三大原则:
Secure By Default原则
(1)黑名单、白名单思想
白名单解析
·只对需求进行放行
·即只对某一部分要使用的接口进行放行,其他端口封闭
·如,网站只提供web服务,那么正确的做法是只允许网站服务器的80和443端口对外提供服务,屏蔽除此之外的其他端口
黑名单解析
·只对威胁进行隔离
·即开放所有端口,只对会威胁服务器安全的部分端口进行隔离
·如:当不允许ssh端口对Internet开放,那么就要审计ssh默认端口“22号端口”是否开放了Internet。而不去对其他端口进行检测
在设计安全方案时,最基本也最重要的原则就是“Secure By Default原则”。
在做任何安全设计时,都要牢记这个原则。
一个方案的安不安全,与用不用这个原则有很大关系
其实,两种思想对比,白名单明显比黑名单要安全。
但记住,白名单的前提是对白名单内事物的信任基础。
当白名单内的事物不再可信,这将对安全策略造成毁灭性打击
即,当白名单内有人员造反,工程师将对其无任何招架之力,比黑名单被攻破更加无解
(2)最小权限原则
即要求系统只授予主体必要的权限,而不要过度授权,这样能有效的减少系统、网络、应用、数据库出错的可能
纵深防御原则
第一层含义:要在不同层面、不同方面实施安全方案,避免出现局部的疏漏,且不同方案之间要相互配合,构成一个整体
纵深防御不是同一个安全方案重复多次,而是从不同层面设计多个不同角度的方案,去对系统进行多方位、立体式的检测和加固,即“木桶理论”
比较常见的防御方向,有web应用安全、OS系统安全、数据库安全、网络环境安全等
将这几个方向各设立一个安全策略,然后进行组合,化作一个整体,才是一个完整的安全方案
第二层含义:要在正确的地方做正确的事:在解决根本问题的地方实施针对性的计划
即,深入理解威胁的本质,从而做出正确的应对措施
数据与代码分离原则
·程序在栈或者堆中,将用户数据当做代码来执行,混淆了代码与数据的边界,从而引发安全问题的发生
·此原则在实际应用中,即是将由用户提交的代码,采用过滤、编码等手段,把可能造成代码混淆的用户数据清除掉,再将过来过 的代码交给浏览器等应用处理,避免注入手段等引起的错误
·即使从漏洞成因上看问题
不可预测性原则
·从克服攻击方法的角度看问题
·当有一些已知的code,发现从当下的科技手段无法抹去时,让对方的攻击变得无效,那么也算是一种成功的防御
例如,一些基于地址的攻击手段,防御方如果将地址隐藏或者使地址不断发生改变,使攻击方无法获取地址,这也算一种防御的 成功
·而,将地址不断发生变化,对于攻击者来说,就是不可预测性
·而不可预测性的实现,常常要与加密算法、哈希算法、随机数算法相结合