第一篇：信息安全-深入分析比較八個(gè)信息安全模型

深入分析比較八個(gè)信息安全模型

信息安全體系結(jié)構(gòu)的設(shè)計(jì)并沒有嚴(yán)格統(tǒng)一的標(biāo)準(zhǔn)，不同領(lǐng)域不同時(shí)期，人們對信息安全的認(rèn)識(shí)都不盡相同，對解決信息安全問題的側(cè)重也有所差別。早期人們對信息安全體系的關(guān)注焦點(diǎn)，即以防護(hù)技術(shù)為主的靜態(tài)的信息安全體系。隨著人們對信息安全認(rèn)識(shí)的深入，其動(dòng)態(tài)性和過程性的發(fā)展要求愈顯重要。

國際標(biāo)準(zhǔn)化組織（ISO）于1989年對OSI開放系統(tǒng)互聯(lián)環(huán)境的安全性進(jìn)行了深入研究，在此基礎(chǔ)上提出了OSI安全體系結(jié)構(gòu)：ISO 7498-2：1989，該標(biāo)準(zhǔn)被我國等同采用，即《信息處理系統(tǒng)－開放系統(tǒng)互連－基本參考模型－第二部分：安全體系結(jié)構(gòu)GB/T 9387.2-1995》。ISO 7498-2 安全體系結(jié)構(gòu)由5類安全服務(wù)（認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性和抗抵賴性）及用來支持安全服務(wù)的8種安全機(jī)制（加密機(jī)制、數(shù)字簽名、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換、業(yè)務(wù)流填充、路由控制和公證）構(gòu)成。ISO 7498-2 安全體系結(jié)構(gòu)針對的是基于OSI 參考模型的網(wǎng)絡(luò)通信系統(tǒng)，它所定義的安全服務(wù)也只是解決網(wǎng)絡(luò)通信安全性的技術(shù)措施，其他信息安全相關(guān)領(lǐng)域，包括系統(tǒng)安全、物理安全、人員安全等方面都沒有涉及。此外，ISO 7498-2 體系關(guān)注的是靜態(tài)的防護(hù)技術(shù)，它并沒有考慮到信息安全動(dòng)態(tài)性和生命周期性的發(fā)展特點(diǎn)，缺乏檢測、響應(yīng)和恢復(fù)這些重要的環(huán)節(jié)，因而無法滿足更復(fù)雜更全面的信息保障的要求。

P2DR 模型源自美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的自適應(yīng)網(wǎng)絡(luò)安全模型ANSM（Adaptive NetworkSe cur ity Mode l）。P2DR 代表的分別是Polic y（策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）的首字母。按照P2DR的觀點(diǎn)，一個(gè)良好的完整的動(dòng)態(tài)安全體系，不僅需要恰當(dāng)?shù)姆雷o(hù)（比如操作系統(tǒng)訪問控制、防火墻、加密等），而且需要?jiǎng)討B(tài)的檢測機(jī)制（比如入侵檢測、漏洞掃描等），在發(fā)現(xiàn)問題時(shí)還需要及時(shí)做出響應(yīng)，這樣的一個(gè)體系需要在統(tǒng)一的安全策略指導(dǎo)下進(jìn)行實(shí)施，由此形成一個(gè)完備的、閉環(huán)的動(dòng)態(tài)自適應(yīng)安全體系。P2DR模型是建立在基于時(shí)間的安全理論基礎(chǔ)之上的。該理論的基本思想是：信息安全相關(guān)的所有活動(dòng)，無論是攻擊行為、防護(hù)行為、檢測行為還是響應(yīng)行為，都要消耗時(shí)間，因而可以用時(shí)間尺度來衡量一個(gè)體系的能力和安全性。

PDRR 模型，或者叫PPDRR（或者P2DR2），與P2DR非常相似，唯一的區(qū)別就在于把恢復(fù)環(huán)節(jié)提到了和防護(hù)、檢測、響應(yīng)等環(huán)節(jié)同等的高度。在PDRR模型中，安全策略、防護(hù)、檢測、響應(yīng)和恢復(fù)共同構(gòu)成了完整的安全體系，利用這樣的模型，任何信息安全問題都能得以描述和解釋。

當(dāng)信息安全發(fā)展到信息保障階段之后，人們越發(fā)認(rèn)為，構(gòu)建信息安全保障體系必須從安全的各個(gè)方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。信息保障技術(shù)框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。IATF是由美國國家安全局組織專家編寫的一個(gè)全面描述信息安全保障體系的框架，它提出了信息保障時(shí)代信息基礎(chǔ)設(shè)施的全套安全需求。IATF創(chuàng)造性的地方在于，它首次提出了信息保障依賴于人、操作和技術(shù)來共同實(shí)現(xiàn)組織職能/業(yè)務(wù)運(yùn)作的思想，對技術(shù)/信息基礎(chǔ)設(shè)施的管理也離不開這3個(gè)要素。IATF認(rèn)為，穩(wěn)健的信息保障狀態(tài)意味著信息保障的策略、過程、技術(shù)和機(jī)制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上都能得以實(shí)施。

盡管IATF提出了以人為核心的思想，但整個(gè)體系的闡述還是以技術(shù)為側(cè)重的，對于安全管理的內(nèi)容則很少涉及。所以，與其說IATF 為我們提供了全面的信息安全體系模型，如說為我們指出了設(shè)計(jì)、構(gòu)建和實(shí)施信息安全解決方案的一個(gè)技術(shù)框架信息安全體系建設(shè)與服務(wù)過程（ISMG-002），它為我們概括了信息安全應(yīng)該關(guān)注的領(lǐng)域和范圍、途

徑和方法、可選的技術(shù)性措施，但并沒有指出信息安全最終的表現(xiàn)形態(tài)，這和P2DR、PDRR 等模型有很大區(qū)別。

BS 7799 是英國標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）制定的關(guān)于信息安全管理方面的標(biāo)準(zhǔn)，它包含兩個(gè)部分：第一部分是被采納為ISO/IEC 17799：2000 標(biāo)準(zhǔn)的信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），它在10 個(gè)標(biāo)題框架下列舉定義127項(xiàng)作為安全控制的慣例，供信息安全實(shí)踐者選擇使用；BS 7799 的第二部分是建立信息安全管理體系（ISMS）的一套規(guī)范（Specif ication for Information Security Management Systems），其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。作為一套管理標(biāo)準(zhǔn)，BS7799-2指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 17799，其最終目的還在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。單從安全體系作為信息安全建設(shè)指導(dǎo)藍(lán)圖和目標(biāo)的作用來看，之前的幾種體系或模型都或多或少存在一些不足，ISO 7498-2 就不多說，即使是目前較為流行的P2DR 和PDRR模型，側(cè)重的也只是安全體系的技術(shù)環(huán)節(jié)，并沒有闡述構(gòu)成信息安全的幾個(gè)關(guān)鍵要素。至于IATF，雖然明確指出信息安全的構(gòu)成要素，但它只是提供了一個(gè)用來選擇技術(shù)措施的框架并沒有勾畫出一個(gè)安全體系的目標(biāo)形態(tài)。同樣的，BS 7799標(biāo)準(zhǔn)雖然完全側(cè)重于信息安全管理，但它所要求的信息安全管理體系（ISMS）也沒有明確的目標(biāo)形態(tài)。這里，我們提出了一種新的安全體系模型，即P2OTPDR2 模型。實(shí)際上這是一個(gè)將IATF 核心思想與PDRR基本形態(tài)結(jié)合在一起的安全體系模型，符合我們對信息安全體系設(shè)計(jì)的基本要求。P2OTPDR2，即Policy（策略）、People（人）、Operation（操作）、Technology（技術(shù)）、Protection（保護(hù)）、Detection（檢測）、Response（響應(yīng)）和Recovery（恢復(fù)）的首字母縮寫。P2OTPDR2分為3個(gè)層次，最核心的部分是安全策略，安全策略在整個(gè)安全體系的設(shè)計(jì)、實(shí)施、維護(hù)和改進(jìn)過程中都起著重要的指導(dǎo)作用，是一切信息安全實(shí)踐活動(dòng)的方針和指南。模型的中間層次體現(xiàn)了信息安全的3個(gè)基本要素：人員、技術(shù)和操作，這構(gòu)成了整個(gè)安全體系的骨架，從本質(zhì)上講，安全策略的全部內(nèi)容就是對這3 個(gè)要素的闡述，當(dāng)然，3個(gè)要素中，人是唯一具有能動(dòng)性的，是第一位的。在模型的外圍，是構(gòu)成信息安全完整功能的PDRR模型的4個(gè)環(huán)節(jié)，信息安全3要素在這4個(gè)環(huán)節(jié)中都有滲透，并最終表現(xiàn)出信息安全完整的目標(biāo)形態(tài)。概括來說，在策略核心的指導(dǎo)下，3個(gè)要素（人、技術(shù)、操作）緊密結(jié)合協(xié)同作用，最終實(shí)現(xiàn)信息安全的4項(xiàng)功能（防護(hù)、檢測、響應(yīng)、恢復(fù)），構(gòu)成完整的信息安全體系。P2OTPDR2 模型的核心思想在于：通過人員組織、安全技術(shù)以及運(yùn)行操作3個(gè)支撐體系的綜合作用，構(gòu)成一個(gè)完整的信息安全管理體系。雖然只是簡單的演繹歸納，但新的安全體系模型能夠較好地體現(xiàn)信息安全的各個(gè)特點(diǎn)，因而具有更強(qiáng)的目標(biāo)指導(dǎo)作用。從全面性來看，P2OTPDR2 模型對安全本質(zhì)和功能的闡述是完整的、全面的；模型的層次關(guān)系也很清晰；外圍的PDRR模型的4 個(gè)環(huán)節(jié)本身就是對動(dòng)態(tài)性很好的詮釋；無論是人員管理、技術(shù)管理還是操作管理，都體現(xiàn)了信息安全可管理性的特點(diǎn)。就防護(hù)來說，ISO 7498-2所定義的傳統(tǒng)的安全技術(shù)可以建立起信息安全的第一道防線，包括物理安全措施、操作系統(tǒng)安全、身份認(rèn)證、訪問控制、數(shù)據(jù)加密、完整性保護(hù)等技術(shù)；在檢測環(huán)節(jié)，病毒檢測、漏洞掃描、入侵檢測、安全審計(jì)都是典型的技術(shù)和操作手段；在響應(yīng)環(huán)節(jié)，包括突發(fā)事件處理、應(yīng)急響應(yīng)、犯罪辨析等技術(shù)和操作；而在恢復(fù)環(huán)節(jié)，備份和恢復(fù)則是最重要的內(nèi)容。當(dāng)然，在這4個(gè)環(huán)節(jié)中，無論是采用怎樣的措施，都能夠通過人、操作和技術(shù)三者的結(jié)合來共同體現(xiàn)安全策略的思想，最終實(shí)現(xiàn)信息安全的目標(biāo)和要求。下面簡單給出八種安全模型的比較：（1）狀態(tài)機(jī)模型：

