安全模式最佳实践

《安全模式最佳实践》作者是全球安全领域顶尖级专家，为读者提供这样一种系统的安全开发方法。他通过大量真实案例，系统讲解了如何使用安全模式将安全融入软件生命周期中的各个阶段——从概念到设计，再到实现和逆向工程。

爱德华多B.费尔南德斯，美国Florida Atlantic University计算机科学与工程系的教授。业余时间，他还是智利Universidad Tecncia Federio Santa Maria的客座教授。他在授权访问模型、面向对象分析与设计、安全模式等方面发表了大量的论文，并编撰了四本书籍。他曾多次在全球性质的学术和产业会议上发表演讲，目前主要关注安全模式、网络服务、云计算安全与容错等技术。他在普渡大学获得电气工程理科硕士学位，在加州大学洛杉矶分校获得计算机科学博士学位。

译者序
序
前言
第一部分概述
第1章动机与目标
1.1为什么需要安全模式
1.2基本定义
1.3安全模式的历史
1.4安全模式的工业级应用
1.5其他建设安全系统的方法
第2章模式与安全模式
2.1什么是安全模式
2.2安全模式的性质
2.3模式的描述与目录
2.4安全模式的剖析
2.5模式图
2.6如何对安全模式分类
2.7模式挖掘
2.8安全模式的应用
2.9如何评估安全模式及其对安全的影响
2.10威胁建模和滥用模式
2.11容错模式
第3章安全系统开发方法
3.1为模式增加信息
3.2基于生命周期的方法
3.3采用模型驱动的工程方法
第二部分模式
第4章身份管理模式
4.1概述
4.2信任环
4.3身份提供者
4.4身份联合
4.5自由联盟身份联合
第5章身份认证模式
5.1概述
5.2认证器
5.3远程认证器／授权者
5.4凭据
第6章访问控制模式
6.1概述
6.2授权
6.3基于角色的访问控制
6.4多级安全
6.5基于策略的访问控制
6.6访问控制列表
6.7权能
6.8具体化的引用监控器
6.9受控的访问会话
6.10基于会话和角色的访问控制
6.11安全日志和宙计
第7章安全进程管理模式
7.1概述
7.2安全进程／线程
7.3受控进程创建器
7.4受控对象工厂
7.5受控对象监控器
7.6受保护的人口点
7.7保护环
第8章安全执行模式和文件管理模式
8.1概述
8.2虚拟地址空间访问控制
8.3执行域
8.4受控执行域
8.5虚拟地址空间结构选择
第9章安全操作系统体系结构和管理模式
9.1概述
9.2模块化操作系统体系结构
9.3分层操作系统体系结构
9.4微内核操作系统体系结构
9.5虚拟机操作系统体系结构
9.6管理员分级
9.7文件访问控制
第10章网络安全模式
10.1概述
10.2抽象虚拟专用网
10.3IPSec虚拟专用网
10.4传输层安全虚拟专用网
10.5传输层安全
10.6抽象入侵检测系统
10.7基于签名的入侵检测系统
10.8基于行为的入侵检测系统
第11章Web服务安全模式
11.1概述
11.2应用防火墙
11.3XML防火墙
11.4XACML授权
11.5XACML访问控制评估
11.6Web服务策略语言
11.7WS策略
11.8WS信任
11.9SAML断言
第12章Web服务密码学模式
12.1概述
12.2对称加密
12.3非对称加密
12.4运用散列法的数字签名
12.5XML加密
12.6XML签名
12.7WS安全
第13章安全中间件模式
13.1概述
13.2安全经纪人
13，3安全管道和过滤器
13.4安全黑板
13.5安全适配器
13.6安全的三层结构
13.7安全企业服务总线
13.8安全的分布式发布／订购
13.9安全的“模型—视图—控制器”
第14章误用模式
14.1概述
14.2蠕虫
14.3VoIP中的拒绝服务
14.4Web服务欺骗
第15章云计算架构模式
15.1简介
15.2基础设施即服务
15.3平台即服务
15.4软件即服务
第三部分模式应用
第16章构建安全的架构
16.1列举威胁
16.2分析阶段
16.3设计阶段
16.4法律案例的安全处理
16.5SCADA系统
16.6医疗应用
16.6.1医疗记录及其规程
16.6.2病人治疗记录模式
16.6.3病人记录模式
16.7环境辅助生活
16.8无线网络安全
16.9本章小结
第17章安全模式总结及安全模式的未来
17.1安全模式总结
17.2安全模式的未来研究方向
17.3安全原则
17.4未来展望
附录AXACML访问控制评估的伪代码
术语表
参考文献

