安全设计原则基础概念主体主动访问客体被访问封闭与开放 同制造商专有标准、不同制造商相同标准开源与闭源职责分离Separation of Duties, SoD防止一个人“既能做事又能自己批准”纵深防御Defense in Depth不同层面叠加多道防线递进防护边界防火墙 主机防火墙特权蠕变(Privilege Creep)特权增加至远超所需权限违反最小特权原则Least Privilege确保CIA概念中文核心作用通俗理解安全目标1Bounds界限限定内存/逻辑范围“每个进程有自己的地盘”防止越界访问2Confinement限定限制进程访问特定资源“只能看指定文件/资源”控制访问范围3Isolation隔离进程之间完全不能互相干扰“你是你我是我”防止横向攻击4访问控制 Access Controls5信任与保证 Trust and Assurance技术(并列)Full Name核心定位备注Data Masking数据遮盖掩盖信息Card: **** **** **** 3456Encryption加密用密钥将数据变为密文最通用保护方式必须解密才能用De-identification去标识化去除直接身份信息但保留数据结构“字段组合起来” 猜是谁Anonymization匿名化完全去除身份关联不可逆无法识别个人Pseudonymization假名化用假ID(hash/编码/加密) 替换真实身份能对应到人侧重身份替换Tokenization令牌化(hash)用随机token替代敏感数据侧重回溯追踪注意哈希是密码学方式不是加密方式其与加密并列133****0776属于假名化而非遮盖安全默认Secure by Default限制性安全 默认是最安全的故障安全状态含义安全含义Fail-Open放行保证可用性:防火墙流量通过Fail-Closed拒绝保障机密性:防火墙不再转发流量类型失败结果目标Fail-Soft降级但继续运行可用性Fail-Safe安全状态停机/锁定避免伤害人优先Fail-Secure防护状态保护数据设备优先保持简单KISS Keep It Simple, Stupid环境、产品尽量简单DRY Don’t Repeat Yourself避免冗余代码Computing Minimalism精简设计减少资源消耗Rule of Least Power用能力刚好够、别太强的语言Worse is Better功能少则越安全YAGNI You Aren’t Gonna Need It不编写除非用得到信任但验证 与 0信任一次验证就信任始终验证注意IP等容易伪造(7原则)设计隐私Privacy by Design原则中文含义核心解释Proactive not Reactive主动而非被动预防而非补救事前防护而非事后修复Privacy as Default默认保护隐私不需要用户设置默认就是隐私安全Privacy Embedded隐私嵌入式设计系统架构时考虑到隐私Full Functionality完整功能非零和隐私和功能同时实现End-to-End Security端到端生命周期保护数据全生命周期保护端到端安全Visibility Transparency可见性和透明性用户/审计者知道“数据如何被使用”Respect for User Privacy尊重用户隐私用户利益为核心SDLC:Software Development Life Cycle安全访问服务边界 Secure Access Service Edge(SASE)SASE 是一个将网络安全功能与广域网WAN功能相结合的框架采用云原生架构以身份为核心通过零信任网络访问ZTNA实现利用边缘计算提高用户访问速度并持续监控用户行为和网络状况涵盖了 SD-WAN、FWaaS、CASB、WAF、DLP、IDS/IPS 等解决方案。SASE将网络连接(WAN)与安全检测同步完成部署在服务商节点不靠本地硬件支持。不靠内网网线区分信任而是围绕使用者身份管控权限依靠零信任 ZTNA 技术完成身份校验与访问控制。就近本地边缘节点完成SD-WAN 加速、防火墙查杀、权限校验并持续监控用户行为和网络状况缩写全称核心作用通俗理解SD-WANSoftware-Defined WAN智能选路的“云网络管道”让流量走最快路径FWaaSFirewall as a Service云防火墙控制谁能访问谁CASBCloud Access Security Broker管云应用如Google Drive、Office365防数据乱传WAFWeb Application FirewallWeb防火墙保护网站/API免受攻击SQL注入等DLPData Loss Prevention防数据泄露防止敏感数据被拷走/外发IDS/IPSIntrusion Detection/Prevention System入侵检测/阻断发现并拦截攻击行为安全模型Token访问前携带权限TCB(实现载体)Security PerimeterTCB具有[假想的]安全边界(Security Perimeter)可信路径(Trusted Path)保证用户安全与TCB通信Reference Monitor负责执行监视并校验“主体对资源进行访问引用”的安全机制Reference引用 即 发起访问请求Security Kernel实现Reference Monitor功能的最小组件集合1.