WEB应用安全设计思想

来源：服安资讯   时间:2010-01-05  作者：秩名  点击：次  责任编辑：Flyfox
TAG:   设计 安全 应用 Web   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

一、前言

我一直在思考的一个问题，就是安全问题的本质到底是什么。我们见到过各种各样的攻击，也做过各种各样的防御方案。有的方案好，有的方案却有缺陷。那么好的方案好在哪里，为什么就能够抵抗攻击，到底什么特性使得攻击者的成本升高了，使得风险降低了。这中间是否有什么共同的东西呢？

经过一段时间的思考和观察，我初步得出了一个结论：安全问题的本质是信任问题。

二、信任关系的划分是安全设计的基础

安全问题的本质是信任问题。

提到这个，不得不说一个信任域的概念。当系统信任某些单元时，由这些单元组成的一片区域可以称之为信任域。在数据流图或者是拓跋图上，都可以用一个边界把这个域给界定出来。我说的这个概念，是一个广义的概念，任何存在信任关系的系统中，都可以存在信任域。

比如一个机场，人们要登机，必须要先经过安检，那么过了安检后，在候机厅候机，就可以把候机厅看做是一个信任域。因为对于机场来说，候机厅内的区域是可信的。而候机厅外的区域是不可信的。

机场的安检就是对跨越信任边界的一个检查。会检查有没有刀具，有没有液体、打火机等。

那么安全问题是怎么发生的呢？首先是没有合理的划分信任域，或者是信任域比较混乱。
其次就是信任边界的检查出现问题的时候。这些问题可以是检查不够充分，或者是检查没有覆盖到整个信任边界。

而这些问题导致的结果，都是产生信任危机，也就产生安全问题了。

对于传统的内存攻击来说，一个字符串超出了分配给它的指定空间长度，也可以看做是对信任域的破坏，或者是缺乏审计。

所以信任域和信任边界是非常重要的东西。在做安全方案的时候，首先就要依据资产等级，去划分信任域和信任边界。

我们要知道我们到底要保护什么东西，然后去分析有什么途径能够达到这些要保护的信任域。

在圈子里经常讲的一个笑话就是，怎么做到安全？拨网线最安全。首先，这是一个谬论，因为网线拔掉后，可用性会受到影响。安全方案应该尽可能的避免牺牲可用性为代价，应该是为业务和应用服务的。拔网线是一种舍本逐末的做法。

其次，拔了网线真的就安全了吗？

我们把物理隔绝的系统看做是一片信任域，那么它会信任什么？如何与外界做数据交互？
简单的头脑风暴一下，就可以知道，这样的系统，可能会与外界发生数据交互的情况：

1. U盘有可能拷贝数据
2. 无线网卡有可能自动连接
3. 可能有人为的手工操作

那么以上这三条，都是有可能穿越我们的信任边界，产生数据流动的行为。原本物理隔绝就是为了不信任外界的一切，产生数据流动后，就可能破坏信任关系。

再回过头来看上面的机场的案例，把客流量看做是数据流量，它将穿越一道信任边界，进入候机厅这个信任域，所以机场有安检，来专门检查这个穿越信任边界的数据。安检就是机场的安全方案。

-tips--------------------------------------------------------------------------
如果A信任B，或者A依赖于B，则B可以决定A的安全。常见的案例比如软件中使用了第三方包，则第三方包可以决定A中相关数据的安全。
-------------------------------------------------------------------------------

某些视频播放软件使用了很多第三方的库来解析很多不同的视频格式，当第三方库出现安全问题时，则直接导致这些视频播放软件也出现安全问题。

所以安全域的划分是安全方案的基础，划分了安全域后，才能比较有针对性的设计安全方案。

三、访问控制是安全设计的核心

访问控制不仅仅包括权限。权限仅仅只是访问控制的一部分。这里我们通常所说的权限都是垂直权限控制，它一般是基于角色的（role based）。

比如一个论坛里面，有匿名用户，他们可能看不了帖子的内容。有普通用户，他们能看帖子的内容。有管理员，他们能删帖子，能置顶帖子。

那么匿名用户、普通用户、管理员就是三个不同的角色。

我们的大部分访问控制系统，都是基于角色的。普通用户没办法执行管理员的操作，因为访问控制系统会校验用户的角色，以决定他们是否有足够的权限去执行一次访问。

顶一下

(0)

0%

踩一下

(0)

0%

服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的，并不意味着赞同其观点或证实其描述。

本文引用地址：双击复制发送给您的朋友！

上一篇：Web云安全技术应用篇 下一篇：Web安全网关采购指南----性能篇