安全机制设计原则

安全机制设计八大原则：

①经济性原则（Economy of Mechanism）

• 安全机制设计尽可能简单短小，从而在排查缺陷、检测漏洞时代码更容易处理

②默认拒绝原则（Fail-Safe Defaults）

• 只要没有授权的信息就不允许访问
• 不能出现本该允许的请求被拒绝与本该拒绝的请求被允许

③完全仲裁原则（Complete Mediation）

• 授权检查覆盖任何一个访问操作
• 安全机制又能力标识每一个访问操作请求的所有源头
• 能够对待为了提高性能而缓存的检查结果

④开放设计原则（Open Design）

• 不将安全机制的设计作为秘密，不将系统安全性寄托在保守安全机制设计秘密的基础上
• 应在隔开安全机制设计方案的前提下，借助容易保护的特定元素，如密钥、口令等来增强系统的安全性
• 开放设计有助于安全机制接受广泛的审查

⑤特权分离原则（Separation of Privilege）

• 细分特权，分配给多个主体，减少每个特权拥有者的权利

⑥最小特权原则（Least Privilege）

• 每个程序和每个用户应该只拥有完成工作所需特权的最小集合
• 限制由意外或错误所引起的破坏
• 将特权程序之间的潜在交互数降低到正确操作所需的最小值，尽量避免非经意、不必要、不恰当的使用特权

⑦最少公共机制原则（Least Common Mechanism）

• 将多个用户公用或被全体用户依赖的机制数量降到最少

⑧心理可接受原则（Psychological Acceptability）

• 安全机制的良好交互性、安全机制、安全目标的吻合性