安全支援,應用系統的安全性無法得到保障。
4.3.3資料庫系統安全(訪問授權、撤銷授權)
資料庫系統是提供資料管理功能的軟體系統,它由資料庫管理系統和資料庫應用構成。對於資料庫系統安全,我們要從DBMS角度增強資料庫應具有的安全功能,還要從資料庫應用的角度緩解資料庫系統無法迴避的安全風險。
4.3.4 應用系統安全
Web應用的一大特點是藉助瀏覽器的形式,打破了異構裝置之間的差異屏障,使得多種多樣的裝置都可以用來連線同一個應用系統,擴大
了應用系統的適應性,提升了使用者選擇的靈活性。
瀏覽器是Web應用系統的前端,是使用者進人應用系統的介面,使用者只需要使用瀏覽器就
可以使用Web應用系統提供的功能。使用者通過瀏覽器訪問Web應用系統,但是,Web應用系統的主要功能並不是瀏覽器提供的,而是藏在
幕後的伺服器提供。通常,使用者無法知道伺服器在哪裡,不過不要緊,只要知道伺服器的網址(術語是URL)就可以了。伺服器那一端稱為服務
端,使用者這一端 稱為客戶端。
客戶端的瀏覽器使用一一種稱為HTML的語言按照HTTP與服務端的伺服器進行互動,把服務端提供的Web應
用功能展現在使用者面前。Web應用展現在使用者面前的是各種網頁。過去的網頁大多是靜態的,現在的網頁嵌人了很多動態的元素,增強了
使用者體驗的喜悅感,提升了Web應用與使用者互動的能力。Web應用與使用者互動的功能通過在HTML中嵌入各種指令碼來實現,稱為
JavaScript的指令碼就是其中一種非常常用的型別。
Web應用與使用者的互動通過輸人輸出功能實現,使用者通過輸人嚮應用系統發服務請求,應用系統以輸出的形式給使用者提供響應結果。例如,用
戶在搜尋頁面的輸入框中輸人搜尋關鍵詞,系統給使用者輸出查詢結果頁面。在XSS攻擊中,攻擊者想辦法把惡意指令碼藏在Web應用的輸人
和輸出之中,實現攻擊目的。
4.3.5 安全生態系統
這個概念強調整體思想,網際網路生態系統組成部分可以劃分成6類。
①域名和地址分配
②開放標準開發
③全球共享服務與運營
④使用者
⑤教育與能力建設
⑥地方地區與國家和全球政策制定
在網路空間中從生態系統的角度應對系統安全問題,要把系統概念從傳統意義拓展到生態系統範圍,還要有新的支
撐技術,有新突破。