@秒灵儿
2年前 提问
1个回答

安全模式是什么意思

Andrew
2年前

安全模式是在给定的场景中,为控制、阻止或消减一组特定的威胁而采取的通用解决方案。在信息系统和软件设计中使用安全模式,可以有效地增强信息系统和软件的架构安全性,降低其安全风险。

安全模式最常见的使用场景是帮助(那些不是安全专家的)软件开发人员,增加他们设计的安全性。安全模式可以作为对系统安全需求的良好描述。需求不应该包含任何实现细节,并且抽象模式定义了概念上的所需要的安全,而不需要关心特定的实现。

安全模式将安全性与软件体系结构联系起来。由于采用了“提出问题→分析问题→解决问题→总结”的思路,即使读者对安全模式知之甚少,只要有一定的架构设计和信息安全基础,都能很快理解某一安全模式并加以应用。

安全模式的最终目标是建立安全的系统。为了这个目标,国外安全专家研究了使用模式创建安全系统的方法论。严格意义上来说,安全模式的方法是一种工程方法。

有多种视角看待安全模式:

  • 作为一种架构模式。可将安全模式看作一类架构模式,因为它们经常用来描述全局性的软件架构概念;例如,“在两个分离的功能单元之间是否需要认证功能?”我们倾向于这种解释,因为安全是全局属性。

  • 作为一种设计模式。安全是软件系统的组成部分,所以有些人把安全看作一种设计模式。我们认为设计模式是面向代码的,而安全则是一个架构属性。不过这种视角对于分析代码结构对安全的影响是有用的。

  • 作为一种分析模式。安全约束条件应该尽可能定义在系统的最高层,也就是说,在应用系统的概念模型层上。例如,我们定义哪些用户拥有什么样的角色,以及他们为了完成任务所需要的权限。一个概念上的、无关实现细节的安全机制,实际上就是分析模式。

需要注意的是,模式通常不宜用来描述安全原则,因为安全原则(例如分权原则)通常过于宽泛。模式应该做的是:把一个确定的解决方案描述好。