網絡安全網絡攻擊手段與對策

綜述

指南多個期望從單個上學到有意義的東西的多對一關系學術討論會所有人都希望在為小組做貢獻，同時也希望從小組那里學習的多對多關系本指南介于這兩者之間攻擊的歷史

1988年，美國電腦緊急應變團隊（CERT）成立1993年，美國電腦緊急應變團隊（CERT）/合作中心攻擊響應組（1）1995年，我加入了美國電腦緊急應變團隊（CERT）吉姆埃利斯和拉里羅杰斯帶領我們進入了我們后來一直在的軌道上。2003年，總共有了10多個響應職員2004年，有了兩個新的攻擊工作區(qū)攻擊分析攻擊發(fā)現(xiàn)和避免軟件的過程模型（現(xiàn)今）

Conception：概念Requirements：需求Architecture：體系結構Design：設計Implementation：執(zhí)行QA/Testing：質量評價/測試Correct/Patch：糾正/補丁Release：釋放Vulnerability：攻擊發(fā)現(xiàn)Publication：發(fā)布美國電腦緊急應變團隊（CERT）/合作中心哲學體系

白癡們會說他們是由經驗獲取知識的。而我更喜歡從別人的經驗上獲取知識。

OttovonBismark

德國首相1871-1890對于構建足夠的理論基礎或是實際應用，直接獲得的經驗都具有先天的局限性。

B.H.LiddellHart

大不列顛軍事理論家VDA的使命

美國電腦緊急應變團隊（CERT）?合作中心攻擊發(fā)現(xiàn)和避免機構的作用是，顯著的減少眾所周知的攻擊。VDA的目標

調查和研究現(xiàn)有的方法，技術和工具與現(xiàn)有的VDA的組織合作直接或者是間接的推進實踐的狀態(tài)建立VDA的效率的測量方法為特定的讀者編寫VDA知識廣泛的傳播上述的VDA知識信息保證社團質量保證社團軟件工程社團VDA反對的目標

我們自己不需要建立重大的發(fā)現(xiàn)機構，因為其他人計劃或者是已經在做著發(fā)現(xiàn)工作無論如何我們自己都不能發(fā)現(xiàn)許多的攻擊－許多更高的影響因素我們希望其他的人從事到VDA的研究中－尤其是在軟件工程社團最終，我們希望美國電腦緊急應變團隊（CERT）－如VDA組織，需求減小。－以常規(guī)的方式我們不做軟件工程－盡管我們的名字如此，但是我們不做軟件工程。軟件的過程模型（未來）

Requirements：需求Architecture：體系結構Design：設計Implementation：執(zhí)行QA/Testing：質量評價/測試Correct/Patch：糾正/補丁Release：釋放VulnerabilityDiscovery：攻擊發(fā)現(xiàn)Publication：發(fā)布VulnerabilityDiscovery&Avoidance：攻擊發(fā)現(xiàn)&避免VDA的過程模型（全世界的）

Publish/Patch：發(fā)布/補丁Release：釋放PublicVulnerabilityDiscoveryProcess(es)：公眾的攻擊發(fā)現(xiàn)程序PrivateSoftwareEngineeringProcess(es)：私人的軟件工程程序CaseInspection：個案檢查Infusion：灌輸VDACodificationProcess：VDA的編寫過程個案的學習

