互联网计算机遵循原则,互联网安全策略的实施需要遵循哪些原则

随着互联网的不断发展，企业对网络安全的关注程度也在不断的提高，下面我们就一起来了解一下，安全策略的实施需要遵循哪些原则。

1、Secure By Default 原则

设计安全方案的基本原则，中文翻译“默认安全”不太好理解，其实就包含两层含义：白名单/黑名单思想，和小权限原则。

两者从字面就比较好理解，这里必须特别强调一下“尽量更多的使用白名单，少用黑名单”，这样可以保证安全的范围可控，权限小。

比如制定Web服务器的防火墙策略，正确做法是只开放80和443端口，屏蔽除此之外的其他端口，这就是“白名单”做法。而如果使用“黑名单”，假设不允许SSH端口对公网开放，那策略可能只把默认的22端口放入了黑名单中，万事大吉了么?实际情况是，工程师为了偷懒或者图方便，私自把SSH的监听端口改成了2222，绕过了黑名单策略。懵逼了吧?

2、纵深防御原则

Defense in Depth

也是设计安全方案的重要指导思想。就像你不光在HMTL表单上有JS的字段校验，服务端也有校验，达到层层过滤的效果。因为在一个环节设置所有的防御措施是不可能的，把风险分散到各个层面进行拦截也不失为一种稳妥的办法。

3、数据与代码分离原则

大多数“注入”引发的安全问题都是违背了这个原则，比如“SQL注入”就是把不合法的用户输入拼接起来进行了非法的数据库操作。其他类似XSS,

CRLF注入亦同。

4、不可预测原则

该原则与前面三种不同，更多的是从克服攻击方法的角度看问题。它就妙在即使无法修复code来保证安全，我也能够使攻击的方法无效，或者只是提高攻击的门槛，都可以算做成功的防御。

比如论坛的帖子序号假设是升序自增长的，那么攻击者想要批量删除文章，脚本只要简单的递增循环就搞定了。但如果按照“不可预测”原则，帖子的序号是随机的类似uuid的不可预测值，那必然提高了攻击者遍历所有帖子序号的门槛。

【免责声明】本文系本网编辑部分转载，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与管理员联系，我们会予以更改或删除相关文章，以保证您的权益!