20212306张阳

导航

 

2021-2022-1学期20212306《网络空间安全导论》第十一周学习总结

学习内容:《网络空间安全导论》第四章

第四章:系统安全基础

4.1系统安全概述

4.1.1系统安全的演进

实际上,早期的安全操作系统就是为了满足军事方面的需求而设计的。
网络空间中的系统,从大型主机系统到网络化系统,再到网络空间生态系统,其形态不断演变,其内涵不断丰富,其影响不断深入。与此同时,系统安全所面临的挑战更加严峻,系统安全的探索全景广阔,意义深远。

4.1.2系统与系统安全

想要很好地理解系统安全,首先应该认识一下系统。
系统多种多样,只能下一个简单的描述性的定义:

一个系统是由互相作用或互相依赖的元素或成分构成的某种类型的一个统一整体,其中的元素完整地关联在一起,它们之间的这种关联关系有别于它们与系统外其他元素之间可能存在的关系。

一个系统是一个统一整体,同时系统由元素构成。元素与元素之间的关系内外有别,即同属于一个系统的元素之间的关系不同于它们与该系统外其他元素之间的关系。该定义隐含着系统存在边界,它们把系统包围起来,区分出内部元素和外部元素,位于系统边界内部的属于系统的组成元素,位于系统边界外部的属于系统的环境。
不管如何,系统是存在边界的。
我们可以采取自外观察法、自内观察法观察系统,我们观察到网络空间中的系统处在各式各样的安全风险之中。

4.1.3整体论与还原论

研究系统安全需要有正确的方法论。
还原论把大系统分解成小系统,就是把系统分解成它的组成部分,通过对系统的组成部分的研究去了解原有系统的情况。
还原论存在着局限性,因为通过对系统组成部分的分析去推知系统的性质这条路并非是行得通的。所以针对还原论的这种局限性,人们提出了整体论的方法整体论方法把一个系统看成一个完整的统一体,一个完整的被观察的单位,而不是简单的微观组成元素的集合。
系统的宏观特性,即整体特性,可以区分为涌现性和综合性两种情形。
综合特性可以分解为系统组成部分的特性。涌现性十系统组成部分相互作用产生的组成部分所不具有的新特性,他是不可还原的特性。
网络空间中的安全性属于涌现性。
现在国际上已经意识到整体论在解决网络空间安全问题中的重要性,大量问题有待不断探索。

4.1.4系统安全思维

网络空间系统安全知识领域的核心包含着两大理念,一是保护对象,二是思维方式系统一方面表示会受到威胁因此需要保护的对象,另一方面表示考虑安全问题时应具有的思维方法,即系统化思维方法。系统化思维方法具有普适性,不是网络空间独有,运用到网络空间安全之中就称为系统安全思维。
系统工程是涵盖系统生命周期的具有关联活动和任务的技术性和非技术性过程的集合,技术性过程应用工程分析与设计原则建设系统,非技术性过程通过工程管理保障系统建设工程项目的顺利实施。
系统工程的主要目标是获得总体上可信赖的系统,核心是系统整体思想。它为建设可信赖的人工系统提供了一套基础保障,适用于网络空间中的系统建设。
简而言之,系统安全思维重视整体论思想,强调从系统的全生命周期衡量系统的安全性,主张通过系统安全工程措施建立和维护系统的安全性。当然并不是否认还原论,而是说,仅仅靠还原论是不够的。

4.2系统安全原理

站在系统建设者的位置,要把安全理念贯彻到系统建设之中。

4.2.1基本原则

在网络空间中,系统的设计与实现是系统生命周期中分量很重的两个阶段,长期以来受到人们高度关注,形成了一系列对系统安全具有重要影响的基本原则。划分为三类:
一、限制性原则
①最小特权原则:拥有任务所需特权的最小集合
②失败-保险默认原则:没有明确信息允许访问,就不允许访问
③完全仲裁原则:他的全面落实是安全机制发挥作用的基础
④特权分离原则:不仅凭单一条件做出决定,应该增加分离条件的因素
⑤信任最小化原则:系统应该建立在尽量少的信任假设的基础上,减少对不明对象的信任
二.简单性原则
①机制经济性原则:应该把安全机制设计的尽可能简单和短小
②公共机制最小化原则:如果系统中存在可以由两个以上的用户共用的机制,应该把它们的数量减到最少
③最小惊讶原则:系统的安全性和安全机制的设计应该尽可能符合逻辑并简单
三.方法性原则
①公开设计原则
②层次化原则
③抽象化原则
④模块化原则
⑤完全关联原则
⑥设计迭代原则
系统的设计者和开发者应该深入理解。正确把握、自觉遵守以上原则。

