2021-2022-1学期 20212417《网络空间安全专业导论》第十一周学习总结
目录
第四章 系统安全基础
4.1 系统安全概述
4.1.1 系统安全的演进
网络空间是人类活动的第五大疆域。在网络空间中,系统安全则由操作系统的问世而催生。
安全操作系统的设计与实现是系统安全领域早期最核心的研究与实践活动工作,对推动系统安全的发展发挥了举足轻重的作用。
实际上,早期的安全操作系统就是为了满足军事方面的需求而设计的。
1972年,美国空军的一份计算机安全规划研究报告提出了访问监控器、访问验证机制、安全核和安全建模等重要思想。这些思想的产生源于对系统资源受控共享。
1979年,尼巴尔第在讨论基于安全核的计算机安全系统的设计方法时阐述了可信计算基的思想,其重要启示之一是通过硬件、固件和软件的统一体来构筑系统的安全性和可信性。
系统规模越来越大,结构越来越复杂,系统安全的新问题日显突出,系统安全研究的视野拓展到由网络互联所形成的场景。
网络空间中的系统,从大型主机系统到网络化系统,再到网络空间生态系统,其形态不断演变,其内涵不断丰富,其影响不断深入。与此同时,系统安全所面临的挑战更加严峻,系统安全的探索全景广阔,意义深远。
4.1.2 系统与系统安全
一个系统是由相互作用或相互依赖的元素或成分构成的某种类型的一个统一整体,其中的元素完整地关联在一起,它们之间的这种关联关系有别于它们与系统外其他元素之间可能存在的关系。
该定义隐含着系统存在边界,它把系统包围起来,区分出内部元素和外部元素。
系统的边界有时是明显的、容易确定的、有时是模糊的、难以确定的。
系统的边界也不是唯一的、一成不变的,随着观察角度的不同可能会发生变化。但是,不管怎样,系统存在着边界。
对系统的观察可以采取自外观察法,也可以采取自内观察法。
4.1.3 整体论与还原论
在传统的科学研究中,习惯上采取还原论的方法进行研究。
还原论存在着局限性,因为,通过对系统组成部分的分析去推知系统的性质这条路并非总是行得通的。
针对还原论的这种局限性,人们提出了整体论的方法。整体论方法把一个系统看成一个完整的统一体,一个完整的被观察单位,而不是简单的微观组成元素的集合。
系统的宏观特性,及整体特性,可以区分为涌现性和综合特性两种情形。
综合特性可以通过系统组成部分的特性的综合而得到,或者说,综合特性可以分解为系统组成部分的特性。
涌现性是系统组成部分相互作用产生的组成部分所不具有的新特性,它是不可还原(即不可分解)的特性。
网络安全中的安全性属于涌现性。
它不可能简单地依靠系统的微观组成部分建立起来,它的形成很大程度上依赖于微观组成部分的相互作用,而这种相互作用是最难把握的。
整体论和还原论都关心整体特征,但它们关心的是整体特性中的两种不同形态,整体论聚焦的是涌现性,而还原论聚焦的是综合特性。
4.1.4 系统安全思维
系统化思维具有普适性,不是网络空间所独有。
一个系统的一生通常称为该系统的生命周期。系统工程是涵盖系统生命周期的具有关联活动和任务的技术性和非技术性过程的集合,技术性过程应用工程分析与设计原则建设系统,非技术性过程通过工程管理保障系统建设工程项目的顺利实施。
系统工程为建设可信赖的人工系统提供了一套基础保障,适用于网络空间中的系统建设。
系统安全思维重视整体论思想,强调从系统的全生命周期衡量系统的安全性,主张通过系统安全工程措施建立和维护系统的安全性。
4.2 系统安全原理
4.2.1 基本原则
在网络空间中,系统的设计与实现是系统生命周期中分量很重的两个阶段,长期以来受到了人们的高度关注,形成了一系列对系统安全具有重要影响的基本原则:
- 限制性原则(最小特权原则、失败-保险默认原则、完全仲裁原则、特权分离原则、信任最小化原则)
- 简单性原则(机制经济性原则、公共机制最小化原则、最小惊讶原则)
- 方法性原则(公开设计原则、层次化原则、抽象化原则、模块化原则、完全关联原则、设计迭代原则)
4.2.2 威胁建模
只有把威胁弄清楚,才可能知道安全问题会出现在哪里,才可能制定出应对安全问题的方法,从而获得所期待的安全。
这里面蕴含着的实际上就是威胁建模的思想。
威胁引起风险,风险影响安全。需要针对威胁采取措施,降低风险,减少安全损失。
威胁建模就是表示潜在安全威胁并审视风险缓解途径的过程。
危险建模的目的:在明确了系统的本质特性、潜在攻击者的基本情况、最有可能的被攻击角度、攻击者最想得到的好处等的情况下,为防御者提供系统地分析应采取的控制或防御措施的机会。
对一个系统进行威胁建模,首先勾画该系统的抽象模型,可以基于数据流图或者过程流图进行表示。然后以系统的可视化表示为基础,表示和列举出系统中的潜在威胁。这样得到的威胁框架可供后续分析,制定风险缓解对策。
