第1章
動機與目標
徒勞地追求安全�����,只會把我們自己拖垮。
—Dwigbt D.Eisenbower
1.1 為什么需要安全模式
現代應用系統大都是分布式且聯網的—通過互聯網、局域網或其他專用網絡相連,并支持Web界面�、Web 服務以及���。這類系統的復雜性不僅帶來了對其理解�����、設計和維護上的困難,也導致了漏洞的產生���,以及由此所引發的安全攻擊。功能強大的移動設備和感應設備的日益廣泛使用���,使得安全問題愈發突出。全世界每天都有網站或數據庫遭受攻擊的報道,而由這些攻擊造成的直接或間接經濟損失高達數百萬美元。各類系統持續不斷地遭受攻擊和入侵,也引發了人們對國家的基礎設施可能遭受敵人攻擊破壞的擔憂���。
為何對這些系統的安全加固失敗了?一個重要原因是:系統自身的復雜性導致了錯誤增多以及漏洞難以發現。另一個重要原因是:安全加固是以修修補補的方式進行的�,系統各部分雖然都采用了特定的安全措施�,卻鮮有針對完整系統的整體安全分析�����。就算有�����,分析系統各部分所采用的安全模型也不相同,比如數據庫用一個模型,無線設備用另一個模型�。遺憾的是�����,想要阻斷所有可能的攻擊,在安全上就必需采用一種詳盡的方法。安全組件再安全�,如果沒能覆蓋到系統的每個角落或者各組件間不協調同步�����,也無法保障系統整體的安全�����。威脅分析通常針對系統的各個部分進行�,但很多威脅只在系統各部分連通時才會出現�。此外,建設安全系統的方法多是針對新建系統的�����,而大多數在用的系統都是處在不斷維護狀態中的舊有系統���。就算是精心建設的系統也可能遭受"軟件架構侵蝕"�,即由于產品實現與架構設計出現偏差,從而導致安全防護措施失效或削弱�。
我們需要以某種方式應對新系統的復雜性���,并以系統性���、整體性的方式確保安全�����。對于舊有系統的安全改造,需要跟蹤代碼的更改�����,檢測并修正其對安全機制的影響。軟件開發人員通常都熟悉特定的開發語言和環境�,但對安全知之甚少�����,這就導致他們的系統中存在大量可被攻擊者利用的漏洞���。此外他們還面臨盡早交付產品的壓力�。
建設安全的系統應采用系統化的方式,即安全性應當如系統的性和其他系統特性那樣�,成為軟件生命周期中一個不可或缺的組成部分[Fer04b][How06][McG06]�。如果在應用軟件開發時能夠將中間件�����、操作系統及網絡等因素進行整體考慮���,我們就能抵御來自內/外部全系列攻擊���。我們認為�����,為了開發安全的應用軟件,將底層平臺和應用軟件隔離開分別進行安全設計���、而后拼接的方式并不奏效;而應該將應用軟件和底層平臺一起設計�����,并使得底層平臺和應用軟件相匹配�。此外,所有安全性和性的約束條件都應在其語義能夠被理解的應用層級定義�,而后再向體系架構較低的層級傳遞[Fer99b][Fer06b][Sum97]�����。
體系架構中較低層級的安全保障來自于上層應用遵循約束條件���,換句話說���,保障無法繞過這些約束條件�����。在由眾多不同部分所組成的系統中�����,想要統一提供這種保障,的選擇是使用抽象。進一步說���,我們可以通過使用"模式"提供這種抽象。模式封裝了反復出現的系統問題的解決方案,同時地表述了系統要求和解決方案,也為設計人員提供了相互交流的工具。[Bus96][Gam94]���。采用模式的系統架構描述比較容易讓人看懂,也為設計和分析提供了指南,還定義了使架構更安全的方法���。安全模式使得不具備專業安全知識的應用開發人員也可以使用安全措施。我們還可以通過分析現有系統看它們是否包含特定的模式,進而評估它們的安全性。此外�,我們可以在改造舊有系統時�����,利用模式來添加系統中缺失的安全特性。(下面我會把基于模式的安全建設方法和其他方法做個比較。)
我們需要將一個系統橫向、縱向的架構統一起來�,具體說就是將系統開發的各個階段(橫向)以及系統架構的各層級(縱向)[Fer11a]統一起來���,以運用系統安全建設的整體性方法�����。本書為讀者呈現了一種基于模式的構建安全系統的方法,涵蓋純信息系統和嵌入式系統。我在[Fer06b]中闡述過本書的主要觀點�,并不斷地完善和擴充直至現在�。我的長遠目標是推廣這樣的概念:"模式可為建立安全�����、的系統提供行之有效的方法"���。Neumann基于堅實的概念方法�����,提出了"有原則的"系統概念[Neu04]:模式意味著隱式地應用了原則。我已經為達到這個目標做了大量工作,但還需要進一步加以鞏固和擴展���。[Uzu12c]對基于模式的安全建設方法和其他方法進行了綜述。
為了設計一個安全的系統,我們首先需要搞清楚這個系統可能會面臨的威脅。我們在[Bra08a]和[Fer06c]中提出了一種識別威脅的方法�,即通過分析每個使用案例中的活動來識別威脅���。這一方法能夠找到來自系統架構較低層級產生的威脅(攻擊者的目標)�����。我們要弄明白體系架構的各特定的組成部分,是如何被攻破的�����,或者如何被攻擊者利用來達到其攻擊目標�。我們用"濫用"(攻擊)模式為系統中真實的濫用建模。
