1.8 本章小结

本章的设计思想是以信息安全攻击的实景为起点的，初步建立信息安全攻击威胁的感性认识，开始体验信息安全的基本理念，形成信息安全的基本认识，并透过信息安全的攻击威胁感受系统安全在信息安全中的地位和作用。本章主要由安全攻击实景呈现、安全攻击环节概览、信息安全典型事件、信息安全经典要素、信息系统安全策略、信息系统访问控制及系统安全知识定位等方面的内容构成。

由卡尔发动的旨在盗取信用卡信息的安全攻击事件展示了在开放信息网络空间中策划和实施信息安全攻击的基本过程和主要技术手段。卡尔的攻击具有获取经济利益的明确目的，反映了现代信息安全攻击的一种趋势。

信息网络空间中的安全攻击一般包含侦察、扫描、获取访问、维持访问和掩盖踪迹等主要环节。侦察就是收集有关被攻击目标的一般信息，扫描则是进一步掌握有关攻击目标的更多信息，获取访问就是闯入和访问目标系统，维持访问是在攻击成功之后为下一次攻击打开方便之门，掩盖踪迹指的是销毁攻击痕迹以便掩盖攻击行径。

机密性、完整性和可用性是信息安全的三个经典要素，这三个经典要素对应信息安全的三种基本安全服务。机密性是指对信息或资源的隐藏，完整性是指数据或资源的可信度，可用性是指对信息或资源的期望使用能力。

威胁是对安全的潜在破坏，这种破坏不一定要实际发生才成为威胁。威胁可以分成泄露、欺骗、破坏和篡夺四大类。泄露指对信息的非授权访问，欺骗指接受虚假数据，破坏指中断或妨碍正常操作，篡夺指对系统某些部分的非授权控制。

安全策略确定信息系统的安全性定义，安全策略与安全机制之间的差别对于安全性的研究非常重要，安全策略是有关允许什么和禁止什么的规定，安全机制是实施安全策略的方法、工具或规程。确定了描述“安全”和“非安全”行为的安全策略之后，安全机制可以阻止攻击、检测攻击或在遭到攻击后进行恢复工作。

访问控制是确保信息系统安全的重要措施之一，访问控制矩阵是对访问控制行为的一种抽象表示，矩阵中的行与系统中的主体相对应，矩阵中的列与系统中的客体相对应，处于行与列的交叉点上的矩阵元素描述主体对客体的访问权限。

访问控制可以分为自主访问控制和强制访问控制两种类型。在自主访问控制中，用户可以参与确定访问控制的规则或属性；在强制访问控制中，只有特定的系统管理员才能确定访问控制的规则和属性。

贝尔-拉普杜拉模型是历史上第一个可证明的访问控制数学模型，它支持机密性强制访问控制。简单安全特性、星号安全特性、自主安全特性和基本安全定理是该模型的核心内容。该模型定义的安全级别是一个二元组，由等级分类和非等级类别两种元素构成，安全级别之间通过支配关系进行比较。

权能是面向门票的访问控制结构，一张门票对应一个权能。访问控制表是面向名单的访问控制结构。权能结构对应访问控制矩阵中的行结构，访问控制表结构对应访问控制矩阵中的列结构。

邵泽和施罗德于1975年给出的设计信息系统的八大原则包含经济性原则、失败-保险原则、完全仲裁原则、开放性设计原则、特权分离原则、最小特权原则、最少公共机制原则和心理可接受性原则。

为了学好以主机为中心的信息系统安全性方面的知识，有必要从信息安全体系结构的整体安全需求的角度去了解系统安全的地位和作用。以主机为中心的系统安全离不开网络安全，我们也应该从网络安全的角度去认识系统安全问题。