無論處于什么樣的狀態(tài)，系統(tǒng)始終是安全的，一旦有不安全的事件發(fā)生，系統(tǒng)應(yīng)該會(huì)保護(hù)自己，而不是是自己變得容易受到攻擊。（2）Bell-LaPadula模型：

多級安全策略的算術(shù)模型，用于定于安全狀態(tài)機(jī)的概念、訪問模式以及訪問規(guī)則。主要用于防止未經(jīng)授權(quán)的方式訪問到保密信息。

系統(tǒng)中的用戶具有不同的訪問級（clearance），而且系統(tǒng)處理的數(shù)據(jù)也有不同的類別（classification）。信息分類決定了應(yīng)該使用的處理步驟。這些分類合起來構(gòu)成格（lattice）。BLP是一種狀態(tài)機(jī)模型，模型中用到主體、客體、訪問操作（讀、寫和讀/寫）以及安全等級。也是一種信息流安全模型，BLP的規(guī)則，Simplesecurityrule，一個(gè)位于給定安全等級內(nèi)的主體不能讀取位于較高安全等級內(nèi)的數(shù)據(jù)。（-propertyrule)為不能往下寫。Strongstarpropertyrule，一個(gè)主體只能在同一安全登記內(nèi)讀寫。

圖1-1 Bell-Lapodupa安全模型解析圖

基本安全定理，如果一個(gè)系統(tǒng)初始處于一個(gè)安全狀態(tài)，而且所有的狀態(tài)轉(zhuǎn)換都是安全的，那么不管輸入是什么，每個(gè)后續(xù)狀態(tài)都是安全的。

不足之處：只能處理機(jī)密性問題，不能解決訪問控制的管理問題，因?yàn)闆]有修改訪問權(quán)限的機(jī)制；這個(gè)模型不能防止或者解決隱蔽通道問題；不能解決文件共享問題。

（3）Biba模型：

狀態(tài)機(jī)模型，使用規(guī)則為，不能向上寫：一個(gè)主體不能把數(shù)據(jù)寫入位于較高完整性級別的客體。不能向下讀：一個(gè)主體不能從較低的完整性級別讀取數(shù)據(jù)。主要用于商業(yè)活動(dòng)中的信息完整性問題。

圖1-2 Biba安全模型解析圖

（4）Clark-Wilson模型：

主要用于防止授權(quán)用戶不會(huì)在商業(yè)應(yīng)用內(nèi)對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的修改，欺騙和錯(cuò)誤來保護(hù)信息的完整性。在該模型中，用戶不能直接訪問和操縱客體，而是必須通過一個(gè)代理程序來訪問客體。從而保護(hù)了客體的完整性。使用職責(zé)分割來避免授權(quán)用戶對數(shù)據(jù)執(zhí)行未經(jīng)授權(quán)的修改，再次保護(hù)數(shù)據(jù)的完整性。在這個(gè)模型中還需要使用審計(jì)功能來跟蹤系統(tǒng)外部進(jìn)入系統(tǒng)的信息。完整性的目標(biāo)，防止未授權(quán)的用戶進(jìn)行修改，防止授權(quán)用戶進(jìn)行不正確的修改，維護(hù)內(nèi)部和外部的一致性。Biba只能夠確認(rèn)第一個(gè)目標(biāo)。（5）信息流模型：

Bell-LaPadula模型所關(guān)注的是能夠從高安全級別流到低安全級別的信息。Biba模型關(guān)注的是從高完整性級別流到低完整性級別的信息。都使用了信息流模型，信息流模型能夠處理任何類型的信息流，而不僅是流的方向。（6）非干涉模型：

模型自身不關(guān)注數(shù)據(jù)流，而是關(guān)注主體對系統(tǒng)的狀態(tài)有什么樣的了解，以避免較高安全等級內(nèi)的一個(gè)實(shí)體所引發(fā)的一種活動(dòng)，被低等級的實(shí)體感覺到。（7）Brewer和Nash模型：

是一個(gè)訪問控制模型，這個(gè)模型可以根據(jù)用戶以往的動(dòng)作而動(dòng)態(tài)地改變。模型的主要功能就是防止用戶訪問被認(rèn)為是利益沖突的數(shù)據(jù)。（8）Graham-Denning安全模型：

創(chuàng)建允許主體在客體上操作的相關(guān)權(quán)限；

Harrison-Ruzzo-Ullman模型：允許修改訪問權(quán)以及如何創(chuàng)建和刪除主體和客體。

軟件安全性的10原則和相互作用

原則 1：保護(hù)最薄弱的環(huán)節(jié)

安全性社區(qū)中最常見的比喻之一是：安全性是根鏈條；系統(tǒng)的安全程度只與最脆弱的環(huán)節(jié)一樣。結(jié)論是系統(tǒng)最薄弱部分就是最易受攻擊影響的部分。

攻擊者往往設(shè)法攻擊最易攻擊的環(huán)節(jié)，這對于您來說可能并不奇怪。如果他們無論因?yàn)槭裁丛驅(qū)⒛南到y(tǒng)作為攻擊目標(biāo)，那么他們將沿阻力最小的路線采取行動(dòng)。這意味著他們將試圖攻擊系統(tǒng)中看起來最薄弱的部分，而不是看起來堅(jiān)固的部分。即便他們在您系統(tǒng)各部分上花費(fèi)相同的精力，他們也更可能在系統(tǒng)最需要改進(jìn)的部分中發(fā)現(xiàn)問題。

這一直覺是廣泛適用的。銀行里的錢通常比便利店里的錢多，但是它們哪一個(gè)更易遭到搶劫呢？當(dāng)然是便利店。為什么？因?yàn)殂y行往往有更強(qiáng)大的安全性防范措施；便利店則是一個(gè)容易得多的目標(biāo)。

讓我們假定您擁有一家普通的銀行和一家普通的便利店。是為保險(xiǎn)庫添加額外的門并將安全人員的數(shù)目翻倍，還是為便利店花費(fèi)同樣數(shù)目的錢雇傭安全官員更劃算呢？銀行可能已經(jīng)將出納員置于防彈玻璃之后，并安裝了攝像機(jī)、配備了安全保衛(wèi)、裝備了上鎖的保險(xiǎn)庫以及具有電子密碼的門。相比之下，便利店可能裝備了沒那么復(fù)雜的攝像機(jī)系統(tǒng)以及很少的其它設(shè)備。如果您將對您的金融帝國的任何一部分進(jìn)行安全性投資，那么便利店將是最佳選擇，因?yàn)樗娘L(fēng)險(xiǎn)要大得多。

