原则安全的计算设计
的原则,安全的设计,讨论在本节中表达的共同意义上的应用简单化和限制的条款计算。
原则上的最小权限
这一原则制约着如何特权是理所当然的。
的原则, 至少有特权的国家课题应该只给那些特权,它需要以完成其任务。
如果某个主题,并不需要一个获取权利时,受到不应该有这种权利。 此外,该功能的主体(如反对将其身份的人)应该控制权利的转让。 如果一个具体行动,需要一个主题的准入权利得到扩充,这些额外的权利应该立即放弃对完成上述行动。 这是模拟的"需要知道"的规则:如果主题,并不需要获得一个对象,以履行其任务,不应该有权利获取该对象。 更确切地说,如果一个课题,需要追加到一个对象,但不改变信息已经包含在物体,它应该考虑附加权利,不写的权利。
在实践中,大多数系统不具备粒度的特权和权限要求将这一原则应用于精确。 设计师的安全机制,然后运用这一原则作为最好的,他们可以。 在这些系统,其后果的安全问题往往更为严重,比后果系统坚持贯彻这一方针。
例如: unix操作系统并不适用于访问控制,以用户的治本方法。 即用户可以终止任何进程和读,写或删除任何文件。 因此,用户创建备份,也可以删除该文件。 该管理员帐户上的windows也有同样的权力。 |
这个原则要求过程中,应只限于作为一个小保护域越好。
例如:电子邮件服务器接受电子邮件,从互联网上并抄送信息成为一个后台打印目录;本地服务器将完成交货。 邮件伺服器需求的权利,以获得适当的网络端口,以建立档案,在后台打印目录,并改变那些档案(因此它能够复制的信息纳入档案,改写了送货地址,如果需要,并加上适当的"收到"线) 。 它应交出有权查阅档案尽快它已经完成了书面文件到后台打印目录,因为它并不需要获取该文件。 服务器应该无法获取任何用户的文件,或在任何文件或其他比自己的配置文件。 |
原则上的故障安全默认
这一原则制约着如何特权是初始化时,主语或宾语,是创造。
原则故障安全默认的国家,除非受到给出明确获取某种物体,它应被剥夺进入该物体。
这个原则要求默认获取某种物体是没有的。 每当进入,特权,或某些与安全相关的属性是没有明确理所当然的,它应被剥夺。 此外,如果被摄对象是无法完成其行动或任务,它应取消那些改变了在安全状态的制度才终止。 这样,即使计划失败时,系统仍是安全的。
举例来说:如果邮件服务器是无法建立的文件在后台打印目录,它应关闭网络连接,发出错误讯息,并停止。 它不应该试着保存信息别处或扩大其特权讯息储存到另一个地点,因为攻击者可以利用这种能力覆盖其他文件或填补其他磁盘(拒绝服务攻击) 。 保护对邮件队列目录本身应该让创造和书写只能访问邮件服务器,并宣读,并删除用户只可以接入到本地的服务器。 没有任何其他的用户应该有进入该目录。
在实践中,大多数系统将允许管理员进入邮件队列目录。 这一原则的最小权限,即系统管理员应该能够获得的唯一对象与对象涉及邮件排队和交付。 正如我们所看到的,这方面的限制最小化的威胁,如果管理员的帐号是毫不妥协的。 该邮件系统,可以破坏或摧毁,但没有别的可以。 |
原则上的经济机制
这个原则,简化了设计和实施的安全机制。
的原则, 经济的机制,国家安全机制应尽可能简单。
如果一个设计和实施简单,更少的可能性存在错误。 检查及测试过程是那么复杂,因为更少的部件和案件需要进行测试。 复杂的机制,常常假设,对系统和环境,使他们运行。 如果这些假设不正确,安全问题可能造成的。
例如: ident公司议定书送使用者名称与一个进程,有一个tcp连接到一个远程主机。 一个机制,对东道国允许准入成果的基础上的一种辨识议定书结果使得假设,即原产主办,是可以信赖的队伍。 如果东道国b决定攻击主办,它可以连接,然后再发出任何身份,它选择在回应有关ident公司的要求。 这是一个例子,一个机制,使一个不正确假设,对环境(特别是东道国b的不可信) 。 |
