7. 安全考虑 (Security Considerations)
本节基于 [YANG-GUIDE] 第 3.7 节描述的模板编写.
"ietf-schedule" YANG 模块定义了一个数据模型, 其设计目标是通过基于 YANG 的管理协议访问, 例如 NETCONF [RFC6241] 和 RESTCONF [RFC8040]. 这些基于 YANG 的管理协议 (1) 必须使用安全传输层, 例如 SSH [RFC4252], TLS [RFC8446] 和 QUIC [RFC9000], 并且 (2) 必须使用相互认证.
Network Configuration Access Control Model (NACM) [RFC8341] 提供了一种机制, 用于将特定 NETCONF 或 RESTCONF 用户的访问限制到所有可用 NETCONF 或 RESTCONF 协议操作和内容中预配置的子集.
"ietf-schedule" 模块定义了一组 identities, types 和 groupings. 这些节点旨在由其他 YANG 模块复用. 该模块本身不暴露任何可写数据节点, 不暴露任何包含只读状态的数据节点, 也不暴露 RPC. 因此, 对于 "ietf-schedule" 模块本身, 没有需要考虑的额外安全问题.
使用本文档中定义的 groupings 的模块应当标识相应的安全考虑. 例如, 复用以下 groupings 将暴露与隐私相关的信息:
-
调度依赖可靠且准确的时间同步. 不准确的日期和时间设置可能导致调度事件以错误的间隔触发, 从而可能造成系统故障或安全漏洞.
-
Recurring events 可能掩盖异常行为或安全威胁, 这些行为或威胁可能被正常事件淹没, 尤其是在它们被频繁触发时.
-
如果缺少每次 occurrence 触发时间和动作结果的详细日志与审计记录, 可能导致安全事件难以追踪.
-
定义发生非常频繁的 recurrences 时需要谨慎, 因为频繁 recurrence 可能使系统长期忙于调度管理, 从而成为额外的攻击来源.