Preface  前    言一个人只有大量地阅读，各处去周游，才能够见多识广。 ——米格尔德塞万提斯《堂吉诃德》我在加入IBM后，进行了近九年的安全技术工作。在IBM工作期间，我与人合著了一本关于数据库安全的书，那是最早关注这方面主题的书籍之一。后来，我意识到大量的安全知识被浪费掉了，因为从业者没有读过此类书籍和论文；他们始终在重复着相同的错误。特别是软件开发者对于安全性知之甚少。再后来，我参加了一个关于模式的会议，意识到将安全知识以模式形式进行陈述将是传播这种知识的有效途径。在那段时间里，Yoder和Barcalow[Yod97]发表了一篇使用模式形式陈述安全方法的论文，这让我更加深信，这是一个好的方向。再再后来，我发现安全模式除了向没有经验的开发者传播安全知识之外，对安全专家也十分有用，可以帮助他们以一种系统级的方法应用安全知识去开发新的应用程序或者产品，理解复杂的标准，审计复杂的应用程序和重新开发遗留系统。于是我与人合著了一本书，该书介绍了2005年之前发布的绝大部分安全模式类型。然而，自从那本书出版后，出现了更多的模式。 我已经写了超过80个模式，大多数都会在本书中介绍。其他作者也发表了一些模式，完善了本书（参见第1章）。我已经在每个模式的“参见”小节中列出了这些补充内容。需要注意的是别人使用的符号或者模式格式可能与我们有所不同。 我不想过度阐述，所以可能会遗漏一些有价值的模式。希望能够在本书英文版的网站：http://www.wiley.com/go/securitypatterns 或者是在新版本中，将那些未来发现的模式不断完善进来，模式可以在使用或者更好地理解之后进行完善。本书中的一部分模式是在15年前完成的，而其他的模式仍处于发展阶段。当审视这些相对较早的模式时，我意识到现在可以把它们写得更好一些，这也就延迟了本书的定稿时间。本书不是2006年出版的书籍[Sch06b]的第二卷或者升级版，而是体现了我这些年的工作成果。为了保证完整性，一些来自于我的更早书籍的模式也加入本书中；我希望最终能够做出一个完整的目录，虽然现在还没有成功。其他作者也写出了一些好的模式，这样就会有一批高质量的模式供开发者和研究人员使用。我的读者大部分都是希望把安全性整合在产品中的软件开发者，然而，本书也适合研究人员、计算机科学专业的学生和对系统安全感兴趣的人参考。 我们工作中的一个难点就是用了很长的时间来统一图形风格。书中描述的所有模式要么是在模式会议上讨论过，要么是在研究会议上展示过。然而，为了本书的出版，我对它们重新进行了修改，有的部分改动还比较大。我仍然非常积极地接受那些提供最初想法的原始版本，阅读每一行并完善它们的内容。换句话说，本书是我全新的创作，而不仅仅是过去工作的编辑或者我学生作品的展示。 仅有模式还是不够的：我们的最终目标是建立安全的系统。为了这个目标，我一直都在研究使用模式创建安全系统的方法论，本书中也会演示几个例子。严格意义上来说，我使用的方法是一种工程方法。但这不意味着不会谈到理论，但我会尽量只在必要的时候提出理论；同样，也不意味着使用代码：尽管我会给一些代码示例，但大多时候会使用模型进行举例。为了能够支持现在系统的复杂度，我们需要对模型进行抽象。模式的重要作用就是引导我们进行系统级的思考。一个系统不仅仅是它各个部分的组合，因此，单单关注孤立的代码和硬件只是一种微观视角，无法带来安全的系统。 每个模式可以用一页来介绍理念，也可以用30页来描述细节，我选择的是一种介于两者之间的中间层次。目标是让读者通过足够的细节描述理解模式的意义，并且评估它们的可行性。我发现这种层次的细节描述在我的工作中最为有效。我已经忍住了添加安全背景相关资料的冲动：这些已经在好几本书中进行过介绍（见第1章）。 因为我在大学里工作，所以被多次指责“不注重实践性”。其实我在企业里工作了十年左右，并且为很多公司做过顾问，所以有一些产业界的经验。当我编写这些模式时，我的那些已经在企业界工作的学生也提供了一些重要的产业视角。在某种程度上，本书是一本跨学科的书籍，将安全性与软件体系结构联系起来了。 我很希望听到对本书的建议和批评意见。虽然这些模式包括了计算机系统体系结构的所有范围，但我也确信在某些方面我的理解并不正确。我对安全模式在实际项目中的使用特别感兴趣。如果有任何建议，请发送邮件给我：ed@cse.fau.edu。Markus Schumacher和我会在securitypatterns.org上发布有关模式的评论。 本书结构本书分为三部分。第一部分描述使用模式的动机、经验，以及本书的目标，并且展示了作者的安全开发方法论。第二部分是安全模式的详细介绍，包括计算机系统不同体系结构层次的模式。第三部分展示了一些模式的应用、模式表，并且指出了今后可能的研究方向。 致谢本书是我在安全方面研究多年的成果。在这个过程中，我参加了多个安全模式会议，与全球各地从事这项工作的同行进行交流，倾听他们的意见，他们均对本书的完成做出了贡献。特别要感谢的是我的学生们，尤其是Nelly Delessy、Keiko Hashizume、Ola Ajaj、Juan C. Pelaez和Ajoy Kumar，他们撰写了这些模式中的几个版本。我的同事Maria M. Larrondo-Petrie和Mike Van Hilst与我协作发布了一些模式。我还有如下一些国际合作者：Nobukazu Yoshioka和Hironori Washizaki (Japan)、Günther Pernul (German)、David LaRed (Argentina)、Anton Uzunow (Australia)、Fabricio Braz (Brazil)、Jaime Muoz Arteaga (Mexico)和Antonio Maa (Spain)。 模式语言会议（PLoP、EUROPLoP、AsianOLOP和LatinAmerican PLOP）的指导专家和研讨会参与人员都给予了非常有价值的建议，特别是Joe Yoder、Fabio Kon、Richard Gabriel、Rosana Braga、Ralph Johnson、Lior Schachtert等。Craig Heath进行了前三章的注释工作。 Wiley英国出版社的编辑人员Ellie Scott、Birgit Gruber和Sara Shlaer，以及WordMongers的Steve Rickaby，都给予了非常多的帮助和支持。Markus Schumacher是一个非常称职的指导者，他能够找到严重的错误和遗漏的内容。在这里，我向他们表示诚挚的感谢！