接口到其他单元,尤其怀疑,因为模块往往隐含假设输入或输出参数或当前系统状态;若这些假设是错误的,该单元的行动可能会产生意想不到的,有错误的结果。 互动与外部实体,如其他节目,制度不健全,或人类,放大这个问题。
例如:手指议定书传递信息,一个用户或系统。 许多客户端的实现假定服务器上的反应是良好的形成。 但是,如果一个攻击者创造一个伺服器上产生了无限的意识流字,并用手指客户端被连接到它,客户端将打印所有字符。 因此,日志文件和磁盘可填满,造成拒绝服务攻击就质疑主持人。 这是一个例子,不正确假设输入到客户端。 |
原则完成调解
这个原则限制了缓存的信息,这往往导致更简单的实现机制。
的原则, 完成调解要求所有通道的物体加以核对,以确保它们是不允许的。
每当一个课题,试图读一个对象,操作系统应当进行调解的行动。 首先,它决定了,如果主题是不准阅读对象。 如果是的话,它提供了资源,为阅读发生。 假如受试图阅读对象再次,该系统应核对这一主题仍是不准阅读对象。 大多数系统不会作出第二次检查。 他们将缓存的结果了第一张支票,基地第二准入对缓存的结果。
例如:当一个unix进程试图读取一个文件时,操作系统决定,如果这一进程是不准阅读档案。 如果是的话,这一进程在接到file描述编码可以进入。 每当过程中要阅读文件,它提出了档案的descriptor给内核。 内核,然后允许准入。
如果业主的档案不允许过程中能够读取档案后,档案广义发出后,内核仍然允许准入。 这项计划违反了原则,完成调解的,因为第二通道并不有苦说不出。 缓存的价值是用,以致剥夺获得无效。 |
例如:域名服务( dns )暗藏信息映射主机名称到ip地址。 如果一个攻击者能够"毒药"快取记忆体植入纪录缔假ip地址与姓名,其中,主办单位将干线连接到另一个宿主错误。 |
原则上的开放式设计
这一原则表明,复杂性并不增加安全。
的原则, 开放式设计的国家安全,应该有一个机制不依赖于保密的,其设计或执行。
设计者和实施者的节目绝不能依赖于保密的细节,其设计和执行,以确保安全。 别人可以深挖出这样的细节,无论是通过技术手段,如拆卸与分析,或通过非技术手段,如通过对垃圾贮器的源代码列表(所谓的"垃圾-跳水" ) 。 如果强度该节目的安全取决于对无知的用户,有识者,用户可以打败这一安全机制。 而言, "安全通过模糊"抓住了这个概念到底。
这是特别真实的加密功能的软件及系统。 因为加密是一个高度数学学科,公司市场加密功能的软件或使用加密技术来保护用户数据,经常保持算法的秘密。 经验表明,这类秘密补充一点,如果没有系统安全。 更糟的是,它给出了一个不可挽回的实力,这是所有往往缺乏实际执行的制度。
保存密码钥匙和密码的秘密,并不违反这一原则的,因为关键不在于一种算法。 但是,保持加密和破译算法秘密将违反它。
问题的专有软件和商业机密复杂化实施这一原则。 在某些情况下,公司可能不想他们的设计公诸于众,以免他们的竞争对手使用它们。 原则,然后要求该方案的设计和实施提供人不得披露该公司以外。
例如:内容加扰系统( css的)是一个加密算法保护dvd电影光盘免受非法拷贝。 该dvd光盘有一个认证密钥,一个磁盘关键,所有权关键。 标题关键是加密与磁盘关键。 整了对dvd载有几本盘的关键,每一个加密由不同球员的关键,并校验磁盘的关键。 当一个dvd是插入到dvd播放机,该算法读取认证的关键。 然后deciphers磁盘钥匙用dvd播放机的独特的关键。 当它找到一个破译关键有了正确的散列,它的用途主要以破译职称关键,它使用的名称,关键破译这部电影。 认证和磁盘钥匙是不是设在该文件载有电影,所以,如果一个拷贝文件,其中一个还是需要dvd光盘,在dvd播放机,将能发挥应有的电影。 在1999年,一群在挪威获得了(软件)的dvd播放程序了一个unenciphered关键。 他们还得出一个算法完全兼容与css的算法,从软件。 这使他们能够破译任何dvd电影档案。 软件能够履行这些职能迅速成为整个互联网上,许多不适的dvd的版权管理协会,并迅速起诉,以防止代码被公开。 好像是为了强调问题,提供安全的隐藏算法中,原告律师提交了一份声明,其中包含源代码的一个执行的css的算法。 当她们一旦认识到这一问题,他们要求该宣言密封,从公众的视野。 届时,该声明已被张贴在几个互联网网站,其中一人已超过21,000下载的宣言之前,法院封存。 |
