日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

第1章

動(dòng)機(jī)與目標(biāo)

徒勞地追求安全，只會(huì)把我們自己拖垮。

—Dwigbt D.Eisenbower

1.1 為什么需要安全模式

現(xiàn)代應(yīng)用系統(tǒng)大都是分布式且聯(lián)網(wǎng)的—通過(guò)互聯(lián)網(wǎng)、局域網(wǎng)或其他專用網(wǎng)絡(luò)相連，并支持Web界面、Web 服務(wù)以及。這類系統(tǒng)的復(fù)雜性不僅帶來(lái)了對(duì)其理解、設(shè)計(jì)和維護(hù)上的困難，也導(dǎo)致了漏洞的產(chǎn)生，以及由此所引發(fā)的安全攻擊。功能強(qiáng)大的移動(dòng)設(shè)備和感應(yīng)設(shè)備的日益廣泛使用，使得安全問(wèn)題愈發(fā)突出。全世界每天都有網(wǎng)站或數(shù)據(jù)庫(kù)遭受攻擊的報(bào)道，而由這些攻擊造成的直接或間接經(jīng)濟(jì)損失高達(dá)數(shù)百萬(wàn)美元。各類系統(tǒng)持續(xù)不斷地遭受攻擊和入侵，也引發(fā)了人們對(duì)國(guó)家的基礎(chǔ)設(shè)施可能遭受敵人攻擊破壞的擔(dān)憂。

為何對(duì)這些系統(tǒng)的安全加固失敗了？一個(gè)重要原因是：系統(tǒng)自身的復(fù)雜性導(dǎo)致了錯(cuò)誤增多以及漏洞難以發(fā)現(xiàn)。另一個(gè)重要原因是：安全加固是以修修補(bǔ)補(bǔ)的方式進(jìn)行的，系統(tǒng)各部分雖然都采用了特定的安全措施，卻鮮有針對(duì)完整系統(tǒng)的整體安全分析。就算有，分析系統(tǒng)各部分所采用的安全模型也不相同，比如數(shù)據(jù)庫(kù)用一個(gè)模型，無(wú)線設(shè)備用另一個(gè)模型。遺憾的是，想要阻斷所有可能的攻擊，在安全上就必需采用一種詳盡的方法。安全組件再安全，如果沒能覆蓋到系統(tǒng)的每個(gè)角落或者各組件間不協(xié)調(diào)同步，也無(wú)法保障系統(tǒng)整體的安全。威脅分析通常針對(duì)系統(tǒng)的各個(gè)部分進(jìn)行，但很多威脅只在系統(tǒng)各部分連通時(shí)才會(huì)出現(xiàn)。此外，建設(shè)安全系統(tǒng)的方法多是針對(duì)新建系統(tǒng)的，而大多數(shù)在用的系統(tǒng)都是處在不斷維護(hù)狀態(tài)中的舊有系統(tǒng)。就算是精心建設(shè)的系統(tǒng)也可能遭受"軟件架構(gòu)侵蝕"，即由于產(chǎn)品實(shí)現(xiàn)與架構(gòu)設(shè)計(jì)出現(xiàn)偏差，從而導(dǎo)致安全防護(hù)措施失效或削弱。

我們需要以某種方式應(yīng)對(duì)新系統(tǒng)的復(fù)雜性，并以系統(tǒng)性、整體性的方式確保安全。對(duì)于舊有系統(tǒng)的安全改造，需要跟蹤代碼的更改，檢測(cè)并修正其對(duì)安全機(jī)制的影響。軟件開發(fā)人員通常都熟悉特定的開發(fā)語(yǔ)言和環(huán)境，但對(duì)安全知之甚少，這就導(dǎo)致他們的系統(tǒng)中存在大量可被攻擊者利用的漏洞。此外他們還面臨盡早交付產(chǎn)品的壓力。

