4.1系統安全概述

訪問監控器、訪問驗證機制、安全核和安全建模都是建立在對系統資源受控共享問題的研究。

可信基：一個計算機系統中負責實現該系統的安全策略的所有軟硬體資源的集合，其特性之一是能夠防止其他軟硬體對其造成破壞。

一個系統是由相關作用或相互依賴的元素或成分構成的某種型別的一個統一整體。

觀察的方法包括自外觀察法和自內觀察法。

方法論包括還原論和整體論。

巨集觀特性可分為湧現性和綜合特性。

安全領域的核心的兩大理念是保護物件和思維方法。

人工系統的生命週期包含系統需求、系統分析、系統建模與設計、系統構建與測試、系統使用與老化、系統報廢等過程。

系統工程的主要目標是獲得總體上可信賴的系統，它的核心是系統整體思想。

系統的安全性值得信賴等價於系統具有可信的安全性。

4.2 系統安全原理

• 基本原則：

  • 限制性原則：最小特權原則、失敗-保險預設原則、完全仲裁原則、特權分離原則和信任最小化原則。

  • 簡單性原則包括：機制經濟性原則、公共機制最小化原則和最小驚訝原則。

  • 方法性原則包括公開設計原則、層次化原則、抽象化原則、模組化原則、完全相關原則和設計迭代原則。

安全是一種屬性，是應對威脅的屬性。安全代表避免傷害，風險代表可能傷害。

對一個系統進行威脅建模的一般過程是首先勾畫該系統的抽象模型，以視覺化的形式把它表示出來，在其中畫出該系統的各個組成元素，可以基於資料流圖或過程流圖進行表示；然後以系統的視覺化表示為基礎，標識和列舉出系統中的潛在威脅。這樣得到的威脅框架可供後續分析，制定風險緩解對策。

訪問控制是防止系統中出現不按規矩對資源進行訪問的事件。

可用訪問控制矩陣表示。

訪問控制包括自主訪問控制和強制訪問控制。

入侵檢測從檢測物件的角度可分為主機入侵檢測和網路入侵檢測。從檢測方法可分為基於特徵的入侵檢測和基於異常的入侵檢測。

安全管理一個組織的資產表示出來，並制定、說明和實施保護這些資產的策略和流程。

安全模型就是安全策略的形式化表示。

4.3 系統安全結構

系統的體系結構可分為微觀體系結構和巨集觀體系結構。

最平凡的安全支援功能中是使用者態/核心態功能。使用者態看不到的指令稱為特權指令，看不到的地址空間稱為核心地址空間。黑客不易篡改硬體支援。

硬體安全模組具有很強的數字金鑰管理和保護功能。

硬體安全是軟體安全的支撐，密碼技術是它的重要基礎。

作業系統的第一個弱點是無法保證硬體的加密機制能夠順利啟動。第二個弱點是無法保證硬體裝置的加密機制不被濫用。

使用者身份標識與認證是作業系統提供的最基礎的安全功能，是實施其他一切安全功能的基礎，第二個基本安全功能是自主訪問控制。

對檔案的訪問控制是使用者看得到的，也是使用者可以直接操作的。

資料庫系統是提供通用資料管理功能的軟體系統，由資料庫管理系統和資料庫應用構成。

關係資料庫的訪問和應用開發通常採用SQL。

一旦使用者獲得了訪問授權，得到了資料庫資料，自主訪問控制就無法對這些資料的傳播和使用施加任何控制。

Web應用的一大特點是藉助瀏覽器的形式，打破了異構裝置之間的差異屏障，使得多種多樣的裝置都可以用來連線同一個應用系統，擴大了應用系統的適應性，提高了使用者選擇的靈活性。

跨站指令碼攻擊的安全威脅引人注目。

Cookie的用途是讓網站伺服器記住瀏覽器以往瀏覽網站時的一些行為。

一個數字生態系統是一個分散式的、適應性的、開放的社會-技術系統，受自然生態系統啟發，它具有自組織性、可伸縮性和可持續性。