网络信息安全工作相关的几个基本原则

蒋白白

已于 2024-01-24 18:18:58 修改

阅读量775

点赞数

文章标签：网络安全 web安全网络安全服务器

于 2023-04-14 10:29:02 首次发布

本文链接：https://blog.csdn.net/VN520/article/details/130147635

版权

文章讨论了网络安全的核心问题，强调了人的行为在安全中的关键作用。提出了四个基本原则：每个保护对象需有owner，最小权限原则，三权分立和责任到人。这些原则旨在限制非理性因素，减少权限滥用，增强资产保护，并提出责任追踪的重要性。同时，文章指出在实际操作中实施这些原则的挑战和复杂性。

摘要由CSDN通过智能技术生成

我们知道，安全的本质是人的安全。但所有学问一旦涉及到人将变得十分复杂，这也是安全至今难以成为一门真正的科学的原因。人是理性和非理性的综合体，难以琢磨。如果无法在一定程度上解决人的安全，那么安全进步则无从谈起。为了最大程度去掉影响安全的不可控因素，就需要有一些原则来制约人、制约人的非理性因素。

基本原则一：确保每个保护对象都需要有一个owner

在日常生活中，我们每个人都作为个体存在，对私有资源和公众资源负有完全不同的责任。我们的银行卡密码只有6位数字，但是可以认为它是很安全的，因为这是我们自己的个人资产，不会把密码主动告知他人。

我们的操作系统账户administrator的账户密码虽然很复杂，但几乎所有人都知道，因为这是公共账户，每个使用者都可以知道它的账号密码，但没有人会像对待自己银行卡密码一样的去谨慎保护。举个很简单的例子，比如A和B是最好的朋友，A在某一天给B说了一个秘密，并且保证不告诉别人。但真实情况往往是过不了多久，C、D、E都会知道，因为这个秘密跟B不相关，所以他不会对这个秘密负责。

所以为了最大化资源资产安全，我们需要为每一份受保护的资产分配一个owner，他对这份资产所有的一切负责，不论是有意或者无意的安全事件发生，即使这份资产是一个账户、一台终端、一个文件、一个数据库、一张表格，表格中的几行或者几个字段。可以认为只有确定了我的，你的，大家的，才可以开始安全之旅。如果一份资产没有定义和分配Owner，要保持这份资产的持续安全就会变得非常困难。

只有将责任人落实到实处，资产的持续安全才有保障，可以说如果一份资产没有定义和分配Owner，那么保持这份资产的持续安全将会变得非常困难。

一般情况下，生活中的你我他对自己拥有的资源或者资产拥有完全的处置权。但是网络世界中资源资产的owner往往是部分权力的让渡者，一般具有明确的权力边界，在让渡的权限范畴之内工作。网络世界中的资源资产的owner也不仅仅是生活中的人，可以是应用程序等计算机对象。当owner对象分配不是生活中的人时，我们往往需要再分配一个代理owner，让渡部分管理权力给代理owner，让其完成一些管理性工作。

基本原则二：最小权限原则

关于最小权限原则，可以说众所周知。安全从业者如果做不到最小权限分配必然存在着权限滥用和越权访问的风险。但遗憾的是，在现实生活中，最小权限几乎没有实践的可能性，成本太高甚至于完全不可实践。现代网络世界的账户体系，基于模仿生活世界的自由处置体系而完成：我对我所拥有的东西具有完全的处置权，最小权限原则在这里也因此完全失效。

不可否认，最小权限原则是个法宝，但要把这个法宝用好，确实不容易。首先要遵循基本原则一，也就是确保每个保护对象都有一个owner，只有确保了这一点你才能够对最小权限有更全面、正确的认知。对其有了认知以后，接下来就是要打破账户的自由处置体系，也就是要实现所谓的基本原则三：三权分立。