第一篇：學(xué)習(xí)消極的安全模型與積極的安全模型的感想

學(xué)習(xí)消極的安全模型與積極的安全模型的感想

曾經(jīng)設(shè)置過防火墻規(guī)則的人，可能會碰到這樣的建議：允許已知安全的流量，拒絕其他一切訪問。這就是一種很好的積極安全模型。恰恰相反，消極安全模型則是默認(rèn)允許一切訪問，只拒絕一些已知危險的流量模式。

兩種安全模型方式都存在各自的問題： 消極安全模型：什么是危險的? 積極安全模型：什么是安全的? 消極安全模式通常使用的更多。識別出一種危險的模式并且配置自己的系統(tǒng)禁止它。這個操作簡單而有趣，卻不十分安全。它依賴于人們對于危險的認(rèn)識，如果問題存在，卻沒有被意識到(這種情況很常見)，就會為攻擊者留下可趁之機(jī)。

積極安全模式（又稱為白名單模式）看上去是一種制定策略的更好方式,非常適于配置防火墻策略。它適用于保護(hù)那些穩(wěn)定的、無人維護(hù)的舊應(yīng)用。

以上是我學(xué)習(xí)《全面解析Web應(yīng)用防火墻》文章的摘要。通過學(xué)習(xí)該篇文章，我在單位安全生產(chǎn)管理方面有了新的啟發(fā)和認(rèn)識。

一是如果將安全生產(chǎn)依賴于人們對危險的認(rèn)識，那么安全生產(chǎn)的管理則是一種消極、被動的安全管理模式。根據(jù)安全的本質(zhì)含義，安全只不過是一種人們能夠承受的危險度，危險是絕對的，安全是相對的，安全是一個各種生產(chǎn)要素相對穩(wěn)定的狀態(tài)；危險處處時時都有，種類繁多復(fù)雜，受人們知識水平、認(rèn)識能力和科技手段的限制，人們對于危險物、危險源、危險狀態(tài)等的辨別能力往往有限。如果我們把安全生產(chǎn)寄希望于人們對危險的認(rèn)識，卻沒有意識到異常情況的存在，就會給意外事件（事故）的發(fā)生，留下可乘之機(jī)。

二是積極的安全管理模式，則是告訴人們在生產(chǎn)過程中，什么狀態(tài)下是安全的，什么狀態(tài)下是危險的，在生產(chǎn)中必須做什么，禁止做什么。這樣有助于人們在生產(chǎn)過程中實際操作。把安全生產(chǎn)管理的重點轉(zhuǎn)移到安全生產(chǎn)操作規(guī)程的研發(fā)和生產(chǎn)一線工人安全操作規(guī)程的實際培訓(xùn)上。作為一個生產(chǎn)單位，如果引進(jìn)新設(shè)備、應(yīng)用新技術(shù)，首先要進(jìn)行新設(shè)備、新技術(shù)安全操作規(guī)程的論證、試用、完善和培訓(xùn)，然后才能在生產(chǎn)中推廣使用。如果施工環(huán)境發(fā)生變化，作為生產(chǎn)單位首先要進(jìn)行施工環(huán)境危險因素辨識和隱患治理，使施工環(huán)境處于安全狀態(tài)。只有抓住以上重點，我們才能變被動為積極，變消極為進(jìn)取。三是通過學(xué)習(xí)該篇文章，我認(rèn)識到安全生產(chǎn)管理的核心是環(huán)境、人、機(jī)（設(shè)備）的相協(xié)調(diào)和生產(chǎn)流程的安全性、科學(xué)性。如果不掌握該核心任務(wù)，那么我們的安全生產(chǎn)管理則是盲目的、被動的。

第二篇：慧魚模型感想

這個暑假留校學(xué)習(xí)，我感覺真的獲益匪淺，這真得歸功于基地開放式實驗教學(xué)的實踐，而慧魚模型實驗就是很好的例子，它給我們提供了創(chuàng)新動手實踐的條件，使我們發(fā)揮出前所未有的想象力。我嗎在課堂所學(xué)知識的基礎(chǔ)上，結(jié)合生活生產(chǎn)實際，運用自己的思維潛力創(chuàng)作出了新作品。在創(chuàng)作過程中，每一個難點、每次挫折都是對我們創(chuàng)新意識的考驗，都是經(jīng)驗的積累，都是智慧的沉淀。慧魚模型實驗是一門非常有意義且有趣的課，它大大得激發(fā)了我們的想象力和創(chuàng)造熱情，以及從中得到留意生活的重要性。同時題目的選定和組合模型的方案擬定就準(zhǔn)確地暴露了我們?nèi)狈ι罱?jīng)驗的問題。腦子一片空白或是思路只能停留在各種車之間，而不能發(fā)散。

除此之外，我們還學(xué)到了如何將各門知識銜接與綜合運用。由于我們的創(chuàng)新實驗利用慧魚模型組裝出完整的機(jī)械系統(tǒng)，如我們這次做的模擬碼頭貨物搬運系統(tǒng)，且運行控制良好，具有創(chuàng)新性。它涉及到機(jī)、電、控制、傳感技術(shù)和計算機(jī)技術(shù)等多方面知識。而我們在課堂上所學(xué)都是單門知識，所作的實驗也都是針對一門課的，很少有將這些知識綜合運用的機(jī)會。因此種有別于課堂的實踐機(jī)會讓我們的創(chuàng)新思維得到進(jìn)一步的培養(yǎng)。

還很有意義的是，我們學(xué)會了如何使用llwin控制程序的編制與調(diào)試。各執(zhí)行機(jī)構(gòu)的同步協(xié)調(diào)與合理布置。各執(zhí)行機(jī)構(gòu)的同步協(xié)調(diào)在于程序編制的邏輯關(guān)系、時間控制、空間安排和控制方法。如果沒有搞懂它們之的關(guān)系，調(diào)試時經(jīng)常撞車和不協(xié)調(diào)。如碼頭貨物搬運兩輛搬運車經(jīng)常撞車，這必須一小步一小步地調(diào)試，不斷摸索，才能達(dá)到和睦狀態(tài)。

至今，我還很懷念那段和組員一起在實驗室奮斗的日子。

第三篇：CBTC安全制動模型

CBTC安全制動模型

一、模型介紹

CBTC安全制動模型取自于IEEE1474.1，用于計算列車之間的安全制動距離。典型的安全制動模型如圖1-1所示。

1-1 安全制動模型

根據(jù)IEEE中的定義，安全制動模型要考慮以下情況： a)前方列車位置的不確定性（包括后遛的最大距離）b)后方列車的位置不確定性 c)列車長度 d)列車配置

e)CBTC系統(tǒng)能夠容許的超速 f)CBTC系統(tǒng)速度測量的最大誤差 g)CBTC系統(tǒng)的反應(yīng)時間和延遲時間

h)當(dāng)檢測到列車超速時，列車的緊急制動加速度

i)當(dāng)檢測到列車超速后，CBTC系統(tǒng)切斷牽引力和采取緊急制動的最大反應(yīng)時間

j)緊急制動曲線(GEBR)k)線路坡度

第四篇：信息安全-深入分析比較八個信息安全模型

深入分析比較八個信息安全模型

信息安全體系結(jié)構(gòu)的設(shè)計并沒有嚴(yán)格統(tǒng)一的標(biāo)準(zhǔn)，不同領(lǐng)域不同時期，人們對信息安全的認(rèn)識都不盡相同，對解決信息安全問題的側(cè)重也有所差別。早期人們對信息安全體系的關(guān)注焦點，即以防護(hù)技術(shù)為主的靜態(tài)的信息安全體系。隨著人們對信息安全認(rèn)識的深入，其動態(tài)性和過程性的發(fā)展要求愈顯重要。

國際標(biāo)準(zhǔn)化組織（ISO）于1989年對OSI開放系統(tǒng)互聯(lián)環(huán)境的安全性進(jìn)行了深入研究，在此基礎(chǔ)上提出了OSI安全體系結(jié)構(gòu)：ISO 7498-2：1989，該標(biāo)準(zhǔn)被我國等同采用，即《信息處理系統(tǒng)－開放系統(tǒng)互連－基本參考模型－第二部分：安全體系結(jié)構(gòu)GB/T 9387.2-1995》。ISO 7498-2 安全體系結(jié)構(gòu)由5類安全服務(wù)（認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性和抗抵賴性）及用來支持安全服務(wù)的8種安全機(jī)制（加密機(jī)制、數(shù)字簽名、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換、業(yè)務(wù)流填充、路由控制和公證）構(gòu)成。ISO 7498-2 安全體系結(jié)構(gòu)針對的是基于OSI 參考模型的網(wǎng)絡(luò)通信系統(tǒng)，它所定義的安全服務(wù)也只是解決網(wǎng)絡(luò)通信安全性的技術(shù)措施，其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒有涉及。此外，ISO 7498-2 體系關(guān)注的是靜態(tài)的防護(hù)技術(shù)，它并沒有考慮到信息安全動態(tài)性和生命周期性的發(fā)展特點，缺乏檢測、響應(yīng)和恢復(fù)這些重要的環(huán)節(jié)，因而無法滿足更復(fù)雜更全面的信息保障的要求。

