安全模式

內容概要

安全問題近來越來越受到人們的關注，很顯然較高的安全級別應是所有業(yè)務流程基本的先決條件，無論是商業(yè)部門還是公共部門都是如此。安全事故報告數(shù)量的穩(wěn)步增長表明企業(yè)需要得到更多的幫助以解決安全問題――從軟件系統(tǒng)到操作實踐的企業(yè)計劃。
通常，安全問題在企業(yè)及其構建和運行的系統(tǒng)中并沒有得到充分的解決。原因之一是安全覆蓋了很多領域。無論是定義安全業(yè)務流程，還是安全地開發(fā)及運行相應系統(tǒng)和應用程序都是一項難度很大的挑戰(zhàn)。由于系統(tǒng)和企業(yè)的開放程度不斷提高，而且主要是Internet和電子商務技術存在的巨大風險，使得安全形勢變得越來越緊張。同時，實現(xiàn)安全本身就很難，尤其是在分布式環(huán)境中，因為分布式環(huán)境涉及不同的組織、個體、技術組件和機制。除此之外，信任關系的頻繁變化，也使得全面分析安全需求變得愈加困難。隨著現(xiàn)代業(yè)務流程變得越來越復雜，對于涉及其中的人員，理解整個問題空間不再是容易的事。尤其是以下三個重要問題：
在系統(tǒng)設計和實現(xiàn)中經常最后才考慮安全問題。推進系統(tǒng)安全的企業(yè)上下文和需求不能得以清晰的表述，也不能融合在系統(tǒng)體系結構中。我們需要預先解決安全問題，而不是如今的“修理服務”方法。
多數(shù)安全危機都可以歸為那些反復出現(xiàn)的著名安全問題。記錄在軟件手冊上的默認密碼就是一例。在公共Web服務器上存儲敏感信息是另一例。這些例子都說明人們對安全問題的重視程度不高，而且對安全問題也缺乏了解。在這些例子當中，主要目標是增強功能和性能，而不是降低風險。
企業(yè)規(guī)劃師、系統(tǒng)架構師、開發(fā)人員和運營經理安全知識匱乏。正因如此，他們嚴重依賴安全專家了解自身安全需求和提供安全解決方案。但是，安全專家的數(shù)量遠不能滿足這種需求。而且，安全專家發(fā)現(xiàn)在許多情況中，他們?yōu)槊考移髽I(yè)或每個系統(tǒng)開發(fā)項目在重復地解決相同的問題。對于專家來說，這浪費了他們寶貴的時間，使他們無法抽身去解決更復雜的問題。
雖然目前出現(xiàn)許多更新、更復雜的問題，但解決這些問題的關鍵是更好地理解企業(yè)上下文中存在的大量基本安全問題，并為它們建立恰當?shù)慕鉀Q方案。隨著時間的推移，遇到同一基本安全問題的安全專家們發(fā)現(xiàn)自己總是重復地解決同一問題，而他們早就對這些問題了如指掌并且建立了相應的解決方案。在某種程度上，這些解決方案已收錄在安全文獻和相關安全標準之中，但是這些著作和標準需要專業(yè)人士才能看懂。
本書的目標就是收集其中一些基本問題和解決方案，使它們能夠為企業(yè)規(guī)劃師、系統(tǒng)架構師、開發(fā)人員和運營經理所用。使用哪種形式記錄這些信息，才能易于閱讀和使用呢？我們如何從以前的錯誤中汲取經驗，如何制定成熟的解決方案以避免問題的再度發(fā)生呢？
本書借鑒使用了“模式”的概念，它是一種成型的軟件開發(fā)技術。模式背后的基本思想是，以具有特定結構的文檔形式記錄專家經驗，從而記錄指定域中反復出現(xiàn)的問題的成熟解決方案。尤其是安全模式，當對企業(yè)或系統(tǒng)負責的人員安全經驗不足時便可使用安全模式。這使他們自己就能夠解決基本的安全問題，而不用每次都依靠安全專家解決這些問題。同時這也使安全專家能夠抽身解決更新、更復雜的安全問題。
人們將繼續(xù)開發(fā)和使用二類安全解決方案。即使相對初級的計算機用戶，如果他們執(zhí)意要惡意攻擊，也能夠使用到處可見的腳本工具造成巨大的破壞。開發(fā)一類解決方案是一個巨大的難題，存在的問題有：需求不充分、設計概念不當、劣質的體系結構、不充分的規(guī)范、不成熟的軟件開發(fā)實踐、對系統(tǒng)管理的過度依賴、低劣的操作和高管層的消息閉塞等。我們越早對安全問題給予應有的重視，我們的解決方案就能更快地進化發(fā)展。這會在很大程度上減少在敏感環(huán)境中使用軟件應用程序和系統(tǒng)所帶來的風險。我們越來越依賴安全的系統(tǒng)和系統(tǒng)化的解決方案。我們相信安全模式是朝著這一方向邁出的關鍵一步。
本書讀者對象：本書面向那些對安全知識了解不多，但因工作要求或認識到安全重要性而需要為組織或系統(tǒng)增加基本安全功能的讀者。本書也適合安全專家用做設計指導、系統(tǒng)比較和教授安全知識。
本書結構：第1章“模式方法”概要介紹了整個模式范例。除了討論模式方法外，本章還介紹了該書使用的模式模板。
第2章“安全基礎”介紹了幾個重要的安全概念。本章提供了安全概覽、安全區(qū)域分類和一組常用的安全資源。
將模式應用在安全區(qū)域，產生了新的特定于域的模式類型：安全模式。第3章“安全模式”介紹了安全模式的進化歷程，描述了它們的特點。同時也討論了使用安全模式的好處，以及確定安全模式的數(shù)據源。
第4章“模式作用域和企業(yè)安全”描述了安全模式的作用域和上下文，并解釋了它們在本書中的組織方式。
第5章“安全模式作用域”簡要介紹了本書中的所有模式，以及本書引用但未包含的相關安全模式。在許多情況中，這些模式發(fā)表在其他地方。
第6章到第13章介紹了安全模式本身。
第6章“企業(yè)安全和風險管理”介紹了企業(yè)級安全模式。這些模式側重于規(guī)劃師在企業(yè)級戰(zhàn)略開發(fā)、活動計劃、業(yè)務模型、目標和策略中要進行的安全性考慮。
第7章“身份識別和驗證（I&A）”介紹了支持該系統(tǒng)的I&A服務和已有的服務模式。身份識別和驗證（I&A）服務解決了識別與業(yè)務系統(tǒng)交互的用戶、流程和其他系統(tǒng)的問題。
第8章“訪問控制模型”介紹的模式將大家接受的訪問控制模型指定為面向對象的聲明性模式，這些模式可用于指導構建安全的系統(tǒng)。本章還介紹了一個模式，該模式根據聲明性模型定義的約束記錄評估請求動態(tài)。本章最后介紹的模式可以幫助找到與基于角色的訪問控制（RBAC）模型中角色相關聯(lián)的權限。
第9章“系統(tǒng)訪問控制體系結構”介紹了體系結構級別的訪問控制模式。本章還介紹了一個模式，該模式展現(xiàn)了在考慮一般訪問控制需求的情況下收集系統(tǒng)底層需求的原因和方法。本章剩余部分討論處理受訪問控制保護的軟件系統(tǒng)體系結構的模式。
第10章“操作系統(tǒng)訪問控制”介紹了針對操作系統(tǒng)的訪問控制服務和機制的模式，這些模式描述了操作系統(tǒng)如何對資源實施訪問控制，例如，內存地址空間和I/O設備。
第11章“統(tǒng)計”介紹了審計和統(tǒng)計的服務和機制的模式。決策者需要了解任何發(fā)生的、涉及其資產的安全事件。安全審計和統(tǒng)計模式可以滿足這種需求。
第12章“防火墻體系結構”介紹了描述不同類型防火墻的模式語言。該模式語言可用于指導為系統(tǒng)選擇合適的防火墻類型，或幫助設計者構建新系統(tǒng)。
第13章“安全的Internet應用程序”介紹了Internet安全模式，它們是第8章“訪問控制模型”和第12章“防火墻體系結構”針對Internet應用程序領域的具體化模式。
第14章“案例研究：IP電話”介紹了一項新興技術的案例研究，示范了如何使用安全模式將安全融入到實際系統(tǒng)工程方案中。將本書中討論的最適宜的模式應用到從IP電話系統(tǒng)挑選的用例中。
第15章“輔助概念”討論了挑選的補充概念，這些概念對安全模式是一個補充。要特別指出的是，本章還介紹了安全原理的模式相關概念和所謂的“誤用例”。
第16章“結束語”給出了本書的結論，并對未來有關安全模式和相關概念的工作進行了展望。