這一原則顯然也適用于軟件世界，但大多數(shù)人并沒有給予任何重視。特別地，密碼術(shù)不太會(huì)是系統(tǒng)最薄弱的部分。即使使用具有 512 位 RSA 密鑰和 40 位 RC4 密鑰的 SSL-1，這種被認(rèn)為是難以置信的薄弱的密碼術(shù)，攻擊者仍有可能找到容易得多的方法進(jìn)入。的確，它是可攻破的，但是攻破它仍然需要大量的計(jì)算工作。

如果攻擊者想訪問通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，那么他們可能將其中一個(gè)端點(diǎn)作為目標(biāo)，試圖找到諸如緩沖區(qū)溢出之類的缺陷，然后在數(shù)據(jù)加密之前或在數(shù)據(jù)解密之后查看數(shù)據(jù)。如果存在可利用的緩沖區(qū)溢出，那么世界上所有的密碼術(shù)都幫不了您 ― 而且緩沖區(qū)溢出大量出現(xiàn)在 C 代碼中。

因?yàn)檫@一原因，雖然加密密鑰長度的確對系統(tǒng)的安全性有影響，但在大多數(shù)系統(tǒng)中它們并不是如此的重要，在這些系統(tǒng)中更重要的事情都有錯(cuò)。同樣地，攻擊者通常并不攻擊防火墻本身，除非防火墻上有眾所周知的弱點(diǎn)。實(shí)際上，他們將試圖突破通過防火墻可見的應(yīng)用程序，因?yàn)檫@些應(yīng)用程序通常是更容易的目標(biāo)。

如果執(zhí)行一個(gè)好的風(fēng)險(xiǎn)分析，則標(biāo)識(shí)出您覺得是系統(tǒng)最薄弱的組件應(yīng)該非常容易。您應(yīng)該首先消除看起來好象是最嚴(yán)重的風(fēng)險(xiǎn)，而不是看起來最容易減輕的風(fēng)險(xiǎn)。一旦一些其它組件很明顯是更大的風(fēng)險(xiǎn)時(shí)，您就應(yīng)該將精力集中到別的地方。

當(dāng)然，可以永遠(yuǎn)使用這一策略，因?yàn)榘踩詮膩砭筒皇且粋€(gè)保證。您需要某些停止點(diǎn)。根據(jù)您在軟件工程過程中定義的任何量度，在所有組件都似乎在可接受的風(fēng)險(xiǎn)閾值以內(nèi)時(shí)，您應(yīng)該停下來。

原則 2：縱深防御

縱深防御背后的思想是：使用多重防御策略來管理風(fēng)險(xiǎn)，以便在一層防御不夠時(shí)，在理想情況下，另一層防御將會(huì)阻止完全的破壞。即便是在安全性社區(qū)以外，這一原則也是眾所周知的；例如，這是編程語言設(shè)計(jì)的著名原則：

縱深防御：采取一系列防御，以便在一層防御不能抓住錯(cuò)誤時(shí)，另一層防御將可能抓住它。

讓我們回到為銀行提供安全性的示例。為什么典型的銀行比典型的便利店更安全？因?yàn)橛性S多冗余的安全性措施保護(hù)銀行 ― 措施越多，它就越安全。單單安全攝像機(jī)通常就足以成為一種威懾。但如果攻擊者并不在乎這些攝像機(jī)，那么安全保衛(wèi)就將在那兒實(shí)際保護(hù)銀行。兩名安全保衛(wèi)甚至將提供更多的保護(hù)。但如果兩名保衛(wèi)都被蒙面匪徒槍殺，那么至少還有一層防彈玻璃以及電子門鎖來保護(hù)銀行出納員。如果強(qiáng)盜碰巧砸開了這些門或者猜出了 PIN，起碼強(qiáng)盜將只能容易搶劫現(xiàn)金出納機(jī)，因?yàn)槲覀冇斜ｋU(xiǎn)庫來保護(hù)余下部分。理想情況下，保險(xiǎn)庫由幾個(gè)鎖保護(hù)，沒有兩個(gè)很少同時(shí)在銀行的人在場是不能被打開的。至于現(xiàn)金出納機(jī)，可以為其裝備使鈔票留下印記的噴色裝置。

當(dāng)然，配備所有這些安全性措施并不能確保銀行永遠(yuǎn)不會(huì)遭到成功的搶劫。即便在具備這么多安全性的銀行，也確實(shí)會(huì)發(fā)生銀行搶劫。然而，很清楚，所有這些防御措施加起來會(huì)形成一個(gè)比任何單一防御措施有效得多的安全性系統(tǒng)。

這好象同先前的原則有些矛盾，因?yàn)槲覀儗?shí)質(zhì)上是在說：多重防御比最堅(jiān)固的環(huán)節(jié)還要堅(jiān)固。然而，這并不矛盾；“保護(hù)最薄弱環(huán)節(jié)”的原則適用于組件具有不重疊的安全性功能的時(shí)候。但當(dāng)涉及到冗余的安全性措施時(shí)，所提供的整體保護(hù)比任意單個(gè)組件提供的保護(hù)要強(qiáng)得多，確實(shí)是可能的。

一個(gè)好的現(xiàn)實(shí)示例是保護(hù)在企業(yè)系統(tǒng)不同服務(wù)器組件間傳遞的數(shù)據(jù)，其中縱深防御會(huì)非常有用，但卻很少應(yīng)用。大部分公司建立企業(yè)級的防火墻來阻止入侵者侵入。然后這些公司假定防火墻已經(jīng)足夠，并且讓其應(yīng)用程序服務(wù)器不受阻礙地同數(shù)據(jù)庫“交談”。如果數(shù)據(jù)非常重要，那么如果攻擊者設(shè)法穿透了防火墻會(huì)發(fā)生什么呢？如果對數(shù)據(jù)也進(jìn)行了加密，那么攻擊者在不破解加密，或者（更可能是）侵入存儲(chǔ)未加密形式的數(shù)據(jù)的服務(wù)器之一的情況下，將不能獲取數(shù)據(jù)。如果我們正好在應(yīng)用程序周圍建立另一道防火墻，我們就能夠保護(hù)我們免遭穿透了企業(yè)防火墻的人攻擊。那么他們就不得不在應(yīng)用程序網(wǎng)絡(luò)顯式輸出的一些服務(wù)中尋找缺陷；我們要緊緊掌握那些信息。

原則 3：保護(hù)故障

任何十分復(fù)雜的系統(tǒng)都會(huì)有故障方式。這是很難避免的?？梢员苊獾氖峭收嫌嘘P(guān)的安全性問題。問題是：許多系統(tǒng)以各種形式出現(xiàn)故障時(shí)，它們都?xì)w結(jié)為不安全行為。在這樣的系統(tǒng)中，攻擊者只需造成恰當(dāng)類型的故障，或者等待恰當(dāng)類型的故障發(fā)生。

我們聽說過的最好的現(xiàn)實(shí)示例是將現(xiàn)實(shí)世界同電子世界連接起來的示例 ― 信用卡認(rèn)證。諸如 Visa 和 MasterCard 這樣的大型信用卡公司在認(rèn)證技術(shù)上花費(fèi)巨資以防止信用卡欺詐。最明顯地，無論您什么時(shí)候去商店購物，供應(yīng)商都會(huì)在連接到信用卡公司的設(shè)備上刷您的卡。信用卡公司檢查以確定該卡是否屬被盜。更令人驚訝的是，信用卡公司在您最近購物的環(huán)境下分析您的購物請求，并將該模式同您消費(fèi)習(xí)慣的總體趨勢進(jìn)行比較。如果其引擎察覺到任何十分值得懷疑的情況，它就會(huì)拒絕這筆交易。

從安全性觀點(diǎn)來看，這一方案給人的印象十分深刻 ― 直到您注意到某些事情出錯(cuò)時(shí)所發(fā)生的情況。如果信用卡的磁條被去磁會(huì)怎樣呢？供應(yīng)商會(huì)不得不說：“抱歉，因?yàn)榇艞l破了，您的卡無效?！眴?？不。信用卡公司還向供應(yīng)商提供了創(chuàng)建您卡的標(biāo)記的手工機(jī)器，供應(yīng)商可以將其送給信用卡公司以便結(jié)帳。如果您有一張偷來的卡，那么可能根本不會(huì)進(jìn)行認(rèn)證。店主甚至可能不會(huì)向您要您的 ID。