P2DR 模型源自美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的自適應(yīng)網(wǎng)絡(luò)安全模型ANSM（Adaptive NetworkSe cur ity Mode l）。P2DR 代表的分別是Polic y（策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）的首字母。按照P2DR的觀點，一個良好的完整的動態(tài)安全體系，不僅需要恰當(dāng)?shù)姆雷o(hù)（比如操作系統(tǒng)訪問控制、防火墻、加密等），而且需要動態(tài)的檢測機(jī)制（比如入侵檢測、漏洞掃描等），在發(fā)現(xiàn)問題時還需要及時做出響應(yīng)，這樣的一個體系需要在統(tǒng)一的安全策略指導(dǎo)下進(jìn)行實施，由此形成一個完備的、閉環(huán)的動態(tài)自適應(yīng)安全體系。P2DR模型是建立在基于時間的安全理論基礎(chǔ)之上的。該理論的基本思想是：信息安全相關(guān)的所有活動，無論是攻擊行為、防護(hù)行為、檢測行為還是響應(yīng)行為，都要消耗時間，因而可以用時間尺度來衡量一個體系的能力和安全性。

PDRR 模型，或者叫PPDRR（或者P2DR2），與P2DR非常相似，唯一的區(qū)別就在于把恢復(fù)環(huán)節(jié)提到了和防護(hù)、檢測、響應(yīng)等環(huán)節(jié)同等的高度。在PDRR模型中，安全策略、防護(hù)、檢測、響應(yīng)和恢復(fù)共同構(gòu)成了完整的安全體系，利用這樣的模型，任何信息安全問題都能得以描述和解釋。

當(dāng)信息安全發(fā)展到信息保障階段之后，人們越發(fā)認(rèn)為，構(gòu)建信息安全保障體系必須從安全的各個方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計和建設(shè)的有力依據(jù)。信息保障技術(shù)框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。IATF是由美國國家安全局組織專家編寫的一個全面描述信息安全保障體系的框架，它提出了信息保障時代信息基礎(chǔ)設(shè)施的全套安全需求。IATF創(chuàng)造性的地方在于，它首次提出了信息保障依賴于人、操作和技術(shù)來共同實現(xiàn)組織職能/業(yè)務(wù)運作的思想，對技術(shù)/信息基礎(chǔ)設(shè)施的管理也離不開這3個要素。IATF認(rèn)為，穩(wěn)健的信息保障狀態(tài)意味著信息保障的策略、過程、技術(shù)和機(jī)制在整個組織的信息基礎(chǔ)設(shè)施的所有層面上都能得以實施。

盡管IATF提出了以人為核心的思想，但整個體系的闡述還是以技術(shù)為側(cè)重的，對于安全管理的內(nèi)容則很少涉及。所以，與其說IATF 為我們提供了全面的信息安全體系模型，如說為我們指出了設(shè)計、構(gòu)建和實施信息安全解決方案的一個技術(shù)框架信息安全體系建設(shè)與服務(wù)過程（ISMG-002），它為我們概括了信息安全應(yīng)該關(guān)注的領(lǐng)域和范圍、途

徑和方法、可選的技術(shù)性措施，但并沒有指出信息安全最終的表現(xiàn)形態(tài)，這和P2DR、PDRR 等模型有很大區(qū)別。

BS 7799 是英國標(biāo)準(zhǔn)協(xié)會（British Standards Institute，BSI）制定的關(guān)于信息安全管理方面的標(biāo)準(zhǔn)，它包含兩個部分：第一部分是被采納為ISO/IEC 17799：2000 標(biāo)準(zhǔn)的信息安全管理實施細(xì)則（Code of Practice for Information Security Management），它在10 個標(biāo)題框架下列舉定義127項作為安全控制的慣例，供信息安全實踐者選擇使用；BS 7799 的第二部分是建立信息安全管理體系（ISMS）的一套規(guī)范（Specif ication for Information Security Management Systems），其中詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求，指出實施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn)。作為一套管理標(biāo)準(zhǔn)，BS7799-2指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 17799，其最終目的還在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。單從安全體系作為信息安全建設(shè)指導(dǎo)藍(lán)圖和目標(biāo)的作用來看，之前的幾種體系或模型都或多或少存在一些不足，ISO 7498-2 就不多說，即使是目前較為流行的P2DR 和PDRR模型，側(cè)重的也只是安全體系的技術(shù)環(huán)節(jié)，并沒有闡述構(gòu)成信息安全的幾個關(guān)鍵要素。至于IATF，雖然明確指出信息安全的構(gòu)成要素，但它只是提供了一個用來選擇技術(shù)措施的框架并沒有勾畫出一個安全體系的目標(biāo)形態(tài)。同樣的，BS 7799標(biāo)準(zhǔn)雖然完全側(cè)重于信息安全管理，但它所要求的信息安全管理體系（ISMS）也沒有明確的目標(biāo)形態(tài)。這里，我們提出了一種新的安全體系模型，即P2OTPDR2 模型。實際上這是一個將IATF 核心思想與PDRR基本形態(tài)結(jié)合在一起的安全體系模型，符合我們對信息安全體系設(shè)計的基本要求。P2OTPDR2，即Policy（策略）、People（人）、Operation（操作）、Technology（技術(shù)）、Protection（保護(hù)）、Detection（檢測）、Response（響應(yīng)）和Recovery（恢復(fù)）的首字母縮寫。P2OTPDR2分為3個層次，最核心的部分是安全策略，安全策略在整個安全體系的設(shè)計、實施、維護(hù)和改進(jìn)過程中都起著重要的指導(dǎo)作用，是一切信息安全實踐活動的方針和指南。模型的中間層次體現(xiàn)了信息安全的3個基本要素：人員、技術(shù)和操作，這構(gòu)成了整個安全體系的骨架，從本質(zhì)上講，安全策略的全部內(nèi)容就是對這3 個要素的闡述，當(dāng)然，3個要素中，人是唯一具有能動性的，是第一位的。在模型的外圍，是構(gòu)成信息安全完整功能的PDRR模型的4個環(huán)節(jié)，信息安全3要素在這4個環(huán)節(jié)中都有滲透，并最終表現(xiàn)出信息安全完整的目標(biāo)形態(tài)。概括來說，在策略核心的指導(dǎo)下，3個要素（人、技術(shù)、操作）緊密結(jié)合協(xié)同作用，最終實現(xiàn)信息安全的4項功能（防護(hù)、檢測、響應(yīng)、恢復(fù)），構(gòu)成完整的信息安全體系。P2OTPDR2 模型的核心思想在于：通過人員組織、安全技術(shù)以及運行操作3個支撐體系的綜合作用，構(gòu)成一個完整的信息安全管理體系。雖然只是簡單的演繹歸納，但新的安全體系模型能夠較好地體現(xiàn)信息安全的各個特點，因而具有更強(qiáng)的目標(biāo)指導(dǎo)作用。從全面性來看，P2OTPDR2 模型對安全本質(zhì)和功能的闡述是完整的、全面的；模型的層次關(guān)系也很清晰；外圍的PDRR模型的4 個環(huán)節(jié)本身就是對動態(tài)性很好的詮釋；無論是人員管理、技術(shù)管理還是操作管理，都體現(xiàn)了信息安全可管理性的特點。就防護(hù)來說，ISO 7498-2所定義的傳統(tǒng)的安全技術(shù)可以建立起信息安全的第一道防線，包括物理安全措施、操作系統(tǒng)安全、身份認(rèn)證、訪問控制、數(shù)據(jù)加密、完整性保護(hù)等技術(shù)；在檢測環(huán)節(jié)，病毒檢測、漏洞掃描、入侵檢測、安全審計都是典型的技術(shù)和操作手段；在響應(yīng)環(huán)節(jié)，包括突發(fā)事件處理、應(yīng)急響應(yīng)、犯罪辨析等技術(shù)和操作；而在恢復(fù)環(huán)節(jié)，備份和恢復(fù)則是最重要的內(nèi)容。當(dāng)然，在這4個環(huán)節(jié)中，無論是采用怎樣的措施，都能夠通過人、操作和技術(shù)三者的結(jié)合來共同體現(xiàn)安全策略的思想，最終實現(xiàn)信息安全的目標(biāo)和要求。下面簡單給出八種安全模型的比較：（1）狀態(tài)機(jī)模型：

無論處于什么樣的狀態(tài)，系統(tǒng)始終是安全的，一旦有不安全的事件發(fā)生，系統(tǒng)應(yīng)該會保護(hù)自己，而不是是自己變得容易受到攻擊。（2）Bell-LaPadula模型：

多級安全策略的算術(shù)模型，用于定于安全狀態(tài)機(jī)的概念、訪問模式以及訪問規(guī)則。主要用于防止未經(jīng)授權(quán)的方式訪問到保密信息。

系統(tǒng)中的用戶具有不同的訪問級（clearance），而且系統(tǒng)處理的數(shù)據(jù)也有不同的類別（classification）。信息分類決定了應(yīng)該使用的處理步驟。這些分類合起來構(gòu)成格（lattice）。BLP是一種狀態(tài)機(jī)模型，模型中用到主體、客體、訪問操作（讀、寫和讀/寫）以及安全等級。也是一種信息流安全模型，BLP的規(guī)則，Simplesecurityrule，一個位于給定安全等級內(nèi)的主體不能讀取位于較高安全等級內(nèi)的數(shù)據(jù)。（-propertyrule)為不能往下寫。Strongstarpropertyrule，一個主體只能在同一安全登記內(nèi)讀寫。

