安全(Security)设计原则（2）

Security Capability and Intrinsic Behavior /安全的能力与行为

安全的能力与行为相关的设计原则是指：为实现安全，必须要定义、设计和实施的系统行为。这些行为通常体现在系统安全需求中。 图片

1. Continuous Protection /持续不间断保护

持续不间断保护原则是指：实施安全策略的组件或数据，需要被持续的不间断的保护。

例如，在如下场景时，都需要考虑持续不间断保护：

数据处于不同状态时，如：数据创建、存储、处理或通信时

系统处于不同运行模式时，如：初始化、执行、故障、中断和关机

不同配置模式下运行的系统，如：完全能力运行模式、部分能力运行模式、降级运行模式等

2. Secure Metadata Management /安全元数据管理

元数据(Metadata)是指：描述数据的数据。例如：“文件名”、“文档创建日期”是用来描述“文件”数据的数据，是元数据。

安全元数据管理原则是指：数据的描述性信息（元数据）亦应基于风险分析做相应的保护。

元数据也需要有保密性、完整性、可用性的保护措施。

3. Self-Analysis /自我评估

自我评估原则是指：组件应提供自身运行期的功能和状态的评估能力。

系统应提供”高可信组件”检验”低可信度组件”的能力，以保护其完整性和正确性。

例如：处于高层次的低可信度的A组件调用处于低层次的高可信的B组件时，B组件检查A组件的数据完整性和功能正确性。

这个原则可以在一定程度上防止外部引入错误、内部故障或瞬态错误，避免错误或故障的影响传播到外部。

4. Accountability and Traceability /问责和追溯

问责和追溯原则是指：系统应能够标识行为的发起者（主体），并记录其详细操作。

应用本原则可以对安全事件的分析提供支持。并且将操作与实体相关联，并最终与用户相关联，这提供了不可否认性(non-repudiation)。

上一篇文章中提到的“最小特权原则”由于增加了责任颗粒度，会有助于追踪操作。

为了保证记录的真实性，主体应做真实性保护，如：采用多因子认证等措施。

5. Secure Defaults /安全默认配置

安全默认配置原则是指：系统的初始化配置(即默认配置)，应遵循“除非明确授权否则拒绝”的保守性的安全策略。

本原则要求系统、子系统或组件的任何“出厂”配置不得有助于违反安全策略，进而确保系统能够在建立预期安全策略和配置之前防止安全漏洞。

6. Secure Failure and Recovery /失效和恢复

失效和恢复原则是指：不能因功能失效而使得安全失效，不能因功能恢复而使得安全失效。

这一原则与“[1. Continuous Protection /持续不间断保护]”原则类似，是确保系统在任何状态（即初始化、正常运行、关机和维护）时的安全失效检测和恢复操作，都需要确保不违反安全策略。

检测到安全失效后，系统可以：

重新配置以绕过故障组件，并提供系统的全部或部分功能，或完全关闭自身以防止进一步的安全失效。

回滚(Rollback)至安全状态(SecurityState)，然后关闭或更换发生故障的服务或组件，以恢复安全操作。

采用“纵深防御(Defense in depth)”的保护策略时，可以在一定程度上保证系统在安全状态下持续运行。

7. Economic Security /经济考虑

经济考虑原则是指：安全投入不应高于该安全问题可能带来的损失。

本原则是阻止采用过于安全的安全机制。（通常来说，过于安全的安全机制，代表了更高的成本）

8. Performance Security /性能

性能原则是指：安全机制不应带来不必要的性能下降。

系统性能和安全要求，需要准确描述和排定优先级，并在相关方之间达成一致。

例如：选择合适的与安全要求匹配的加密算法。（而不是选择一个需要很大算力的过于安全的，影响系统性能的加密算法）

9. Human Factored Security /人为因素

人为因素原则是指：与安全相关的用户界面应直观、用户友好，并对用户行为操作给出适当反馈。

安全机制不应对用户造成干扰、不应降低用户效率，当用户做出不安全操作时，应该向用户提供有意义、清晰、相关的反馈和警告。

系统操作和管理员往往具有较高权限，当其对系统进行配置和管理时，需要能够理解其操作/配置的影响。

10. Acceptable Security /用户可接受

用户可接受原则是指：系统的隐私级别和性能应符合用户期望。

当系统无法满足用户隐私和性能要求时，用户可能会选择不使用系统，或者以低效甚至不安全的方式使用系统。