-安全設計原則分類
模組化和分層的原則是跨系統工程學科的基礎。源自功能分解(functional decomposition)的模組化和分層通過使理解系統的結構成為可能,在管理系統複雜性(complexity)方面是有效的。然而,良好的模組化分解或系統設計的細化是具有挑戰性的,並且抵制一般的原則陳述。
模組化(Modularity)用於將功能和相關數據結構隔離(isolate)為定義明確的邏輯單元( logical units)。分層(Layering)可以更好地理解這些單元的關係,從而使依賴關係清晰,避免不必要的複雜性。
模組化的安全設計原則將功能模組化( modularity)擴展到包括基於信任、可信度、特權和安全政策(security policy)的考慮。
基於安全的模組化分解包括以下內容:
– 將政策分配給網路中的系統;
– 向分層分配系統政策;
– 將系統應用程序分離為具有不同地址空間的進程;
– 基於硬體支持的特權域,將進程劃分為具有不同特權的主體。
模組化和分層的安全設計原則與縱深防禦(defense in depth)的概念不同,這在 F.4 節中進行了討論。
資料來源:NIST SP 800-160 第 1 卷
參考
. NIST SP 800-160 第 1 卷
. 模組化(網絡)
資料來源: Wentz Wu QOTD-20211029
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