圖1-1 Bell-Lapodupa安全模型解析圖

基本安全定理，如果一個系統(tǒng)初始處于一個安全狀態(tài)，而且所有的狀態(tài)轉(zhuǎn)換都是安全的，那么不管輸入是什么，每個后續(xù)狀態(tài)都是安全的。

不足之處：只能處理機(jī)密性問題，不能解決訪問控制的管理問題，因為沒有修改訪問權(quán)限的機(jī)制；這個模型不能防止或者解決隱蔽通道問題；不能解決文件共享問題。

（3）Biba模型：

狀態(tài)機(jī)模型，使用規(guī)則為，不能向上寫：一個主體不能把數(shù)據(jù)寫入位于較高完整性級別的客體。不能向下讀：一個主體不能從較低的完整性級別讀取數(shù)據(jù)。主要用于商業(yè)活動中的信息完整性問題。

圖1-2 Biba安全模型解析圖

（4）Clark-Wilson模型：

主要用于防止授權(quán)用戶不會在商業(yè)應(yīng)用內(nèi)對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，欺騙和錯誤來保護(hù)信息的完整性。在該模型中，用戶不能直接訪問和操縱客體，而是必須通過一個代理程序來訪問客體。從而保護(hù)了客體的完整性。使用職責(zé)分割來避免授權(quán)用戶對數(shù)據(jù)執(zhí)行未經(jīng)授權(quán)的修改，再次保護(hù)數(shù)據(jù)的完整性。在這個模型中還需要使用審計功能來跟蹤系統(tǒng)外部進(jìn)入系統(tǒng)的信息。完整性的目標(biāo)，防止未授權(quán)的用戶進(jìn)行修改，防止授權(quán)用戶進(jìn)行不正確的修改，維護(hù)內(nèi)部和外部的一致性。Biba只能夠確認(rèn)第一個目標(biāo)。（5）信息流模型：

Bell-LaPadula模型所關(guān)注的是能夠從高安全級別流到低安全級別的信息。Biba模型關(guān)注的是從高完整性級別流到低完整性級別的信息。都使用了信息流模型，信息流模型能夠處理任何類型的信息流，而不僅是流的方向。（6）非干涉模型：

模型自身不關(guān)注數(shù)據(jù)流，而是關(guān)注主體對系統(tǒng)的狀態(tài)有什么樣的了解，以避免較高安全等級內(nèi)的一個實體所引發(fā)的一種活動，被低等級的實體感覺到。（7）Brewer和Nash模型：

是一個訪問控制模型，這個模型可以根據(jù)用戶以往的動作而動態(tài)地改變。模型的主要功能就是防止用戶訪問被認(rèn)為是利益沖突的數(shù)據(jù)。（8）Graham-Denning安全模型：

創(chuàng)建允許主體在客體上操作的相關(guān)權(quán)限；

Harrison-Ruzzo-Ullman模型：允許修改訪問權(quán)以及如何創(chuàng)建和刪除主體和客體。

軟件安全性的10原則和相互作用

原則 1：保護(hù)最薄弱的環(huán)節(jié)

安全性社區(qū)中最常見的比喻之一是：安全性是根鏈條；系統(tǒng)的安全程度只與最脆弱的環(huán)節(jié)一樣。結(jié)論是系統(tǒng)最薄弱部分就是最易受攻擊影響的部分。

攻擊者往往設(shè)法攻擊最易攻擊的環(huán)節(jié)，這對于您來說可能并不奇怪。如果他們無論因為什么原因?qū)⒛南到y(tǒng)作為攻擊目標(biāo)，那么他們將沿阻力最小的路線采取行動。這意味著他們將試圖攻擊系統(tǒng)中看起來最薄弱的部分，而不是看起來堅固的部分。即便他們在您系統(tǒng)各部分上花費相同的精力，他們也更可能在系統(tǒng)最需要改進(jìn)的部分中發(fā)現(xiàn)問題。

這一直覺是廣泛適用的。銀行里的錢通常比便利店里的錢多，但是它們哪一個更易遭到搶劫呢？當(dāng)然是便利店。為什么？因為銀行往往有更強(qiáng)大的安全性防范措施；便利店則是一個容易得多的目標(biāo)。

讓我們假定您擁有一家普通的銀行和一家普通的便利店。是為保險庫添加額外的門并將安全人員的數(shù)目翻倍，還是為便利店花費同樣數(shù)目的錢雇傭安全官員更劃算呢？銀行可能已經(jīng)將出納員置于防彈玻璃之后，并安裝了攝像機(jī)、配備了安全保衛(wèi)、裝備了上鎖的保險庫以及具有電子密碼的門。相比之下，便利店可能裝備了沒那么復(fù)雜的攝像機(jī)系統(tǒng)以及很少的其它設(shè)備。如果您將對您的金融帝國的任何一部分進(jìn)行安全性投資，那么便利店將是最佳選擇，因為它的風(fēng)險要大得多。

這一原則顯然也適用于軟件世界，但大多數(shù)人并沒有給予任何重視。特別地，密碼術(shù)不太會是系統(tǒng)最薄弱的部分。即使使用具有 512 位 RSA 密鑰和 40 位 RC4 密鑰的 SSL-1，這種被認(rèn)為是難以置信的薄弱的密碼術(shù)，攻擊者仍有可能找到容易得多的方法進(jìn)入。的確，它是可攻破的，但是攻破它仍然需要大量的計算工作。

如果攻擊者想訪問通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，那么他們可能將其中一個端點作為目標(biāo)，試圖找到諸如緩沖區(qū)溢出之類的缺陷，然后在數(shù)據(jù)加密之前或在數(shù)據(jù)解密之后查看數(shù)據(jù)。如果存在可利用的緩沖區(qū)溢出，那么世界上所有的密碼術(shù)都幫不了您 ― 而且緩沖區(qū)溢出大量出現(xiàn)在 C 代碼中。

因為這一原因，雖然加密密鑰長度的確對系統(tǒng)的安全性有影響，但在大多數(shù)系統(tǒng)中它們并不是如此的重要，在這些系統(tǒng)中更重要的事情都有錯。同樣地，攻擊者通常并不攻擊防火墻本身，除非防火墻上有眾所周知的弱點。實際上，他們將試圖突破通過防火墻可見的應(yīng)用程序，因為這些應(yīng)用程序通常是更容易的目標(biāo)。

如果執(zhí)行一個好的風(fēng)險分析，則標(biāo)識出您覺得是系統(tǒng)最薄弱的組件應(yīng)該非常容易。您應(yīng)該首先消除看起來好象是最嚴(yán)重的風(fēng)險，而不是看起來最容易減輕的風(fēng)險。一旦一些其它組件很明顯是更大的風(fēng)險時，您就應(yīng)該將精力集中到別的地方。

當(dāng)然，可以永遠(yuǎn)使用這一策略，因為安全性從來就不是一個保證。您需要某些停止點。根據(jù)您在軟件工程過程中定義的任何量度，在所有組件都似乎在可接受的風(fēng)險閾值以內(nèi)時，您應(yīng)該停下來。

原則 2：縱深防御

縱深防御背后的思想是：使用多重防御策略來管理風(fēng)險，以便在一層防御不夠時，在理想情況下，另一層防御將會阻止完全的破壞。即便是在安全性社區(qū)以外，這一原則也是眾所周知的；例如，這是編程語言設(shè)計的著名原則：

縱深防御：采取一系列防御，以便在一層防御不能抓住錯誤時，另一層防御將可能抓住它。

讓我們回到為銀行提供安全性的示例。為什么典型的銀行比典型的便利店更安全？因為有許多冗余的安全性措施保護(hù)銀行 ― 措施越多，它就越安全。單單安全攝像機(jī)通常就足以成為一種威懾。但如果攻擊者并不在乎這些攝像機(jī)，那么安全保衛(wèi)就將在那兒實際保護(hù)銀行。兩名安全保衛(wèi)甚至將提供更多的保護(hù)。但如果兩名保衛(wèi)都被蒙面匪徒槍殺，那么至少還有一層防彈玻璃以及電子門鎖來保護(hù)銀行出納員。如果強(qiáng)盜碰巧砸開了這些門或者猜出了 PIN，起碼強(qiáng)盜將只能容易搶劫現(xiàn)金出納機(jī)，因為我們有保險庫來保護(hù)余下部分。理想情況下，保險庫由幾個鎖保護(hù)，沒有兩個很少同時在銀行的人在場是不能被打開的。至于現(xiàn)金出納機(jī)，可以為其裝備使鈔票留下印記的噴色裝置。

當(dāng)然，配備所有這些安全性措施并不能確保銀行永遠(yuǎn)不會遭到成功的搶劫。即便在具備這么多安全性的銀行，也確實會發(fā)生銀行搶劫。然而，很清楚，所有這些防御措施加起來會形成一個比任何單一防御措施有效得多的安全性系統(tǒng)。

