第四章 系統安全基礎
4.1 系統安全概述
4.1.1 系統安全的演進
·網路空間（Cyberspace）是人類活動的第五大疆域。
·安全系統的設計與實現是系統安全領域早期最核心的研究與實踐工作。
·可信計算基指一個計算機系統中負責實現該系統的安全策略的所有軟硬體資源的集合，重要特性之一是能夠防止其他軟硬體對其造成破壞。
4.1.2 系統與系統安全
·一個系統（System）是由相互作用或相互依賴的元素或成分構成的某種型別的一個統一整體，其中的元素完整地關聯在一起，它們之間的這種關聯關係有別於它們與系統外其他元素之間可能存在的關係。
·一個系統是一個統一整體。同時，系統由元素構成。另外，元素與元素之間的關係內外有別，即同屬一個系統的元素之間的關係不同於它們與該系統外其他元素之間的關係。該定義隱含著系統存在邊界，它把系統包圍起來，區分出內部元素和外部元素。位於系統邊界內部的屬於系統的組成元素，位於系統邊界外部的屬於系統的環境。
·網路空間中的系統，從大型主機系統到網路化系統，再到網路空間生態系統，其形態不斷演變，其內涵不斷豐富，其影響不斷深入。與此同時，系統安全所面臨的挑戰更加嚴峻，系統安全的探索全景廣闊、意義深遠。
·系統的安全性屬於系統層級所具有的湧現性屬性。
4.1.3 整體論和還原論
·還原論把大系統分解為小系統，就是把系統分解為它的組成部分，通過對系統的組成成分的研究去了解原有系統的情況。（還原性有侷限性）
·整體論把一個系統看成一個完整的統一體，而不是簡單把它看作部分的組合。
·整體論和還原論都關心整體特性,但它們關心的是整體特性中的兩種不同形態，整體論聚焦的是湧現性，而還原論聚焦的是綜合特性。系統的巨集觀特性，可區分為湧現性和綜合特性。
·整體論和還原論都關心整體特性。
4.1.4 系統安全思維
·網路空間安全系統安全知識領域的核心包含著兩大理念，一是保護物件，二是思維方法。
·系統一方面表示會受到威脅因此需要保護的物件，另一方面表示考慮安全問題時應具有的思維方法，即系統化思維方法。
·系統化思維方法具有普適性，不是網路空間獨有，運用到網路空間安全之中就稱為系統安全思維。
·系統安全思維重視整體論思想，強調從系統的全生命週期衡量系統的安全性，主張通過系統安全工程措施建立和維護系統的安全性。

4.2 系統安全原理
4.2.1 基本原則
·在網路空間中，系統的設計與實現是系統生命週期中分量很重的兩個階段，長期以來受到人們高度關注，形成了一系列對系統安全具有重要影響的基本原則。這些原則可以劃分為三類：
1、限制性原則
（1）最小特權原則（Least Privilege）
（2）失敗-保險預設原則（Fail-Safe Defaults）
（3）完全仲裁原則（Complete Mediation）
（4）特權分離原則（Separation of Privilege）
（5）信任最小化原則（Minimize Trust）
2、簡單性原則
（1）機制經濟性原則（Economy of Mechanism）
（2）公共機制最小化原則（Minimize Common Mechanism）
（3）最小驚訝原則（Least Astonishment）
3、方法性原則
（1）公開設計原則（Open Design）
（2）層次化原則（Layering）
（3）抽象化原則（Abstraction）
（4）模組化原則（Modularity）
（5）完全關聯原則（Complete Linkage）
（6）設計迭代原則（Design for Iteration）
4.2.2 威脅建模
·安全是一種屬性，是應對威脅的屬性。只有把威脅弄清楚，才可能知道安全問題會出現在哪兒，才能制定出應對安全問題的方法，從而獲得所期待的安全。
·安全（Security）的本意指某物能避免或抵禦他物帶來的潛在傷害。
·威脅（Thread）的本意指某物造成傷害或損失的意圖。
·風險（Risk）的本意指某物遭受傷害或損失的可能性
·安全代表避免傷害，風險代表可能傷害 ---> 威脅引起風險，風險影響安全
·威脅建模（Thread Modeling）就是標識潛在安全威脅並審視風險緩解途徑的過程。