4.2.2威胁建模

安全是一种属性,是应对威胁的属性。

威胁建模就是表示潜在安全威胁并审视风险缓解途径的过程。

威胁建模的目的是:在明确了系统的本质特征,潜在攻击者的基本情况,最有可能的被攻击角度,攻击者最想得到的好处的情况下,为防御者提供系统的分析应采取的控制或防御措施的机会
对一个系统进行威胁建模的一般过程是首先勾画该系统的抽象模型,以可视化的形式把她表示出来,在其中画出该系统的各个组成元素,可以基于数据流图或过程流图进行表示;然后以系统的可视化表示为基础,标识和列举初系统的潜在威胁。

4.2.3安全控制

对系统进行安全保护的最美好的愿景是提前做好准备,防止安全事件的发生。访问控制就是这方面的努力之一,它的目标是防止系统中出现不按规矩对资源进行访问的事件。
在访问行为中,用户是主动的,被称为主体,文件是被动的,被称为客体。
系统中负责访问控制的组成部分称为访问控制机制。其重要任务之一就是在收到一个请求时,判断能不能批准执行,做出允许执行或禁止执行的决定,并指示和协助系统实施该决定。
系统中出现的各种访问需要符合规定,规矩的专业说法叫访问控制策略。其中包含给主体分配访问权限,分配访问权限的过程称为授权。
在实际应用中,涉密等级和保密级别分别是给主体和客体打上的安全标签。访问控制策略是为了满足应用的需要指定的,由于应用需求多种多样,所以访问控制策略也就多种多样。

4.2.4安全检测

安全事件是不能根除的,所以系统至少能感知安全事件的发生,增强事后补救能力。
生活中,摄像头随处可见,而实际上,在网络空间里,监控摄像也随处可见。网络空间安全事件的监测是有基础的。
系统的完整性检查机制提供从开机引导到应用运行各个环节的完整性检查功能,可以帮助发现系统中某些重要组成部分受到篡改或破坏的现象。入侵检测是安全监测中广泛采用的重要形式,他对恶意行为或者违反安全策略的现象进行监测,并做出相应反应。

从监测对象的角度看,入侵检测可分为主机入侵检测和网络入侵检测

从检测方法的角度看,入侵检测可分为基于特征的入侵检测和基于异常的入侵检测的两种类型。

形象来说,前者就如同拿着坏人的画像去找坏人,但难免找不全(漏报),后者就如同装着好人的模型对比坏人,难免冤枉好人(误报)

4.2.5安全管理

系统安全思维清晰地表明应该通过技术与管理两手抓来建设系统安全性。
一般意义上的安全管理指的是把一个组织的资产标识出来,并制定、说明和实施保护这些资产的策略和流程,其中资产包括人员、建筑物、机器、系统和信息资产。安全管理的目的是使一个组织的资产得到保护,由资产的范围可知,该目的涵盖了使系统和信息得到保护。
安全风险管理是安全管理的重要内容,它指的是把风险管理原则应用到安全威胁管理之中,主要工作包括标识威胁、评估现有威胁控制措施的有效性、确定风险的后果、基于可能性和影响的评级排定风险优先级、划分风险类型并选择合适的风险策略或风险响应。
在开展工作的过程当中,在管理流程的引导下,系统管理人员要明确以下工作任务:搞清需求,了解模型,编写指南,安装系统,运用模型,指导操作,持续应对,自动化运作。
由于庞大复杂,系统必然存在漏洞,在系统管理过程中,必须时刻保持警惕,及时应对。修补漏洞的主要办法是给系统打补丁

