精华内容
下载资源
问答
  • 软件安全性原则

    千次阅读 2006-03-27 16:19:28
    软件安全性原则: 第一部分 http://www.ibm.com/developerworks/cn/security/s-link/ 在本系列文章中,Gary 与 John 给出了设计与构建安全系统时要记住的最重要的 10 个要点。这一部分探讨了加固系统最薄弱 ― ...
    软件安全性原则: 第一部分 
    http://www.ibm.com/developerworks/cn/security/s-link/

    在本系列文章中,Gary 与 John 给出了设计与构建安全系统时要记住的最重要的 10 个要点。这一部分探讨了加固系统最薄弱 ― 也是最敏感 ― 部分的重要性。值得注意的是:问题并不一定是软件中的弱点

    软件安全性原则:第二部分
    http://www.ibm.com/developerworks/cn/security/s-fail/

    在本系列文章中,Gary 与 John 给出了设计与构建安全系统时要牢记的最重要的 10 个要点。第一部分探讨了加固系统最薄弱部分的重要性。这次,他们论述接下来的两个原则:纵深防御(它提倡使用多重防御策略)以及保护故障(其观点是系统故障并不一定等同于系统脆弱)。

    软件安全性原则: 第三部分
    http://www.ibm.com/developerworks/cn/security/s-priv/

    在本专栏中,Gary 与 John 介绍了能够帮助您除去代码中大多数安全性问题的 10 个原则。上一篇文章中,他们讨论了适时提供冗余安全性措施以及如何从错误中安全地恢复。这一次,他们主要讨论在少量地给予权限时保持吝啬的重要性,即只对必需的访问给予尽可能短的时间。确保系统一部分的失败不会影响整个系统也很重要。

    软件安全性原则: 第四部分
    http://www.ibm.com/developerworks/cn/security/s-simp/

    在本部分中,Gary 和 John 展示了 10 条原则的一部分,这些原则可以帮助您除去您代码的大部分安全性问题。在上一篇文章中,他们主要讨论了最小特权原则和分隔的原则,这二者都可以帮助您设计高质量的访问模型。在本文中,他们将向您展示对于安全性来说简单性要比大多数人想象的重要得多。他们还将讨论隐私性问题;给出太多信息会让您摸不着头脑。


    软件安全性原则: 第 5 部分
    http://www.ibm.com/developerworks/cn/security/s-princ5/

    在本系列中,Gary 和 John 介绍了一组 10 个原则,它们可以帮助您除去代码中的大多数安全性问题。这里,他们将以最后三个原则结束。首先,他们研究为什么不应该期望在系统中成功地隐藏秘密,至少不能没有很大的努力。其次,他们强调提防扩展对任何人(包括您自己)的信任的重要性。第三,他们忠告:当我们确实需要信任时,有时候随大流是一个好主意。
    展开全文
  • 代码安全性的基本原则

    千次阅读 2013-04-28 10:39:15
    代码安全性的基本原则 基本点: 1>指针  使用之前判定是否为空;  删除时注意是否应自己删除,且删除需置空; 2>数组  使用下列操作时需做容器个数检查:front(),back();  使用下列操作时需做数据越界检查...

    代码安全性的基本原则

    基本点:
    1>指针
        使用之前判定是否为空;
        删除时注意是否应自己删除,且删除需置空;

    2>数组

        使用下列操作时需做容器个数检查:front(),back();
        使用下列操作时需做数据越界检查:   at(i),[i]<建议不要使用下标操作>;

    3>无符号整型
        常见的有UINT, size_t 在给无符号整型赋值时应多注意不能小于0;
        赋值操作中,循环中容易出错;

        切记不要用无符号整形与负数进行比较;

    4>除0
        除数为变量是要做检查是否为0;

    5>变量初始化
        坚持声明时初始化原则;

    6>double变量比较
        与0比较时,注意变量是否是double类型,切记不能直接用==

     

    备注:最好的安全性检查就是写完代码后,自己再看一遍。

    展开全文
  • 关于保护SQLServer 安全原则: 最小权限原则 CIA三角 深度防护 一、最小权限原则: 只授予所需的最小权限。 最简单的解决方案是让用户成为固有数据库角色:db_datareader成员,然后创建select...