識別所有的公眾攻擊發(fā)現(xiàn)組織，如下：即使是那些看起來是有組織的，程序的定向是為了發(fā)現(xiàn)的具有可靠的發(fā)現(xiàn)攻擊的歷史具有分擔的意志，用抽象的術語來說，就是將這一知識作為一個總體而和社團一起分擔。去觀察他們的影響并且以一個新聞工作者的角度來采訪他們出一本書來證明這些個案 這本書要包括這些組織以及他們的工作兩個方面?zhèn)€案研究為成功者頒頒發(fā)大量的的專門的榮榮耀以組織或者者是個人的的名字來命命名將成功或者者是很有希希望成功的的精確的歸歸功于它們們的創(chuàng)造者者記述失敗或或者是不確確定的實踐踐時，不記記錄它們的的歸屬者包括他們的的工作的技技術方面，，程序方面面和組織方方面每年重復這這個過程一一次每年出版這這本書的一一個新的版版本包括我們知知道的關于于VDA的“所有的事情情”求助！我們需要你你的意見：：什么組織或或者是個人人需要進行行個案研究究？為什么么？他們的特征征是什么？？成就又是是什么？應該包括什什么專業(yè)的的討論會？？用來學習？？用來教授？？迄今為止我我們鑒定的的組織/個人基本方法如果我們真真誠的希望望在攻擊出出現(xiàn)以前就就把它們停止掉掉，那么我我們就必須須：采用軟件工工程師們的的觀點－因為軟軟件工程師師們是唯一一的可以使使這種情況況發(fā)生的人－并且，，我們必須須從他們的的觀點來看看這個問題題，進而以他們的語語言來描述述這個問題題和它的的解決方法法觀點的改變變（1）和我們以前前在攻擊上上使用的觀觀點相比，，VDA中的A需要有一個不同的的觀點VDA對“驗證”攻擊不感興興趣VDA對開發(fā)或者者是攻擊不不感興趣VDA對“驗證”攻擊的影響響不感興趣趣VDA對“驗證”工作區(qū)不感感興趣VDA對“配置”不感興趣VDA對“驗證”最差的攻擊擊不感興趣趣從根本上講講，VDA實際上是關關于搶先減減少所有潛潛在的工程攻擊觀點的改變變（2）然而，一種種軟件工程程觀點認為為所有可能被被開發(fā)的缺缺陷都必須須被消除掉掉－“潛在的”和“事實上的”是同等重要要的必須總是能能夠設想到到全能的對對手－所有的的對手，包包括現(xiàn)在的的和未來的的，都必須得考考慮到計劃從一個“公眾”攻擊發(fā)現(xiàn)的的觀點來看看這個過程從從第一個客客戶關系開開始主要在“公眾”中傳導必須是“可以控制的的”從一個軟件件工程的觀觀點來看這個過程從從觀念的規(guī)規(guī)劃開始兩個非常清清晰的發(fā)現(xiàn)現(xiàn)的案例－先前發(fā)發(fā)布的編碼碼基數中的的攻擊－最新發(fā)發(fā)布的編碼碼基數中的的攻擊攻擊發(fā)現(xiàn)的的問題目標的選擇擇發(fā)現(xiàn)所使用用的技術發(fā)現(xiàn)所使用用的工具暴露的事實實工程上的糾糾正各個評價之之間的關系系潛在的合法法的障礙國內和國際際關注的東東西長時間的影影響無意識的副副作用目標的選擇擇（1）互不相關的的動機當攻擊研究究的發(fā)起者者和VDA組織的發(fā)起起者具有互互不相關的的動機時，，會怎么樣樣呢？－在技術術選擇上的的爭論可能能會加速研研究，從而而“證明”哪一個是更更好一點的的方向發(fā)展展隱藏的或者者是敵對方方的評估在不與成果果的創(chuàng)造者者合作的情情況下，評評估這個成成果會有多多少困難呢呢？發(fā)起者會認認為這種評評估是客觀觀的嗎？－對成本本而言，客客觀性是值值得的嗎？？目標選擇（（2）附著于評估估的串抑制結果？？延遲結果？？順從成果的的所有者？？順從發(fā)起者者？限制除了攻攻擊以外的的細節(jié)？限制副作用用結果的產產生？商業(yè)秘密如果合作伙伙伴中的賣賣方提供商商業(yè)秘密來來幫助評價價，那怎么么辦呢？VDA組織中的哪哪個人可以以接觸到商商業(yè)秘密呢呢？發(fā)現(xiàn)所使用用的技術（（1）攻擊的可證證明性在評估（沒沒有經過“處理”）中，為了了列出攻擊擊的特征，，而需要的的證據的水水平－必須把把攻擊的特特征證明給給賣主在沒有可證證明性的情情況下，完完成的評估估這個“報告”真的還可以以完成嗎？？是否一個清清晰的缺陷陷就夠了，，還是說它它必須得是是可以被開開發(fā)的呢？？在沒有進行行局部的“處理”的情況下，，可以對攻攻擊下結論論嗎？