信息安全中的启发式评价

Question

启发式评价术语主要涉及可用性领域，尤其是雅各布·尼尔森( Jakob )提出的10个可用性启发式算法。在信息安全领域，我们有Saltzer和Schroeder的安全原则，NIST 800-14中普遍接受的系统安全原则等等。这些安全原则是否可以称为“启发式”，因为它们是通用的(链接)？我们根据这些原则评估实践的活动可以称为“启发式评估”吗？

基于这个链接，启发式算法可以有助记符。那么，安全助记符，如中情局，大步等等，可以被称为“启发式”吗？

Answer 1

在安全领域，这不是典型的术语或实践。人们将寻找的术语属于“要求”或“标准”或“原则”，而根据这些原则进行的评价可称为“差距分析”和类似的术语。

术语上的差异与实际工作中的不同相吻合。在安全方面，针对这些标准或需求的工作主要是关于执行领域中的活动，而在可用性方面，工作则更多地是在发现领域。

还请注意，根据定义，最安全的系统是可用性为零的系统；在某种程度上，安全性和可用性是相互冲突的目标。在新出现的“可用安全性”实践中，发现更安全模式的启发式方法可以发挥更大的作用。