    本系列主要专注与SQL Server 2005以后的DBMS,由于本人工作使用2008 R2,所以目前就针对2008 R2来做说明:

    关于保护SQLServer 安全的原则:

    • 最小权限原则
    • CIA三角
    • 深度防护

    一、最小权限原则:

    只授予所需的最小权限。

    最简单的解决方案是让用户成为固有数据库角色:db_datareader成员,然后创建select权限创建数据库角色,并且只授权用户需要访问的表,让用户成为这个新角色的成员。远程连接在一些机器上不适合启用。

    二、CIA三角:机密性、完整性、可用性

    机密性:未授权的人或者使用未授权的方法不能访问数据。

    完整性:未授权的人或者使用未授权的方法不能修改数据。

    可用性:已授权的人随时可以使用数据。

    以上三种特性缺一不可,并且要保持一种合理的平衡状态。哪一方过严密,都会导致失衡。

    三、深度防护:

    建立多层防护来避免收到攻击。

    • 外围的外部路由器。
    • 外围的防火墙。
    • PC自带的个人防火墙。
    • PC上运行的防病毒软件。
    • 补丁管理方法和开发软件。
    保证这5层防御。能使得受攻击的机会降到微乎其微。如果都出现灾难故障,那么PC将成为攻击的牺牲品。


    展开全文
  • 软件安全性测试设计的基本原则

    千次阅读 2015-03-02 20:26:21
    2015年3月2日 百度了下网上已有的同类话题,讲的有些笼统。这里将我日常工作中涉及到的细化一下,以备忘。 1. 最小授权 只授予每个用户/程序在执行操作时所必须的最小...3. 深入防御原则: 采用多层安全机制,这个概

    2015年3月2日

    百度了下网上已有的同类话题,讲的有些笼统。这里将我日常工作中涉及到的细化一下,以备忘。


    博客里的表格太难用了...直接上图:



    下面这张图可以帮忙加深上面表格的理解:



    1. 最小授权

    只授予每个用户/程序在执行操作时所必须的最小特权。这样可以限制事故、错误、攻击带来的危害,减小特权程序之间潜在的相互影响。


    2. 发生故障优先保证安全:

    当系统发生故障时,对任何请求默认应加以拒绝。


    3. 深入防御原则:

    采用多层安全机制,这个概念范围比较大。比如在表单中的字段校验不光要在页面校验,还要在后台有相应的校验机制;比如在信任区、飞信任区之间二次部署防火墙。


    4. 权限分离:

    比如禁止root用户远程登录、多重身份校验登陆等;


    5. 系统架构设计和代码尽可能简洁,越复杂的系统,bug越多...


    6. 共享事务的数量和使用尽可能少,毕竟单独控制一个操作比并行控制两个过程更容易一些;


    7. 安全保护机制不能依赖于攻击者对系统实现过程的无知、而只依赖于像口令/密钥这样较容易改变的东西。


    8. 不信任原则:

    要严格限制用户、外部部件的信任度,要假设他们都是不安全的。


    9. 对受保护的对象的每一个访问都要经过检查。


    10. 心理接受程度:

    不能通过限制、甚至组织用户访问系统资源来阻止攻击,但可以考虑引入少量可接受的使用障碍。


    11. 不要等开发人员编码完成才开始进行安全测试,可以负责任的将,65%以上的安全漏洞都是发生在架构设计阶段,因此要积极参与到架构设计评审活动中,将一些低中级别的隐患扼杀在摇篮中。


    (完善中...)

    展开全文
  • 提高密码安全性的三大原则

    千次阅读 2019-07-04 14:00:29
    第一,复杂 1,长度在8~12位之间 2,使用数字+大小写字母组合 3,同时避免连续的数字或者连续的字母这样弱智的密码 4,不要使用电话,生日,人名,身份证等别人都知道的信息作为密码 第二,易记性 密码...
  • 安全机制设计原则

    千次阅读 2020-03-21 16:27:56
    ①经济性原则(Economy of Mechanism) 安全机制设计尽可能简单短小,从而在排查缺陷、检测漏洞时代码更容易处理 ②默认拒绝原则(Fail-Safe Defaults) 只要没有授权的信息就不允许访问 不能出现本该允许的请求...
  • 商用密码应用与安全性评估之(四)密码应用安全性评估实施要点商用密码应用安全性评估的...商用密码应用安全性评估的主要内容 1、 评估依据和基本原则 测评机构开展评估应当遵循商用密码管理政策和GM/T 0054-2018《信
  • 网络安全的基本原则

    2021-01-07 13:53:22
    信息安全遵循三个总体原则,通常是机密,完整和可用。 机密:这意味着信息仅由有权访问该信息的人查看或使用。必须采取适当的安全措施,以确保私人信息保持私密,并防止未经授权的泄露和窥视。 完整...
  • 软件安全性测试

    万次阅读 2017-07-08 23:18:44
    软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不...
  • 系统安全原则

    千次阅读 2009-10-24 15:44:00
    概述信息安全的三个经典原则为,机密(Confidentiality),完整(Integrity)和审核(Auditing),即 CIA;机密,保证信息不能被未授权的访问;在计算机系统中,实现信息的机密有四方面技术:加密,通过
  • java安全性编程

    千次阅读 2014-10-12 09:41:08
    java的安全性编程其实也是略带了点防御性编程的意思在里面,其实java作为一门编程语言,相对C,c++,本身算比较安全的,跟C,C++这种偏底层的编程语言比,java少了显示的指针调用,少了程序上的内存释放,回收,这些...
  • 华为内部的Web安全原则