發(fā)現(xiàn)所使用用的技術（（2）評估的成本本/利益什么樣的評評估投資是是最有價值值的呢？－體系結結構上的和和設計上的的攻擊是更更有價值的的，但是，，也更難發(fā)發(fā)現(xiàn)。因為在發(fā)布之之后的修正可可能是極端地地，或者是無無限的昂貴，，所以它要遠遠遠的有價值值－執(zhí)行攻擊擊比發(fā)現(xiàn)攻擊擊要簡單多了了，但是相對對應的，也就就具有較少的價值之所以具有更更少的價值僅僅僅是因為它它們容易被發(fā)發(fā)現(xiàn)在發(fā)布以后，，保證書必須須是可確定的的第三方評估通通常是具有最最差的成本/利益比－信息的數數量最少－最小的價價值，攻擊最最容易發(fā)現(xiàn)發(fā)現(xiàn)所使用的的工具（1）增加的攻擊發(fā)發(fā)現(xiàn)新的工具將如如何影響社團團呢？－伴隨著工工具的使用，，更多的攻擊擊將會被更多多的人發(fā)現(xiàn)（至至少是增加的的）－加重“處理”組織的負擔指南協(xié)助的要要求是否VDA組織能夠負擔擔得起發(fā)布這這些工具呢？？－需要其他他人為這些工工具的使用提提供“支持”發(fā)現(xiàn)所使用的的工具（2）業(yè)余者用法業(yè)余者能夠使使用這些工具具嗎？－對于業(yè)余余者而言，工工具不太容易易被操作。－工具用戶戶界面需要把把目標定位于于專家，而不是定定位于普通的的公眾暴露的事實（（1）VDA并不能夠“處理”這些攻擊VDA攻擊是怎么處處理的呢？－必須使用用已經建立起起來的“處理”程序，而且這這些處理程序序不可以復制－對于VDA的目的來說，，這些已經存存在的“處理”程序是否是充充足的呢？個人攻擊公眾眾暴露的事實實攻擊與成果觀觀點是相互沖沖突的嗎？－即使VDA不關心個人攻攻擊揭露的事事實，風險承承擔者也會期期望他們將這個問問題恰當的解解決的。－在VDA和VH之間需要建立立一種獨立的的而不是共生生的關系暴露的事實（（2）評估報告揭露露的事實在評估的最后后，由哪個人人根據結果決決定發(fā)生什么么？－發(fā)起者這這樣的關系將將會希望得到到切實的文件件－他們能夠夠自由的四處處展示－作作為成就的的證據評估報告的所所有權誰擁有這個報報告的所有權權呢？－從處理的的觀點來看－從知識產產權的角度來來看暴露的事實（（3）報告的發(fā)表發(fā)表的頻率頻頻繁到等于只只揭露幾個攻攻擊在發(fā)布報告前前，報告中包包括的所有的的攻擊，是否都必必須得“處理”了呢？－是？這樣樣將會使VH在通往VDA的里程碑的關鍵路路徑上工作－否？發(fā)布布包含“新”攻擊的報告的的結構會是什么呢？？暴露的事實（（4）不明確的攻擊擊“潛在的”攻擊的報告是是否會引起問問題呢？在發(fā)表的報告告中，從工程程角度看的一一個非常清晰晰的缺陷，可可能會在攻擊擊分析社團引引起相當大的的爭論－對于攻擊擊的開端來說說，從工程師師的角度看要要比從分析家的角度看看要低的多評估的副作用用非常清晰的缺缺陷不是攻擊擊嗎？－對于發(fā)起起者而言，它它們顯然是有有價值的缺陷和攻擊的的分界線在哪哪里呢？－VDA與QA相比是多呢還還是少呢？揭露的事實（（5）成果內部如果成果內部部的揭露需要要理解攻擊呢呢？－許可是可可能的嗎？或或者甚至它就就是一個好主主義呢？如果評估是“不公開的”或者是是“敵對的的”呢？競爭評評估對你的的報告告，其其他的的VDA組織將將會做做出什什么樣樣的反反映呢呢？－其其他的的VDA組織可可能會會評估估你的的評估估這是同同行審審查過過程中中很正正常的的一步步其目標標可能能會是是推進進認識識也可可能會會是詆詆毀其其他人人的名名望對可靠靠性有有疑問問的攻攻擊，，這樣樣的競競爭可可能會會產生生明確確的結結構工程糾糾正如果評評估是是不公公開的的，那那么，，將會會期望望什么么樣的的處理理，或或者是是什么么樣的的處理理是可可能的的呢？？如果發(fā)發(fā)起者者希望望這個個攻擊擊繼續(xù)續(xù)，那那又怎怎么辦辦呢？？發(fā)起者者專用用的糾糾正如果工工程糾糾正是是專用用于發(fā)發(fā)起者者組織織的，，那么么又怎怎么樣樣呢？？