威胁建模方法:
- 以风险为中心
- 以资产为中心
- 以软件为中心
4.2.3 安全控制
访问控制的目标是防止系统中出现不按规矩对资源进行访问的事件。
系统中负责访问控制的组成部分称为访问控制机制。
访问控制需要确定主体的身份,确定主体身份的过程称为身份认证。身份认证方法很多,除了口令认证,还有生物特征认证(指纹识别、人脸识别、虹膜识别)和物理介质认证(智能门卡)等。
系统中出现的各种访问要符合规矩,规矩的专业说法叫访问控制策略。访问控制机制的另一项重要任务是定义访问控制策略,其中包含给主体分配访问权限。
一组权限可以表示为一个以权限为元素的集合。
访问控制策略是为了满足应用的需要制定的。
4.2.4 安全监测
网络空间中的系统及其环境一直处于不断的变化之中,方方面面的不确定因素大量存在。
在网络空间中,各种日志机制记录着系统运行的轨迹。网络空间安全事件的检测是有基础的。
系统的完整性检查机制提供从开机引导到应用运行各环节的完整性检查功能,可以帮助发现系统中某些重要组成部分受到篡改或破坏的现象。
入侵检测是安全监测中广泛采用的重要形式。
从监测对象的角度看,入侵检测可分为:
- 主机入侵检测
运行在网络环境中的单台主机或设备上,它对流入和流出主机或设备的数据包进行监测,一旦发现可疑行为就发出警告。 - 网络入侵检测系统
部署在网络中的策略性节点上,它对网络中所有设备的流出和流入流量进行监测,对通过整个子网的流量进行分析,并与已知攻击库中的流量进行对比,识别出攻击行为时,或感知到异常行为时,就发出警告。
从检测方法的角度看,入侵检测可分为:
- 基于特征的入侵检测
基本思想是从已知的入侵中提炼出特定的模式,检测时,从被检测对象中寻找已知入侵所具有的模式,如果能找到,就认为检测到了攻击。 - 基于异常的入侵检测
基本思想是给可信的行为建模,检测时,把待检测的行为与已知的可信行为模型对比,如果差异较大,则认为是攻击行为。
从监测对象的角度,难免找不全(漏报);从检测方法的角度看,难免冤枉人(误报)。
4.2.5 安全管理
安全管理的目的是使一个组织的资产得到保护,由资产的范围可知,该目的涵盖了使系统和信息得到保护。
安全风险管理是安全管理的重要内容。
在开展工作的过程中,在管理流程的指引下,系统管理人员要明确以下工作任务:
搞清需求、了解模型、编写指南、安装系统、运用模型、指导操作、持续应对、自动化运作。
在分析安全需求时,要注意来自内部的威胁。
系统管理人员要了解和熟悉安全模型。
系统根据安全模型提供安全功能。
系统安全功能的正常发挥与用户对系统的正确操作关系密切。
由于庞大复杂,系统必然存在漏洞。而哪里存在漏洞,漏洞何时暴露,都具有很大的不确定性。在系统管理过程中,必须时刻保持警惕,及时应对。
修补漏洞的主要办法是给系统打补丁。
4.3 系统安全结构
4.3.1 硬件系统安全
计算机由硬件和软件组成,尽管有些软件因为固化在硬件上而被称为固件。硬件负责计算,软件负责发布计算命令。
硬件是软件的载体,软件在硬件之上工作。
在系统安全的背景下观察硬件安全,主要是观察它能给软件提供什么样的安全支持,也观察它自身可能存在什么安全隐患。
在硬件为软件提供的安全支持功能中,最平凡的一项是用于保护操作系统的功能:用户态/内核态功能。
处理器硬件定义了用户态和内核态两种状态,内核态给操作系统用,用户态给其他程序用,规定用户态的程序不能干扰内核态的程序。
用户态看不到的那部分指令称为特权指令,看不到的那部分地址空间称为内核地址空间。用户态程序不能执行特权指令,不能访问内核地址空间。因为操作系统程序存放在内核地址空间,所以无法篡改或破坏操作系统程序,操作系统由此得到保护。
应对篡改的措施之一是检测篡改的发生,通常是计算程序的摘要并把它和原始摘要进行对比,根据两者的异同判断程序有没有被篡改。
密码运算是基础的安全功能,身份认证、数据加密等很多功能都要借助它们来实现。
基于硬件的加密技术用硬件辅助或者代替软件实现数据加密功能。一种典型的实现方式是在通用处理器中增加密码运算指令,用于进行密码运算。另一种实现方式是设计独立的处理器(安全密码处理器或密码加速器),专门执行密码运算。
有一类用安全密码处理器芯片实现的硬件计算设备称为硬件安全模块(HSM),特点是具有很强的数字密钥管理和保护功能,能够为有强认证需求的应用提供密钥管理支持。
用硬件支持软件实现系统安全功能的基本动因是单靠软件自身的能力无法完全应对来自软件的攻击,其中蕴含的一个无形的假设是软件难以破坏硬件提供的功能。
硬件木马是实践中已经发现的对硬件安全机制存在的严重威胁的一种手段,它是对集成电路芯片中的电路系统进行的恶意修改,它的功能一旦被触发就会执行。
