第一章 我的安全世界觀
黑帽子:利用黑客技術造成破壞,甚至進行網絡犯罪的群體
白帽子:精通安全技術,工作在反黑客領域的專家
安全問題的本質是信任的問題
安全是一個持續的過程
-
安全三要素: 機密性(Confidentiality)、完整性(Integrity)、可用性(Availabity)。
機密性:要求保護數據內容不能泄露,加密是實現機密性要求的常見手段
完整性:要求保護數據內容是完整、沒有被篡改的。常見的保證一致性的技術手段是數字簽名
可用性:要求保護資源隨需可得
-
如何實施安全評估:
資產登記劃分:
威脅分析:把所有的威脅都找出來
STRIDE模型:
| 威脅 | 定義 | 對應的安全屬性 |
|---|---|---|
| Spoofing(偽裝) | 冒充他人身份 | 認證 |
| Tampering(篡改) | 修改數據或代碼 | 完整性 |
| Repudiation(抵賴) | 否認做過的事情 | 不可抵賴性 |
| InformationDisclosure(信息泄露) | 機密信息泄露 | 機密性 |
| Denial of Service(拒絕服務) | 拒絕服務 | 可用性 |
| Elevation of Privilege(提升權限) | 未經授權獲得許可 | 授權 |
風險分析:
設計安全方案:一個優秀的安全方案應該具備以下特點:
能夠有效解決問題
用戶體驗好
高性能
低耦合
易于擴展和升級
-
白帽子兵法
- Secure By Default原則:白名單,黑名單