－報報告的的發(fā)布布可能能會危危及到到發(fā)起起者組組織－對對于其其他的的組織織來說說，這這份報報告也也許會會是毫毫不相關關的，，或者者甚至至可能能會是是錯誤誤的各個評評估之之間的的關系系（1）遺傳性性攻擊擊如果“發(fā)起者者的”評估發(fā)發(fā)現(xiàn)了了“遺傳性性”攻擊，，那又又怎么么辦呢呢？－其其他受受到影影響的的“成果”又該如如何處處理呢呢？如果不不公開開的評評估中中發(fā)生生了遺遺傳性性攻擊擊，那那又該該怎么么辦呢呢？－“其他的的”攻擊是是否需需要進進行不不公開開的考考慮呢呢？爭論如果兩兩個不不同的的發(fā)起起者希希望相相同的的目標標評估估，但但是卻卻使用用相互互沖突突的串串，那那么又又該怎怎么辦辦呢？？各個評評估之之間的的關系系（2）工程的的相互互依賴賴性什么樣樣的依依賴性性呢？？－共共用的的圖書書館－靜靜態(tài)的的圖書書館－資資源的的重復復利用用公共界界面條條件私人界界面條條件－隨隨意的的剪切切和復復制我們怎怎么發(fā)發(fā)現(xiàn)依依賴的的成果果呢？？－一一些“依存性性的博博物館館”？－一一些只只有賣賣主才才有的的公告告？－公公眾的的公告告和期期望？？－這這難道道不是是“處理”嗎？潛在的的合法法的障障礙反向工工程什么“水平”的RE是被合合法的的允許許的呢呢？－美美國的的DMCA？－歐歐洲，，日本本？商業(yè)秘秘密商業(yè)秘秘密，，甚至至是從從來沒沒有被被揭露露的商商業(yè)秘秘密，，真的的可以以在UDA中“使用”嗎？－那那是否否是違違背產產權的的呢？？－或或者是是違背背專利利權呢呢？國內和和國際際的關關注點點有嗎？？長遠的的影響響質量下下降范圍廣廣大的的VDA組織會會使得得軟件件的質質量下下降是是否是是可能能的呢呢？生產者者是否否期望望其他他的人人來發(fā)發(fā)現(xiàn)攻攻擊呢呢？－免免費的的？－在在契約約下？？無意識識的副副作用用賣方操操作是否否賣賣方方會會故故意意的的逼逼迫迫VDA社團團，，免免費費的的為為他他們們發(fā)發(fā)現(xiàn)現(xiàn)他他們們的的攻攻擊擊呢呢？？是否否“少量量”的賣賣主主甚甚至至能能夠夠發(fā)發(fā)現(xiàn)現(xiàn)他他們們自自己己的的攻攻擊擊呢呢？？－他他們們支支付付得得起起嗎嗎？？時間間對對市市場場可可能能會會是是生生或或死死的的問問題題－甚甚至至他他們們是是否否具具有有這這個個技技術術呢呢？？道德德規(guī)規(guī)范范過剩剩的的賣賣主主對于于一一個個特特定定的的目目標標，，如如果果它它已已經經在在為為一一個個賣賣主主評評估估時時，，又又出出現(xiàn)現(xiàn)了了另另一一個個賣賣主主要要評評估估這這個個目目標標，，那那么么該該怎怎么么辦辦呢呢？？－如如果果他他們們中中的的一一個個，，或或者者是是兩兩個個都都是是不不公公開開的的進進行行的的，，又又該該怎怎么辦辦呢呢？？對于于一一個個特特定定的的目目標標，，如如果果它它已已經經在在為為一一個個賣賣主主不不公公開開的的評評估估完完成成了了，，又又出出現(xiàn)現(xiàn)了了另另一一個個賣賣主主要要評評估估這這個個目目標標，，那那么么該該怎怎么么辦辦呢呢？？－先先前前的的結結果果是是否否可可以以被被重重新新使使用用呢呢？？－先先前前的的評評估估的的不不公公開開性性必必須須得得到到保保護護嗎嗎？？是否否較較低低的的評評估估價價錢錢就就揭揭示示了了，，已已經經不不公公開開的的進進行行過過這這樣樣的的評評估估了了呢呢？？軟件件工工程程問問題題我們們不不知知道道VDA詞典典每個個人人以以自自己己的的方方式式來來定定義義基基本本的的術術語語所以以我我也也是是以以自自己己的的方方式式來來定定義義基基本本的的術術語的的主要要的的術術語語(1)所有有者者一個個或或者者是是多多個個人人[擁有有]這個個系系統(tǒng)統(tǒng)。。他他們們?yōu)闉榘舶踩卟呗月缘牡脑O設置置負負責責，，其其中中安安全全策策略略管管理理系系統(tǒng)統(tǒng)的的行行為為。。并并不不必必須須得得是是[用戶戶]。對手手一個個或或者者是是多多個個人人可可以以攻攻擊擊系系統(tǒng)統(tǒng)，，并并且且很很樂樂意意被被[看到到]他們們正正在在攻攻擊擊系系統(tǒng)統(tǒng)。。攻擊擊對手手的的每每一一個個[動作作]都試試圖圖開開發(fā)發(fā)系系統(tǒng)統(tǒng)的的缺缺陷陷。。