這好象同先前的原則有些矛盾，因為我們實質(zhì)上是在說：多重防御比最堅固的環(huán)節(jié)還要堅固。然而，這并不矛盾；“保護(hù)最薄弱環(huán)節(jié)”的原則適用于組件具有不重疊的安全性功能的時候。但當(dāng)涉及到冗余的安全性措施時，所提供的整體保護(hù)比任意單個組件提供的保護(hù)要強(qiáng)得多，確實是可能的。

一個好的現(xiàn)實示例是保護(hù)在企業(yè)系統(tǒng)不同服務(wù)器組件間傳遞的數(shù)據(jù)，其中縱深防御會非常有用，但卻很少應(yīng)用。大部分公司建立企業(yè)級的防火墻來阻止入侵者侵入。然后這些公司假定防火墻已經(jīng)足夠，并且讓其應(yīng)用程序服務(wù)器不受阻礙地同數(shù)據(jù)庫“交談”。如果數(shù)據(jù)非常重要，那么如果攻擊者設(shè)法穿透了防火墻會發(fā)生什么呢？如果對數(shù)據(jù)也進(jìn)行了加密，那么攻擊者在不破解加密，或者（更可能是）侵入存儲未加密形式的數(shù)據(jù)的服務(wù)器之一的情況下，將不能獲取數(shù)據(jù)。如果我們正好在應(yīng)用程序周圍建立另一道防火墻，我們就能夠保護(hù)我們免遭穿透了企業(yè)防火墻的人攻擊。那么他們就不得不在應(yīng)用程序網(wǎng)絡(luò)顯式輸出的一些服務(wù)中尋找缺陷；我們要緊緊掌握那些信息。

原則 3：保護(hù)故障

任何十分復(fù)雜的系統(tǒng)都會有故障方式。這是很難避免的?？梢员苊獾氖峭收嫌嘘P(guān)的安全性問題。問題是：許多系統(tǒng)以各種形式出現(xiàn)故障時，它們都?xì)w結(jié)為不安全行為。在這樣的系統(tǒng)中，攻擊者只需造成恰當(dāng)類型的故障，或者等待恰當(dāng)類型的故障發(fā)生。

我們聽說過的最好的現(xiàn)實示例是將現(xiàn)實世界同電子世界連接起來的示例 ― 信用卡認(rèn)證。諸如 Visa 和 MasterCard 這樣的大型信用卡公司在認(rèn)證技術(shù)上花費巨資以防止信用卡欺詐。最明顯地，無論您什么時候去商店購物，供應(yīng)商都會在連接到信用卡公司的設(shè)備上刷您的卡。信用卡公司檢查以確定該卡是否屬被盜。更令人驚訝的是，信用卡公司在您最近購物的環(huán)境下分析您的購物請求，并將該模式同您消費習(xí)慣的總體趨勢進(jìn)行比較。如果其引擎察覺到任何十分值得懷疑的情況，它就會拒絕這筆交易。

從安全性觀點來看，這一方案給人的印象十分深刻 ― 直到您注意到某些事情出錯時所發(fā)生的情況。如果信用卡的磁條被去磁會怎樣呢？供應(yīng)商會不得不說：“抱歉，因為磁條破了，您的卡無效?！眴?？不。信用卡公司還向供應(yīng)商提供了創(chuàng)建您卡的標(biāo)記的手工機(jī)器，供應(yīng)商可以將其送給信用卡公司以便結(jié)帳。如果您有一張偷來的卡，那么可能根本不會進(jìn)行認(rèn)證。店主甚至可能不會向您要您的 ID。

在手工系統(tǒng)中一直有某些安全性所示，但現(xiàn)在沒了。在計算機(jī)網(wǎng)絡(luò)出現(xiàn)以前，可能會要您的 ID 以確保該卡同您的駕駛證相匹配。另外需要注意的是，如果您的號碼出現(xiàn)在當(dāng)?shù)囟ㄆ诟碌膲目斜碇畠?nèi)，那么該卡將被沒收。而且供應(yīng)商還將可能核查您的簽名。電子系統(tǒng)一投入使用，這些技術(shù)實際上就再也不是必需的了。如果電子系統(tǒng)出現(xiàn)故障，那么在極少見的情況下，會重新使用這些技術(shù)。然而，實際不會使用這些技術(shù)。信用卡公司覺得：故障是信用卡系統(tǒng)中十分少見的情形，以致于不要求供應(yīng)商在發(fā)生故障時記住復(fù)雜的過程。

系統(tǒng)出現(xiàn)故障時，系統(tǒng)的行為沒有通常的行為安全。遺憾的是，系統(tǒng)故障很容易引起。例如，很容易通過將偷來的信用卡在一塊大的磁鐵上掃一下來毀壞其磁條。這么做，只要小偷將卡用于小額購買（大額購買經(jīng)常要求更好的驗證），他們就或多或少地生出了任意數(shù)目的金錢。從小偷的角度看，這一方案的優(yōu)點是：故障很少會導(dǎo)致他們被抓獲。有人可以長期用這種方法使用同一張卡，幾乎沒有什么風(fēng)險。

為什么信用卡公司使用這種愚蠢落后的方案呢？答案是：這些公司善于風(fēng)險管理。只要他們能夠不停地大把賺錢，他們就可以承受相當(dāng)大數(shù)量的欺詐。他們也知道阻止這種欺詐的成本是不值得的，因為實際發(fā)生的欺詐的數(shù)目相對較低。（包括成本和公關(guān)問題在內(nèi)的許多因素影響這一決定。）

大量的其它例子出現(xiàn)在數(shù)字世界。經(jīng)常因為需要支持不安全的舊版軟件而出現(xiàn)問題。例如，比方說，您軟件的原始版本十分“天真”，完全沒有使用加密。現(xiàn)在您想修正這一問題，但您已建立了廣大的用戶基礎(chǔ)。此外，您已部署了許多或許在長時間內(nèi)都不會升級的服務(wù)器。更新更聰明的客戶機(jī)和服務(wù)器需要同未使用新協(xié)議更新的較舊的客戶機(jī)進(jìn)行互操作。您希望強(qiáng)迫老用戶升級，但您尚未為此做準(zhǔn)備。沒有指望老用戶會占用戶基礎(chǔ)中如此大的一部分，以致于無論如何這將真的很麻煩。怎么辦呢？讓客戶機(jī)和服務(wù)器檢查它從對方收到的第一條消息，然后從中確定發(fā)生了什么事情。如果我們在同一段舊的軟件“交談”，那么我們就不執(zhí)行加密。

遺憾的是，老謀深算的黑客可以在數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)時，通過篡改數(shù)據(jù)來迫使兩臺新客戶機(jī)都認(rèn)為對方是舊客戶機(jī)。更糟的是，在有了支持完全（雙向）向后兼容性的同時仍無法消除該問題。

對這一問題的一種較好解決方案是從開始就采用強(qiáng)制升級方案進(jìn)行設(shè)計；使客戶機(jī)檢測到服務(wù)器不再支持它。如果客戶機(jī)可以安全地檢索到補(bǔ)丁，它就升級。否則，它告訴用戶他們必須手工獲得一個新的副本。很遺憾，重要的是從一開始就應(yīng)準(zhǔn)備使用這一解決方案，除非您不在乎得罪您的早期用戶。

遠(yuǎn)程方法調(diào)用（Remote Method invocation(RMI)）的大多數(shù)實現(xiàn)都有類似的問題。當(dāng)客戶機(jī)和服務(wù)器想通過 RMI 通信，但服務(wù)器想使用 SSL 或一些其它加密協(xié)議時，客戶機(jī)可能不支持服務(wù)器想用的協(xié)議。若是這樣，客戶機(jī)通常會在運行時從服務(wù)器下載適當(dāng)?shù)奶捉幼謱崿F(xiàn)。這形成了一個大的安全漏洞，因為下載加密接口時，還沒有對服務(wù)器進(jìn)行認(rèn)證。攻擊者可以假裝成服務(wù)器，在每臺客戶機(jī)上安裝他自己的套接字實現(xiàn)，即使是在客戶機(jī)已經(jīng)安裝了正確的 SSL 類的情況下。問題是：如果客戶機(jī)未能建立與缺省庫的安全連接（故障），它將使用一個不可信實體給它的任何協(xié)議建立連接，因此也就擴(kuò)展了信任范圍。原則 4：最小特權(quán)

最小特權(quán)原則規(guī)定：只授予執(zhí)行操作所必需的最少訪問權(quán)，并且對于該訪問權(quán)只準(zhǔn)許使用所需的最少時間。

當(dāng)您給出了對系統(tǒng)某些部分的訪問權(quán)時，一般會出現(xiàn)濫用與那個訪問權(quán)相關(guān)的特權(quán)的風(fēng)險。例如，我們假設(shè)您出去度假并把您家的鑰匙給了您的朋友，好讓他來喂養(yǎng)您的寵物、收集郵件等等。盡管您可能信任那位朋友，但總是存在這樣的可能：您的朋友未經(jīng)您同意就在您的房子里開派對或發(fā)生其它您不喜歡的事情。

不管您是否信任您的朋友，一般不必冒險給予其必要的訪問權(quán)以外的權(quán)利。例如，如果您沒養(yǎng)寵物，只需要一位朋友偶爾收取您的郵件，那么您應(yīng)當(dāng)只給他郵箱鑰匙。即使您的朋友可能找到濫用那個特權(quán)的好方法，但至少您不必?fù)?dān)心出現(xiàn)其它濫用的可能性。如果您不必要地給出了房門鑰匙，那么所有一切都可能發(fā)生。