分立的原则,特权
这项原则是一种限制性的,因为它限制进入系统的实体。
分立的原则, 特权的国家制度,不应当给予许可基于单一的情况。
这个原则是相等于该职责分离的原则。 公司检查以上75,000元,必须由两名警务人员的公司。 如果任何一方不签字,核对说法并不成立。 这两个条件是签字的两名人员。
同样,在制度和程序批准获取资源,应该这样做,只有当一个以上的条件是满足。 这提供了一个细粒度的控制权,资源以及额外保证,即获得授权。
例如:柏克莱-基于版本的操作系统,用户不得改变,从他们的帐户,以从根本上户口,除非两个条件得到满足。 第一项条件是,用户知道root密码。 第二个条件是,用户是在车轮组(组的gid 0 ) 。 符合其中一个条件是不够的,以获取root权限;会见时双方的条件是必须的。 |
最小原则,共同机制
这项原则是一种限制性的,因为它限制了共享。
的原则, 至少有共同的机制,国家采用何种机制来获取资源,不应该大家分享。
资源共享提供了一个通道沿线,其中的信息可以传送,所以这种分享应尽量减少。 在实践中,如果作业系统,提供支持的虚拟机器,操作系统将执行这项特权,自动在一定程度上。 否则,将提供一定的支持(例如一个虚拟内存空间) ,但并没有完全的支持(因为文件系统将作为共用中的几个工序) 。
例如:一个网站,提供电子商务服务,为大公司。 攻击者想要剥夺该公司的收入将会得到来自该网站。 他们防洪工地与信息,并配合了电子商业服务。 合法用户无法进入该网站,因此,他们的生意别处。
在这里,分享的互联网与攻击网站造成攻击得逞。 适当的对策,将限制攻击者获得了部分互联网连接到网站上。 技术,这样做的,包括代理服务器,如普渡大学的syn中介或交通节流。 前者的目标嫌疑人的联系;后者降低了负荷就有关部分网络不分青红皂。 |
原则上的心理认
这一原则认识到人的因素,在计算机安全。
原则心理可接受的国家安全机制,不应该让资源更难以进入较如果安全机制不在场。
配置和执行程序应该那么容易,作为有良知的作为可能的,任何产品中,应该明确的,直接的,有益的。 如果与安全相关的软件过于复杂,如果配置,系统管理员可能会有意无意地成立了软件在座机的方式。 同样地,与安全相关的用户程序必须易于使用,而且必须输出可以理解的信息。 如果密码被拒绝,密码改变计划,应说明原因,它被否决,而不是让祖贝迪的错误信息。 如果一个配置文件中有一个不正确参数,错误信息,还应该叙述正确的参数。
例如: ssh的程式允许用户设立一个公共密钥机制,加密通信系统之间。 安装和配置机制unix版,让一个作出安排公共密钥被存储在本地,没有任何密码保护。 在这种情况下,一个不需要提供密码来连接到远程系统,但仍然取得了加密连接。 这个机制符合原则的心理接受程度。 |
另一方面,关于安全要求的信息传递,没有不必要的信息。
例如:当一个用户提供了错误的密码,在登录时,系统应该反对有人企图与消息指出,登录失败了。 如果它说,密码也不正确,用户就知道该帐户名称是合法的。 如果"使用者"的人实在是一个未经授权的攻击者,她便知道名字的户口,她可以试着去猜测密码。 |
在实践中,这一原则的心理接受程度,是解释为意味着该安全机制有可能会增加一些额外的负担,但这种负担必须既减至最低,而且是合理的。
例如:一个主机系统允许用户把密码文件。 查阅档案的需要,该计画供应密码。 虽然这一机制违反了原则声明,它被认为是足以最小可以接受的。 对一个互动的系统,那里的格局档案通道是更加频繁和更加短暂,这项规定将造成太大的负担是可以接受的。 |