访问控制模型DAC(Discretionary Access Control)资源所有者自己定权限访问控制矩阵HR_Salary.xlsx CodeRepo Server_ConfigAlice(HR)R/W--Bob(Dev)-R/W RCarol(Admin)R R/W R/W行(Capability List) 该Subject能访问什么列(访问列表ACL) 该Object 允许哪些主体访问以及访问权限是什么MACMandatory Access Control系统强制控制用户不能改Security Label安全标签Clearance用户等级RBACRole-Based Access Control基于角色而非用户2.信息流模型关注信息流向解决隐蔽通道问题状态机模型它在任意时刻只处于一个状态输入事件后按照规则由当前状态跳转到下一个状态信息流模型 状态机 安全规则约束不允许非法信息流动非法信息机密信息泄露、不可信信息录入、侧信道泄露非干扰模型非干扰不是“无影响”而是“不可观测的影响”高权限行为可以存在但 其对系统的影响 不能 被低权限用户观测组合理论小的安全组合不一定安全HR系统 → 财务系统 → 审批系统 → 日志系统Cascading A输出是B的输入风控系统 用户行为系统Feedback A是输出是B的输入B的输出是A的输入应用程序产生日志 影响 本地存储系统和监控系统Hookup A输出是B和C的输入Biba 和Bell-LaPadula模型左读右写Biba完整性 禁止/形状——————————————— 高Top Secret ——————————————— ↑✔可读上 ↑❌不能上写 主体 ↓❌不能下读 ↓✔可下写 ——————————————— 低Public ———————————————Bell-LaPadula保密性 禁止\形状——————————————— 高Top Secret ——————————————— ↑❌不能上读 ↑✔可上写 主体 ↓✔可下读 ↓❌不能下 ——————————————— 低Public ———————————————Clark-Wilson模型主体无法直接访问对象Constrained Data Item(受保护的)/Unconstrained(不受保护的)TP(Transformation Procedure) 类似API只能通过it改程序IVP(Integrity Verification Procedure) 检查数据是否仍然可信Brewer and Nash模型Ethical Wall、Cone of Silence动态访问控制 防利益冲突”的安全模型,防止同一个人访问“存在竞争关系的数据”根据系统安全要求挑选控制CC 能不能信任ATO 能不能上线通用准则Common CriteriaISO/IEC 15408:2022 就是修订的CC评价一个产品“声称的安全能力是否真的实现”CC的目标买家放心、卖家产品市场接受统一安全测试和评估标准后降低评估成本、提升效率评估目标Target of Evaluation(TOE)关键要素Protection Profiles(客户需求)和Security Targets(厂商声明)评估保证级别(Evaluation Assurance Levels)TOE是被评估的对象SFR(Function )描述功能SAR(Assurance)合称EAL描述这些功能被信任的程度。EAL等级特点应用EAL1基本测试非关键系统EAL2结构测试一般商用EAL3方法测试企业系统EAL4严格设计审查⭐最常见EAL5半形式化高安全金融/政府EAL6更强形式化军事级EAL7完全形式化极端高安全授权运营ATO Authorization to Operate授权官AOAuthorization Official在知晓并评估风险后决定是否接受风险并批准系统投入运行ATO。Designated Approving Authority/Authorizing AuthoritySecurity Control AssessorRisk Owner决策人话结果操作授权ATO可以上线系统运行通用控制授权认可无需重复评估的部分控制复用使用授权信任别人已批准允许使用拒绝授权风险太高禁止运行企业实施了安全控制对控制措施进行了内部验证(Certification)然后对控制措施有了信心和保证(Assurance)委托第三方进行测试验证(Verification)最后企业管理层通过鉴定(Accreditation)验收结果。系统安全能力内存保护 防止越界访问、缓冲区攻击虚拟化 隔离环境TPM Trusted Platform Module 硬件级安全芯片TCB是软硬件集合接口 API容错 出错也不会崩加解密管理信息系统生命周期2
