软件安全设计基本原则二
2018-04-08 17:13:18 | 来源:中培企业IT培训网
4)完全中立原则
每次主体对资源的请求,系统都应该实行认证和执行检查,特别是和安全相关的内容。 以避免错误的赋予主体过高的权限或者在第一次授予权限之后,主体被攻击之后攻击者滥用相关权限。为了提高性能,一些系统会缓存主体的权限,这种做法易使系统具有较高的安全风险。
5)心理可接受度原则
安全机制应该尽可能对用户透明,只引入少量的资源使用障碍,对用户友好,才台邕在使用时方便用户的理解和使用,真正起到安全防护的作用。如果安全机制妨碍了资源的可用性或使得资源难以获取,那么用户很可能会选择关闭这些安全机制或功禽彦。
6)默认故障处理保护原则
当系统失效或产生故障时,必须是以安全的方式来处理系统信息,系统故障处理默认应该是安全的设置。例如:即使丧失了可用性,也应该保障系统的机密性和完整性;故障发生时必须阻止未授权的用户获得访问权限;发生故障后,应该不向远程未授权的用户暴露敏感信息,如错误号和错误信息,服务器信息之类。
- 上一篇:软件安全设计基本原则一
- 下一篇:软件安全设计基本原则三
猜你喜欢
预约领优惠
在线预约,领取限时优惠!