同樣，如果您在度假時確實雇傭了一位房子看管人，那么您不可能在沒有度假時還讓他保留您的鑰匙。如果您這樣做了，那么您使自己陷入額外的風(fēng)險之中。只要當(dāng)您的房門鑰匙不受您的控制，就存在鑰匙被復(fù)制的風(fēng)險。如果有一把鑰匙不受您的控制，而且您不在家，那么就存在有人使用鑰匙進(jìn)入您房子的風(fēng)險。當(dāng)有人拿了您的鑰匙，而您又沒有留意他們，那么任何這樣的一段時間都會構(gòu)成一個時間漏洞，在此段時間內(nèi)您就很容易受到攻擊。為了將您的風(fēng)險降到最低，您要使這段易受攻擊的時間漏洞盡可能的短。

現(xiàn)實生活中的另一個好的示例是美國政府的忠誠調(diào)查系統(tǒng) ―“需要知道”政策。即使您有權(quán)查看任何機(jī)密文檔，您仍不能看到您知道其存在的 任何機(jī)密文檔。如果可以的話，就很容易濫用該忠誠調(diào)查級別。實際上，人們只被允許訪問與那些交給他們的任務(wù)相關(guān)的文檔。

UNIX 系統(tǒng)中出現(xiàn)過一些違反最小特權(quán)原則的最著名情況。例如，在 UNIX 系統(tǒng)上，您一般需要 root 特權(quán)才能在小于 1024 的端口號上運行服務(wù)。所以，要在端口 25（傳統(tǒng)的 SMTP 端口）上運行郵件服務(wù)器，程序需要 root 用戶的特權(quán)。不過，一旦程序在端口 25 上運行了，就沒有強(qiáng)制性要求再對它使用 root 特權(quán)了。具有安全性意識的程序會放棄 root 特權(quán)并讓操作系統(tǒng)知道它不應(yīng)再需要那些特權(quán)（至少在程序下一次運行之前）。某些電子郵件服務(wù)器中存在的一個大問題是它們在獲取郵件端口之后沒有放棄它們的 root 權(quán)限（Sendmail 是個經(jīng)典示例）。因此，如果有人找到某種方法來欺騙這樣一個郵件服務(wù)器去完成某些惡意任務(wù)時，它會成功。例如，如果一位懷有惡意的攻擊者要在 Sendmail 中找到合適的棧溢出，則那個溢出可以用來欺騙程序去運行任意代碼。因為 Sendmail 在 root 權(quán)限之下運行，所以攻擊者進(jìn)行的任何有效嘗試都會成功。

另一種常見情況是：一位程序員可能希望訪問某種數(shù)據(jù)對象，但只需要從該對象上進(jìn)行讀。不過，不管出于什么原因，通常該程序員實際需要的不僅是必需的特權(quán)。通常，該程序員是在試圖使編程更容易一些。例如，他可能在想，“有一天，我可能需要寫這個對象，而我又討厭回過頭來更改這個請求?！?/p>

不安全的缺省值在這里可能還會導(dǎo)致破壞。例如，在 Windows API 中有幾個用于訪問對象的調(diào)用，如果您將“0”作為參數(shù)傳遞，那么這些調(diào)用授予所有的訪問。為了更有限制地進(jìn)行訪問，您需要傳遞一串標(biāo)志（進(jìn)行“OR”操作）。只要缺省值有效，許多程序員就會堅持只使用它，因為那樣做最簡單。

對于受限環(huán)境中運行的產(chǎn)品的安全性政策，這個問題開始成為其中的常見問題。例如，有些供應(yīng)商提供作為 Java applet 運行的應(yīng)用程序。applet 構(gòu)成移動代碼，Web 瀏覽器會對此代碼存有戒心。這樣的代碼運行在沙箱中，applet 的行為根據(jù)用戶同意的安全性政策受到限制。在這里供應(yīng)商幾乎不會實踐最小特權(quán)原則，因為他們那方面要花太多的精力。要實現(xiàn)大體意思為“讓供應(yīng)商的代碼完成所有的任務(wù)”的策略相對要容易得多。人們通常采用供應(yīng)商提供的安全性策略，可能是因為他們信任供應(yīng)商，或者可能因為要確定什么樣的安全性策略能最佳地使必須給予供應(yīng)商應(yīng)用程序的特權(quán)最小化，實在是一場大爭論。原則 5：分隔

如果您的訪問權(quán)結(jié)構(gòu)不是“完全訪問或根本不準(zhǔn)訪問”，那么最小特權(quán)原則會非常有效。讓我們假設(shè)您在度假，而你需要一位寵物看管人。您希望看管人只能進(jìn)出您的車庫（您不在時將寵物留在那里）但是如果您的車庫沒有一把單獨的鎖，那么您別無選擇而只能讓看管人進(jìn)出整幢房子。

分隔背后的基本思想是如果我們將系統(tǒng)分成盡可能多的獨立單元，那么我們可以將對系統(tǒng)可能造成損害的量降到最低。當(dāng)將潛水艇構(gòu)造成擁有許多不同的船艙，每個船艙都是獨立密封，就應(yīng)用了同樣原則；如果船體裂開了一個口子而導(dǎo)致一個船艙中充滿了水，其它船艙不受影響。船只的其余部分可以保持其完整性，人們就可以逃往潛水艇未進(jìn)水的部分而幸免于難。

分隔原則的另一個常見示例是監(jiān)獄，那里大批罪犯集中在一起的能力降到了最低。囚犯們不是居住在營房中，而是在單人或雙人牢房里。即使他們聚集在一起 ― 假定，在食堂里，也可以加強(qiáng)其它安全性措施來協(xié)助控制人員大量增加帶來的風(fēng)險。

在計算機(jī)世界里，要舉出糟糕分隔的示例比找出合理分隔容易得多。怎樣才能不分隔的經(jīng)典示例是標(biāo)準(zhǔn) UNIX 特權(quán)模型，其中安全性是關(guān)鍵的操作是以“完全訪問或根本不準(zhǔn)訪問”為基礎(chǔ)的。如果您擁有 root 特權(quán)，那么您基本上可以執(zhí)行您想要的任何操作。如果您沒有 root 訪問權(quán)，那么就會受到限制。例如，您在沒有 root 訪問權(quán)時不能綁定到 1024 以下的端口。同樣，您不能直接訪問許多操作系統(tǒng)資源 ― 例如，您必須通過一個設(shè)備驅(qū)動程序?qū)懘疟P；您不能直接處理它。

通常，如果攻擊者利用了您代碼中的緩沖區(qū)溢出，那人就可以對磁盤進(jìn)行原始寫并胡亂修改內(nèi)核所在內(nèi)存中的任何數(shù)據(jù)。沒有保護(hù)機(jī)制能阻止他這樣做。因此，您不能直接支持您本地磁盤上永遠(yuǎn)不能被擦去的日志文件，這意味著直到攻擊者闖入時，您才不能保持精確的審計信息。不管驅(qū)動程序?qū)Φ讓釉O(shè)備的訪問協(xié)調(diào)得多么好，攻擊者總能夠避開您安裝的任何驅(qū)動程序。

在大多數(shù)平臺上，您不能只保護(hù)操作系統(tǒng)的一部分而不管其它部分。如果一部分不安全，那么整個系統(tǒng)都不安全。有幾個操作系統(tǒng)（諸如 Trusted Solaris）確實做了分隔。在這樣的情況中，操作系統(tǒng)功能被分解成一組角色。角色映射到系統(tǒng)中需要提供特殊功能的實體上。一個角色可能是 LogWriter 角色，它會映射到需要保存安全日志的任何客戶機(jī)上。這個角色與一組特權(quán)相關(guān)聯(lián)。例如，LogWriter 擁有附加到它自己的日志文件的權(quán)限，但決不可以從任何日志文件上進(jìn)行擦除?？赡苤挥幸粋€特殊的實用程序獲得對 LogManager 角色的訪問，它就擁有對所有日志的完全訪問權(quán)。標(biāo)準(zhǔn)程序沒有對這個角色的訪問權(quán)。即使您破解了一個程序并在操作系統(tǒng)終止這個程序，您也不能胡亂修改日志文件，除非您碰巧還破解了日志管理程序。這種“可信的”操作系統(tǒng)并不是非常普遍，很大一部分是因為這種功能實現(xiàn)起來很困難。象在操作系統(tǒng)內(nèi)部處理內(nèi)存保護(hù)這樣的問題給我們提出了挑戰(zhàn)，這些挑戰(zhàn)是有解決方案的，但得出解決的結(jié)果并不容易。

分隔的使用必須適度，許多其它原則也是如此。如果您對每一個功能都進(jìn)行分隔，那么您的系統(tǒng)將很難管理。原則 6：簡單性

在許多領(lǐng)域，您可能聽到 KISS 咒語——“簡單些，蠢貨！”與其它場合一樣，這同樣適用于安全性。復(fù)雜性增加了問題的風(fēng)險；這似乎在任何系統(tǒng)中都不可避免。