建設(shè)安全的系統(tǒng)應(yīng)采用系統(tǒng)化的方式，即安全性應(yīng)當(dāng)如系統(tǒng)的性和其他系統(tǒng)特性那樣，成為軟件生命周期中一個(gè)不可或缺的組成部分[Fer04b][How06][McG06]。如果在應(yīng)用軟件開發(fā)時(shí)能夠?qū)⒅虚g件、操作系統(tǒng)及網(wǎng)絡(luò)等因素進(jìn)行整體考慮，我們就能抵御來(lái)自內(nèi)/外部全系列攻擊。我們認(rèn)為，為了開發(fā)安全的應(yīng)用軟件，將底層平臺(tái)和應(yīng)用軟件隔離開分別進(jìn)行安全設(shè)計(jì)、而后拼接的方式并不奏效；而應(yīng)該將應(yīng)用軟件和底層平臺(tái)一起設(shè)計(jì)，并使得底層平臺(tái)和應(yīng)用軟件相匹配。此外，所有安全性和性的約束條件都應(yīng)在其語(yǔ)義能夠被理解的應(yīng)用層級(jí)定義，而后再向體系架構(gòu)較低的層級(jí)傳遞[Fer99b][Fer06b][Sum97]。

體系架構(gòu)中較低層級(jí)的安全保障來(lái)自于上層應(yīng)用遵循約束條件，換句話說(shuō)，保障無(wú)法繞過(guò)這些約束條件。在由眾多不同部分所組成的系統(tǒng)中，想要統(tǒng)一提供這種保障，的選擇是使用抽象。進(jìn)一步說(shuō)，我們可以通過(guò)使用"模式"提供這種抽象。模式封裝了反復(fù)出現(xiàn)的系統(tǒng)問(wèn)題的解決方案，同時(shí)地表述了系統(tǒng)要求和解決方案，也為設(shè)計(jì)人員提供了相互交流的工具。[Bus96][Gam94]。采用模式的系統(tǒng)架構(gòu)描述比較容易讓人看懂，也為設(shè)計(jì)和分析提供了指南，還定義了使架構(gòu)更安全的方法。安全模式使得不具備專業(yè)安全知識(shí)的應(yīng)用開發(fā)人員也可以使用安全措施。我們還可以通過(guò)分析現(xiàn)有系統(tǒng)看它們是否包含特定的模式，進(jìn)而評(píng)估它們的安全性。此外，我們可以在改造舊有系統(tǒng)時(shí)，利用模式來(lái)添加系統(tǒng)中缺失的安全特性。(下面我會(huì)把基于模式的安全建設(shè)方法和其他方法做個(gè)比較。)

我們需要將一個(gè)系統(tǒng)橫向、縱向的架構(gòu)統(tǒng)一起來(lái)，具體說(shuō)就是將系統(tǒng)開發(fā)的各個(gè)階段(橫向)以及系統(tǒng)架構(gòu)的各層級(jí)(縱向)[Fer11a]統(tǒng)一起來(lái)，以運(yùn)用系統(tǒng)安全建設(shè)的整體性方法。本書為讀者呈現(xiàn)了一種基于模式的構(gòu)建安全系統(tǒng)的方法，涵蓋純信息系統(tǒng)和嵌入式系統(tǒng)。我在[Fer06b]中闡述過(guò)本書的主要觀點(diǎn)，并不斷地完善和擴(kuò)充直至現(xiàn)在。我的長(zhǎng)遠(yuǎn)目標(biāo)是推廣這樣的概念："模式可為建立安全、的系統(tǒng)提供行之有效的方法"。Neumann基于堅(jiān)實(shí)的概念方法，提出了"有原則的"系統(tǒng)概念[Neu04]：模式意味著隱式地應(yīng)用了原則。我已經(jīng)為達(dá)到這個(gè)目標(biāo)做了大量工作，但還需要進(jìn)一步加以鞏固和擴(kuò)展。[Uzu12c]對(duì)基于模式的安全建設(shè)方法和其他方法進(jìn)行了綜述。

為了設(shè)計(jì)一個(gè)安全的系統(tǒng)，我們首先需要搞清楚這個(gè)系統(tǒng)可能會(huì)面臨的威脅。我們?cè)赱Bra08a]和[Fer06c]中提出了一種識(shí)別威脅的方法，即通過(guò)分析每個(gè)使用案例中的活動(dòng)來(lái)識(shí)別威脅。這一方法能夠找到來(lái)自系統(tǒng)架構(gòu)較低層級(jí)產(chǎn)生的威脅(攻擊者的目標(biāo))。我們要弄明白體系架構(gòu)的各特定的組成部分，是如何被攻破的，或者如何被攻擊者利用來(lái)達(dá)到其攻擊目標(biāo)。我們用"濫用"(攻擊)模式為系統(tǒng)中真實(shí)的濫用建模。