主要要的的術術語語（（2）缺陷陷對于于現(xiàn)現(xiàn)在在的的系統(tǒng)統(tǒng)，必必須須糾糾正正某某些些工工程程[錯誤誤]防止止它它被被開開發(fā)發(fā)出出來來。。安全全策策略略這些策略略用來管管理什么么樣的代理商，可以在在什么[目標]上，用什什么[資格]，進行什什么[操作]。攻擊系統(tǒng)里的，可可以被敵手開發(fā)出來來，從而而違反系統(tǒng)的安安全策略略的缺陷。主要的術術語（3）入侵一個成功功的攻擊，它的結結果是危危機到系統(tǒng)的安全，，常常是是[完整性]，[隱私性]，或者是是[可用性]的損失。。系統(tǒng)一個技術術單元是是由功能能性機構構組成的的。通道系統(tǒng)和它的外外部世界界進行通通訊的任任何一個個通道，，或者是是它眾多多的功能機構構之間相互互通訊的的任何一一個通道道。一個個和安全全相關的的通道可以和一一個或者者是多個個安全邊界界交叉主要的術術語（4）協(xié)議這些規(guī)則則用來管管理在通通道中傳傳輸的數數據的形形式和說明安全范圍圍安全策略略和權限限設置。。改變其其中任何何一個都都會建立立一個安安全邊界界。安全邊界界從任何一一個機器器指令的的觀點來來看，就就是暫時時的最近近的聯(lián)合合，過去去和將來來，轉變變?yōu)槠渌陌踩秶?。。主要的術術語（5）權限在某些〔目標〕上進行某某些〔操作〕的權利。。權限設置置對某一權權限進行行的設置置。功能性機機構機器指令令的暫時時性鄰接接設置在在一個單單獨的安安全范圍圍內執(zhí)行行。代理商功能性機機構是被被證明了了的為人人而工作作的。同同一個調調頻可以以被多個個代理商商多次進進行并行行動作。。VDA語義網Adversary：對手Owner：所有者者Privilege：權限Attack：攻擊System：系統(tǒng)Defect：缺陷Channel：通道Protocol：協(xié)議Agent：代理商商PrivilegeSet:權限設置置SecurityBoundary：安全邊邊界SecurityDomain：安全范范圍SecurityPolicy：安全策策略FunctionalMechanism:功能性機構新類型（1）可靠的VDA需要一個新的的“基礎”我們需要把我我們所知道的的所有的有關關攻擊的東西西進行再編制，從而支持持軟件工程觀點攻擊分析的中中心的觀念就就是“攻擊”軟件工程的中中心的觀念必必須是“缺陷”－缺陷是攻攻擊的工程個個性的某種類類型－缺陷是攻攻擊到工程的的發(fā)射這樣，在VDA所有的事情都都必須涉及到到“缺陷”的修正新類型（2）我們已經（浪浪費我們的時時間？）建造造了（建造失失??？）“攻擊分類法？？”現(xiàn)在VDA需要的是“缺陷類型”如果我們可以以學到如何建建造它們我們正在試圖圖通過設計一一個所有涉及及到工程缺陷陷的全面的類型型“族”來完成之一任任務。使用有效的XML進行描述包括系譜相關關的DTD將會在這本“書”中論證新類型（3）美國電腦緊急急應變團隊（（CERT）VDA類型族，包括括以下這些類型（迄迄今為止）：：缺陷缺陷－屬性缺陷－指示器器發(fā)現(xiàn)－技術通道工程－習慣用用語工程－樣式攻擊（外部的的與CVE相關）設計－原原則（或者是是設計－妨礙礙）缺陷它描述每一個個缺陷與攻擊相比，，它具有很大大的詳細水平平一些缺陷可能能會產生相同同的攻擊它有13個外在的屬性性它有1個內在的屬性性它是一個真正正的“缺陷－屬性”的無序設置它一起描述了了缺陷的精確確的本質它是作為一個個大的邏輯與與（AND）的－ORS是不允許的－ORS是單獨的缺陷陷缺陷－屬性缺陷屬性的例例子：Input.Array.Overflow.Stack－store（存儲）－（stack）堆棧－列－－目標－多單元－－列－操作－未經檢查查的－操作－輸入－來來源－對手－輸輸入－清晰的－－范圍邏輯與（AND）它用于根據缺缺陷分類法動動態(tài)的計算類類似處缺陷－指示器器缺陷指示器的的例子：Input.Array.Overflow.Stack－分割－錯錯誤－總線－故故障－變量－錯錯誤－不穩(wěn)定的的－行為－無限的－－循環(huán)邏輯或（OR）這樣，就不能能被用作固有有的屬性了發(fā)現(xiàn)－技術缺陷發(fā