第四章、系統安全基礎

4.1 系統安全概述
系統（system）的描述性定義：一個系統是由相互作用或相互依賴的元素或成分構成的某種型別的一個統一整體，其中元素完整地關聯在一起，它們之間的這種聯絡內外有別，即同屬一個系統的元素之間的關係不同於它們與系統外其他元素之間的關係。
系統的安全性屬於系統層級所具有的湧現性屬性，需要在建立了對系統認識的基礎上，以系統化的視野去觀察。這就是系統安全需要探討的課題。
還原論：把大系統分解為小系統，把系統分解為他的組成部分，通過對系統的組成部分的研究去了解原有系統的情況。還原論有侷限性。
整體論：把一個系統看成一個完整的統一體，一個完整的被觀察單位。
湧現性是系統組成部分相互作用產生的組成部分所不具有的新特性，它是不可還原的特性。
作業系統的機密性無法還原到它的子系統中，它的形成依賴於子系統的相互作用。
整體論和還原論都關心整體特性，但他們關心的是整體特性中兩種不同的形態，整體論聚焦的是湧現性，而還原論聚焦的是綜合特性。
系統工程（System Engineering）是涵蓋系統生命週期的具有關聯活動和任務的技術和非技術性過程的集合。系統工程的主要目標是獲得總體上可信賴的系統，它的核心思想是系統整體思想。
系統安全工程（System Security Engineering）它力求從系統生命週期的全過程保障系統的安全性。

4.2 系統安全原理
基本原則：限制性原則、簡單性原則、方法性原則。
限制性原則：

1. 最小特權原則（Least Privilege）：執行任務的實體應該擁有特權的最小集合。
2. 失敗-保險預設原則（Fail-Safe Defaults）：對訪問請求採取預設拒絕的方案。
3. 完全仲裁原則（Complete Mediation）：授權檢查必須能完全覆蓋系統中任何一個訪問操作。
4. 特權分離原則（Seperation of Privilege）：相關行動的執行授權不要只憑單一條件做決定。
5. 信任最小化原則（Minimize Trust）：建立在儘量少的信任假設基礎上。
   簡單性原則：
6. 機制經濟性原則（Economy of Mechanism）：把安全機制設計得儘可能簡單和短小。
7. 公共機制最小化原則（Minimize Common Mechanism）：減少共用機制的數量。
   3.最小驚訝原則（Least Astonishment）：設計儘可能地符合邏輯並簡單，與使用者de的經驗、馭騏和想想相吻合。
   方法性原則：
8. 公開設計原則（Open Design）：安全機制設計方案應該公開。
9. 層次化原則（Layering）：採用分層的方法設計和實現系統，以便某層的模組只可以與緊鄰的上下層之間進行互動，便於採用自頂向下的方法進行測試。
10. 抽象化原則（Abstraction）：在分層的基礎上遮蔽每一層的內部細節，只公佈該層的對外介面。
11. 模組化原則（Modularity）：把系統設計成相互協作元件的集合1，每一個介面就是一種抽象。
12. 完全關聯原則（Complete Linkage）：把系統的安全設計與實現與該系統的安全規格說明緊密地聯絡起來。
13. 設計迭代原則（（Design for Iteration）：使設計的改變對系統安全性的影響降到最低。
    威脅引起風險，風險影響安全。
    威脅建模（Threat Modeling）：標識潛在安全威脅並審視風險緩解途徑的過程。它的目的是在明確了系統的本質特徵、潛在攻擊者的基本情況、最有可能的被攻擊角度、攻擊者最想得到的好處等的情況下，為防禦者提供系統地分析應採用的控制或防禦的措施的機會。
    一般過程是首先勾畫該系統的抽象模型，以視覺化的形式將它表示出來，在其中畫出該系統的各個組成元素，可以基於資料流圖或過程流圖進行表示；然後以系統的視覺化表示為基礎，標識和列舉出系統中的存在威脅，得到威脅框架。威脅建模實踐在威脅建模方法的指引下進行，威脅建模的方法有以風險為中心、以資產為中心、以攻擊者為中心、以軟體為中心等型別。
    安全控制：用s、o、p分別表示主體、客體、操作，那麼一個訪問行為，可以表示為以下三元組：（s，o，p）。
    系統中負責訪問控制的組成部分稱為訪問控制機制。重要任務之一是在接受到一個（s，o，p）請求時，判斷能不能批准（s，o，p）的執行，作出允許執行或禁止執行的決定，並指示和協助系統實施該決定。
    訪問控制需要確定主體的身份（Identity），其過程稱為身份認證（Authentication），其方法有口令認證還有生物特徵認證和物理介質認證。
    訪問控制機制另一項重要任務是定義訪問控制策略（Policy），分配訪問許可權的過程稱為授權（Authorization）。
    安全監測：
    入侵檢測：主機入侵檢測系統（Host Instrusion Detection System，HIDS）對流入和流出主機的資料包進行監測，一旦發現可疑行為就會發出警告。網路入侵檢測系統（Network Intrusion Detection System）對網路中所有裝置的流入和流出流量進行監測，與攻擊庫中的流量對比識別攻擊行為，感到異常時，就會發出警告。基於特徵的入侵檢測和基於異常的入侵檢測。

4.3 系統安全結構
硬體系統安全，作業系統安全，資料庫系統安全，應用系統安全，安全生態系統。