對(duì)于標(biāo)準(zhǔn)和規(guī)范，需要用一種方法來(lái)定義和落實(shí)；對(duì)此，我們提出的基于模式的方法非常有價(jià)值。事實(shí)上，一些標(biāo)準(zhǔn)和規(guī)范(如HIPAA、FEMA和Sarbanes-Oxley)要么十分復(fù)雜，要么有歧義；而采用模式可以地描述它們，使其更容易理解、更易使用。此外，利用模式可以很好地滿足Web服務(wù)和云計(jì)算提出的服務(wù)認(rèn)證需求[Dam09]。

我們所說(shuō)的"建模"，不是一種新的授權(quán)訪問(wèn)模型，而是整合計(jì)算機(jī)系統(tǒng)里不同設(shè)備和單元的安全控制的模型，對(duì)于復(fù)雜的系統(tǒng)來(lái)說(shuō)這是重要的基礎(chǔ)。通過(guò)添加各種模式以涵蓋系統(tǒng)各層面的威脅，才能獲得更的防護(hù)，使安全系統(tǒng)整體更接近。我們認(rèn)為這也是防御可能出現(xiàn)的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的好方法。模式本身不提供可證明的安全性，但對(duì)日益復(fù)雜的系統(tǒng)來(lái)說(shuō)，安全模式確實(shí)很實(shí)用。

1.2 基本定義

在開始正式討論之前，我們先來(lái)定義一些基本的術(shù)語(yǔ)。安全是指針對(duì)下述威脅所進(jìn)行的防護(hù)：

未經(jīng)授權(quán)的數(shù)據(jù)泄露(機(jī)密性或秘密性)

未經(jīng)授權(quán)的數(shù)據(jù)篡改(完整性)。未經(jīng)授權(quán)的數(shù)據(jù)篡改會(huì)導(dǎo)致產(chǎn)生不一致性或錯(cuò)誤數(shù)據(jù)。數(shù)據(jù)破壞則會(huì)導(dǎo)致各種各樣的損失。

拒絕服務(wù)：用戶或其他系統(tǒng)可能會(huì)阻止合法用戶使用系統(tǒng)。拒絕服務(wù)是針對(duì)系統(tǒng)可用性的攻擊。

缺乏稽核：用戶應(yīng)對(duì)其自身的行為后果負(fù)責(zé)，并且不能夠?qū)λ麄兊乃魉鶠檫M(jìn)行抵賴(不可抵賴性)。

上述定義將安全描述為針對(duì)某種類型的攻擊所采取的防護(hù)措施。一般意義上的防護(hù)(或稱之為反制措施)則包括：

身份標(biāo)識(shí)與認(rèn)證(I&A)。身份標(biāo)識(shí)指某個(gè)用戶訪問(wèn)系統(tǒng)時(shí)所提供的身份。身份認(rèn)證指的是提供證據(jù)來(lái)證明，一個(gè)用戶或系統(tǒng)與其所聲稱身份相符。身份認(rèn)證的結(jié)果可能是一組憑據(jù)，隨后被用作身份的證明，或描述被認(rèn)證實(shí)體的某些屬性。身份管理模式和身份認(rèn)證的模式將分別在第4、5章中進(jìn)行闡述。

授權(quán)與訪問(wèn)控制(A&A)。授權(quán)定義了針對(duì)某項(xiàng)資源的合法訪問(wèn)，判斷合法與否的依據(jù)是基于訪問(wèn)者(用戶、運(yùn)行的進(jìn)程)、被訪問(wèn)的資源以及訪問(wèn)資源的目的。訪問(wèn)控制是保障授權(quán)生效所采用的機(jī)制。訪問(wèn)控制模式將在第6章進(jìn)行闡述。

日志與審計(jì)。日志和審計(jì)指的是記錄和安全相關(guān)的行為，以供日后進(jìn)行分析。這可以用來(lái)收集用于指控的證據(jù)(取證)，并通過(guò)分析某次攻擊緣何能夠成功，進(jìn)而改進(jìn)系統(tǒng)的安全性。日志和審計(jì)也在第6章進(jìn)行闡述。

信息隱藏。信息隱藏一般通過(guò)密碼學(xué)實(shí)現(xiàn)，使用隱寫術(shù)則是另一種選擇(見第12章)。主要思想是通過(guò)隱藏信息來(lái)達(dá)到保護(hù)信息的目的。