作者簡介

作者：(美)舒馬赫 等

書籍目錄

第1章模式方法1.1模式概況1.2模式不是孤立存在的1.3模式無處不在1.4以人為本1.5模式可以解決問題和塑造環(huán)境1.6邁向模式語言1.7模式文檔1.8模式的歷史簡介1.9模式社區(qū)及其文化第2章安全基礎2.1概述2.2安全分類2.2.1企業(yè)業(yè)務戰(zhàn)略2.2.2安全戰(zhàn)略和策略2.2.3屬性2.2.4違規(guī)2.2.5風險管理2.2.6方法2.2.7服務2.2.8機制2.3安全資源概述第3章安全模式3.1安全模式的歷史3.2安全模式的特征3.2.1示例3.2.2上下文3.2.3問題3.2.4解決方案3.2.5結論3.2.6參考3.3選擇安全模式的原因3.3.1解決方案的誤解3.3.2解決方案的“問題”3.3.3解決方案的適用場合3.3.4解決方案的決定性因素3.3.5解決方案的后果3.3.6外來經驗3.3.7解決方案以外的事情3.4挖掘安全模式的方法3.4.1企業(yè)安全標準3.4.2ISO177993.4.3ISO133353.4.4共同準則3.4.5IT基準安全防護手冊3.4.6企業(yè)和系統(tǒng)體系結構資源3.4.7NIST3.4.8SANS協(xié)會3.4.9BurtonGroup3.4.10操作和運行時資源3.4.11計算機事件響應小組3.4.12黑客團體3.4.13安全公司3.4.14軟件和IT公司3.4.15新聞組和郵件列表第4章模式作用域和企業(yè)安全4.1本書中的模式作用域4.2組織因素4.2.1讀者視角4.2.2分離和集成的需要4.3最終組織4.3.1安全視圖概念4.3.2模式組織4.4映射到安全分類4.5企業(yè)架構上下文中的組織第5章安全模式作用域第6章企業(yè)安全和風險管理第7章身份識別和驗證（I&A）第8章訪問控制模型第9章系統(tǒng)訪問控制體系結構第10章操作系統(tǒng)訪問控制第11章統(tǒng)計第12章防火墻體系結構第13章安全的Internet應用程序第14章案例研究：IP電話第15章輔助概念第16章結束語參考文獻

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    安全模式 PDF格式下載

---