网络安全网络攻击手段分析与对策.pptVIP

攻击/侵扰的工程师 当设计系统时，一定要包括可以对假 定的攻击和侵扰进行断定的真实的仪器 仪器应该 安全的记录潜在的攻击和侵扰信息 不将自己暴露给敌手 不向系统添加攻击 使用最小的权限 为你的系统授予它可以进行操作所能使用 的最小的权限 在任何一个给定点处获得和丢弃权限，系统 只具有完成它正忙于的任务的权限 用户权限的分离 如果你的系统需要在不同的时间具有不 同的权限，那么，就可以考虑将系统分割 成几个清楚的互相联系的子系统，每个子 系统具有一个适当的最小权限设置 请记得通道将会增加攻击的新的通路 在最小通道和权限分割上需要一个适 当的平衡 使用最小功能性 使你的系统包括它所需要的最小的功能性 附加功能，甚至是睡眠状态，都代表着附加的攻击 可能是由于代码的增加的行数 可能是由于里面包含的攻击 可能是由于无意识代码的路径 可能是由于激活无意识功能的方式 主动的限制一个过度的功能性子系统的功能，可 能会非常的昂贵并且还可能会导致错误的发生 调停所有的操作 调停（提出）在所有的对象上的所有的操作 即使是没有明显的敏感数据的操作 潜在的将来的再次使用需要它 对于透明的调停可以使用“把柄” 一定不要为对象内部的返回实指针 一定不要相信回叫功能或者是对象 使用行人愉快的界面 用户具有足够的创造性来规避令人讨 厌的界面 如果界面必须是限制性的，那么，它 们必须得是完美的限制，而不是只是令人 气馁的限制 穿过界面的自动化的攻击可能会战胜许 多明显的限制 使用多重正交鉴定证书 使你的系统需要双因素鉴定 有些是你有的 有些是你知道的 两个相互独立的鉴定因素两个相互独立的鉴定因素应该按照重要度来排序，而回避这些会更加困难。 使用实际的鉴定时一定要非常小心 生物测定学（Biometric） GPS 直接的实际地址 只从安全得到保证的通道输入 使得系统只从已经进行过完全的鉴定的通道 输入 许多通道是可以信任的，并且它的鉴定是不 可能的，所以小心以下几点 信号 被装载器映射的共享的库 系统的调用 如果你的系统真的是敏感的，那么，需要重 新鉴定而不是为了鉴定而接受环境的命令 只从安全得到保证的通道输出 使得系统只从已经进行过完全的鉴定 的通道输出 让系统从没有经过鉴定的通道输出， 不管输出是什么，实际上，就是一种对保 密性的侵害 保证微观操作 当一系列的操作不能被中断时，就确保它们不会被中断 使用任何的需要的“设备”来确保这一点 操作的不同的顺序 用具有相同的结果但是却没有（或者是较少的）次序要求的操作来代替 互斥体，旗语，以及其它的同时控制设备 分布式的事物处理服务程序 当没有其它的可能时，就减少序列 将秘密安全的存储 将秘密安全的存储几乎是不可能的 如果根本不可能，那么就要避免存储它们 如果你必须存储它们，为了这个目的，可 以使用“设备”设计和检验 密钥环 （keyring） 智能卡 （smartcard） 强大的编密码 使用默认的拒绝 将你的系统设计成，可以根据所知道的什么 是安全和正确的，来有选择性的允许｛操作，输 入｝ 否认所有其它的 一定不要试图将坏的东西“过滤”掉 今天是坏的东西明天就不一定还是坏的 仅仅重新使用保证代码 请一定要非常小心地重新使用代码 你可以重新使用下述的代码： 你为相同安全水平所编写的代码 你已经为相同的安全水平进行了完全的再检查的代码 你所信任的人所写的代码，其中，这个代码和你需要的代码具有相同的安全水平 跨边界委托要非常小心 如果你的系统必须得将某些操作委托给其它的系统，那么请留意 以下几点： 用较高的权限委托其它的系统 用更严格的安全策略委托其它的系统 － 它们比你的系统具有更高的敏感度，所以它们很可 能会自我保护的非常好 避免使用较低的权限或者是松的安全策略委托系统 － 它们将不太可能会以你所希望的你的数据的处理方式，来处理 任何输入/输出 － 如果你必须得委托给这样一个系统，那么，一定要确保以合适 的方式处理好通往/来自那个系统的通道 － 尤其适用于没有安全边界的系统 只使用私人存储区 对于那些其他人也可以从中读取数据的持久的存储 区，永远都不要写入任何东西 这就减少了敏感数据泄露的可能性 对于那些其他人也可以从中写入数据的持久的存储 区，永远都不要读取任何东西 这就减少了你的系统的“内部的”