很明顯，您的設(shè)計和實現(xiàn)應(yīng)該盡可能地簡單。復(fù)雜的設(shè)計不容易理解，因此更有可能產(chǎn)生將被忽略的拖延問題。復(fù)雜的代碼往往是難以分析和維護(hù)的。它還往往有更多錯誤。我們認(rèn)為任何人都不會對此大驚小怪。

類似地，只要您所考慮的組件是質(zhì)量良好的，就應(yīng)該考慮盡可能重用組件。特定組件被成功使用的次數(shù)越多，您就更應(yīng)該避免重寫它。對于密碼庫，這種考慮尤其適用。當(dāng)存在幾個廣泛使用的庫時，您為什么想重新實現(xiàn) AES 或 SHA-1 呢？那些庫可能比您在房間里裝配起來的東西更為健壯。經(jīng)驗構(gòu)筑了保證，特別當(dāng)那些經(jīng)驗是成功的經(jīng)驗時。當(dāng)然，即使在廣泛使用的組件中，也總是有出現(xiàn)問題的可能性。然而，假設(shè)在已知數(shù)量中涉及的風(fēng)險較少是合理的。原則 7：提升隱私

用戶通常認(rèn)為隱私是安全性問題。您不應(yīng)該做任何可能泄露用戶隱私的事情。并且在保護(hù)用戶給您的任何個人信息方面，您應(yīng)該盡可能地認(rèn)真。您可能聽說過惡意的黑客能夠從 Web 訪問整個客戶數(shù)據(jù)庫。還經(jīng)常聽說攻擊者能夠截獲其它用戶的購物會話，并因此獲得對私有信息的訪問。您應(yīng)該竭盡所能避免陷入這種窘境；如果客戶認(rèn)為您不善處理隱私問題，則您可能很快失去他們的尊重。原則 8：難以隱藏秘密

安全性通常是有關(guān)保守秘密的。用戶不想讓其個人數(shù)據(jù)泄漏出去，所以您必需加密密鑰以避免竊聽或篡改。您還要保護(hù)您的絕秘算法免遭競爭者破壞。這些類型的需求很重要，但是與一般用戶猜疑相比較，很難滿足這些需求。

很多人以為用二進(jìn)制表示的秘密也許能保守秘密，因為要抽取它們太困難了。的確，二進(jìn)制是復(fù)雜的，但要對“秘密”保密實在是太困難了。一個問題就是某些人實際上相當(dāng)擅長對二進(jìn)制進(jìn)行逆向工程 ― 即，將它們拆開，并斷定它們是做什么的。這就是軟件復(fù)制保護(hù)方案越來越不適用的原因。熟練的黑客通常可以避開公司嘗試硬編碼到其軟件中的任何保護(hù)，然后發(fā)行“破譯的”副本。很長時間以來，使用的技術(shù)越來越多；供應(yīng)商為阻止人們發(fā)現(xiàn)“解鎖”軟件的秘密所投入的精力越多，軟件破解者在破解軟件上花的力氣也越多。在極大程度上，都是破解者達(dá)到目的。人們已經(jīng)知道有趣的軟件會在正式發(fā)布之日被破解 ― 有時候會更早。

如果軟件都在您自己網(wǎng)絡(luò)的服務(wù)器端運行，您可能會判定您的秘密是安全的。實際上，它比隱藏秘密難得多。如果您可以避免它，就不應(yīng)該信任您自己的網(wǎng)絡(luò)。如果一些不曾預(yù)料到的缺點允許入侵者竊取您的軟件將會怎么樣呢？這是就在他們發(fā)行第一版 Quake 之前發(fā)生在 Id 軟件上的事情。

即使您的網(wǎng)絡(luò)很安全，但您的問題可能是在內(nèi)部。一些研究表明對公司最常見的威脅就是“內(nèi)部人員”攻擊，其中，心懷不滿的雇員濫用訪問權(quán)。有時候雇員并不是不滿；或許他只是把工作帶到家里做，朋友在那里竊聽到他不應(yīng)該知道的東西。除此之外，許多公司無法防止心懷惡意的看門人竊取其仔細(xì)看守的軟件。如果有人想要通過非法手段獲取您的軟件，他們或許會成功。當(dāng)我們向人們指出內(nèi)部攻擊的可能性時，他們常?；卮穑骸斑@不會發(fā)生在我們身上；我們相信我們的員工?！比绻南敕ㄒ彩沁@樣，那么您應(yīng)該謹(jǐn)慎一點。與我們對話的 90% 的人說的都一樣，然而大多數(shù)攻擊都是內(nèi)部人員干的。這里有一個極大的差距；大多數(shù)認(rèn)為可以相信其員工的那些人肯定是錯的。請記住，員工可能喜歡您的環(huán)境，但歸根結(jié)底，大多數(shù)員工與您的公司都有一種業(yè)務(wù)關(guān)系，而不是個人關(guān)系。這里的寓意就是多想想也是值得的。

有時，人們甚至不需要對軟件進(jìn)行逆向工程，就可以破譯它的秘密。只要觀察正在運行的軟件，就常常可以發(fā)現(xiàn)這些秘密。例如，我們（John Viega 和 Tim Hollebeek）曾經(jīng)僅僅通過用一系列選擇的輸入來觀察其行為，就破解了 Netscape 電子郵件客戶機(jī)中的一個簡單密碼算法。（這太容易做到了，所以我們說：“我們不用鉛筆和紙來做這件事。我們的許多筆記都用鋼筆寫。我們不需要擦除更多東西?！保┳罱珽Trade遭受了類似下場，當(dāng)您在 Web 上登錄時，任何人都可以看到您的用戶名和密碼。

相信二進(jìn)制（就此而言，或者是任何其它形式的模糊）為您保守秘密的實踐被親切地稱作“含糊的安全性（security by obscurity）”。只要有可能，您都應(yīng)該避免將它用作您唯一的防御線。這并不意味著含糊的安全性沒有用武之地。明確地拒絕對源代碼的訪問會稍微對攻擊者產(chǎn)生一些障礙。模糊代碼以產(chǎn)生一個模糊的二進(jìn)制甚至?xí)懈髱椭＿@些技術(shù)要求潛在的攻擊者擁有比在他們需要實際破壞您系統(tǒng)時更多的技巧，這通常是一件好事。相反，大多數(shù)以這種方法保護(hù)的系統(tǒng)無法執(zhí)行一次足夠的安全性審查；有一些事情是公開的，它允許您從用戶那里獲得免費的安全性忠告。

原則 9：不要輕易擴(kuò)展信任 如果人們知道不能相信最終用戶所控制的客戶機(jī)，那么他們可能常常會意識到他們的秘密正處于危險中，因為不能相信最終用戶會按照他們期望的那樣使用客戶機(jī)。我們還強(qiáng)烈要求您勉強(qiáng)相信您自己的服務(wù)器，以防止數(shù)據(jù)竊取，這種猶豫應(yīng)該滲透到安全性過程的各個方面。

例如，雖然現(xiàn)成的軟件的確可以幫助您簡化您的設(shè)計和實現(xiàn)，但您怎么知道相信現(xiàn)成組件是安全的呢？您真的認(rèn)為開發(fā)人員就是安全性方面的專家嗎？即使他們是，您期望他們確實可靠嗎？許多有安全性漏洞的產(chǎn)品都來自安全性供應(yīng)商。許多從事安全性業(yè)務(wù)的人實際上并不太了解有關(guān)編寫安全代碼方面的知識。

通常很容易擴(kuò)展信任的另一個地方是客戶支持。毫無戒心的客戶支持代理（他們有相信的傾向）非常容易遭到社會工程攻擊，因為它會使他們的工作變得更加容易。

您還應(yīng)該注意一下“隨大流”。僅僅因為一個特殊的安全性功能是標(biāo)準(zhǔn)的并不意味著您應(yīng)該提供同樣低級的保護(hù)。例如，我們曾經(jīng)常聽到人們選擇不加密敏感數(shù)據(jù)，僅僅是因為他們的競爭對手沒有對數(shù)據(jù)進(jìn)行加密。當(dāng)客戶遭到攻擊，于是責(zé)備某人疏忽安全性時，這就不是充足的理由。

您也不應(yīng)該相信安全性供應(yīng)商。為了出售他們的產(chǎn)品，他們常常散布可疑的或完全錯誤的信息。通常，這種“蛇油”傳播者通過散布 FUD—— 害怕、不確定和懷疑進(jìn)行工作。許多常見的警告標(biāo)記可以幫助您發(fā)覺騙子。其中我們最喜歡的一個就是用于秘鑰加密算法的“百萬位密鑰”廣告。數(shù)學(xué)告訴我們，對于整個宇宙生命周期，256 位很可能足以保護(hù)消息 ― 假設(shè)該算法是高質(zhì)量的。做了較多廣告的人對密碼術(shù)知道得太少而無法出售安全性產(chǎn)品。在完成購物之前，請一定要進(jìn)行研究。最好從“Snake Oil”FAQ開始。

您還應(yīng)該勉強(qiáng)相信您自己和您的組織。當(dāng)涉及您自己的主意和您自己的代碼時很容易目光短淺。盡管您可能喜歡完美，但您應(yīng)該容許不完美，并且對正在做的事情定期獲取高質(zhì)量的、客觀的外部觀點。

