2.2.1 SWS/Principios fundamentales

Esta unidad de conocimiento presenta los principios que subyacen tanto al diseño como a la implementación. Los primeros cinco son principios de restricción, los tres siguientes son principios de simplicidad y el resto son principios de metodología.
Temas:
Core Tier1

• Mínimo privilegio
  1. Esta unidad de conocimiento presenta los principios que subyacen tanto al diseño como a la implementación. Los primeros cinco son principios de restricción, los tres siguientes son principios de simplicidad y el resto son principios de metodología.
• Valores predeterminados a prueba de fallos
  1. El estado inicial debería ser denegar el acceso a menos que se requiera explícitamente. Entonces, a menos que al software se le dé acceso explícito a un objeto, se le debe negar el acceso a ese objeto y el estado de protección del sistema debe permanecer sin cambios.
• Mediación Completa
  1. El software debe validar cada acceso a los objetos para garantizar que el acceso esté permitido.
• Separación
  1. El software no debe otorgar acceso a un recurso ni realizar una acción relevante para la seguridad basándose en una única condición.
• Minimizar la confianza
  1. El software debe verificar todas las entradas y los resultados de todas las acciones relevantes para la seguridad.
• Economía del mecanismo
  1. Las funciones de seguridad del software deben ser lo más simples posible
• Minimizar el mecanismo común
  1. Reducir los recursos compartidos al máximo
• El menor asombro
  1. Las características de seguridad del software y los mecanismos de seguridad que implementa deben diseñarse de manera que su funcionamiento sea lo más lógico y simple posible.
• Diseño abierto
  1. La seguridad del software, y de lo que ese software proporciona, no debería depender del secreto de su diseño o implementación.
• Capas
  1. Organice el software en capas de modo que los módulos de una capa determinada interactúen solo con los módulos de las capas inmediatamente superiores y inferiores. Esto le permite probar el software una capa a la vez, utilizando técnicas de arriba hacia abajo o de abajo hacia arriba, y reduce los puntos de acceso, aplicando el principio de separación.
• Abstracción
  1. Ocultar las partes internas de cada capa, haciendo que solo las interfaces estén disponibles; esto le permite cambiar la forma en que una capa lleva a cabo sus tareas sin afectar los componentes de otras capas
• Modularidad
  1. Diseñar e implementar el software como una colección de componentes cooperativos (módulos); de hecho, la interfaz de cada módulo es una abstracción.
• Vinculación completa
  1. Vincule el diseño y la implementación de la seguridad del software con las especificaciones de seguridad de ese software.
• Diseño para iteración
  1. Planifique el diseño de tal manera que pueda modificarse, si es necesario. Esto minimiza los efectos con respecto a la seguridad de cambiar el diseño si las especificaciones no coinciden con el entorno en el que se utiliza el software.

Objetivos de Aprendizaje:
Core-Tier1:

1. Analice las implicaciones de confiar en el diseño abierto o el secreto del diseño para la seguridad [Usar]
2. Enumere los tres principios de seguridad [Usar]
3. Describa por qué cada principio es importante para la seguridad. [Usar]
4. Identificar el principio de diseño necesario [Usar]