對于標準和規范,需要用一種方法來定義和落實�;對此���,我們提出的基于模式的方法非常有價值�����。事實上�,一些標準和規范(如HIPAA、FEMA和Sarbanes-Oxley)要么十分復雜���,要么有歧義;而采用模式可以地描述它們���,使其更容易理解、更易使用�����。此外�����,利用模式可以很好地滿足Web服務和云計算提出的服務認證需求[Dam09]���。
我們所說的"建模"�����,不是一種新的授權訪問模型,而是整合計算機系統里不同設備和單元的安全控制的模型�,對于復雜的系統來說這是重要的基礎���。通過添加各種模式以涵蓋系統各層面的威脅���,才能獲得更的防護�����,使安全系統整體更接近�����。我們認為這也是防御可能出現的網絡戰爭的好方法�����。模式本身不提供可證明的安全性�,但對日益復雜的系統來說���,安全模式確實很實用���。
1.2 基本定義
在開始正式討論之前�����,我們先來定義一些基本的術語�����。安全是指針對下述威脅所進行的防護:
未經授權的數據泄露(機密性或秘密性)
未經授權的數據篡改(完整性)。未經授權的數據篡改會導致產生不一致性或錯誤數據�。數據破壞則會導致各種各樣的損失�。
拒絕服務:用戶或其他系統可能會阻止合法用戶使用系統���。拒絕服務是針對系統可用性的攻擊���。
缺乏稽核:用戶應對其自身的行為后果負責���,并且不能夠對他們的所作所為進行抵賴(不可抵賴性)�。
上述定義將安全描述為針對某種類型的攻擊所采取的防護措施�。一般意義上的防護(或稱之為反制措施)則包括:
身份標識與認證(I&A)。身份標識指某個用戶訪問系統時所提供的身份。身份認證指的是提供證據來證明,一個用戶或系統與其所聲稱身份相符�����。身份認證的結果可能是一組憑據�,隨后被用作身份的證明,或描述被認證實體的某些屬性。身份管理模式和身份認證的模式將分別在第4���、5章中進行闡述。
授權與訪問控制(A&A)。授權定義了針對某項資源的合法訪問���,判斷合法與否的依據是基于訪問者(用戶、運行的進程)、被訪問的資源以及訪問資源的目的���。訪問控制是保障授權生效所采用的機制。訪問控制模式將在第6章進行闡述。
日志與審計。日志和審計指的是記錄和安全相關的行為,以供日后進行分析�����。這可以用來收集用于指控的證據(取證)�,并通過分析某次攻擊緣何能夠成功,進而改進系統的安全性。日志和審計也在第6章進行闡述。
信息隱藏���。信息隱藏一般通過密碼學實現,使用隱寫術則是另一種選擇(見第12章)。主要思想是通過隱藏信息來達到保護信息的目的���。
入侵檢測。入侵檢測系統(IDS)在系統遭受攻擊時實時地發出警告。第10章討論有關網絡的模式。
本書的目標是建設復雜的應用系統,如醫療系統、財務應用�、法律應用�����、操作系統等。這類應用在實現時,通常選用的系統都會優先考慮一些非功能性的需求���,如性容錯性等�����。這些系統往往由多種軟硬件單元組成�����,其中有些是定制的,有些是購買的���,有些則是外包的。在這樣的系統中�,應用軟件的安全性與系統其他部分的安全性密不可分���。
另一方面�����,此類系統必須時常與相關的安全監管標準相符�。系統中可能包含一些數據庫�����,并且通常有互聯網和無線接入�����。數據通常通過集成了Web和數據庫應用軟件的Web應用服務器(WAS)進行訪問。Web應用服務器通常采用全局企業模型,并使用J2EE或.NET(對企業和任何類型的機構都十分重要)組件實現�。在建設這類系統時�,要求采用某種系統化的方法來使其達到特定的安全性級別�。我們之所以聚焦這類應用,是因為它們代表了我們的模式方法論里最糟糕的應用場景。
[Sum97]及時次以系統化的視角研究了安全�����,之后出現了衡量安全性的相關標準[cc][DoD83]�。再后來�,重心轉向了軟件安全;無數論文強調軟件安全的重要性���,并給我們造成這樣一種印象:我們只需做好軟件安全就能建設安全的系統[How03];現在有大量關于改進代碼安全的工作[DeW09]�。然而事情沒那么簡單:整個系統都必須安全�����,包括硬件和系統配置。為了建設安全的系統���,我們需要一種全局的、整體的視角�。在討論特定的題目時一些教科書如[Gol06][Sta12]很有用�����,但是沒有提供全局的視角。多數論文針對特定機制而非系統整體開展研究�。在以隨機性系統視角研究安全方面�����,也有人做了大量工作[Nic04],雖然這種評估方法很有趣�,但卻沒有提供針對系統安全的建設性解決方案�。
本書中�,我們采取了一種系統化的安全視角,以軟件架構作為其重要的基石[Bus07][Tay10]���。軟件架構提供了對系統的全局視角,但是到目前為止多數研究要么還沒有考慮到軟件生命周期中的早期階段�����,要么就是對安全談的太多[Fer12a]�。不管怎樣���,從軟件架構視角來看待安全十分重要���。為了把方法應用起來�,我們需要一個好的模式目錄:這也是本書的主旨之一。
一個相關的方面是如何利用系統化的方法應用這些模式。我們已經成功地將本書介紹的模式貫穿應用于安全系統的開發方法中,此方法基于對安全機制的分層架構�����,而架構中的層次定義了每個安全機制適用的范圍[Fer04b][Fer06b]�。我們將在第3章討論此方法。