在手工系統(tǒng)中一直有某些安全性所示，但現(xiàn)在沒了。在計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)以前，可能會(huì)要您的 ID 以確保該卡同您的駕駛證相匹配。另外需要注意的是，如果您的號(hào)碼出現(xiàn)在當(dāng)?shù)囟ㄆ诟碌膲目斜碇畠?nèi)，那么該卡將被沒收。而且供應(yīng)商還將可能核查您的簽名。電子系統(tǒng)一投入使用，這些技術(shù)實(shí)際上就再也不是必需的了。如果電子系統(tǒng)出現(xiàn)故障，那么在極少見的情況下，會(huì)重新使用這些技術(shù)。然而，實(shí)際不會(huì)使用這些技術(shù)。信用卡公司覺得：故障是信用卡系統(tǒng)中十分少見的情形，以致于不要求供應(yīng)商在發(fā)生故障時(shí)記住復(fù)雜的過程。

系統(tǒng)出現(xiàn)故障時(shí)，系統(tǒng)的行為沒有通常的行為安全。遺憾的是，系統(tǒng)故障很容易引起。例如，很容易通過將偷來的信用卡在一塊大的磁鐵上掃一下來毀壞其磁條。這么做，只要小偷將卡用于小額購買（大額購買經(jīng)常要求更好的驗(yàn)證），他們就或多或少地生出了任意數(shù)目的金錢。從小偷的角度看，這一方案的優(yōu)點(diǎn)是：故障很少會(huì)導(dǎo)致他們被抓獲。有人可以長期用這種方法使用同一張卡，幾乎沒有什么風(fēng)險(xiǎn)。

為什么信用卡公司使用這種愚蠢落后的方案呢？答案是：這些公司善于風(fēng)險(xiǎn)管理。只要他們能夠不停地大把賺錢，他們就可以承受相當(dāng)大數(shù)量的欺詐。他們也知道阻止這種欺詐的成本是不值得的，因?yàn)閷?shí)際發(fā)生的欺詐的數(shù)目相對較低。（包括成本和公關(guān)問題在內(nèi)的許多因素影響這一決定。）

大量的其它例子出現(xiàn)在數(shù)字世界。經(jīng)常因?yàn)樾枰С植话踩呐f版軟件而出現(xiàn)問題。例如，比方說，您軟件的原始版本十分“天真”，完全沒有使用加密?，F(xiàn)在您想修正這一問題，但您已建立了廣大的用戶基礎(chǔ)。此外，您已部署了許多或許在長時(shí)間內(nèi)都不會(huì)升級的服務(wù)器。更新更聰明的客戶機(jī)和服務(wù)器需要同未使用新協(xié)議更新的較舊的客戶機(jī)進(jìn)行互操作。您希望強(qiáng)迫老用戶升級，但您尚未為此做準(zhǔn)備。沒有指望老用戶會(huì)占用戶基礎(chǔ)中如此大的一部分，以致于無論如何這將真的很麻煩。怎么辦呢？讓客戶機(jī)和服務(wù)器檢查它從對方收到的第一條消息，然后從中確定發(fā)生了什么事情。如果我們在同一段舊的軟件“交談”，那么我們就不執(zhí)行加密。

遺憾的是，老謀深算的黑客可以在數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)時(shí)，通過篡改數(shù)據(jù)來迫使兩臺(tái)新客戶機(jī)都認(rèn)為對方是舊客戶機(jī)。更糟的是，在有了支持完全（雙向）向后兼容性的同時(shí)仍無法消除該問題。

對這一問題的一種較好解決方案是從開始就采用強(qiáng)制升級方案進(jìn)行設(shè)計(jì)；使客戶機(jī)檢測到服務(wù)器不再支持它。如果客戶機(jī)可以安全地檢索到補(bǔ)丁，它就升級。否則，它告訴用戶他們必須手工獲得一個(gè)新的副本。很遺憾，重要的是從一開始就應(yīng)準(zhǔn)備使用這一解決方案，除非您不在乎得罪您的早期用戶。

遠(yuǎn)程方法調(diào)用（Remote Method invocation(RMI)）的大多數(shù)實(shí)現(xiàn)都有類似的問題。當(dāng)客戶機(jī)和服務(wù)器想通過 RMI 通信，但服務(wù)器想使用 SSL 或一些其它加密協(xié)議時(shí)，客戶機(jī)可能不支持服務(wù)器想用的協(xié)議。若是這樣，客戶機(jī)通常會(huì)在運(yùn)行時(shí)從服務(wù)器下載適當(dāng)?shù)奶捉幼謱?shí)現(xiàn)。這形成了一個(gè)大的安全漏洞，因?yàn)橄螺d加密接口時(shí)，還沒有對服務(wù)器進(jìn)行認(rèn)證。攻擊者可以假裝成服務(wù)器，在每臺(tái)客戶機(jī)上安裝他自己的套接字實(shí)現(xiàn)，即使是在客戶機(jī)已經(jīng)安裝了正確的 SSL 類的情況下。問題是：如果客戶機(jī)未能建立與缺省庫的安全連接（故障），它將使用一個(gè)不可信實(shí)體給它的任何協(xié)議建立連接，因此也就擴(kuò)展了信任范圍。原則 4：最小特權(quán)

最小特權(quán)原則規(guī)定：只授予執(zhí)行操作所必需的最少訪問權(quán)，并且對于該訪問權(quán)只準(zhǔn)許使用所需的最少時(shí)間。

當(dāng)您給出了對系統(tǒng)某些部分的訪問權(quán)時(shí)，一般會(huì)出現(xiàn)濫用與那個(gè)訪問權(quán)相關(guān)的特權(quán)的風(fēng)險(xiǎn)。例如，我們假設(shè)您出去度假并把您家的鑰匙給了您的朋友，好讓他來喂養(yǎng)您的寵物、收集郵件等等。盡管您可能信任那位朋友，但總是存在這樣的可能：您的朋友未經(jīng)您同意就在您的房子里開派對或發(fā)生其它您不喜歡的事情。

不管您是否信任您的朋友，一般不必冒險(xiǎn)給予其必要的訪問權(quán)以外的權(quán)利。例如，如果您沒養(yǎng)寵物，只需要一位朋友偶爾收取您的郵件，那么您應(yīng)當(dāng)只給他郵箱鑰匙。即使您的朋友可能找到濫用那個(gè)特權(quán)的好方法，但至少您不必?fù)?dān)心出現(xiàn)其它濫用的可能性。如果您不必要地給出了房門鑰匙，那么所有一切都可能發(fā)生。

同樣，如果您在度假時(shí)確實(shí)雇傭了一位房子看管人，那么您不可能在沒有度假時(shí)還讓他保留您的鑰匙。如果您這樣做了，那么您使自己陷入額外的風(fēng)險(xiǎn)之中。只要當(dāng)您的房門鑰匙不受您的控制，就存在鑰匙被復(fù)制的風(fēng)險(xiǎn)。如果有一把鑰匙不受您的控制，而且您不在家，那么就存在有人使用鑰匙進(jìn)入您房子的風(fēng)險(xiǎn)。當(dāng)有人拿了您的鑰匙，而您又沒有留意他們，那么任何這樣的一段時(shí)間都會(huì)構(gòu)成一個(gè)時(shí)間漏洞，在此段時(shí)間內(nèi)您就很容易受到攻擊。為了將您的風(fēng)險(xiǎn)降到最低，您要使這段易受攻擊的時(shí)間漏洞盡可能的短。

現(xiàn)實(shí)生活中的另一個(gè)好的示例是美國政府的忠誠調(diào)查系統(tǒng) ―“需要知道”政策。即使您有權(quán)查看任何機(jī)密文檔，您仍不能看到您知道其存在的 任何機(jī)密文檔。如果可以的話，就很容易濫用該忠誠調(diào)查級別。實(shí)際上，人們只被允許訪問與那些交給他們的任務(wù)相關(guān)的文檔。

UNIX 系統(tǒng)中出現(xiàn)過一些違反最小特權(quán)原則的最著名情況。例如，在 UNIX 系統(tǒng)上，您一般需要 root 特權(quán)才能在小于 1024 的端口號(hào)上運(yùn)行服務(wù)。所以，要在端口 25（傳統(tǒng)的 SMTP 端口）上運(yùn)行郵件服務(wù)器，程序需要 root 用戶的特權(quán)。不過，一旦程序在端口 25 上運(yùn)行了，就沒有強(qiáng)制性要求再對它使用 root 特權(quán)了。具有安全性意識(shí)的程序會(huì)放棄 root 特權(quán)并讓操作系統(tǒng)知道它不應(yīng)再需要那些特權(quán)（至少在程序下一次運(yùn)行之前）。某些電子郵件服務(wù)器中存在的一個(gè)大問題是它們在獲取郵件端口之后沒有放棄它們的 root 權(quán)限（Sendmail 是個(gè)經(jīng)典示例）。因此，如果有人找到某種方法來欺騙這樣一個(gè)郵件服務(wù)器去完成某些惡意任務(wù)時(shí)，它會(huì)成功。例如，如果一位懷有惡意的攻擊者要在 Sendmail 中找到合適的棧溢出，則那個(gè)溢出可以用來欺騙程序去運(yùn)行任意代碼。因?yàn)?Sendmail 在 root 權(quán)限之下運(yùn)行，所以攻擊者進(jìn)行的任何有效嘗試都會(huì)成功。

