如何验证安全体系结构？

Question

假设我已经确定了系统中的某些漏洞，并且开发了一个安全体系结构来保护它。

我如何正确地验证我的体系结构(以证明它确实有效)？有人向我提到，一种方法可以使用实时操作系统，但我不能完全理解这将如何验证我的系统。

有什么想法吗？

Answer 1

最后，安全性与任何其他修补程序一样只是一个修复程序，因此，它的有效性可以按照通常的方法进行测试：

1. 在您的安全性未安装或禁用时测试这些漏洞，并确认环境确实易受攻击。
2. 启用/应用安全系统。
3. 在相同的条件下再次测试，并确认该漏洞不再可利用。

不要落入跳过步骤1的陷阱:具体地确保您的测试能够有效地演示问题的存在是至关重要的。人们通常只执行步骤2和步骤3，但由于某种原因，他们的测试虽然理论上可能很好，但在现实世界中可能并不有效(环境特性、未知的副作用等)。这通常是一个人如何最终实现无用的修复。

安全性所特有的唯一一点是，这些测试阶段可能需要使用特定的知识和工具，但是由于您似乎已经确定了这些漏洞并设计了一个潜在的缓解解决方案，所以我认为在最坏的情况下，一些web搜索应该足以为您带来所有缺失的部分。