)現(xiàn)技術術的例子Input.Array.Overflow.Stack－review.source.idiom.length.implicit.strcpy－review.source.idiom.length.implicit.loop－review.source.idiom.length.explicit.strcpy－review.source.idiom.length.explicit.loop－erface.array.nosize－specification.boundaryexploration.string.oversize通道通道的例子命令行環(huán)境繼承的進程關關聯(lián)－文件/目錄創(chuàng)建默認通道控制制－信號設置置－程序優(yōu)先先權－資源限制制－鑒定證書書－當前工作作目錄－打開文件件描述符－系統(tǒng)調用用結果－插槽－管道－共享內存存－信號－永久存儲儲器比如寄存器－文件存在在－文件信息息系統(tǒng)I/O工程－習慣用用語工程習慣用語語的例子ANSIC沒有原型ANSIC/C++指針算法ANSIC/C++在｛堆棧，堆堆積，靜態(tài)｝｝存儲器中的的字符串ANSIC有正負號/無正負號混合合算法Java并發(fā)沒有保護護的對象土生的密碼算算法公眾可寫的對對象屬性對象存取器到到專用屬性的的返回指針除非管理者泄泄露整體資源源分配C++對象使用專用用成員指針和和非默認的構構造器工程樣式的例例子不完全的授權權攻擊例子：緩沖區(qū)溢出格式行cross－sight腳本SQL注入共享的可寫目目錄TOCTOUrace設計－原則我們將單獨地地講述所有的的設計原則IA是藝術，而不不是科學請習慣于這一一點攻擊分析社團團已經非常清清楚了這一點點，但是，軟件工工程社團還沒沒有清楚這一一點明確的管理風風險風險是如下下列出的某某種功能：：事件的可能能性事件的結果果（代價））－如果可可能性約等等于0，那么風險險是可以的的（OK）－如果結結果（代價價）約等于于0，那么風險險是可以的的（OK）－其它情情況下，就就必須把風風險降低現(xiàn)實的敵手手模型對下下述列出的的情況是必必要的要確定特定定的風險要模擬可能能性和結果果首先要消除除最高的風風險先前的經驗驗的邏輯結結果一旦確定并并且量化了了風險后，，只有當把把它們從最最高到最低低的風險處處理時，才才是敏感的的這就是“最薄弱的鏈鏈接”思想深入的實行行防御當設計系統(tǒng)統(tǒng)特征時，，而又必須須包含一個個攻擊特征時包括潛在的的多余的特特征，它們們會減少攻攻擊特征的的范圍，性性能，持續(xù)續(xù)時間等其其它方面這是一般的的攻擊分析析和系統(tǒng)管管理思想它并不是一一般的軟件件工程思想想－只有容容錯社團曾曾經這樣想想過審計所有的的通道在你的系統(tǒng)統(tǒng)上，通道道是攻擊唯唯一的通路路完全的保護護這些通道道，那樣你你的系統(tǒng)將將會受到完完全的保護護假設你的敵敵手可以協(xié)協(xié)調的操作作你所有的的通道將你的系統(tǒng)統(tǒng)的通道最最小化，從從而將攻擊擊的通路也降降到最低保證完全你的系統(tǒng)必必須總是處處在一種安安全的狀態(tài)態(tài)下每一個潛在在的不安全全的轉變都都必須檢測測其安全性性任何一個安安全喪失的的證據都意意味著系統(tǒng)統(tǒng)的完全性的喪失失如果安全不不能夠得到到保證或者者是不能夠夠被完全的恢復，，那么，系系統(tǒng)必須自自行終止甚至以可用用性為代價價由定義，一一個可用的的危及安全全的系統(tǒng)比比一個不可可用的系統(tǒng)更糟糕糕攻擊/侵擾的工程程師當設計系統(tǒng)統(tǒng)時，一定定要包括可可以對假定的攻擊和和侵擾進行行斷定的真真實的儀器器儀器應該安全的記錄錄潛在的攻攻擊和侵擾擾信息不將自己暴暴露給敵手手不向系統(tǒng)添添加攻擊使用最小的的權限為你的系統(tǒng)統(tǒng)授予它可可以進行操操作所能使使用的最小的權權限在任何一個個給定點處處獲得和丟丟棄權限，，系統(tǒng)只具有完成成它正忙于于的任務的的權限用戶權限的的分離如果你的系系統(tǒng)需要在在不同的時時間具有不不同的權限，，那么，就就可以考慮慮將系統(tǒng