Domain3-2 安全模型
安全设计原则基础概念主体主动访问客体被访问封闭与开放 同制造商专有标准、不同制造商相同标准开源与闭源职责分离Separation of Duties, SoD防止一个人“既能做事又能自己批准”纵深防御Defense in Depth不同层面叠加多道防线递进防护边界防火墙 主机防火墙特权蠕变(Privilege Creep)特权增加至远超所需权限违反最小特权原则Least Privilege确保CIA概念中文核心作用通俗理解安全目标1Bounds界限限定内存/逻辑范围“每个进程有自己的地盘”防止越界访问2Confinement限定限制进程访问特定资源“只能看指定文件/资源”控制访问范围3Isolation隔离进程之间完全不能互相干扰“你是你我是我”防止横向攻击4访问控制 Access Controls5信任与保证 Trust and Assurance技术(并列)Full Name核心定位备注Data Masking数据遮盖掩盖信息Card: **** **** **** 3456Encryption加密用密钥将数据变为密文最通用保护方式必须解密才能用De-identification去标识化去除直接身份信息但保留数据结构“字段组合起来” 猜是谁Anonymization匿名化完全去除身份关联不可逆无法识别个人Pseudonymization假名化用假ID(hash/编码/加密) 替换真实身份能对应到人侧重身份替换Tokenization令牌化(hash)用随机token替代敏感数据侧重回溯追踪注意哈希是密码学方式不是加密方式其与加密并列133****0776属于假名化而非遮盖安全默认Secure by Default限制性安全 默认是最安全的故障安全状态含义安全含义Fail-Open放行保证可用性:防火墙流量通过Fail-Closed拒绝保障机密性:防火墙不再转发流量类型失败结果目标Fail-Soft降级但继续运行可用性Fail-Safe安全状态停机/锁定避免伤害人优先Fail-Secure防护状态保护数据设备优先保持简单KISS Keep It Simple, Stupid环境、产品尽量简单DRY Don’t Repeat Yourself避免冗余代码Computing Minimalism精简设计减少资源消耗Rule of Least Power用能力刚好够、别太强的语言Worse is Better功能少则越安全YAGNI You Aren’t Gonna Need It不编写除非用得到信任但验证 与 0信任一次验证就信任始终验证注意IP等容易伪造(7原则)设计隐私Privacy by Design原则中文含义核心解释Proactive not Reactive主动而非被动预防而非补救事前防护而非事后修复Privacy as Default默认保护隐私不需要用户设置默认就是隐私安全Privacy Embedded隐私嵌入式设计系统架构时考虑到隐私Full Functionality完整功能非零和隐私和功能同时实现End-to-End Security端到端生命周期保护数据全生命周期保护端到端安全Visibility Transparency可见性和透明性用户/审计者知道“数据如何被使用”Respect for User Privacy尊重用户隐私用户利益为核心SDLC:Software Development Life Cycle安全访问服务边界 Secure Access Service Edge(SASE)SASE 是一个将网络安全功能与广域网WAN功能相结合的框架采用云原生架构以身份为核心通过零信任网络访问ZTNA实现利用边缘计算提高用户访问速度并持续监控用户行为和网络状况涵盖了 SD-WAN、FWaaS、CASB、WAF、DLP、IDS/IPS 等解决方案。SASE将网络连接(WAN)与安全检测同步完成部署在服务商节点不靠本地硬件支持。不靠内网网线区分信任而是围绕使用者身份管控权限依靠零信任 ZTNA 技术完成身份校验与访问控制。就近本地边缘节点完成SD-WAN 加速、防火墙查杀、权限校验并持续监控用户行为和网络状况缩写全称核心作用通俗理解SD-WANSoftware-Defined WAN智能选路的“云网络管道”让流量走最快路径FWaaSFirewall as a Service云防火墙控制谁能访问谁CASBCloud Access Security Broker管云应用如Google Drive、Office365防数据乱传WAFWeb Application FirewallWeb防火墙保护网站/API免受攻击SQL注入等DLPData Loss Prevention防数据泄露防止敏感数据被拷走/外发IDS/IPSIntrusion Detection/Prevention System入侵检测/阻断发现并拦截攻击行为安全模型Token访问前携带权限TCB(实现载体)Security PerimeterTCB具有[假想的]安全边界(Security Perimeter)可信路径(Trusted Path)保证用户安全与TCB通信Reference Monitor负责执行监视并校验“主体对资源进行访问引用”的安全机制Reference引用 即 发起访问请求Security Kernel实现Reference Monitor功能的最小组件集合1.