《网络空间安全导论》第4章学习总结
目录
- 《网络空间安全导论》第4章学习总结
第四章:系统安全基础 |
- 4.1系统安全概述
- 4.2系统安全原理
- 4.3系统安全结构
第四章:系统安全基础
4.1系统安全概述
网络空间系统安全知识领域的核心包含着两大理念,一是保护对象,二是思维方式系统一方面表示会受到威胁因此需要保护的对象,另一方面表示考虑安全问题时应具有的思维方法,即系统化思维方法。系统化思维方法具有普适性,不是网络空间独有,运用到网络空间安全之中就称为系统安全思维。
系统工程是涵盖系统生命周期的具有关联活动和任务的技术性和非技术性过程的集合,技术性过程应用工程分析与设计原则建设系统,非技术性过程通过工程管理保障系统建设工程项目的顺利实施。
系统工程的主要目标是获得总体上可信赖的系统,核心是系统整体思想。它为建设可信赖的人工系统提供了一套基础保障,适用于网络空间中的系统建设。
简而言之,系统安全思维重视整体论思想,强调从系统的全生命周期衡量系统的安全性,主张通过系统安全工程措施建立和维护系统的安全性。当然并不是否认还原论,而是说,仅仅靠还原论是不够的。
4.2系统安全原理
安全是一种应对威胁的属性。只有把威胁弄清楚,才可能知道安全问题会出现在哪里。
我们需要知晓安全、威胁、风险的相关概念。
对系统进行安全保护的最美好的愿景是提前做好准备,防止安全事件的发生。访问控制就是这方面的努力之一,它的目标是防止系统中出现不按规矩对资源进行访问的事件。
有很多身份认证方法,如口令认证、生物特征认证、物理介质认证等等。
在实际应用中,涉密等级和保密级别分别是给主体和客体打上的安全标签。访问控制策略是为了满足应用的需要指定的,由于应用需求多种多样,所以访问控制策略也就多种多样。
各种监控摄像早已融入网络空间之中,网络空间安全事件的监测也是有基础的。
系统的完整性检查机制提供从开机引导到应用运行各个环节的完整性检查功能,可以帮助发现系统中某些重要组成部分受到篡改或破坏的现象。入侵检测是安全监测中广泛采用的重要形式,它对恶意行为或违反安全策略的现象进行监测,一旦发现情况就及时报告,必要时发出告警。
从监测对象的角度看,入侵检测可分为主机入侵检测和网络入侵检测。
一般意义上的安全管理指的是把一个组织的资产标识出来,并制定、说明和实施保护这些资产的策略和流程,其中资产包括人员、建筑物、机器、系统和信息资产。安全管理的目的是使一个组织的资产得到保护,由资产的范围可知,该目的涵盖了使系统和信息得到保护。
我们需要牢记国际标准化组织确定的风险管理原则。
还应掌握一些相关的内容,比如安全模型、内部威胁等。
4.3系统安全结构
Web应用的一大特点是借助浏览器的形式,打破了异构设备之间的差异屏障,使得多种多样的设备都可以用来连接同一个应用系统,扩大了应用系统的适应性,提升了用户选择的灵活性。
浏览器是Web应用系统的前端,是用户进人应用系统的接口,用户只需要使用浏览器就可以使用Web应用系统提供的功能。用户通过浏览器访问Web应用系统,但是,Web应用系统的主要功能并不是浏览器提供的,而是藏在幕后的服务器提供。通常,用户无法知道服务器在哪里,不过不要紧,只要知道服务器的网址(术语是URL)就可以了。服务器那一端称为服务端,用户这一端 称为客户端。
客户端的浏览器使用一一种称为HTML的语言按照HTTP与服务端的服务器进行交互,把服务端提供的Web应用功能展现在用户面前。Web应用展现在用户面前的是各种网页。过去的网页大多是静态的,现在的网页嵌人了很多动态的元素,增强了用户体验的喜悦感,提升了Web应用与用户互动的能力。Web应用与用户交互的功能通过在HTML中嵌入各种脚本来实现,称为JavaScript的脚本就是其中一种非常常用的类型。Web应用与用户的交互通过输人输出功能实现,用户通过输人向应用系统发服务请求,应用系统以输出的形式给用户提供响应结果。例如,用户在搜索页面的输入框中输人搜索关键词,系统给用户输出查找结果页面。在XSS攻击中,攻击者想办法把恶意脚本藏在Web应用的输人和输出之中,实现攻击目的。
