Wenn über "Sicherheitsrichtlinien" gesprochen wird, beziehen sie sich möglicherweise auf zwei verschiedene Arten von Sicherheitsrichtlinien.
Einer von ihnen sind High-Level-diejenigen, in der Regel von Managern definiert. Die primären Leser dieser Sicherheitspolitik sind Menschen. Es ist ein Dokument, das das Ziel, den Kontext, die Erwartungen und die Sicherheitsanforderungen im Management definiert.Sprachen, die innerhalb dieser Richtlinie verwendet werden, könnten vage sein, aber es ist das elementare "Gesetz" der Sicherheit im anwendenden Kontext. Alle Beteiligten sollten diese Politik befolgen.
1) Das Ergebnis einer solchen Politik sind die klar definierten Sicherheitsanforderungen seitens des Managements. Mit dieser Politik können alle Beteiligten die Erwartungen des Managements verstehen und bei Bedarf sicherheitsrelevante Entscheidungen treffen.
2) Da die primären Leser solcher Sicherheitsrichtlinien menschlich sind und die Anweisungen in der Regel sehr allgemein gehalten sind, ist es möglicherweise nicht in maschinenlesbarer Form. Es können jedoch einige Dokumente definiert werden, die auf der Richtlinie basieren, nämlich Sicherheitsrichtlinien, Verfahren und Handbücher. Sie sind in der Reihenfolge der zunehmenden Details darüber, wie Sicherheit tatsächlich umgesetzt werden sollte. Zum Beispiel können die Anforderungen, die in der Sicherheitsrichtlinie definiert sind, in härtenden Handbüchern für verschiedene Betriebssysteme umgesetzt werden, so dass die Administratoren und Ingenieure effizient Härtungsaufgaben durchführen können, ohne zu viel Zeit damit zu verbringen, die Gedanken des Managements zu interpretieren. Die Härtungshandbücher können dann in einen Satz von maschinenlesbaren Konfigurationen umgewandelt werden (z. B. minimale Passwortlänge, maximale Fehleranmeldung, bevor das Konto gesperrt wird usw.), wobei die Härtungsaufgaben automatisiert werden.
3) Das Dokument sollte für alle Beteiligten zugänglich sein und regelmäßig vom Management überprüft werden.
4) In der Praxis könnte es schwierig sein, solche Referenzen zu erstellen. Sicherheitsrichtlinien werden möglicherweise von Zeit zu Zeit aktualisiert, und Sie werden wahrscheinlich Ihr Programm nicht erneut kompilieren wollen, wenn die Richtlinienänderungen nur einige Parameter betreffen. Es ist jedoch nett, die Richtlinie in Entwicklungsdokumenten wie Design-sepc zu referenzieren.
Eine andere Art von "Sicherheitsrichtlinien" könnte sich nur auf diese Parametersätze beziehen, die von Sicherheitsprogrammen ausgehen. Ich fand heraus, dass einige Sicherheitsprogramme das Wort "Politik" wirklich gerne verwenden, um ihre Konfigurationen organisierter und strukturierter zu gestalten. Aber diese "Sicherheitsrichtlinien" sind eigentlich nur Werte und/oder Anweisungen für Sicherheitsprogramme, denen man folgen sollte. Zum Beispiel hat Windows eigene "Sicherheitsrichtlinien", mit denen der Benutzer Audit-Loggings, Benutzerrechte usw. konfigurieren kann. Diese Art von "Sicherheitsrichtlinien" (Parameter für Programme) wird auf der Grundlage der ersten Art von "Sicherheitsrichtlinien" definiert. (Anforderungen vom Management) wie oben erwähnt.
Ich könnte zu viel darüber schreiben. Ich hoffe es hilft.
Dies scheint nicht über die Programmierung zu sein. Da es sich anscheinend um die Sicherheit auf Unternehmensebene handelt, wählen Sie die Option zum Migrieren zu Serverfehler. –
@David: Ich stimme überhaupt nicht zu. Bei der Entwicklung eines Systems mit Sicherheitsimplikationen müssen die implementierten Mechanismen die Bandbreite möglicher Richtlinien unterstützen. – Novelocrat
@Novelocrat: Sicher, und die Programmierung der Mechanismen ist hier voll zum Thema. Es geht jedoch darum, eine Art von Regeln aufzustellen, die auf verschiedene Arten implementiert werden, von denen einige wahrscheinlich die Programmierung betreffen und bei denen es nicht um SO-Themen geht. –