    千次阅读 2019-03-28 19:40:32
    Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的...
  • 产品安全设计十大原则

    千次阅读 2019-11-26 14:37:10
    产品安全设计十大原则 原则1:最小化攻击面: 系统每增加一个功能特性就有可能会引入新的风险,通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。 打个比方说,某在线web应用向用户提供了一个通过搜索...
  • 软件安全测试的几个原则

    千次阅读 2015-04-01 09:22:01
    本文从软件安全测试需要考虑的问题,来探讨软件安全测试原则,通过遵循这些原则避免许多常见的安全性测试问题出现。 关键词:软件安全;测试;原则 软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不...
  • web渗透--1--web安全原则(上)

    万次阅读 多人点赞 2018-09-10 22:25:32
    安全性设计中的关键问题是挖掘出系统存在的安全漏洞。在这我们可以采用黑盒测试或者安全检测工具来进行。在开发过程中,遵守一些web安全原则,是提高安全很好的措施: 一、Web部署原则 1、如果Web应用对Internet...
  • 上一讲,我们一起拆解学习了 CIA 三元组,也就是机密、完整和可用。它们分别代表了数据的“不可见”“不可改”和“可读”。简单来说,以购买极客时间专栏为例,机密就是未付费用户无法学习这个专栏,完整...
  • 信息安全指保证信息的保密性、完整性、真实性、占有性。 占有性是指要保护信息赖以存储的节点、介质、载体等不被盗用或窃取。方法有版权、专利、商业秘密等。 一、加密和解密 ...九、安全性规章...
  • 【吐血整理】数据库的安全性

    千次阅读 多人点赞 2020-04-05 12:10:02
    本文主讲 数据库的安全性,欢迎阅读~ ????目录一、数据库安全性概述二、数据库安全性控制1. 用户标识与鉴别2. 存取控制3. 自主存取控制方法4. 授权与回收5. 数据库角色6. 强制存取控制方法三、视图机制四、审计...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础标准,他讲计算机信息系统分为5个安全等级。
  • Linux内核:安全性

    千次阅读 2016-06-18 10:03:33
    本文译自Linux.orgDevynCJohnson的系列文章...上一篇文章中我们谈到了内核的驱动程序,今天我们来聊一聊内核的安全性。内核是Linux系统的核心,如果有恶意的代码控制或者是破坏了内核的一部分,整个系统就会受到严重的
  • 线程安全性详解(原子性、可见性、有序性)

    千次阅读 多人点赞 2019-10-22 10:00:52
    一、定义:什么是线程安全性 当多个线程访问某个类时,不管运行时环境采用 何种调度方式 或者这些进程将如何交替执行,并且在主调代码中不需要任何额外的同步或协同,这个类都能表现出正确的行为,那么就称这个类...
  • 在之前的文章提到CurrentHashMap 是一个线程安全的,那么我么看一下CurrentHashMap 如何进行操作的。CurrentHashMap 与HashTable区别?HashTable put()源代码 从代码可以看出来在所有put 的操作的时候 都需要用...
  • 看完张民安的商法总论,发现贯穿其间的一个主要线索是:商法以从商自由,企业维持,商事交易之便捷性,商事交易之安全性原则为基本原则。商法的重要制度都是围绕这些基本原则所展开。(足可见对部门法的法理学习应以...
  • 信息安全8个总原则

    千次阅读 2019-09-21 15:32:54
    1、主要领导人负责原则。 信息安全保护工作事关大局,影响组织和机构的全局,主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认识,组织有效队伍,调动必要资源和经费,协调信息安全...
  • 第二章 WLAN 和固有的不安全性 作者:Vivek Ramachandran, Cameron Buchanan 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 建筑越高,地基就要打得越深。 – 托马斯·坎佩斯 没有什么伟大的东西能在脆弱的基础...
  • 浅谈Docker隔离性和安全性

    千次阅读 2015-05-29 00:28:46
     相信很多开发者都默认Docker这样的容器是一种沙盒(sandbox)应用,也就是说他们可以用root权限在Docker中运行随便什么应用,而Docker有安全机制能保护宿主系统。比如,有些人觉得Docker容器里面的进程跟虚拟机...
  • 系统安全原则:最小特权

    千次阅读 2014-11-03 22:05:51
    最小特权原则是系统安全中最基本的原则之一。具体来说,指的是“在完成某种操作时,赋予系统主体(用户或进程)所必须的最小特权,确保系统由于事故、错误、篡改等原因造成的损失最小”。 最小特权原则一方面需要...
  • 为了最大程度去掉影响安全的不可控因素,就需要有一些原则来制约人、制约人的非理性因素。 基本原则一:确保每个保护对象都需要有一个owner 在日常生活中,我们每个人都作为个体存在,对私有资源和公众资源负有...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 289,911
精华内容 115,964
关键字:

安全性原则