要記住的最后一點是信任是可轉(zhuǎn)移的。一旦您信任某個實體，就會暗中將它擴(kuò)展給該實體可能信任的任何人。出于這個原因，可信的程序決不應(yīng)該調(diào)用不可信的程序。當(dāng)確定要信任哪些程序時，也應(yīng)該十分小心；程序可能已經(jīng)隱藏了您不想要的功能。例如，在 90 年代早期，我們有一個具有極受限制的、菜單驅(qū)動功能的 UNIX 帳戶。當(dāng)您登錄時從菜單開始，并且只能執(zhí)行一些簡單操作，如讀寫郵件和新聞。菜單程序信任郵件程序。當(dāng)用戶編寫郵件時，郵件程序?qū)⒄{(diào)出到一個外部編輯器（在這種情況下，是“vi”編輯器）。當(dāng)編寫郵件時，用戶可以做一些 vi 戲法來運行任意命令。當(dāng)它關(guān)閉時，很容易利用對 vi 編輯器的這種隱含的、間接的信任完全擺脫菜單系統(tǒng)，而支持正規(guī)的舊的不受限的命令行 shell。

原則 10：信任公眾

雖然盲目隨大流不是一個好主意，但從數(shù)字上講還是有一點實力。無失敗地重復(fù)使用會增進(jìn)信任。公眾的監(jiān)督也可增進(jìn)信任。（這是應(yīng)用這個原則的唯一時機(jī)；其它情況下，原則 9 是正確應(yīng)用的一個原則，您應(yīng)該忽略這個原則。）

例如，在密碼術(shù)中，信任公眾不知道的且未受廣泛監(jiān)督的任何算法被認(rèn)為是一個壞想法。大多數(shù)密碼算法在安全性方面都沒有真正可靠的數(shù)學(xué)證明；僅當(dāng)一群聰明人花大量時間來嘗試破解它們并且都沒有實質(zhì)性進(jìn)展時才信任它們。

許多人發(fā)現(xiàn)編寫他們自己的密碼算法很有吸引力，希望如果這些算法不牢靠，含糊的安全性將用作安全網(wǎng)絡(luò)。重申一遍，這種希望將破滅（例如，前面提到的 Netscape 和 E*Trade 破壞）。爭論結(jié)果通常是，秘密算法比公眾知道的算法好。我們已經(jīng)討論了您應(yīng)該如何期望您的算法秘密不會保持太久。例如，RC4 加密算法應(yīng)該是 RSA Data Security 的商業(yè)秘密。然而，在其引入后不久，它被進(jìn)行逆向工程并在因特網(wǎng)上以匿名方式張?zhí)鰜怼?/p>

事實上，加密者設(shè)計他們的算法，使算法知識對安全性無關(guān)緊要。好的密碼算法能起作用是因為您保守了一個稱為“密鑰”的小秘密，而不是因為算法是秘密的。即，您需要唯一保守秘密的東西就是密鑰。如果您可以做到這一點，并且算法真的很好（且密鑰足夠長），那么即使是非常熟悉該算法的攻擊者也無法攻擊您。

同樣，最好信任已被廣泛使用并且被廣泛監(jiān)督的安全性庫。當(dāng)然，它們可能包含尚未被發(fā)現(xiàn)的錯誤 ― 但至少您可以利用其他人的經(jīng)驗。

僅當(dāng)您有理由相信公眾正在盡力提升您要使用的組件的安全性時，才應(yīng)用這個原則。一個常見的誤解是相信“開放源碼”軟件極有可能是安全的，因為源代碼可用性將導(dǎo)致人們執(zhí)行安全性審計。有一些強(qiáng)有力的證據(jù)表明：源代碼可用性沒有為人們審閱源代碼提供強(qiáng)大的動機(jī)，即使許多人愿意相信那個動機(jī)存在。例如，多年來，廣泛使用、自由軟件程序中的許多安全性錯誤沒有引起人們注意。對于最流行的 FTP 服務(wù)器（WU-FTPD），有幾個安全性錯誤被忽視已有十多年！

第五篇：煤炭企業(yè)本質(zhì)安全建設(shè)模型研究

煤炭企業(yè)本質(zhì)安全建設(shè)模型研究

本質(zhì)安全源于按GB3836.1-2000標(biāo)準(zhǔn)生產(chǎn)，專供煤礦井下使用的防爆電器設(shè)備的分類，防爆電器分為隔爆型、增安型、本質(zhì)安全型等種類，本質(zhì)安全型電器設(shè)備的特征是其全部電路均為本質(zhì)安全電路，即在正常工作或規(guī)定的故障狀態(tài)下產(chǎn)生的電火花和熱效應(yīng)均不能點燃規(guī)定的爆炸性混合物的電路。也就是說該類電器不是靠外殼防爆和充填物防爆，而是其電路在正常使用或出現(xiàn)故障時產(chǎn)生的電火花或熱效應(yīng)的能量小于0.28mJ,即瓦斯?jié)舛葹?.5（最易爆炸的濃度）最小點燃能量。

本質(zhì)安全型企業(yè)指在存在安全隱患的環(huán)境條件下能夠依靠內(nèi)部系統(tǒng)和組織保證長效安全生產(chǎn)。該模型建立在對事故致因理論研究的基礎(chǔ)上，建立科學(xué)的、系統(tǒng)的、主動的、超前的、全面的事故預(yù)防安全工程體系。

事故是由于客觀上某些不安全因素存在，隨時間進(jìn)程產(chǎn)生某些意外情況時出現(xiàn)的一種現(xiàn)象（事件），具體表現(xiàn)為人的正?；顒訒和；蛴谰猛Ｖ梗⒖赡茉斐扇松韨龊拓敭a(chǎn)損失。事故的產(chǎn)生是由于存在于生產(chǎn)、生活或生存系統(tǒng)中潛在的人、物、環(huán)境的不安全因素的相互作用發(fā)展再由于管理中人的失誤——人與環(huán)境的非正常接觸、使系統(tǒng)中能量失控，發(fā)生了能量異常轉(zhuǎn)移，而造成人、物、環(huán)境的損失。

事故的特征來源于人們對事故的認(rèn)識，主要表現(xiàn)在事故具有因果性、偶然性、必然性、規(guī)律性、潛在性、再現(xiàn)性和可預(yù)測性。事故與一切事件事物一樣，有其發(fā)生、發(fā)展和消除過程。事故是人、物、環(huán)境、管理等諸因素的多元函數(shù)。研究

事故的理論隨著人們的認(rèn)識主要發(fā)展有事故致因理論、多米諾骨牌理論、系統(tǒng)理論、軌跡交叉理論等。

2.理論基礎(chǔ)

H.W.Heinrich事故法則提出；死亡︰重傷︰輕傷︰無傷事故的發(fā)生概率比例為1︰29︰300。有人統(tǒng)計煤礦頂板事故的規(guī)律，死亡︰重傷︰輕傷︰無傷為1︰12︰200︰400。因此，防止事故的關(guān)鍵在于從控制事故前期即消除隱患。

事故致因理論認(rèn)為：事故發(fā)生的原因是多方面的，但主要包括四個方面，1）環(huán)境的不安全條件2）物（機(jī)）的不安全狀態(tài)3）人的不安全行為4）管理的缺陷

企業(yè)文化理論認(rèn)為：企業(yè)文化是企業(yè)長久發(fā)展的平臺，企業(yè)安全文化是企業(yè)安全管理的靈魂，它有別于管理的剛性，是企業(yè)安全的“土壤”。職工的安全價值觀和安全行為準(zhǔn)則的總和構(gòu)成了安全文化，它具有導(dǎo)向功能、調(diào)節(jié)功能、凝聚功能、規(guī)范功能、激勵功能、穩(wěn)定功能。

3企業(yè)本質(zhì)安全化結(jié)構(gòu)模型

建立在以上理論分析的基礎(chǔ)上，按照事故“可能預(yù)防原則、偶然損失原則、因果繼承原則”，提出煤炭企業(yè)本質(zhì)安全化結(jié)構(gòu)模型。方形模塊框代表其執(zhí)行必須具有鋼性、強(qiáng)制性且有局限性，圓形框代表具有彈性、無限性。框的包含表示功能的彌補(bǔ)和強(qiáng)化。

3.1設(shè)備和機(jī)具本質(zhì)安全化

即選用的設(shè)備既要考慮其生產(chǎn)效率，又要考慮安全可靠性?？梢远x為“剃須刀”理論，傳統(tǒng)的剃須刀刀鋒暴露，需有具備一定經(jīng)驗的理發(fā)師操作，極易劃破臉部，后來在刀片兩邊安裝上夾具，操作變得簡單，對人的傷害程度受到限制，但稍不注意仍有造成傷害的可能，現(xiàn)在的電動剃須刀，刀片外加上細(xì)致結(jié)實有彈性的安全網(wǎng)，刀片與皮膚之間有隔層，很難劃破皮膚，既是“傻瓜型”又是本質(zhì)安全型。如果職工使用的設(shè)備和工具都具有這種性能，就可以彌補(bǔ)人的失誤而造成的事故。

3.2作業(yè)環(huán)境的本質(zhì)安全化

即生產(chǎn)場所設(shè)計確保職工的安全，在空間、氣候等創(chuàng)造舒適安全的環(huán)境。可以描述為“橋”理論，過獨木橋人很容易掉下去，全憑技巧和膽量、運氣，如果是現(xiàn)在的橋面寬闊、護(hù)攔高大的鋼鐵大橋，行人不必小心翼翼，不論是跑還是跳也不會掉下去。