·威脅建模的目的是:在明確了系統的本質特徵、潛在攻擊者的基本情況、最有可能的被攻擊角度、攻擊者最想得到的好處等的情況下,為防禦者提供系統地分析應採取的控制或防禦措施的機會。
·威脅建模回答像這樣的問題:被攻擊的最薄弱之處在哪裡、最相關的攻擊是什麼、為應對這些攻擊應該怎麼做等。
·典型威脅建模方法：stride\pasta\trike\vast
4.2.3 安全控制
·訪問控制（Access Control）：對系統進行安全保護，防止安全事件的發生。
·訪問控制的目標是防止系統中出現不按規矩對資源進行訪問的事件。
·系統中負責訪問控制的組成部分稱為訪問控制機制。訪問控制機制的重要任務之一是在接收到一個請求時，判斷能不能批准執行，作出允許執行或禁止執行的決定，並指示和協助系統實施該決定。
·訪問控制需要確定主體的身份，確定主體身份的過程稱為身份認證。身份認證最常用的方法是基於口令進行認證，主體向系統提供賬戶名和口令資訊,由系統對這些資訊進行核實。
·口令認證法與現實中對暗號的方法很相似。主體事先與系統約定了賬戶名和口令資訊，認證時系統就可以進行核實。
·身份認證方法很多，還有生物特徵認證和物理介質認證等。指紋識別、人臉識別、虹膜識別等屬於生物特徵認證。智慧門卡屬於物理介質認證。
·訪問控制策略為滿足應用的需要制定的，由於應用需求多種多樣，故訪問控制策略也多種多樣。
4.2.4 安全監測
·網路空間安全事件的監測是有基礎的。
·系統的完整性檢查機制提供從開機引導到應用執行各個環節的完整性檢查功能，可以幫助發現系統中某些重要組成部分受到篡改或破壞的現象。
·病毒或惡意軟體是困擾系統安全的常見因素，病毒查殺和惡意軟體檢測機制可以通過對系統中的各種檔案進行掃描，幫助發現或清除進人到系統之中的大多數病毒或惡意軟體。
·入侵檢測是安全監測中廣泛採用的重要形式，它對惡意行為或違反安全策略的現象進行監測。一且發現情況就及時報告.必要時發出告警。入侵檢測機制具有較大的伸縮性，監測範圍可以小到單臺裝置,大到一個大型網路。
·從監測物件的角度看，入侵檢測可分為主機入侵檢測和網路入侵檢測。【主機入侵檢測系統（Host Intrusion Detection System，HIDS），網路入侵檢測系統（Network Intrusion Detection System）】
·從檢測方法的角度看，入侵檢測可分為基於特徵的入侵檢測和基於異常的入侵檢測。
4.2.5 安全管理
·安全管理（Security Management）指的是把一個組織的資產標識出來，並制定、說明和實施保護這些資產的策略和流程，其中資產包括人員、建築物、機器、系統和資訊資產。
·安全管理的目的是使一個組織的資產得到保護，由資產的範圍可知，該目的涵蓋了使系統和資訊得到保護。

4.3 系統安全結構
4.3.1 硬體系統安全
·網路空間是個計算環境，由各式各樣的計算機通過網路連線構成，關鍵特徵是都有處理器。
·計算機由硬體和軟體構成，硬體是軟體的載體，軟體在硬體之上工作。
·在系統安全的背景下觀察硬體安全，主要是觀察它能給軟體提供什麼樣的安全支援，如何幫助軟體實現想要實現的安全功能。同時，也觀察它自身可能存在什麼安全隱患，會給系統安全帶來什麼樣的影響。
·硬體安全是軟體安全的支撐，它的很多方面體現在密碼工程之中，密碼技術是它的重要基礎。硬體安全涉及硬體設計、訪問控制、安全多方計算、安全金鑰儲存、金鑰真實性保障等方面。
4.3.2 作業系統安全
·作業系統是直接控制硬體工作的基礎軟體系統，它緊貼在硬體之上,介於硬體與應用軟體之間，這樣的特殊地位決定了它在系統安全中具有不可替代的作用。
·沒有作業系統提供的安全支援,應用系統的安全性無法得到保障。
4.3.3 資料庫系統安全
·資料庫系統是提供資料管理功能的軟體系統，它由資料庫管理系統和資料庫應用構成。
·相對於作業系統而言，資料庫系統屬於應用軟體系統,但由於它為很多應用系統提供基礎資料管理支援,所以它屬於基礎軟體系統。
4.3.4 應用系統安全
4.3.5 安全生態系統
·這個概念強調整體思想，網際網路生態系統組成部分可以劃分成6類：
（1）域名和地址分配
（2）開放標準開發
（3）全球共享服務與運營
（4）使用者
（5）教育與能力建設
（6）地方地區與國家和全球政策制定