另一種常見情況是：一位程序員可能希望訪問某種數(shù)據(jù)對象，但只需要從該對象上進(jìn)行讀。不過，不管出于什么原因，通常該程序員實(shí)際需要的不僅是必需的特權(quán)。通常，該程序員是在試圖使編程更容易一些。例如，他可能在想，“有一天，我可能需要寫這個(gè)對象，而我又討厭回過頭來更改這個(gè)請求。”

不安全的缺省值在這里可能還會(huì)導(dǎo)致破壞。例如，在 Windows API 中有幾個(gè)用于訪問對象的調(diào)用，如果您將“0”作為參數(shù)傳遞，那么這些調(diào)用授予所有的訪問。為了更有限制地進(jìn)行訪問，您需要傳遞一串標(biāo)志（進(jìn)行“OR”操作）。只要缺省值有效，許多程序員就會(huì)堅(jiān)持只使用它，因?yàn)槟菢幼鲎詈唵巍?/p>

對于受限環(huán)境中運(yùn)行的產(chǎn)品的安全性政策，這個(gè)問題開始成為其中的常見問題。例如，有些供應(yīng)商提供作為 Java applet 運(yùn)行的應(yīng)用程序。applet 構(gòu)成移動(dòng)代碼，Web 瀏覽器會(huì)對此代碼存有戒心。這樣的代碼運(yùn)行在沙箱中，applet 的行為根據(jù)用戶同意的安全性政策受到限制。在這里供應(yīng)商幾乎不會(huì)實(shí)踐最小特權(quán)原則，因?yàn)樗麄兡欠矫嬉ㄌ嗟木ΑＲ獙?shí)現(xiàn)大體意思為“讓供應(yīng)商的代碼完成所有的任務(wù)”的策略相對要容易得多。人們通常采用供應(yīng)商提供的安全性策略，可能是因?yàn)樗麄冃湃喂?yīng)商，或者可能因?yàn)橐_定什么樣的安全性策略能最佳地使必須給予供應(yīng)商應(yīng)用程序的特權(quán)最小化，實(shí)在是一場大爭論。原則 5：分隔

如果您的訪問權(quán)結(jié)構(gòu)不是“完全訪問或根本不準(zhǔn)訪問”，那么最小特權(quán)原則會(huì)非常有效。讓我們假設(shè)您在度假，而你需要一位寵物看管人。您希望看管人只能進(jìn)出您的車庫（您不在時(shí)將寵物留在那里）但是如果您的車庫沒有一把單獨(dú)的鎖，那么您別無選擇而只能讓看管人進(jìn)出整幢房子。

分隔背后的基本思想是如果我們將系統(tǒng)分成盡可能多的獨(dú)立單元，那么我們可以將對系統(tǒng)可能造成損害的量降到最低。當(dāng)將潛水艇構(gòu)造成擁有許多不同的船艙，每個(gè)船艙都是獨(dú)立密封，就應(yīng)用了同樣原則；如果船體裂開了一個(gè)口子而導(dǎo)致一個(gè)船艙中充滿了水，其它船艙不受影響。船只的其余部分可以保持其完整性，人們就可以逃往潛水艇未進(jìn)水的部分而幸免于難。

分隔原則的另一個(gè)常見示例是監(jiān)獄，那里大批罪犯集中在一起的能力降到了最低。囚犯們不是居住在營房中，而是在單人或雙人牢房里。即使他們聚集在一起 ― 假定，在食堂里，也可以加強(qiáng)其它安全性措施來協(xié)助控制人員大量增加帶來的風(fēng)險(xiǎn)。

在計(jì)算機(jī)世界里，要舉出糟糕分隔的示例比找出合理分隔容易得多。怎樣才能不分隔的經(jīng)典示例是標(biāo)準(zhǔn) UNIX 特權(quán)模型，其中安全性是關(guān)鍵的操作是以“完全訪問或根本不準(zhǔn)訪問”為基礎(chǔ)的。如果您擁有 root 特權(quán)，那么您基本上可以執(zhí)行您想要的任何操作。如果您沒有 root 訪問權(quán)，那么就會(huì)受到限制。例如，您在沒有 root 訪問權(quán)時(shí)不能綁定到 1024 以下的端口。同樣，您不能直接訪問許多操作系統(tǒng)資源 ― 例如，您必須通過一個(gè)設(shè)備驅(qū)動(dòng)程序?qū)懘疟P；您不能直接處理它。

通常，如果攻擊者利用了您代碼中的緩沖區(qū)溢出，那人就可以對磁盤進(jìn)行原始寫并胡亂修改內(nèi)核所在內(nèi)存中的任何數(shù)據(jù)。沒有保護(hù)機(jī)制能阻止他這樣做。因此，您不能直接支持您本地磁盤上永遠(yuǎn)不能被擦去的日志文件，這意味著直到攻擊者闖入時(shí)，您才不能保持精確的審計(jì)信息。不管驅(qū)動(dòng)程序?qū)Φ讓釉O(shè)備的訪問協(xié)調(diào)得多么好，攻擊者總能夠避開您安裝的任何驅(qū)動(dòng)程序。

在大多數(shù)平臺(tái)上，您不能只保護(hù)操作系統(tǒng)的一部分而不管其它部分。如果一部分不安全，那么整個(gè)系統(tǒng)都不安全。有幾個(gè)操作系統(tǒng)（諸如 Trusted Solaris）確實(shí)做了分隔。在這樣的情況中，操作系統(tǒng)功能被分解成一組角色。角色映射到系統(tǒng)中需要提供特殊功能的實(shí)體上。一個(gè)角色可能是 LogWriter 角色，它會(huì)映射到需要保存安全日志的任何客戶機(jī)上。這個(gè)角色與一組特權(quán)相關(guān)聯(lián)。例如，LogWriter 擁有附加到它自己的日志文件的權(quán)限，但決不可以從任何日志文件上進(jìn)行擦除?？赡苤挥幸粋€(gè)特殊的實(shí)用程序獲得對 LogManager 角色的訪問，它就擁有對所有日志的完全訪問權(quán)。標(biāo)準(zhǔn)程序沒有對這個(gè)角色的訪問權(quán)。即使您破解了一個(gè)程序并在操作系統(tǒng)終止這個(gè)程序，您也不能胡亂修改日志文件，除非您碰巧還破解了日志管理程序。這種“可信的”操作系統(tǒng)并不是非常普遍，很大一部分是因?yàn)檫@種功能實(shí)現(xiàn)起來很困難。象在操作系統(tǒng)內(nèi)部處理內(nèi)存保護(hù)這樣的問題給我們提出了挑戰(zhàn)，這些挑戰(zhàn)是有解決方案的，但得出解決的結(jié)果并不容易。

分隔的使用必須適度，許多其它原則也是如此。如果您對每一個(gè)功能都進(jìn)行分隔，那么您的系統(tǒng)將很難管理。原則 6：簡單性

在許多領(lǐng)域，您可能聽到 KISS 咒語——“簡單些，蠢貨！”與其它場合一樣，這同樣適用于安全性。復(fù)雜性增加了問題的風(fēng)險(xiǎn)；這似乎在任何系統(tǒng)中都不可避免。

很明顯，您的設(shè)計(jì)和實(shí)現(xiàn)應(yīng)該盡可能地簡單。復(fù)雜的設(shè)計(jì)不容易理解，因此更有可能產(chǎn)生將被忽略的拖延問題。復(fù)雜的代碼往往是難以分析和維護(hù)的。它還往往有更多錯(cuò)誤。我們認(rèn)為任何人都不會(huì)對此大驚小怪。

類似地，只要您所考慮的組件是質(zhì)量良好的，就應(yīng)該考慮盡可能重用組件。特定組件被成功使用的次數(shù)越多，您就更應(yīng)該避免重寫它。對于密碼庫，這種考慮尤其適用。當(dāng)存在幾個(gè)廣泛使用的庫時(shí)，您為什么想重新實(shí)現(xiàn) AES 或 SHA-1 呢？那些庫可能比您在房間里裝配起來的東西更為健壯。經(jīng)驗(yàn)構(gòu)筑了保證，特別當(dāng)那些經(jīng)驗(yàn)是成功的經(jīng)驗(yàn)時(shí)。當(dāng)然，即使在廣泛使用的組件中，也總是有出現(xiàn)問題的可能性。然而，假設(shè)在已知數(shù)量中涉及的風(fēng)險(xiǎn)較少是合理的。原則 7：提升隱私