)分分割成幾個清楚楚的互相聯(lián)聯(lián)系的子系系統(tǒng)，每個個子系統(tǒng)具有一一個適當的的最小權限限設置請記得通道道將會增加加攻擊的新新的通路在最小通道道和權限分分割上需要要一個適當的平衡使用最小功功能性使你的系統(tǒng)統(tǒng)包括它所所需要的最最小的功能能性附加功能，，甚至是睡睡眠狀態(tài)，，都代表著著附加的攻攻擊可能是由于于代碼的增增加的行數數可能是由于于里面包含含的攻擊可能是由于于無意識代代碼的路徑徑可能是由于于激活無意意識功能的的方式主動的限制制一個過度度的功能性性子系統(tǒng)的的功能，可可能會非常的的昂貴并且且還可能會會導致錯誤誤的發(fā)生調停所有的的操作調停（提出出）在所有有的對象上上的所有的的操作即使是沒有有明顯的敏敏感數據的的操作潛在的將來來的再次使使用需要它它對于透明的的調?？梢砸允褂谩鞍驯币欢ú灰獮闉閷ο髢炔坎康姆祷貙崒嵵羔樢欢ú灰嘞嘈呕亟泄δ芑蛘呤鞘菍ο笫褂眯腥擞溆淇斓慕缑婷嬗脩艟哂凶阕銐虻膭?chuàng)造造性來規(guī)避避令人討厭的界面如果界面必必須是限制制性的，那那么，它們必須得是是完美的限限制，而不不是只是令令人氣餒的限制制穿過界面的的自動化的的攻擊可能能會戰(zhàn)勝許許多明顯的限限制使用多重正正交鑒定證證書使你的系統(tǒng)統(tǒng)需要雙因因素鑒定有些是你有有的有些是你知知道的兩個相互獨獨立的鑒定定因素兩個個相互獨立立的鑒定因因素應該按按照重要度度來排序，，而回避這這些會更加加困難。使用實際的的鑒定時一一定要非常常小心生物測定學學（Biometric）GPS直接的實際際地址只從安全得得到保證的的通道輸入入使得系統(tǒng)只只從已經進進行過完全全的鑒定的的通道輸入許多通道是是可以信任任的，并且且它的鑒定定是不可能的，所所以小心以以下幾點信號被裝載器映映射的共享享的庫系統(tǒng)的調用用如果你的系系統(tǒng)真的是是敏感的，，那么，需需要重新鑒定而不不是為了鑒鑒定而接受受環(huán)境的命命令只從安全得得到保證的的通道輸出出使得系統(tǒng)只只從已經進進行過完全全的鑒定的通道輸出出讓系統(tǒng)從沒沒有經過鑒鑒定的通道道輸出，不管輸出是是什么，實實際上，就就是一種對對保密性的侵害害保證微觀操操作當一系列的的操作不能能被中斷時時，就確保保它們不會會被中斷使用任何的的需要的“設備”來確保這一一點操作的不同同的順序用具有相同同的結果但但是卻沒有有（或者是是較少的））次序要求求的操作來來代替互斥體，旗旗語，以及及其它的同同時控制設設備分布式的事事物處理服服務程序當沒有其它它的可能時時，就減少少序列將秘密安全全的存儲將秘密安全全的存儲幾幾乎是不可可能的如果根本不不可能，那那么就要避避免存儲它它們如果你必須須存儲它們們，為了這這個目的，，可以使用“設備”設計和檢驗驗密鑰環(huán)（（keyring）智能卡（（smartcard）強大的編密密碼使用默認的的拒絕將你的系統(tǒng)統(tǒng)設計成，，可以根據據所知道的的什么是安全和正正確的，來來有選擇性性的允許｛｛操作，輸輸入｝否認所有其其它的一定不要試試圖將壞的的東西“過濾”掉今天是壞的的東西明天天就不一定定還是壞的的僅僅重新使使用保證代代碼請一定要非非常小心地地重新使用用代碼你可以重新新使用下述述的代碼：：你為相同安安全水平所所編寫的代代碼你已經為相相同的安全全水平進行行了完全的的再檢查的的代碼你所信任的的人所寫的的代碼，其其中，這個個代碼和你你需要的代代碼具有相相同的安全全水平跨邊界委托托要非常小小心如果你的系系統(tǒng)必須得得將某些操操作委托給給其它的系系統(tǒng)，那么么請留意以下幾點：：用較高的權權限委托其其它的系統(tǒng)統(tǒng)用更嚴格的的安全策略略委托其它它的系統(tǒng)－它們比比你的系統(tǒng)統(tǒng)具有更高高的敏感度度，所以它它們很可能會自我保保護的非常常好避免使用較較低的權限限或者是松松的安全策策略委托系系統(tǒng)－它們將將不太可能能會以你所所希望的你你的數據的的處理方式式，來處理理任何輸入/輸出－如果你你必須得委委托給這樣樣一個系統(tǒng)統(tǒng)，那么，，一定要確確保以合適適的方方式式處處理理好好通通往往/來自自那