访问控制模型DAC(Discretionary Access Control)资源所有者自己定权限访问控制矩阵HR_Salary.xlsx CodeRepo Server_ConfigAlice(HR)R/W--Bob(Dev)-R/W RCarol(Admin)R R/W R/W行(Capability List) 该Subject能访问什么列(访问列表ACL) 该Object 允许哪些主体访问以及访问权限是什么MACMandatory Access Control系统强制控制用户不能改Security Label安全标签Clearance用户等级RBACRole-Based Access Control基于角色而非用户2.信息流模型关注信息流向解决隐蔽通道问题状态机模型它在任意时刻只处于一个状态输入事件后按照规则由当前状态跳转到下一个状态信息流模型 状态机 安全规则约束不允许非法信息流动非法信息机密信息泄露、不可信信息录入、侧信道泄露非干扰模型非干扰不是“无影响”而是“不可观测的影响”高权限行为可以存在但 其对系统的影响 不能 被低权限用户观测组合理论小的安全组合不一定安全HR系统 → 财务系统 → 审批系统 → 日志系统Cascading A输出是B的输入风控系统 用户行为系统Feedback A是输出是B的输入B的输出是A的输入应用程序产生日志 影响 本地存储系统和监控系统Hookup A输出是B和C的输入Biba 和Bell-LaPadula模型左读右写Biba完整性 禁止/形状——————————————— 高Top Secret ——————————————— ↑✔可读上 ↑❌不能上写 主体 ↓❌不能下读 ↓✔可下写 ——————————————— 低Public ———————————————Bell-LaPadula保密性 禁止\形状——————————————— 高Top Secret ——————————————— ↑❌不能上读 ↑✔可上写 主体 ↓✔可下读 ↓❌不能下 ——————————————— 低Public ———————————————Clark-Wilson模型主体无法直接访问对象Constrained Data Item(受保护的)/Unconstrained(不受保护的)TP(Transformation Procedure) 类似API只能通过it改程序IVP(Integrity Verification Procedure) 检查数据是否仍然可信Brewer and Nash模型Ethical Wall、Cone of Silence动态访问控制 防利益冲突”的安全模型,防止同一个人访问“存在竞争关系的数据”根据系统安全要求挑选控制CC 能不能信任ATO 能不能上线通用准则Common CriteriaISO/IEC 15408:2022 就是修订的CC评价一个产品“声称的安全能力是否真的实现”CC的目标买家放心、卖家产品市场接受统一安全测试和评估标准后降低评估成本、提升效率评估目标Target of Evaluation(TOE)关键要素Protection Profiles(客户需求)和Security Targets(厂商声明)评估保证级别(Evaluation Assurance Levels)TOE是被评估的对象SFR(Function )描述功能SAR(Assurance)合称EAL描述这些功能被信任的程度。EAL等级特点应用EAL1基本测试非关键系统EAL2结构测试一般商用EAL3方法测试企业系统EAL4严格设计审查⭐最常见EAL5半形式化高安全金融/政府EAL6更强形式化军事级EAL7完全形式化极端高安全授权运营ATO Authorization to Operate授权官AOAuthorization Official在知晓并评估风险后决定是否接受风险并批准系统投入运行ATO。Designated Approving Authority/Authorizing AuthoritySecurity Control AssessorRisk Owner决策人话结果操作授权ATO可以上线系统运行通用控制授权认可无需重复评估的部分控制复用使用授权信任别人已批准允许使用拒绝授权风险太高禁止运行企业实施了安全控制对控制措施进行了内部验证(Certification)然后对控制措施有了信心和保证(Assurance)委托第三方进行测试验证(Verification)最后企业管理层通过鉴定(Accreditation)验收结果。系统安全能力内存保护 防止越界访问、缓冲区攻击虚拟化 隔离环境TPM Trusted Platform Module 硬件级安全芯片TCB是软硬件集合接口 API容错 出错也不会崩加解密管理信息系统生命周期2