用戶通常認(rèn)為隱私是安全性問題。您不應(yīng)該做任何可能泄露用戶隱私的事情。并且在保護(hù)用戶給您的任何個(gè)人信息方面，您應(yīng)該盡可能地認(rèn)真。您可能聽說過惡意的黑客能夠從 Web 訪問整個(gè)客戶數(shù)據(jù)庫。還經(jīng)常聽說攻擊者能夠截獲其它用戶的購物會(huì)話，并因此獲得對私有信息的訪問。您應(yīng)該竭盡所能避免陷入這種窘境；如果客戶認(rèn)為您不善處理隱私問題，則您可能很快失去他們的尊重。原則 8：難以隱藏秘密

安全性通常是有關(guān)保守秘密的。用戶不想讓其個(gè)人數(shù)據(jù)泄漏出去，所以您必需加密密鑰以避免竊聽或篡改。您還要保護(hù)您的絕秘算法免遭競爭者破壞。這些類型的需求很重要，但是與一般用戶猜疑相比較，很難滿足這些需求。

很多人以為用二進(jìn)制表示的秘密也許能保守秘密，因?yàn)橐槿∷鼈兲щy了。的確，二進(jìn)制是復(fù)雜的，但要對“秘密”保密實(shí)在是太困難了。一個(gè)問題就是某些人實(shí)際上相當(dāng)擅長對二進(jìn)制進(jìn)行逆向工程 ― 即，將它們拆開，并斷定它們是做什么的。這就是軟件復(fù)制保護(hù)方案越來越不適用的原因。熟練的黑客通?？梢员荛_公司嘗試硬編碼到其軟件中的任何保護(hù)，然后發(fā)行“破譯的”副本。很長時(shí)間以來，使用的技術(shù)越來越多；供應(yīng)商為阻止人們發(fā)現(xiàn)“解鎖”軟件的秘密所投入的精力越多，軟件破解者在破解軟件上花的力氣也越多。在極大程度上，都是破解者達(dá)到目的。人們已經(jīng)知道有趣的軟件會(huì)在正式發(fā)布之日被破解 ― 有時(shí)候會(huì)更早。

如果軟件都在您自己網(wǎng)絡(luò)的服務(wù)器端運(yùn)行，您可能會(huì)判定您的秘密是安全的。實(shí)際上，它比隱藏秘密難得多。如果您可以避免它，就不應(yīng)該信任您自己的網(wǎng)絡(luò)。如果一些不曾預(yù)料到的缺點(diǎn)允許入侵者竊取您的軟件將會(huì)怎么樣呢？這是就在他們發(fā)行第一版 Quake 之前發(fā)生在 Id 軟件上的事情。

即使您的網(wǎng)絡(luò)很安全，但您的問題可能是在內(nèi)部。一些研究表明對公司最常見的威脅就是“內(nèi)部人員”攻擊，其中，心懷不滿的雇員濫用訪問權(quán)。有時(shí)候雇員并不是不滿；或許他只是把工作帶到家里做，朋友在那里竊聽到他不應(yīng)該知道的東西。除此之外，許多公司無法防止心懷惡意的看門人竊取其仔細(xì)看守的軟件。如果有人想要通過非法手段獲取您的軟件，他們或許會(huì)成功。當(dāng)我們向人們指出內(nèi)部攻擊的可能性時(shí)，他們常常回答：“這不會(huì)發(fā)生在我們身上；我們相信我們的員工?！比绻南敕ㄒ彩沁@樣，那么您應(yīng)該謹(jǐn)慎一點(diǎn)。與我們對話的 90% 的人說的都一樣，然而大多數(shù)攻擊都是內(nèi)部人員干的。這里有一個(gè)極大的差距；大多數(shù)認(rèn)為可以相信其員工的那些人肯定是錯(cuò)的。請記住，員工可能喜歡您的環(huán)境，但歸根結(jié)底，大多數(shù)員工與您的公司都有一種業(yè)務(wù)關(guān)系，而不是個(gè)人關(guān)系。這里的寓意就是多想想也是值得的。

有時(shí)，人們甚至不需要對軟件進(jìn)行逆向工程，就可以破譯它的秘密。只要觀察正在運(yùn)行的軟件，就常常可以發(fā)現(xiàn)這些秘密。例如，我們（John Viega 和 Tim Hollebeek）曾經(jīng)僅僅通過用一系列選擇的輸入來觀察其行為，就破解了 Netscape 電子郵件客戶機(jī)中的一個(gè)簡單密碼算法。（這太容易做到了，所以我們說：“我們不用鉛筆和紙來做這件事。我們的許多筆記都用鋼筆寫。我們不需要擦除更多東西。”）最近，ETrade遭受了類似下場，當(dāng)您在 Web 上登錄時(shí)，任何人都可以看到您的用戶名和密碼。

相信二進(jìn)制（就此而言，或者是任何其它形式的模糊）為您保守秘密的實(shí)踐被親切地稱作“含糊的安全性（security by obscurity）”。只要有可能，您都應(yīng)該避免將它用作您唯一的防御線。這并不意味著含糊的安全性沒有用武之地。明確地拒絕對源代碼的訪問會(huì)稍微對攻擊者產(chǎn)生一些障礙。模糊代碼以產(chǎn)生一個(gè)模糊的二進(jìn)制甚至?xí)懈髱椭?。這些技術(shù)要求潛在的攻擊者擁有比在他們需要實(shí)際破壞您系統(tǒng)時(shí)更多的技巧，這通常是一件好事。相反，大多數(shù)以這種方法保護(hù)的系統(tǒng)無法執(zhí)行一次足夠的安全性審查；有一些事情是公開的，它允許您從用戶那里獲得免費(fèi)的安全性忠告。

原則 9：不要輕易擴(kuò)展信任 如果人們知道不能相信最終用戶所控制的客戶機(jī)，那么他們可能常常會(huì)意識(shí)到他們的秘密正處于危險(xiǎn)中，因?yàn)椴荒芟嘈抛罱K用戶會(huì)按照他們期望的那樣使用客戶機(jī)。我們還強(qiáng)烈要求您勉強(qiáng)相信您自己的服務(wù)器，以防止數(shù)據(jù)竊取，這種猶豫應(yīng)該滲透到安全性過程的各個(gè)方面。

例如，雖然現(xiàn)成的軟件的確可以幫助您簡化您的設(shè)計(jì)和實(shí)現(xiàn)，但您怎么知道相信現(xiàn)成組件是安全的呢？您真的認(rèn)為開發(fā)人員就是安全性方面的專家嗎？即使他們是，您期望他們確實(shí)可靠嗎？許多有安全性漏洞的產(chǎn)品都來自安全性供應(yīng)商。許多從事安全性業(yè)務(wù)的人實(shí)際上并不太了解有關(guān)編寫安全代碼方面的知識(shí)。

通常很容易擴(kuò)展信任的另一個(gè)地方是客戶支持。毫無戒心的客戶支持代理（他們有相信的傾向）非常容易遭到社會(huì)工程攻擊，因?yàn)樗鼤?huì)使他們的工作變得更加容易。

您還應(yīng)該注意一下“隨大流”。僅僅因?yàn)橐粋€(gè)特殊的安全性功能是標(biāo)準(zhǔn)的并不意味著您應(yīng)該提供同樣低級的保護(hù)。例如，我們曾經(jīng)常聽到人們選擇不加密敏感數(shù)據(jù)，僅僅是因?yàn)樗麄兊母偁帉κ譀]有對數(shù)據(jù)進(jìn)行加密。當(dāng)客戶遭到攻擊，于是責(zé)備某人疏忽安全性時(shí)，這就不是充足的理由。

您也不應(yīng)該相信安全性供應(yīng)商。為了出售他們的產(chǎn)品，他們常常散布可疑的或完全錯(cuò)誤的信息。通常，這種“蛇油”傳播者通過散布 FUD—— 害怕、不確定和懷疑進(jìn)行工作。許多常見的警告標(biāo)記可以幫助您發(fā)覺騙子。其中我們最喜歡的一個(gè)就是用于秘鑰加密算法的“百萬位密鑰”廣告。數(shù)學(xué)告訴我們，對于整個(gè)宇宙生命周期，256 位很可能足以保護(hù)消息 ― 假設(shè)該算法是高質(zhì)量的。做了較多廣告的人對密碼術(shù)知道得太少而無法出售安全性產(chǎn)品。在完成購物之前，請一定要進(jìn)行研究。最好從“Snake Oil”FAQ開始。

