网络空间安全导论--第3章 网络空间安全基本机制

第3章 网络空间安全基本机制

本章介绍了网络空间安全基本机制的发展历程、安全目标和核心思想

1沙箱: 限制、隔离
2入侵容忍: 容忍、容错
3可信计算: 可信根、信任链
4类免疫防御: 特征识别、威胁清除
5移动目标防御: 动态、异构、不确定
6拟态防御: 动态、异构、冗余
7零信任网络: 从来不信任，始终在校验

学习目标
简单了解网络空间安全基本机制的发展历程，了解其安全目标，并掌握各种机制的基本思想和原理

一、简单了解网络空间安全基本机制的发展历程，了解其安全目标

安全目标：探索网络空间安全机制、构建安全的网络环境
基本机制的发展历程：

二、掌握各种机制的基本思想和原理

1.沙箱
思想来源：当遇到一些来源不明、意图无法判定的程序时，直接安装使用会带来巨大的风险，如果程序中嵌入了恶意代码，那么主机将可能被破坏和攻陷。如何降低或避免这种风险？
基本思想：通过隔离程序的运行环境、限制程序执行不安全的操作（即限制其权限），防止恶意程序对系统可能造成的破坏，限制可信性不能保证的程序（通常用于执行未经测试或不受信任的程序）
原理：创建一个沙箱环境，一种受限的与外部隔离的操作系统，在沙箱内部运行可信性无法保证的程序X，通过配置安全规则，控制X无法对杀向外部资源环境造成破坏。

2.入侵容忍（网络防御的最后一道防线）
思想来源：有什么办法能增加系统的安全性，使防和堵不住漏洞的情况下也系统能够正常工作？
基本思想：通过对AVI模型（攻击漏洞入侵混合错误模型）中的环节进行预防、排除、容忍和处理，防止系统失效，以一定的概率保证系统的机密性、完整性和可用性，核心为错误容忍和处理，包括错误检测和错误恢复

（与沙箱区别就是，入侵容忍允许漏洞存在并假设攻击能够成功，而沙箱则是将错误隔离在系统之外）

3.可信计算
来源：由于计算机设备软硬件结构透明，频繁出现病毒或恶意代码植入、黑客窃取权限和入侵等安全事故，导致程序、系统不可信。如何才能从根本上实现“可信”？
基本思想：从信任根（可信根的可信性由物理安全、技术安全与管理安全共同保证）出发构建信任链，逐级传递信任关系，将信任扩展到整个系统，从而确保系统整体可信

4.类免疫防御
来源：在计算机系统中，是否也能够借鉴生物学中的免疫机制从而实现计算机系统的安全？
基本思想：类似生物免疫学中的抗体识别抗原，计算机类免疫防御系统通过设计安全机制检测、识别和清除安全威胁，使系统对安全威胁“免疫”，以一种自适应的方式实现对攻击威胁的识别和清除
实现思路：对攻击威胁的特征进行提取和编码，借助免疫系统算法和模型生成相应的“抗体”

5.移动目标防御MTD
来源：当系统的内部结构保持不变时，攻击者可以进行足够多次的尝试寻找系统的漏洞从而将系统攻破，并在类似的系统中复现攻击如果系统内部是动态变化的，攻击者还能达成攻击目标吗？
基本思想：以不确定的方式将系统的内部结构进行“转移变换”，增加系统的随机性和不可预测性，使攻击者难以摸清系统内部的变化规律、无法找到攻击的突破口，无法复现攻击，动态，不确定性，是一种主动防御
技术举例：IP地址跳变、端口跳变、动态路由、网络和主机身份随机化、地址空间随机化、指令集合随机化、数据存放形式随机化……

6.拟态防御
来源：借鉴异构冗余的思想，通过运行多个执行同样功能的异构硬件或者软件系统，是否就可以实现系统难攻击和攻不跨的目标？
基本思想：动态+异构+冗余–通过网络、平台、环境、软件、数据等结构的主动跳变或快速迁移来实现动态变化、弹性可靠的拟态环境，扰乱攻击链的构造、使攻击的代价倍增、难以生效，也是一种主动防御

7.零信任网络
来源：传统的从外网到内网的边界安全模型依赖于在网络边界进行安全检查，试图把攻击阻挡在边界之外。但内网是否绝对安全？用新的视角来重新审视网络边界和安全的关系
基本思想：从不信任，始终校验–接受“不可信”或“坏人”无处不在的现实，试图让全体资源都拥有自保的能力，需要基于认证和授权重构访问控制的信任基础，本质是以身份为基石的动态可信访问控制

一些思考问题：
1.可信计算和零信任网络有哪些异同点
2.移动目标防御和拟态防御有哪些异同点？
3.本章介绍的安全机制是否可以按照静态防御和动态防御进行分类？请给出理由
静态防御：沙箱，可信计算，入侵容忍
动态防御：类免疫防御，移动目标防御，拟态防御（？零信任网络）
4.本章介绍的安全机制是否可以按照主动防御和被动防御进行分类？请给出理由
主动防御：移动目标防御、拟态防御，零信任网络（？可信计算）
被动防御：沙箱，入侵容忍
5.你认为本章介绍的安全机制有哪些优势和不足？
6.如果请你来设计一套新的校园网安全机制，你会从哪个角度去思考和设计？谈谈你的看法。