网络安全原则

英国互联网行业和政府认识到需要制定一系列指导原则，以改善 ISP 客户的在线安全并限制网络攻击的增加。为此目的，网络安全涵盖了对在线连接或存储的基本信息、流程和系统，以及对人员、技术和物理领域的广泛关注。

这些原则认识到，ISP（和其他服务提供商）、互联网用户和英国政府都在最大限度地减少和减轻使用互联网固有的网络威胁方面发挥作用。

制定这些指导原则是为了应对这一挑战，提供一种一致的方法来帮助、告知、教育和保护 ISP（互联网服务提供商）的客户免受在线犯罪的侵害。这些指导原则是 aspirational 的，由政府和 ISP 合作开发和交付。他们认识到 ISP 拥有不同的客户群，提供不同级别的支持和服务，以保护这些客户免受网络威胁。

下面描述了一些基本的网络安全原则 -

1. 机制经济性
2. 故障安全默认
3. 最小权限
4. 开放设计
5. 完全中介
6. 权限分离
7. 最少共同机制
8. 心理可接受性
9. 工作量
10. 妥协记录

1. 机制经济性

此原则规定，安全机制应尽可能简单和精简。机制经济性原则简化了安全机制的设计和实现。如果设计和实现简单且精简，则出现错误的几率较小。检查和测试过程也比较简单，因此需要测试的组件更少。

安全模块之间的接口是可疑区域，应尽可能简单。因为接口模块通常会对输入或输出参数或当前系统状态做出隐式假设。如果这些假设有任何错误，模块的操作可能会产生意想不到的结果。简单的安全框架有助于开发人员和用户理解它，并支持对其执行方法的高效开发和验证。

2. 故障安全默认

故障安全默认原则规定，系统的默认配置应具有保守的保护方案。此原则还限制了在创建主体或对象时特权的初始化方式。每当未明确授予访问权限、特权/权利或某些与安全相关的属性时，它都不应授予对该对象的访问权限。

示例： 如果我们将新用户添加到操作系统，则该用户的默认组应具有对文件和服务的较少访问权限。

3. 最小权限

此原则规定，用户应仅拥有完成其任务所需的那些特权。它的主要功能是控制授予用户的权利的分配，而不是用户的身份。这意味着，如果老板要求您管理的 UNIX 系统的 root 访问权限，则不应向其授予该权利，除非他/她有一个需要该级别访问权限的任务。如果可能，应在不再需要用户身份的提升权限后立即将其删除。

4. 开放设计

此原则规定，机制的安全性不应取决于其设计或实现的秘密性。这表明复杂性不会增加安全性。此原则与被称为“通过模糊性实现安全性”的方法相反。此原则不仅适用于密码或加密系统等信息，还适用于其他与计算机安全相关的操作。

示例： DVD 播放器和内容加扰系统 (CSS) 保护。CSS 是一种加密算法，用于保护 DVD 电影光盘免受未经授权的复制。

5. 完全调解

完全调解原则限制了信息的缓存，这通常会导致更简单的机制实现。此原则的思路是，必须检查对每个对象的访问，以确保其符合保护方案，以确保允许它们。因此，应谨慎使用提高性能的技术，这些技术会保存先前授权检查的详细信息，因为权限可能会随着时间的推移而改变。

每当有人尝试访问对象时，系统都应验证与该主体关联的访问权限。该主体的访问权限在初始访问时验证一次，对于后续访问，系统假定应接受该主体和对象的相同访问权限。操作系统应调解对对象的每次访问。

示例： 在线银行网站应要求用户在一定时间后（例如，经过 20 分钟后）重新登录。

6. 权限分离

此原则规定，系统应根据满足多个条件来授予访问权限。此原则也可能具有限制性，因为它将访问权限限制为系统实体。因此，在授予权限之前，应执行两个以上的验证。

示例： 要 su（更改）到 root，必须满足两个条件 -

• 用户必须知道 root 密码。
• 用户必须在正确的组（wheel）中。

7. 最少共同机制

此原则规定，对于具有多个用户的系统，应尽可能减少允许多个用户共享资源的机制。此原则也可能具有限制性，因为它限制了资源共享。

示例： 如果需要多个用户访问文件或应用程序，则这些用户应使用单独的通道访问这些资源，这有助于防止可能导致安全问题的无法预见的后果。

8. 心理可接受性

此原则规定，如果不存在安全机制，则安全机制不应使访问资源变得更加复杂。心理可接受性原则认识到计算机安全中的人为因素。如果与安全相关的软件或计算机系统过于复杂，难以配置、维护或操作，用户将不会使用必要的安全机制。例如，如果密码在密码更改过程中匹配，则密码更改程序应说明拒绝的原因，而不是给出隐晦的错误消息。同时，应用程序不应提供可能导致安全漏洞的不必要信息。

示例： 当我们输入错误的密码时，系统应该只告诉我们用户 ID 或密码不正确。它不应该告诉我们只有密码是错误的，因为这会给攻击者提供信息。

9. 工作量

此原则规定，在设计安全方案时，应将规避安全机制的成本与潜在攻击者的资源进行比较。在某些情况下，规避的成本（“称为工作量”）很容易计算。换句话说，工作量是一种常见的加密测量方法，用于确定给定密码的强度。它不会直接映射到网络安全，但总体概念确实适用。

示例： 假设尝试所有可能的四个字符密码所需的实验次数为 24⁴ = 331776。如果潜在攻击者必须在终端上尝试每个实验密码，则可以认为四字符密码是可以接受的。另一方面，如果潜在攻击者可以使用每秒尝试一百万个密码的天文计算机，则四字符密码对潜在入侵者来说将是一个很小的障碍。

10. 妥协记录

妥协记录原则指出，有时记录入侵的详细信息比采取更复杂的措施来阻止它更可取。

示例： 办公室网络中的服务器可能会保留所有文件访问、所有已发送和接收的电子邮件以及 Web 上的所有浏览会话的日志。另一个例子是，连接到互联网的监控摄像头是妥协记录系统的典型例子，可以放置在建筑物中以提供保护。