课程分享 | 安全设计原则

讲师介绍

前言

在数字化时代，软件安全已从技术问题升级为关乎企业存亡的战略要务。从SolarWinds供应链攻击到Log4j漏洞风暴，一次次安全事件不断警示我们：传统的边界防护思维已无法应对日益复杂的威胁环境。面对不断演进的攻击手段，我们需要从根本上重构软件设计理念——将安全性内化为系统基因，而非事后补救的外挂功能。软件安全十大设计原则从攻击面控制、权限最小化到防御层次构建，形成了一套完整的安全原生设计范式。下面我们详细介绍软件安全十大原则。

原则一：攻击面最小化

攻击表面，也称攻击面、攻击层面，是指软件环境中可以被未授权用户（攻击者）输入或提取数据而受到攻击的点位（攻击矢量）。

系统每增加一个功能特性就有可能会引入新的风险，通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。

常见的攻击面示例：

用户输入字段：搜索栏、输入框等；
系统读取的文件或者数据，包含读取的数据库；
协议：内部通信的协议；
接口：包含Web接口、API接口等；
服务：内部的消息服务。

针对Web应用的搜索功能，可以通过以下措施减少攻击面：

该功能只能被授权的用户使用。
后端代码对用户输入的数据进行了校验。
该功能不支持任意文字输入，只支持从指定列表中查看。

原则二：默认安全

默认安全是指让默认的配置和策略尽可能的安全，只有充分了解业务安全需求的前提下，才能更好的使用该原则。

在许多场合，安全和产品体验经常会发生冲突，这时候应当选择安全优先，在安全的前提下，可以允许通过手动关闭安全配置或策略来提升产品体验。

产品应该默认打开密码复杂度策略，即不允许用户使用不符合密码复杂度策略的密码，但产品可能可以允许用户关闭这个策略来提升体验。

原则三：权限最小化

权限是指某个特定的用户具有特定的系统资源使用权力，像是文件夹，特定系统指令的使用或存储量的限制，权限分为用户权限和资源权限。系统只拥有完成任务所必须的最小权限，即不赋予不必要权限。

某中间件服务器只需要访问网络、读取数据库和向日志服务器写日志的权限，那就完全没有必要赋予其更多其它的权限（特别是管理级别的特权）。
某业务只需要查询的权限，但却使用了root账户进行连接，如果该业务遭受SQL注入攻击，就会造成很大的影响。

原则四：纵深防御

战争学概念：防御地区或防御部署的纵向深度。分为战役纵深防御和战术纵深防御。

安全管理学概念：通过设置多层重叠的安全防护系统而构成多道防线，使得即使某一防线失效也能被其他防线弥补或纠正，即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生的。

从不同的维度去实施安全保护措施来缓解被攻击的风险。实施纵深防御策略，可以让攻击变得更加难以实施，漏洞变得更加难以利用。

针对SQL注入攻击，可以通过构建分层适度的防护体系：

在应用外围部署WAF。
应对输入数据进行有效性验证或进行参数化查询。
数据库连接账户隔离以及权限最小化。
敏感数据加密存储。
对数据库进行安全配置或关闭不必要的强大功能。

需要注意的是当纵深防御机制设计得过于复杂时，同时也增加了系统的复杂性导致为了解决某些安全问题而引入了其它的安全问题，

原则五：安全失败

安全失败是指业务系统能够正确安全地处理各种异常和错误，注意初始值安全、异常处理规范化和错误状态无害化。

以下这段代码，默认把isAdmin（是否为管理员）设置成true，一旦代码执行过程中出现失败的状况，isAdmin不会被修改，依旧保持true的状态。这就意味着，即使原本不该拥有管理员权限的情况，由于这个默认设置和执行失败的漏洞，仍可能会以管理员权限来操作，从而造成安全事故。为了避免这种安全失败的情况，应该把isAdmin的初始值设为false。只有当满足特定的条件，经过严格的身份验证和权限检查后，才将其赋值为true，授予管理员权限。

isAdmin = true;
try {
codeWhichMayFail（）;
isAdmin =isUserInRole（"Administrator"）;
}
catch （Exception ex）{
log.write（ex.toString（））;
}

原则六：不信任第三方系统

第三方系统是不可控的，不少产品需要和第三方的业务系统对接，并使用其提供的数据。无法掌控这些第三方系统的安全设计和开发过程的，所以它们也可能会存在安全漏洞，进而被人攻击。我们必须充分考虑到当第三方系统被攻击时，如何保障自己的业务系统的安全性。

原则七：业务隔离

通过逻辑或物理隔离，确保不同业务模块、数据或权限之间互不干扰，降低单点故障或恶意操作的影响范围。

原则八：公开设计

不少公司都实现了自己的私有加密算法，他们认为只要算法不被泄露或公开，那么算法就是安全的。但是攻击者可以通过抓包或逆向二进制来进行破解；或者通过入侵服务器或给员工机器种植木马的方式来获取到源代码·对公司不满的员工故意公开算法。一旦以上任意条件满足时，则这种不公开设计方式的保护也就变得没有意义。

假设算法被破解或完全公开，同样能保证系统的安全。业界广泛使用的对称加密算法（AES）和非对称加密算法（RSA），它们的设计实现都是公开的，但是仍然是安全的。

原则九：简化系统设计

最小化攻击面和简化系统设计是相辅相成的，复杂的系统设计会导致攻击面变宽，所以如果存在多种系统设计方案则应尽量选择最简单的那种方案。

纵深防御和简化系统设计是矛盾冲突的，需要均衡取舍当纵深防御机制设计得过于复杂时，同时也增加了系统的复杂性，导致为了解决某些安全问题而引入了其它的安全问题。

原则十：白名单

白名单是设置能通过的用户，白名单以外的用户都不能通过，除了定义为合法的，其它都拒绝。常用于：允许访问的IP列表、允许访问的端口、可以选择的列表等。

黑名单是设置不能通过的用户，黑名单以外的用户都能通过，除了定义为不合法的，其它都允许。常用于：WAF拦截规则、杀毒软件的引擎规则、通用组件的非法输入过滤等。

在对所有输入数据进行过滤时，适合使用白名单原则，未在白名单范围内的数据将被视为非法，相反地，如果使用黑名单，其规则可能会被预想不到的方法绕过。

其他原则

木桶原则：木桶的最大容积取决于最短的一块木板，攻击者必然在系统中最薄弱的地方进行攻击。
自主和可控性原则：安全问题关系着一个国家的主权和安全，所以网络安全不可能依赖于国外，必须解决网络安全的自主权和自控权问题。

Spring的设计分析

Spring框架是一个开放源代码的J2EE应用程序框架，大概有20个模块组成，这些模块分为核心容器、数据访问/集成、Web、AOP（面向方面编程）、仪器和测试。那么，从十大安全设计原则的角度来考量，Spring 框架是否具备足够的安全性呢？

使用Spring Boot程序的十大实践

在生产中使用HTTPS；
使用SCA工具检查依赖；
升级到最新版本；
开启CSRF保护；（SpringSecurity默认支持优秀的CSRF。如果您使用Spring MVC的标记或Thymeleaf和@EnableWebsecurity，CSRF令牌将自动添加为一个隐藏的输入字段）
使用内容安全策略来防止XSS攻击（HTTP Header）；
使用OpenID Connect进行身份验证（SSO）；
使用密码散列（使用安全合格的哈希方法）；
安全存储密钥安全（使用类似Vault密钥管理工具）；
使用DAST测试您的应用程序；
您的安全团队是否进行了代码评审。

网安加云课堂

2025年4月7日