简要地说,硬件安全是软件安全的支撑,它的很多方面体现在密码工程中,密码技术是它的重要基础。
4.3.2 操作系统安全
没有操作系统提供的安全支持,应用系统的安全性无法得到保障。
第一个弱点是无法保证硬件设备的加密机制能够顺利启动。第二个弱点是无法保证硬件设备的加密机制不被滥用。
创建可信路径是操作系统的一项重要的安全功能。
对用户进行管理可以说是操作系统提供安全支持的开端。操作系统力求利用双方都享有而别人提供不了的信息建立用户与人之间的关联。用户身份标识与认证是操作系统提供的最基础的安全功能,是实施其他一切安全功能的基础。
操作系统提供的第二个基本安全功能是自主访问控制。在自主访问控制中,文件的拥有者可以自主确定任何用户对该文件的访问权限,也就是可以授权用户对该文件的访问。
操作系统对系统中的用户有所划分,至少划分为普通用户和系统管理员两大类。
访问控制的强制性体现在它实现的一个多级安全策略(MLS)上。访问许可的判断依据是信息的级别和用户的等级,不是用户的意愿,所以是强制的不是主动的。
在系统管理中,给信息和用户打标签是实施多级安全策略的重要工作,信息的标签标出信息的涉密级别,用户的标签标出用户的涉密等级。
操作系统的日志机制为日志的生成、保存和利用提供了多种灵活的功能。保护日志也是一项非常重要的事关系统安全的工作。
4.3.3 数据库系统安全
数据库系统是提供通用数据管理功能的软件系统,它由数据库管理系统(DBMS)和数据库应用构成,属于基础软件系统。
数据库类型很多,关系数据库是最常见、应用最广泛的一种。
关系数据库的访问和应用开发通常采用结构化查询语言(SQL),这是一种描述性语言,不是过程化语言,使用时不需要编写详细实现过程,只需要给出声明。关系数据库自主访问控制的基本任务就是对这些操作进行授权。
关系数据库系统的自主访问控制既支持基于名称的访问控制,也支持基于内容的访问控制。
针对数据库系统自主访问控制存在的不足,强制访问控制和多级安全数据库有助于解决相应的问题。
强制访问控制和多级安全数据库系统以数据的级别划分为基础对数据库数据进行访问控制。它们根据数据的敏感程度确定数据的敏感级别,敏感级别越高,表示数据的敏感程度越高。
切实可行的有效方法是基于记录的敏感级别进行访问控制。
数据推理可以根据合法的非敏感数据推导出非法的敏感数据,是数据库数据面临的严重的间接访问威胁。
SQL注入是数据库应用中经常遇到的一种典型安全威胁。应对SQL注入攻击的办法是在应用系统的代码中添加对用户的输入进行严格检查的功能,禁止在输入中滥用转义字符。
4.3.4 应用系统安全
基于Web的应用(Web应用)是典型的常见应用之一。浏览器是Web应用系统的前端,是用户进入应用系统的接口。
Web应用与用户交互的功能通过在HTML中嵌入各种脚本来实现,称为JavaScript的脚本就是其中一种非常常用的类型。
一种称为跨站脚本(XSS)在Web应用安全中占有最大比重,远远超过其他安全威胁。
在XSS攻击中,攻击者想办法把恶意脚本藏在Web应用的输入和输出之中,实现攻击目的。
当浏览器再次向该服务器发送请求信息时,将在请求信息的头部嵌入这些信息,并给它们标上Cookie标记,以表明服务器曾经设置过这些值。通过这种方式由服务器建立、由服务器保存并返还给服务器的信息称为cookie。
Cookie的用途是让网站服务器记住浏览器以往浏览网站时的一些行为。建立cookie的原始出发点是提升用户浏览网站的体验。显然,cooki中会有用户的敏感信息,所以,cookie的泄露会导致用户敏感信息泄露。
4.3.5 安全生态系统
网络空间的生态效应日趋明显,从自然生态系统中捕获灵感,有助于指引系统安全走出困境。
复杂系统研究表明,了解生态系统对于认识和应对复杂系统环境中出现的问题具有重要的现实意义。一个数字生态系统是一个分布式的、适应性的、开放的社会-技术系统,受自然生态系统启发,它具有自组织性、可伸缩性和可持续性。
互联网生态系统的模型把互联网生态系统的组成部分划分为6类:
- 域名和地址分配
- 开放标准开发
- 全球共享服务和运营
- 用户
- 教育与能力建设
- 地方、地区、国家和全球政策制定。
考虑系统安全问题要注意相互作用和反馈控制。
与企业独自开展安全防御的方式相比,合作伙伴间的安全协作显得更加复杂。
在网络空间中从生态系统的角度应对系统安全问题,一方面要把系统的概念从传统的意义上拓展到生态系统的范围,重新认识安全威胁,构建相应的安全模型;另一方面要有新的支撑技术,在自动化、互操作性和身份认证等重要关键技术方面有新的突破。
浙公网安备 33010602011771号