4.1 系统安全概述
4.1.1 系统安全的演进
网络空间中的系统,从大型主机系统到网络化系统,再到网络空间生态系统,其形态不断演变,其内涵不断丰富,其影响不断深入。
4.1.2 系统与系统安全
对网络空间中的系统进行观察就会发现,由于网络空间中天然地存在着名目繁多的安全威胁,网络空间中的系统处在各式各样的安全风险之中,这些系统必须具有一定的安全性,才能在风险包围之中也能正常运转。系统的安全性属于系统层级所具有的涌现性属性,需要在建立了对系统的认识的基础上,以系统化的视野去观察。这就是系统安全需要探讨的课题。
4.1.3 整体论与还原论
整体论和还原论都关心整体特性,但它们关心的是整体特性中的两种不同形态,整体论聚焦的是涌现性,而还原论聚焦的是综合特性。过去,网络空间安全的研究与实践主要偏向于还原论,虽然,在早期提出的可信计算基概念中蕴含着一定的整体论思想。现在,国际上已经意识到整体论在解决网络空间安全问题中的重要性,大量的问题有待不断探索。
4.1.4 系统安全思维
简而言之,系统安全思维重视整体论思想,强调从系统的全生命周期衡量系统的安全性,主张通过系统安全工程措施建立和维护系统的安全性。当然,强调整体论并不意味着要否定还原论的作用,而是说,仅仅依靠还原论的方法是远远不够的。
4.2 系统安全原理
4.2.1 基本原则
限制性原则:包括最小特权原则、失败-保险默认原则、完全仲裁原则、特权分离原则和信任最小化原则。
简单性原则:包括机制经济性原则、公共机制最小化原则和最小惊讶原则。
方法性原则:包括公开设计原则、层次化原则、抽象化原则、模块化原则、完全关联原则和设计迭代原则。
4.2.2 威胁建模
威胁建模(Threat Modeling) 就是标识潜在安全威胁并审视风险缓解途径的过程威胁建模的目的是:在明确了系统的本质特征、潜在攻击者的基本情况、最有可能的被攻击角度、攻击者最想得到的好处等的情况下,为防御者提供系统地分析应采取的控制或防御措施的机会。威胁建模回答像这样的问题:被攻击的最薄弱之处在哪里、最相关的攻击是什么,为应对这些攻击应该怎么做等。
4.2.3 安全控制
对系统进行安全保护的最美好愿景是提前做好准备,防止安全事件的发生。访问控制(Access Control) 就是这方面的努力之一,它的目标是防止系统中出现不按规矩对资源进行访问的事件。
系统中负责访问控制的组成部分称为访问控制机制。访问控制机制的重要任务之一是在接收到一个(s,o,p)请求时,判断能不能批准(s,o,p)执行,作出允许执行或禁止执行的决定,并指示和协助系统实施该决定。
从访问判定因素的形式看,可分为基于身份的访问控制、基于角色的访问控制、基于标签的访问控制;从授权者的限定条件看,可分为自主访问控制、非自主访问控制(强访问控制)。
4.2.4 安全检测
人侵检测是安全监测中广泛采用的重要形式,它对恶意行为或违反安全策略的现象进行监测,一旦发现情况就及时报告,必要时发出告警。人侵检测机制具有较大的伸缩性,监测范围可以小到单台设备,大到一个大型网络。
从检测对象的角度看,入侵检测可分为助记入侵检测和网络入侵检测。
从检测方法的角度看,入侵检测可分为基于特征的入侵检测和基于异常的入侵检测脸啊各种类型。
4.2.5 安全管理
一般意义上的安全管理(Security Management) 指把一个组织的资产标识出来, 并制定、说明和实施保护这些资产的策略和流程,其中,资产包括人员、建筑物、机器、系统和信息资产。安全管理的目的是使一个组织的资产得到保护,由资产的范围可知,该目的涵盖了使系统和信息得到保护。
安全风险管理是安全管理的重要内容,它指的是把风险管理原则应用到安全威胁管理之中,主要工作包括标识威胁、评估现有威胁控制措施的有效性、确定风险的后果、基于可能性和影响的评级排定风险优先级、划分风险类型并选择合适的风险策略或风险响应。
4.3 系统安全结构
了解系统的体系结构对把握系统的安全性至关重要。系统的体系结构可划分为微观体系结构和宏观体系结构两个层面。从计算技术的角度看,微观体系结构的系统主要是机器系统,它们由计算机软硬件组成。宏观体系结构的系统是生态系统。机器系统可划分成硬件、操作系统、数据库系统和应用系统等层次。因此,本节从硬件系统安全、操作系统安全、数据库系统安全、应用系统安全和安全生态系统等角度观察系统安全的体系结构。
4.3.1 硬件系统安全
简要地说,硬件安全是软件安全的支撑,它的很多方面体现在密码工程之中,密码技术是它的重要基础。硬件安全涉及硬件设计、访问控制、安全多方计算、安全密钥存储、密钥真实性保障等方面,当然,需要特别指出的是,还涉及确保产品生产供应链安全的措施。
4.3.2 操作系统安全
4.3.3 数据库系统安全
对于数据库系统安全,一方面,要从DBMS的角度增强数据库系统应该具有的安全功能,另一方面,要从数据库应用的角度换届数据库系统无法回避的安全风险。
4.3.4 应用系统安全
谨防XSS攻击所导致的cookie泄露。
4.3.5 安全生态系统
互联网生态系统的组成可分为6类:
(1)域名和地址分配
(2)开放标准开发
(3)全球共享服务和运营
(4)用户
(5)教育与能力建设
(6)地方、地区、国家和全球政策制定