您還應(yīng)該勉強(qiáng)相信您自己和您的組織。當(dāng)涉及您自己的主意和您自己的代碼時(shí)很容易目光短淺。盡管您可能喜歡完美，但您應(yīng)該容許不完美，并且對正在做的事情定期獲取高質(zhì)量的、客觀的外部觀點(diǎn)。

要記住的最后一點(diǎn)是信任是可轉(zhuǎn)移的。一旦您信任某個(gè)實(shí)體，就會(huì)暗中將它擴(kuò)展給該實(shí)體可能信任的任何人。出于這個(gè)原因，可信的程序決不應(yīng)該調(diào)用不可信的程序。當(dāng)確定要信任哪些程序時(shí)，也應(yīng)該十分小心；程序可能已經(jīng)隱藏了您不想要的功能。例如，在 90 年代早期，我們有一個(gè)具有極受限制的、菜單驅(qū)動(dòng)功能的 UNIX 帳戶。當(dāng)您登錄時(shí)從菜單開始，并且只能執(zhí)行一些簡單操作，如讀寫郵件和新聞。菜單程序信任郵件程序。當(dāng)用戶編寫郵件時(shí)，郵件程序?qū)⒄{(diào)出到一個(gè)外部編輯器（在這種情況下，是“vi”編輯器）。當(dāng)編寫郵件時(shí)，用戶可以做一些 vi 戲法來運(yùn)行任意命令。當(dāng)它關(guān)閉時(shí)，很容易利用對 vi 編輯器的這種隱含的、間接的信任完全擺脫菜單系統(tǒng)，而支持正規(guī)的舊的不受限的命令行 shell。

原則 10：信任公眾

雖然盲目隨大流不是一個(gè)好主意，但從數(shù)字上講還是有一點(diǎn)實(shí)力。無失敗地重復(fù)使用會(huì)增進(jìn)信任。公眾的監(jiān)督也可增進(jìn)信任。（這是應(yīng)用這個(gè)原則的唯一時(shí)機(jī)；其它情況下，原則 9 是正確應(yīng)用的一個(gè)原則，您應(yīng)該忽略這個(gè)原則。）

例如，在密碼術(shù)中，信任公眾不知道的且未受廣泛監(jiān)督的任何算法被認(rèn)為是一個(gè)壞想法。大多數(shù)密碼算法在安全性方面都沒有真正可靠的數(shù)學(xué)證明；僅當(dāng)一群聰明人花大量時(shí)間來嘗試破解它們并且都沒有實(shí)質(zhì)性進(jìn)展時(shí)才信任它們。

許多人發(fā)現(xiàn)編寫他們自己的密碼算法很有吸引力，希望如果這些算法不牢靠，含糊的安全性將用作安全網(wǎng)絡(luò)。重申一遍，這種希望將破滅（例如，前面提到的 Netscape 和 E*Trade 破壞）。爭論結(jié)果通常是，秘密算法比公眾知道的算法好。我們已經(jīng)討論了您應(yīng)該如何期望您的算法秘密不會(huì)保持太久。例如，RC4 加密算法應(yīng)該是 RSA Data Security 的商業(yè)秘密。然而，在其引入后不久，它被進(jìn)行逆向工程并在因特網(wǎng)上以匿名方式張?zhí)鰜怼?/p>

事實(shí)上，加密者設(shè)計(jì)他們的算法，使算法知識(shí)對安全性無關(guān)緊要。好的密碼算法能起作用是因?yàn)槟Ｊ亓艘粋€(gè)稱為“密鑰”的小秘密，而不是因?yàn)樗惴ㄊ敲孛艿摹＜?，您需要唯一保守秘密的東西就是密鑰。如果您可以做到這一點(diǎn)，并且算法真的很好（且密鑰足夠長），那么即使是非常熟悉該算法的攻擊者也無法攻擊您。

同樣，最好信任已被廣泛使用并且被廣泛監(jiān)督的安全性庫。當(dāng)然，它們可能包含尚未被發(fā)現(xiàn)的錯(cuò)誤 ― 但至少您可以利用其他人的經(jīng)驗(yàn)。

僅當(dāng)您有理由相信公眾正在盡力提升您要使用的組件的安全性時(shí)，才應(yīng)用這個(gè)原則。一個(gè)常見的誤解是相信“開放源碼”軟件極有可能是安全的，因?yàn)樵创a可用性將導(dǎo)致人們執(zhí)行安全性審計(jì)。有一些強(qiáng)有力的證據(jù)表明：源代碼可用性沒有為人們審閱源代碼提供強(qiáng)大的動(dòng)機(jī)，即使許多人愿意相信那個(gè)動(dòng)機(jī)存在。例如，多年來，廣泛使用、自由軟件程序中的許多安全性錯(cuò)誤沒有引起人們注意。對于最流行的 FTP 服務(wù)器（WU-FTPD），有幾個(gè)安全性錯(cuò)誤被忽視已有十多年！

第二篇：提高小企業(yè)信息安全的八個(gè)建議

提高小企業(yè)信息安全的八個(gè)建議

配合國家網(wǎng)絡(luò)安全意識(shí)月，美國國家網(wǎng)絡(luò)安全聯(lián)盟（NCSA）和賽門鐵克公司公布了一項(xiàng)調(diào)查，這項(xiàng)調(diào)查的結(jié)果顯示大部分美國小型企業(yè)（少于250名員工）認(rèn)為他們不會(huì)遭受到黑客攻擊或是感染上惡意軟件，即便他們的安全防御非常脆弱，甚至是根本毫無安全防護(hù)。

通過這項(xiàng)調(diào)查的結(jié)果，我們總結(jié)了如下8點(diǎn)建議，可以幫助那些小企業(yè)規(guī)范在線操作，改善網(wǎng)絡(luò)安全狀況。

1.了解你的企業(yè)都需要哪些防護(hù)：對于小企業(yè)來說，一個(gè)數(shù)據(jù)的丟失就可能會(huì)造成大量的損失。看看你的數(shù)據(jù)都在哪些地方被使用并且都存放于何處，這些地方都是需要著重保護(hù)的。

2.強(qiáng)制使用長密碼策略：用8個(gè)或更多的字符組成密碼，并使用字符、數(shù)字和符號(hào)（e.g.，# $ %?。浚┻M(jìn)行組合，這將大大提高數(shù)據(jù)的安全性。

3.馬上制定一個(gè)災(zāi)備計(jì)劃：等到事發(fā)的時(shí)候就一切就晚了。首先確定好需要保護(hù)的資源，然后使用適當(dāng)?shù)陌踩c備份解決方案，并把重要的文件歸檔，還要經(jīng)常進(jìn)行安全檢測。

4.給機(jī)密信息加密：在那些臺(tái)式機(jī)、筆記本和移動(dòng)設(shè)備都應(yīng)該進(jìn)行加密，未授權(quán)的訪問都不能看到你的核心信息，進(jìn)而保護(hù)好你的知識(shí)產(chǎn)權(quán)，并讓你的客戶與合作伙伴等相關(guān)數(shù)據(jù)得到有力的保護(hù)。

5.選擇一個(gè)可靠的解決方案：現(xiàn)在很多安全解決方案不僅僅是防病毒和防垃圾郵件。有些方案可以定期掃描文件，檢查文件大小，看看它們是否發(fā)生了變化；檢測系統(tǒng)是否安裝了惡意軟件，對可疑的電子郵件附件發(fā)出警告。若是要保護(hù)好你的信息，前邊那些步驟都是非常有必要的。

6.數(shù)據(jù)防泄漏：其實(shí)你曾經(jīng)備份的業(yè)務(wù)信息更為重要。備份與安全解決方案相結(jié)合，基本上就能夠免除一切形式的數(shù)據(jù)泄漏。

7.保持更新：一套安全解決方案最好能夠保持更新到最新版本。每天都會(huì)誕生新的病毒，蠕蟲，特洛伊木馬和其他惡意軟件，然而舊版本的軟件是無法檢測出這些新變種的。

8.員工培訓(xùn)：制定網(wǎng)絡(luò)安全規(guī)章制度，教育員工們要安全地使用網(wǎng)絡(luò)，讓他們簡單了解一下都有哪些最新的安全威脅；若是信息存放錯(cuò)誤，或者感染了惡意軟件，要教給他們?nèi)绾芜M(jìn)行處理。

