- 1、本文档共11页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全设计十大原则
CISSP ( Certified Information Systems Security Professional)相关资料有统计:通过合适的十大设计原则可以避免90%的问题。1、简单易懂越复杂越容易出错。越复杂,越难审查得透彻,也越难测试得比较全面,从而使得一些安全缺陷遗留在系统中。随着系统复杂度的增加,系统的安全风险也在变高。减少冗余、提高组件重用度。经验构筑了保证,特别当那些经验是成功的经验时。瓶颈是至系统的一个狭窄接口,您通过它强制所有流量通过该接口,因此您可以方便地进行控制。您应该避免在系统中分布安全性代码,因为这会使维护更加困难。另外,如果强制您的所有用户通过几条小通道,则监控用户行为会简便得多。这与只有几个入口的体育馆是同一个道理;如果入口有很多,检票就困难多了。为了达到相同的效果,您需要多得多的员工。可用性与安全:1)用户不会阅读文档。如果用户需要做任何特别的事情才能获取您所提供的全部安全性好处,那么用户未必接受那些好处。因此,您应该在缺省情况下提供安全性。用户应该不需要了解关于安全性的任何事情以及不需要做一些特别的事情就能安全地使用您的产品。当然,安全性是一个相对的术语;您必须作出一些关于用户安全性需求的决定。考虑缺省情况下关闭了加密的企业应用程序服务器。通常,您可以使用管理工具上某处的某些菜单选项来打开它。即使系统管理员不再考虑安全性,那个人也可能认为“缺省情况下他们必定打开了加密。”我们已经看见了许多服务器并未这样做。2)与用户交谈以弄清其安全性需求。正如 Nielson 喜欢说的那样,副总裁不是用户。您不应该假设您知道这条信息;直接转至源头。尝试为用户提供比他们想象所需的安全性更多的安全性。3)认识到用户未必总是正确的。大部分用户不是博识的。他们可能不理解安全性问题,因此您仍应该尝试预见他们的需要。这是个好主意,但在安全性方面可能出错。如果您对他们需要作出的评估多于他们所需要的安全性,则使用您的(实际上,尝试提供比您想象他们所需的安全性更多的安全性)。如果他们提供的更多,则干脆相信他们。例如,考虑一个诸如 Web 门户网站的系统,您提供的一种服务是股票报价。您的用户可能从不认为有好的理由来保护那些资料。毕竟股票报价是用于公共消费的。但有一个好的理由―一个攻击者可能篡改用户得到的报价。然后用户可能根据伪造信息来确定股票买卖,结果倾家荡产。您确实不必加密数据―您可以使用消息认证码(MAC)―但大多数用户未必预见到这一风险。4)用户是懒惰的。他们是如此懒惰,以至于实际上即使当您抛出用大的鲜红字母显示的“警告”对话框时,他们也不愿停下来考虑安全性。对于用户来说,对话框是一种讨厌的东西,它阻止他们完成想做的事。例如,许多移动式代码系统(例如,那些当使用 Internet Explorer 浏览 Web 时运行 Active X 控件的系统)将显示一个对话框,告诉您代码是谁编写的,并询问您是否确实想信任那个人。您认为实际上有人阅读这些东西吗?没有。用户只是想通过阻力最少的途径马上运行代码,而不考虑后果。2、最小特权最小特权原则规定:只授予执行操作所必需的最少访问权,并且对于该访问权只准许使用所需的最少时间。当您给出了对系统某些部分的访问权时,一般会出现滥用与那个访问权相关的特权的风险。例如,我们假设您出去度假并把您家的钥匙给了您的 朋友,好让他来喂养您的宠物、收集邮件等等。尽管您可能信任那位朋友,但总是存在这样的可能:您的朋友未经您同意就在您的房子里开派对或发生其它您不喜欢 的事情。不管您是否信任您的朋友,一般不必冒险给予其必要的访问权以外的权利。例如,如果您没养宠物,只需要一位朋友偶尔收取您的邮件,那么您 应当只给他邮箱钥匙。即使您的朋友可能找到滥用那个特权的好方法,但至少您不必担心出现其它滥用的可能性。如果您不必要地给出了房门钥匙,那么所有一切都 可能发生。同样,如果您在度假时确实雇佣了一位房子看管人,那么您不可能在没有度假时还让他保留您的钥匙。如果您这样做了,那么您使自己陷入额外 的风险之中。只要当您的房门钥匙不受您的控制,就存在钥匙被复制的风险。如果有一把钥匙不受您的控制,而且您不在家,那么就存在有人使用钥匙进入您房子的 风险。当有人拿了您的钥匙,而您又没有留意他们,那么任何这样的一段时间都会构成一个时间漏洞,在此段时间内您就很容易受到攻击。为了将您的风险降到最 低,您要使这段易受攻击的时间漏洞尽可能的短。现实生活中的另一个好的示例是美国政府的忠诚调查系统 ―“需要知道”政策。即使您有权查看任何机密文档,您仍不能看到您知道其存在的 任何机密文档。如果可以的话,就很容易滥用该忠诚调查级别。实际上,人们只被允许访问与那些交给他们的任务相关的文档。 UNIX 系统中出现过一些违反最小特权原则的最著名情况。例如
文档评论(0)