4.3系统安全结构

系统的体系结构可分为微观体系结构和宏观体系结构两个层面。我们要从硬件系统安全、操作系统安全、数据库系统安全、应用系统安全和安全生态系统等角度研究系统安全的体系结构。

4.3.1硬件系统安全

网络空间是个计算环境,由各式各样的计算机通过网络连接构成,关键特征是都有处理器。
计算机由硬件和软件构成,硬件是软件的载体,软件在硬件之上工作。硬件为软件提供了许多安全支持,最平凡的就是保护操作系统的功能。硬件把指令和内存地址空间都分成了两大部分,内核态程序可以看到所有的指令和地址空间,用户态程序只能看到其中一个部分的指令和地址空间。用户态程序看不到的指令叫做特权指令,看不到的地址空间叫做内盒地址空间。操作系统由此得到保护。对于用户程序破坏操作系统这样的威胁模型,用户态/内核态策略是有效的。可是黑客有可能继续篡改,任何程序都有可能被篡改。

4.3.2操作系统安全

操作系统是直接控制硬件工作的基础软件系统,其特殊地位决定了它再系统安全中具有不可替代性。
如果没有操作系统提供相应的功能,应用程序完成加密任务依然存在薄弱之处。
第一个弱点是无法保证硬件设施的加密机制能够顺利启动。该弱点之所以存在,是因为应用程序与硬件加密机制之间缺乏一条可信的交互路径,这种路径只能由操作系统帮助建立,应用程序自身无法把他建立起来。
第二个弱点是无法保证硬件设备的加密机制不被滥用。如果能在应用程序和加密机制之间构建一条可信交互路径,就能排除其他应用程序横插进来利用他们之间的会话。
对内存区域的访问也存在访问控制问题,只是用户一般看不到,通常也感受不到。多级安全策略的实现需要最初来源于军事邻域,最著名的多级安全策略模型是贝尔-拉普度拉模型哦。

4.3.3数据库系统安全

数据库系统是提供通用数据管理功能的软件系统,他由于数据库管理系统和数据库应用构成。
自主访问控制对于保护数据库数据具有广泛意义,但是它存在一定不足。对于其不足,强制访问控制和多级安全数据库系统有助于解决相应的问题。
理论上说,可以基于表、宇段或记录建立敏感级别。在实际应用中,切实可行的有效方法是基于记录的敏感级别进行访问控制。在记录级的多级安全关系数据库系统中,可以给一张表中的不同记录分配不同的敏感级别。本质上,敏感级别把一张表分割成了多张相互隔离的子表,不同子表中的记录具有不同的敏感级别。拥有不同敏感等级的用户实际上可以访问的是不同敏感级别的子表中的记录数据。
访河控制机制可以防止用户对数据库数据进行韭法直接访问,但无法防止用户对数据库数据进行非法直接访问。
推理威胁源自统计数据库。统计数据库是用于统计分析目的数据库,它允许用户查询聚集类型的数据,但不允许查询单个记录数据。求和值、记录数、平均值、中位数等是数据库系统中可以发布的常见合法统计数据。有时,可以运用推理方法根据这些合法的统计数据推导出不合法的敏感数据。数据库数据的推理控制就是要阻止用户根据公开发布的非敏感数据推导出敏感信息。
对于数据库系统安全,一方面,要从 DBMS 的角度增强数据连系统应该具有的安全功能,另一方面,要从数据库应用的角度缓解数据库系统无法回避的安全风险。SQL 注人是数据库应用中经常遇到的一种典型安全威胁。

4.3.5安全生态系统

这个概念强调整体思想,互联网生态系统组成部分可以划分成6类。
①域名和地址分配②开放标准开发③全球共享服务与运营④用户⑤教育与能力建设⑥地方地区与国家和全球政策制定

在网络空间中从生态系统的角度应对系统安全问题,要把系统概念从传统意义拓展到生态系统范围,还要有新的支撑技术,有新突破。

posted on 2021-12-17 09:31  20212306张阳  阅读(84)  评论(0编辑  收藏  举报