那個個系系統(tǒng)統(tǒng)的的通通道道－尤尤其其適適用用于于沒沒有有安安全全邊邊界界的的系系統(tǒng)統(tǒng)只使使用用私私人人存存儲儲區(qū)區(qū)對于于那那些些其其他他人人也也可可以以從從中中讀讀取取數數據據的的持持久久的的存存儲儲區(qū)，，永永遠遠都都不不要要寫寫入入任任何何東東西西這就就減減少少了了敏敏感感數數據據泄泄露露的的可可能能性性對于于那那些些其其他他人人也也可可以以從從中中寫寫入入數數據據的的持持久久的的存存儲儲區(qū)，，永永遠遠都都不不要要讀讀取取任任何何東東西西這就就減減少少了了你你的的系系統(tǒng)統(tǒng)的的“內部部的的”持久久的的存存儲儲數數據據的的破破壞的的可可能能性性這些些工工作作并并不不適適用用其它它系系統(tǒng)統(tǒng)的的許許多多攻攻擊擊可可能能會會允允許許你你的的持持久久存存儲儲是是壞壞的的，，這這樣樣，，你你仍仍舊舊需需要要假假定定你你自自己己的的先先前前的的存存儲儲數數據據可可能能是是壞壞的的使用用密密碼碼系系統(tǒng)統(tǒng)對于于所所有有的的敏敏感感數數據據，，只只將將它它們們以以加加密的的形形式式永永久久的的存存儲儲不管管你你認認為為存存儲儲箱箱多多么么的的安安全全，，在在某某些情情況況下下，，它它都都不不是是有有那那么么安安全全的的你只能通過存存儲箱的自我我保護來保護護存儲箱中的數數據；存儲箱箱是不可靠的的正確的使用密密碼系統(tǒng)如果你的系統(tǒng)統(tǒng)需要密碼包包括，那么，，請正確的使使用它：在任何時候，，永遠都不要要發(fā)明你自己己的算法－即使你是是一個數學家家，你都不知知道你在作什什么但是它們更知知道在任何時候，，永遠都不要要執(zhí)行一個已已知的算法－即使你是一一個熟練的程程序員，你都都不知道你在在作什么不幸的是，它它們也并不知知道永遠都要使用用公認的，被被廣泛使用的的代碼－它可能已已經被徹底的的檢驗過－如果還沒沒有，那么它它將會被徹底底的檢驗并且，你將從從中受益匪淺淺檢驗變量約束束始終檢驗標量量變量約束始終使用標量量變量約束如果你的系統(tǒng)統(tǒng)需要約束，，使用它們如如下－列的腳注注為最大的有有益的原因－指針的算算法基本上是是相同的情形形使用“標準的”機構使用那些可以以用于解決標標準問題的標標準的機構使用“標準的”語言的機構使用“標準的”操作系統(tǒng)機構構讓內核完成它它的工作；而而不要扮演內內核的角色通常，這些機機構都寫的很很好總之，最終你你的系統(tǒng)取決決于它們即使你規(guī)避它它們，你依賴賴的東西還是是使用它們的的你不能夠自己己寫所有的東東西構造“契約性的”界面虔誠的使用Meyer型的契約界面面始終使用預處處理并且永遠都不不要使它們無無效在不變式有意意義的地方，，就嘗試使用用不變式在可以以合適適的成本執(zhí)行行后處理的地地方，就嘗試使用后處處理只有當進行后后處理的成本本真的成為一一個被批評的的對象時，才才可以不進行行后處理初始化所有的的變量一定要保證所所有的變量都都被明確的初初始化，這樣樣你的系統(tǒng)的動動作是可預測測的（正確的的或者是錯誤誤的）你的系統(tǒng)不會會泄露未被初初始化的數據據除非語言規(guī)范范保證初始化化，而不是系系統(tǒng)，那么初初始化以下內內容：局部自動（堆堆棧）變量全局靜態(tài)變量量動態(tài)（堆或存存儲池）變量量“初始化”并不意味著隱隱式構造程序序的調用至少要把他們們賦值為0，但是最好把把它們初始化化為一個有意意義的值清除不相關的的內存當內存不再使使用時，經常常應該清除它它們尤其是當它包包含敏感信息息的時候這一點并不容容易做到，因因為大部分的的語言沒有完完全支持這一一功能C++類的語言能夠夠大大的幫助助清除內存－在內存釋釋放之前清除除它們－一定要非非常確定，什什么時候它們們是分配給你你運行的隱式內存語言言會將這一點點變得十分困困難－“解決問題”通常已經被認認為足夠好了了內存在解決問問題之前，將將不會被再次次使用但是仍舊可能能被其它的缺缺陷泄露密切注意－output.leak.uncleared.optimized-Away選擇適當的語語言了解許多關于于不同語言的的知識請一定不要讓讓學習曲線限限制住對于一個好的的程