摘自:《计算机安全学》
(1)控制重点
在一个给定的应用中,一个计算机系统中的保护机制,应更集中在数据、操作、还是用户上?传统的观点:集中在保护数据上,现代观点:更多的与控制用户的行为有关。
(2)人——机标尺
一个安全机制应该放置在计算机系统的哪一个层次上?硬件、操作系统内核、服务、还是应用程序上?
(3)复杂性与保证性
与富有特色的安全环境相比,你是否偏爱简单性和更高的保险性?但是其两者是很难相互匹配的。
(4)集中控制或分布式控制
定义和实施安全的任务是应该交给一个中央实体还是应该托付给系统中的各个成员?
(5)下层
每个保护机制均定义了一个安全边界,如何防止攻击者访问位于保护机制下面的层?
我觉得这些原则同样适用于现在的微服务架构。
以下是我学生时代的笔记: