企业新闻

软件安全设计基本原则二

2018-04-08 17:13:18 | 来源:中培企业IT培训网

4)完全中立原则

每次主体对资源的请求,系统都应该实行认证和执行检查,特别是和安全相关的内容。 以避免错误的赋予主体过高的权限或者在第一次授予权限之后,主体被攻击之后攻击者滥用相关权限。为了提高性能,一些系统会缓存主体的权限,这种做法易使系统具有较高的安全风险。

5)心理可接受度原则

安全机制应该尽可能对用户透明,只引入少量的资源使用障碍,对用户友好,才台邕在使用时方便用户的理解和使用,真正起到安全防护的作用。如果安全机制妨碍了资源的可用性或使得资源难以获取,那么用户很可能会选择关闭这些安全机制或功禽彦。

6)默认故障处理保护原则

当系统失效或产生故障时,必须是以安全的方式来处理系统信息,系统故障处理默认应该是安全的设置。例如:即使丧失了可用性,也应该保障系统的机密性和完整性;故障发生时必须阻止未授权的用户获得访问权限;发生故障后,应该不向远程未授权的用户暴露敏感信息,如错误号和错误信息,服务器信息之类。

标签: 完全中立原则

猜你喜欢