入侵檢測(cè)。入侵檢測(cè)系統(tǒng)(IDS)在系統(tǒng)遭受攻擊時(shí)實(shí)時(shí)地發(fā)出警告。第10章討論有關(guān)網(wǎng)絡(luò)的模式。

本書的目標(biāo)是建設(shè)復(fù)雜的應(yīng)用系統(tǒng)，如醫(yī)療系統(tǒng)、財(cái)務(wù)應(yīng)用、法律應(yīng)用、操作系統(tǒng)等。這類應(yīng)用在實(shí)現(xiàn)時(shí)，通常選用的系統(tǒng)都會(huì)優(yōu)先考慮一些非功能性的需求，如性容錯(cuò)性等。這些系統(tǒng)往往由多種軟硬件單元組成，其中有些是定制的，有些是購(gòu)買的，有些則是外包的。在這樣的系統(tǒng)中，應(yīng)用軟件的安全性與系統(tǒng)其他部分的安全性密不可分。

另一方面，此類系統(tǒng)必須時(shí)常與相關(guān)的安全監(jiān)管標(biāo)準(zhǔn)相符。系統(tǒng)中可能包含一些數(shù)據(jù)庫(kù)，并且通常有互聯(lián)網(wǎng)和無(wú)線接入。數(shù)據(jù)通常通過(guò)集成了Web和數(shù)據(jù)庫(kù)應(yīng)用軟件的Web應(yīng)用服務(wù)器(WAS)進(jìn)行訪問(wèn)。Web應(yīng)用服務(wù)器通常采用全局企業(yè)模型，并使用J2EE或.NET(對(duì)企業(yè)和任何類型的機(jī)構(gòu)都十分重要)組件實(shí)現(xiàn)。在建設(shè)這類系統(tǒng)時(shí)，要求采用某種系統(tǒng)化的方法來(lái)使其達(dá)到特定的安全性級(jí)別。我們之所以聚焦這類應(yīng)用，是因?yàn)樗鼈兇砹宋覀兊哪Ｊ椒椒ㄕ摾镒钤愀獾膽?yīng)用場(chǎng)景。

[Sum97]及時(shí)次以系統(tǒng)化的視角研究了安全，之后出現(xiàn)了衡量安全性的相關(guān)標(biāo)準(zhǔn)[cc][DoD83]。再后來(lái)，重心轉(zhuǎn)向了軟件安全；無(wú)數(shù)論文強(qiáng)調(diào)軟件安全的重要性，并給我們?cè)斐蛇@樣一種印象：我們只需做好軟件安全就能建設(shè)安全的系統(tǒng)[How03]；現(xiàn)在有大量關(guān)于改進(jìn)代碼安全的工作[DeW09]。然而事情沒那么簡(jiǎn)單：整個(gè)系統(tǒng)都必須安全，包括硬件和系統(tǒng)配置。為了建設(shè)安全的系統(tǒng)，我們需要一種全局的、整體的視角。在討論特定的題目時(shí)一些教科書如[Gol06][Sta12]很有用，但是沒有提供全局的視角。多數(shù)論文針對(duì)特定機(jī)制而非系統(tǒng)整體開展研究。在以隨機(jī)性系統(tǒng)視角研究安全方面，也有人做了大量工作[Nic04]，雖然這種評(píng)估方法很有趣，但卻沒有提供針對(duì)系統(tǒng)安全的建設(shè)性解決方案。

本書中，我們采取了一種系統(tǒng)化的安全視角，以軟件架構(gòu)作為其重要的基石[Bus07][Tay10]。軟件架構(gòu)提供了對(duì)系統(tǒng)的全局視角，但是到目前為止多數(shù)研究要么還沒有考慮到軟件生命周期中的早期階段，要么就是對(duì)安全談的太多[Fer12a]。不管怎樣，從軟件架構(gòu)視角來(lái)看待安全十分重要。為了把方法應(yīng)用起來(lái)，我們需要一個(gè)好的模式目錄：這也是本書的主旨之一。

一個(gè)相關(guān)的方面是如何利用系統(tǒng)化的方法應(yīng)用這些模式。我們已經(jīng)成功地將本書介紹的模式貫穿應(yīng)用于安全系統(tǒng)的開發(fā)方法中，此方法基于對(duì)安全機(jī)制的分層架構(gòu)，而架構(gòu)中的層次定義了每個(gè)安全機(jī)制適用的范圍[Fer04b][Fer06b]。我們將在第3章討論此方法。