3.3人員的本質(zhì)安全化

要求操作者有較好的心理、生理、技術(shù)素質(zhì)，即有想（具有強(qiáng)烈的安全意識）、會（安全技能 專業(yè)崗位知識）、能（能遵守制度 能創(chuàng)造安全環(huán)境 能正確操作設(shè)備），要加強(qiáng)培訓(xùn)和思想法治教育，提高職工素質(zhì)。近年來，隨著科技的發(fā)展、設(shè)備的可靠性不斷提高，運行環(huán)境的較大改善，人的失誤引起的傷亡事故所占比例呈上升趨勢，如航空事故，60年代大約20的事故歸結(jié)于人的失誤，90年代達(dá)90。所以提高機(jī)械化程度，減少人的參與也可彌補(bǔ)人的不可靠性。

3.4生產(chǎn)管理的本質(zhì)安全化

是控制事故的決定性和起主導(dǎo)作用的關(guān)鍵措施，就目前而言，設(shè)備和機(jī)具的本質(zhì)安全化受科技、經(jīng)濟(jì)等諸多因素制約，本質(zhì)安全化程度和發(fā)展在各行業(yè)、不同企業(yè)不均衡；作業(yè)環(huán)境的本質(zhì)安全化受成本、觀念等因素的影響變數(shù)很大；人的本質(zhì)安全化受職工的文化程度、技術(shù)等影響較大，不同企業(yè)更不相同。實現(xiàn)企業(yè)本質(zhì)安全化，依靠管理的科學(xué)化可彌補(bǔ)以上要素的不足。傳統(tǒng)的安全管理的特

點是具有強(qiáng)制性、被動性、事后性、經(jīng)驗性；現(xiàn)代的安全管理運用系統(tǒng)工程的原理和方法，注重全面、系統(tǒng)、超前和過程控制。從危險源辯識入手，通過系統(tǒng)的分析、預(yù)測、評價，采取相應(yīng)措施，消除或控制危險因素，是系統(tǒng)達(dá)到最佳安全程度。把戴明循環(huán)管理法即PDCA循環(huán)法應(yīng)用于企業(yè)安全管理，即是近年來不斷成熟的職業(yè)安全衛(wèi)生管理體系的核心，讓企業(yè)安全生產(chǎn)的每一個過程、每一個環(huán)節(jié)均留下管理的“痕跡”，注重過程控制，實現(xiàn)管理無缺陷。實踐證明，國有大中型企業(yè)的安全事故幾乎都是管理因素造成的。

3.5企業(yè)安全文化

安全管理的發(fā)展經(jīng)過人管人、制度管人、文化育人三個階段，安全文化是安全管理的升華和最高層次，是理性的、系統(tǒng)安全管理的基礎(chǔ)，是一個深層次的人因工程，充分體現(xiàn)了以人為本的現(xiàn)代管理理念。

依靠安全文化的潛移默化作用，提高全體員工的安全意識和素質(zhì)，體現(xiàn)“我要安全、我會安全、我能安全”，使職工自覺規(guī)范自己的安全行為，維護(hù)企業(yè)的安全形象。

4實踐應(yīng)用

徐州礦務(wù)集團(tuán)公司2002年提出創(chuàng)建本質(zhì)安全型企業(yè)的目標(biāo)，并在旗山煤礦開始試點。該礦年產(chǎn)量180萬噸，90年代曾發(fā)生過兩起重大事故。為全面扭轉(zhuǎn)安全被動局面，建立長效安全機(jī)制，在對礦井全面評估的基礎(chǔ)上，開始實施創(chuàng)建本質(zhì)安全型企業(yè)。按照結(jié)構(gòu)模型，分五大模塊組織。

4.1加大安全設(shè)備投入和科技創(chuàng)新，提高設(shè)備和機(jī)械的安全可靠程度

成立技術(shù)專家組和攻關(guān)小組，系統(tǒng)地評價關(guān)鍵工序裝備、關(guān)鍵工藝水平，運用系統(tǒng)的方法，實行分步實施。采煤工藝提高機(jī)械化程度，機(jī)械化產(chǎn)量由75提

高到97，頂板事故降低到0，在總產(chǎn)量不減的情況下，減少一個工作面，人員減少200余人。掘進(jìn)工藝改革以煤巷錨桿技術(shù)為主線，鋼支架投入大而且工人勞動強(qiáng)度大，使用效果也不好，新技術(shù)新裝備配套完成后，掘進(jìn)效率、工具可靠性、支護(hù)強(qiáng)度等方面大大增強(qiáng)。在生產(chǎn)大系統(tǒng)上重點實現(xiàn)自動控制，主副井提升、主皮帶運輸系統(tǒng)實現(xiàn)了PLC編程控制，主要關(guān)鍵部位實現(xiàn)多重保護(hù)和遠(yuǎn)程可視化監(jiān)控，同時建立了安全監(jiān)測系統(tǒng)。

4.2以工程質(zhì)量標(biāo)準(zhǔn)化和環(huán)境文明創(chuàng)建提升作業(yè)環(huán)境的本質(zhì)安全

煤礦井下以環(huán)境差，缺少安全感讓人感到下井危險，旗山煤礦以礦井質(zhì)量標(biāo)準(zhǔn)化建設(shè)為突破口，推行工程質(zhì)量永久負(fù)責(zé)制，工程質(zhì)量與工資掛鉤。建立樣板化頭（面），從靜態(tài)達(dá)標(biāo)發(fā)展到動態(tài)達(dá)標(biāo)，每月制訂規(guī)劃，每周動態(tài)抽查兩次，工程質(zhì)量的標(biāo)準(zhǔn)化又要求職工操作的規(guī)范化、標(biāo)準(zhǔn)化。工作環(huán)境的臟、亂、差不僅體現(xiàn)職工的文明程度，而且可能埋下安全隱患。開展設(shè)備擺放、材料上架、線路吊掛等環(huán)境標(biāo)準(zhǔn)化，積極為職工創(chuàng)造安全的工作環(huán)境。如斜巷運輸事故是煤礦多發(fā)性事故，軌道安裝質(zhì)量和“走鉤走人”是造成事故比較集中的原因，按標(biāo)準(zhǔn)安裝軌道和道岔杜絕礦車掉道，安裝各類閉鎖保護(hù)裝置防止放大滑，安裝人行車減輕職工體力。

4.3注重職工培訓(xùn)的方式多樣性和效果可溯性，提高職工的綜合素質(zhì)

建立多層次安全教育體系，專業(yè)工種送省級培訓(xùn)中心專業(yè)培訓(xùn)，一般工種礦培訓(xùn)中心培訓(xùn)，確保每一位職工必須持證上崗。抓好班前十分鐘、每周安全活動、月度安全大課等日常安全教育，并進(jìn)行動態(tài)隨機(jī)抽考，提高實效。建立職工安全電子檔案，年初設(shè)定分值，違章依據(jù)輕重扣分，安全知識掌握不好扣分，扣完不允許上崗，重新學(xué)習(xí)培訓(xùn)。同時對專業(yè)工種技術(shù)性崗位職工開展拜師學(xué)技，選樹

專業(yè)工種帶頭人，技術(shù)高低與崗位工資掛鉤，提高職工的技術(shù)素質(zhì)、安全基本技能和安全意識。保證職工能分析判斷危險源、會消除危險源，能保護(hù)自己也會保護(hù)別人，變“要我安全”為“我要安全、我會安全、我能安全”。實現(xiàn)人的本質(zhì)安全。

4.4科學(xué)管理，提高制度的執(zhí)行力，實現(xiàn)安全管理無缺陷

開展ISO9000質(zhì)量認(rèn)證和OHSAS18000職業(yè)健康安全體系認(rèn)證，首先完善各類管理制度并定期進(jìn)行管理評審，保證制度無漏洞、具有可操作性。其次，提高制度的執(zhí)行力，顯現(xiàn)制度執(zhí)行的剛性，通過考核體現(xiàn)管理者的管理能力和態(tài)度。建立“以責(zé)任為中心”的管理模塊，推行層次管理，形成“事事有人管、有落實、有考核，人人有事干、有責(zé)任、有監(jiān)督”的全方位的安全管理體系，實行PDCA的閉合控制。

建立安全管理激勵機(jī)制，按照層次和責(zé)任實行安全滾動風(fēng)險抵押金、管理績效考核抵押金，質(zhì)量標(biāo)準(zhǔn)化考核獎勵辦法等全方位獎罰體系。

4.5企業(yè)安全文化是煤礦建立長效安全機(jī)制的土壤

旗山煤礦在注重制度建設(shè)和本質(zhì)安全型礦井建設(shè)的過程中，把企業(yè)安全文化建設(shè)作為管理深層次的關(guān)鍵來抓，凸現(xiàn)“管理再嚴(yán)也不過分、誰抓安全都不越權(quán)”的安全管理理念，以及“出手就干標(biāo)準(zhǔn)活“的工作理念等等。讓全體干部職工形成共同的安全理念和價值觀，提高了制度的執(zhí)行力，減少了工作阻力，大大提高了旗山煤礦安全工作的效率。