第三篇：安全信息

安全工作心得體會(huì)安全對于每個(gè)人來說既是非常重要卻又容易忽視的，安全顧名思義，無危則安，無缺則安。安全就是要以人為本，就是要保護(hù)自己和他人的生命財(cái)產(chǎn)安全。從其他角度上來講，安全不僅牽扯到自己也牽扯到他人。而且還會(huì)危及到他人，自己出了事會(huì)抱憾終生，由于自己的失誤導(dǎo)致他人受到傷害或死亡，說嚴(yán)重點(diǎn)就是犯罪，要追究法律責(zé)任的。從道德上來講的話，自己的心里也會(huì)感到不安，會(huì)很愧疚。安全工作不只是在現(xiàn)場提醒施工人員安全施工，還要做到對現(xiàn)場發(fā)現(xiàn)的安全隱患及時(shí)徹底消除。做安全工作就是要細(xì)，正所謂安全無小事，所以要注重每個(gè)細(xì)節(jié)存在的安全隱患。其實(shí)發(fā)現(xiàn)安全隱患遠(yuǎn)比消除隱患落實(shí)措施要容易，所以說正真做到運(yùn)用正確恰當(dāng)?shù)拇胧﹣矸婪峨[患的發(fā)生還是很難得的。但是在工作中就是要積累經(jīng)驗(yàn)做到發(fā)現(xiàn)一處安全隱患就能及時(shí)的想到辦法解決。在做安全工作中就是要細(xì)，像在現(xiàn)場的監(jiān)督和檢查中可能很多小問題對于其他人來說真的不算什么，沒有注意到它成為隱患后會(huì)導(dǎo)致的后果，而做安全工作正是要發(fā)現(xiàn)這些小問題，把它們消滅在萌芽之中。在安全影視資料里看到了不少由于不注意這些小問題而導(dǎo)致悲劇上演的事例，所以我們經(jīng)常說的安全無小事就是說在安全上沒有事情是小事。有可能就是一件很小的事卻導(dǎo)致了事故的發(fā)生。還要做到在工作中是要事前、事中不要事后，就是指不要在事后再來分析問題的原因。要做到發(fā)現(xiàn)問題的時(shí)候就要把問題處理好，不要到了事情真的發(fā)生來再來總結(jié)。以前所發(fā)生的事故案例都是很好的例子，從中能夠分析出好多造成事故發(fā)生的內(nèi)因和外因。我覺得最重要的還是項(xiàng)目所有管理和施工人員都要有很好的安全意識(shí)，提高自身的安全技能，這樣才能更好地保障項(xiàng)目安全生產(chǎn)。

第四篇：安全信息

安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動(dòng)

信息

（第4期）

南安市城鎮(zhèn)集體工業(yè)聯(lián)合社2011年6月28日

市城聯(lián)社六個(gè)措施開展安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動(dòng)為做好安全標(biāo)準(zhǔn)化達(dá)標(biāo)創(chuàng)建活動(dòng)，市城聯(lián)社以安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動(dòng)工作為契機(jī)，全面深企業(yè)安全生產(chǎn)主體責(zé)任落實(shí)，全面推進(jìn)安全標(biāo)準(zhǔn)化達(dá)標(biāo)創(chuàng)建活動(dòng)。一要加強(qiáng)組織領(lǐng)導(dǎo)。及時(shí)制定工作方案成立領(lǐng)導(dǎo)小組部署安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動(dòng)。二要全面摸底。在過去三年企事業(yè)單位安全生產(chǎn)主體責(zé)任級別評定的基礎(chǔ)上分行業(yè)對全鎮(zhèn)企業(yè)再次進(jìn)行全面摸底。三要應(yīng)用信息化手段。把信息化技術(shù)運(yùn)用于全面落實(shí)企業(yè)安全生產(chǎn)主體責(zé)任和標(biāo)準(zhǔn)化創(chuàng)建工作之中，提高安全生產(chǎn)監(jiān)管工作科技含量。四要樹立典型。表彰一批安全生產(chǎn)標(biāo)準(zhǔn)化先進(jìn)企業(yè)，通過評比表彰，樹立典型，推動(dòng)工作。五要加強(qiáng)企業(yè)安全文化建設(shè)。按照《國家安監(jiān)總局關(guān)于開展安全文化建設(shè)示范企業(yè)創(chuàng)建活動(dòng)的指導(dǎo)意見》和《企業(yè)安全文化建設(shè)導(dǎo)則》，開展安全文化建設(shè)示范企業(yè)創(chuàng)建活動(dòng)。六要熱情為企業(yè)服務(wù)。在企業(yè)推進(jìn)安全標(biāo)準(zhǔn)化建設(shè)工作中，要加強(qiáng)指導(dǎo)服務(wù)，不得為難和刁難企業(yè)，特別是要加強(qiáng)對中介機(jī)構(gòu)的規(guī)范管理，防止借安全評價(jià)、隱患排查、標(biāo)準(zhǔn)化咨詢和考核之機(jī)亂收費(fèi)，增加企業(yè)負(fù)擔(dān)。

第五篇：信息安全

信息安全：（觀點(diǎn)、走向）

1946年出現(xiàn)的第一臺(tái)計(jì)算機(jī)，將世界帶入信息時(shí)代。網(wǎng)絡(luò)的真正普及是在1993年，此后，社會(huì)以日新月異的網(wǎng)絡(luò)變化而變化。自2013年愛德華斯諾登等一系列事件發(fā)生后，舉世嘩然。國際的視線也被漸漸的轉(zhuǎn)向信息安全方向。

根據(jù)2013年中國網(wǎng)絡(luò)用戶信息安全研究報(bào)告，在過去的六個(gè)月中有74.1%的用戶經(jīng)歷過信息安全遭到破壞，損失達(dá)到4380億。可見信息安全對個(gè)人的重要性。在日常生活中個(gè)人的身份信息，社會(huì)經(jīng)歷，愛好習(xí)慣不等等不僅關(guān)系到個(gè)人榮譽(yù)，而且影響到個(gè)人交際。一旦這些信息遭到破壞，個(gè)人的榮譽(yù)及財(cái)產(chǎn)將會(huì)遭到很大的損失，所以個(gè)人信息安全的保護(hù)極為重要。所以人民應(yīng)該加強(qiáng)自我權(quán)利的保護(hù)意識(shí)，不要輕易將個(gè)人重要的信息泄露。當(dāng)遇到信息泄露等問題時(shí)，應(yīng)尋求法律途徑加以解決，而不能坐以待斃。

信息安全問題對企業(yè)的生存發(fā)展也至關(guān)重要，一個(gè)企業(yè)只有保證自己信息的安全，才能在市場經(jīng)濟(jì)中占據(jù)一定的優(yōu)勢，使企業(yè)的先進(jìn)技術(shù)和交易數(shù)據(jù)不被泄露，從而在市場競爭中立于不敗之地，占據(jù)一定的優(yōu)勢。在信息化時(shí)代下，黑客入侵，人為竊取信息等行為導(dǎo)致許多企業(yè)財(cái)產(chǎn)的巨大損失。這就需要我們在新時(shí)代的背景下，通力合作，加快科學(xué)技術(shù)的發(fā)展，提高對信息的保護(hù)能力。

信息安全不僅與個(gè)人和企業(yè)聯(lián)系緊密，與國家的利益更是息息相關(guān)。政府不僅掌握著國民80%的信息，而且它更是個(gè)人信息的管理者。如今，科技的發(fā)展和計(jì)算機(jī)的普及使得國家信息極易泄露。由此而引發(fā)的國家情報(bào)工作的竊取也十分的活躍。為了洞悉他國政治，軍事等的發(fā)展情況而竊取他人信息的行為，必然會(huì)遭歷史的唾棄，當(dāng)然它也無法長期屹立于世界強(qiáng)國之林，一個(gè)國家真正的強(qiáng)盛依靠的不是一紙密報(bào)，而是他對技術(shù)的發(fā)展和對人才的培養(yǎng)。時(shí)代的發(fā)展使得各國聯(lián)系緊密，為了促進(jìn)本國綜合國力的提高，了解別國的進(jìn)展情況是時(shí)代發(fā)展的必然要求，但我們不應(yīng)以竊取的手段來獲取他國的信息，我們可以站在一個(gè)更高的平臺(tái)，用開放的眼光進(jìn)行國與國的交流與合作，促進(jìn)共同發(fā)展。

以上對于信息安全的闡述只是“冰山一角”，真實(shí)的情況更加復(fù)雜，所以我們對形勢的分析應(yīng)該基于對國際法和區(qū)域條件的完整認(rèn)識(shí)。與會(huì)國將從各國實(shí)情出發(fā)，并結(jié)合利與弊而發(fā)表觀點(diǎn)。這將會(huì)達(dá)成一種共識(shí)：不管是國家還是個(gè)人抑或是企業(yè)，保護(hù)信息安全是歷史發(fā)展的必然，是歷史的選擇，我們應(yīng)該順應(yīng)歷史發(fā)展的潮流，給他人一點(diǎn)空間，給自己一點(diǎn)空間。信息安全神圣不可竊??！!