2020-2021-1学期 20202417《网络空间安全专业导论》第十一周学习总结

学习内容：《网络空间安全导论》第四章

第4章 系统安全基础：

系统安全包含两层含义，已是以系统思维应对安全问题，二是应对系统面临的安全问题，两者相辅相成，深度融合。

4.1 系统安全概述

4.1.1 系统安全的演进

网络空间是人类活动的第五大疆域。网络空间是随着计算机的诞生而逐渐形成的。

网络空间中的系统，从大型主机系统到网络化系统，再到网络空间生态系统,其形态不断演变,其内涵不断丰富，其影响不断深入。与此同时，系统安全所面临的挑战更加严峻，系统安全的探索全景广阔,意义深远。

4.1.2 系统与系统安全

一个系统是由相互作用或相互依赖的元素或成分构成的某种类型的一个统一整体,其中的元素完整地关联在一起，它们之间的这种关联关系有别于它们与系统外其他元素之间可能存在的关系。

上述定义表明，一个系统是一个统一整体，同时，系统由元素构成,另外,元素与元素之间的关系内外有别，即同属一个系统的元素之间的关系不同于它们与该系统外其他元素之间的关系。该定义隐含着系统存在边界,它把系统包围起来,区分出内部元素和外部元素。位于系统边界内部的属于系统的组成元素,位于系统边界外部的属于系统的环境。

4.1.3 整体论与还原论

还原论把大系统分解为小系统，就是把系统分解为它的组成部分，通过对系统的组成成分的研究去了解原有系统的情况。

整体论把一个系统看成一个完整的统一体，而不是简单把它看作部分的组合。

整体论和还原论都关心整体特性,但它们关心的是整体特性中的两种不同形态，整体论聚焦的是涌现性，而还原论聚焦的是综合特性。

4.1.4 系统安全思维

网络空间安全系统安全知识领域的核心包含着两大理念，一是保护对象，二是思维方法。系统一方面表示会受到威胁因此需要保护的对象，另一方面表示考虑安全问题时应具有的思维方法，即系统化思维方法。系统化思维方法具有普适性，不是网络空间独有，运用到网络空间安全之中就称为系统安全思维。

4.2 系统安全原理：

站在系统建设者的位置，要把安全理念贯彻到系统建设之中。

4.2.1 基本原则

在网络空间中，系统的设计与实现是系统生命周期中分量很重的两个阶段，长期以来受到人们高度关注，形成了一系列对系统安全具有重要影响的基本原则。划分为三类：

一.限制性原则：

(1)最小特权原则

(2)失败-保险默认原则

(3)完全仲裁原则

(4)特权分离原则

(5)信任最小化原则

二.简单性原则：

(1)机制经济性原则

(2)公共机制最小化原则

(3)最小惊讶原则

三.方法性原则：

(1)公开设计原则

(2)层次化原则

(3)抽象化原则

(4)模块化原则

(5)完全关联原则

(6)设计迭代原则

4.2.2 威胁建模：

安全是一种应对威胁的属性，二者是一对对立统一的矛盾。只有把威胁弄清楚，才可能知道安全问题会出现在哪里。

4.2.3 安全控制：

对系统进行安全保护的最美好的愿景是提前做好准备，防止安全事件的发生。访问控制就是这方面的努力之一，它的目标是防止系统中出现不按规矩对资源进行访问的事件。

有很多身份认证方法，如口令认证、生物特征认证、物理介质认证等等。

在实际应用中，涉密等级和保密级别分别是给主体和客体打上的安全标签。访问控制策略是为了满足应用的需要指定的，由于应用需求多种多样，所以访问控制策略也就多种多样。

4.2.4 安全监测

系统的完整性检查机制提供从开机引导到应用运行各个环节的完整性检查功能，可以帮助发现系统中某些重要组成部分受到篡改或破坏的现象。入侵检测是安全监测中广泛采用的重要形式，它对恶意行为或违反安全策略的现象进行监测，一旦发现情况就及时报告，必要时发出告警。 从监测对象的角度看，入侵检测可分为主机入侵检测和网络入侵检测。

4.2.5 安全管理

一般意义上的安全管理指的是把一个组织的资产标识出来，并制定、说明和实施保护这些资产的策略和流程，其中资产包括人员、建筑物、机器、系统和信息资产。安全管理的目的是使一个组织的资产得到保护，由资产的范围可知，该目的涵盖了使系统和信息得到保护。

我们需要牢记国际标准化组织确定的风险管理原则。 还应掌握一些相关的内容，比如安全模型、内部威胁等。

4.3 系统安全结构：

4.3.1硬件系统安全

网络空间是个计算环境,它主要由各式各样的计算机通过网络连接起来构成。

平板计算机、手机等，还有很多藏在嵌人式设备或物联网设备等之中不易被看到的东西，它们的关键特征是都有处理器。

计算机由硬件和软件组成,尽管有些软件因为固化在硬件上而被称为固件。计算机提供的丰富多彩的功能,不管是拍照，还是播放音乐,或是别的，都是通过计算实现的。硬件负责计算，软件负责发布计算命令。硬件是软件的载体，软件在硬件之上工作。

在系统安全的背景下观察硬件安全,主要是观察它能给软件提供什么样的安全支持，如何帮助软件实现想要实现的安全功能。同时，也观察它自身可能存在什么安全隐患,会给系统安全带来什么样的影响。

在硬件为软件提供的安全支持功能中，最平凡的一项是用户态/内核态功能。

处理器硬件定义了用户态和内核态两种状态,内核态给操作系统用,用户态给其他程序用，规定用户态的程序不能干扰内核态的程序。这样，在免受其他程序破坏的意义上，操作系统受到了硬件的保护。

以通俗的方式说得更具体一点，硬件把指令和内存地址空间都分成了两大部分，内核态程序可以看到所有的指令和地址空间,用户态程序只能看到其中一个部分的指令和地址空间。用户态程序看不到的那部分指令称为特权指令，看不到的那部分地址空间称为内核地址空间。

4.3.2 操作系统安全

操作系统是直接控制硬件工作的基础软件系统，它紧贴在硬件之上,介于硬件与应用软件之间,这样的特殊地位决定了它在系统安全中具有不可替代的作用。没有操作系统提供的安全支持，应用系统的安全性无法得到保障。

4.3.3数据库系统安全

数据库系统是提供数据管理功能的软件系统，它由数据库管理系统和数据库应用构成。对于数据库系统安全，我们要从DBMS角度增强数据库应具有的安全功能，还要从数据库应用的角度缓解数据库系统无法回避的安全风险。

4.3.4 应用系统安全

Web应用的一大特点是借助浏览器的形式，打破了异构设备之间的差异屏障，使得多种多样的设备都可以用来连接同一个应用系统，扩大了应用系统的适应性,提升了用户选择的灵活性。

浏览器是Web应用系统的前端，是用户进人应用系统的接口，用户只需要使用浏览器就可以使用Web应用系统提供的功能。用户通过浏览器访问Web应用系统，但是，Web应用系统的主要功能并不是浏览器提供的,而是藏在幕后的服务器提供。通常,用户无法知道服务器在哪里,不过不要紧，只要知道服务器的网址(术语是URL)就可以了。服务器那一端称为服务端,用户这一端 称为客户端。

4.3.5 安全生态系统

这个概念强调整体思想，互联网生态系统组成部分可以划分成6类。

(1)域名和地址分配

(2)开放标准开发

(3)全球共享服务与运营

(4)用户

(5)教育与能力建设

(6)地方地区与国家和全球政策制定