前言
-
关于近期学习,为了更好强化知识巩固。
-
全面概括知识重点。
-
做好笔记,以便后续查找。
安全信息概括特性
- 完整性
- 保密性
- 可用性
- 不可否认性
- 可控性
信息安全防护维度
- 物理安全:各种设备/主机、机房环境
- 系统安全:主机或设备的操作系统
- 应用安全:各种网络服务、应用程序
- 网络安全:对网络访问的控制、防火墙规则
- 数据安全:信息的备份与恢复、加密解密
- 管理安全:各种保障性的规范、流程、方法
安全威胁分类(STRIDE)代表6种威胁
- Spoofing 就是伪装,比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing.
- Tampering 就是篡改,比如我用别人ID发言的手段就是篡改了合法包,而他们的server端没有相应的检查措施。
- Repudiation 就是拒绝承认,比如我进行了这些攻击,他们并不知道是我做的,也没有证据是我做的,我就可以不承认。
- Information Disclosure 就是信息的泄漏,比如他们的那串数字图片就没有任何保护,图片上的信息轻易的就被别人得到了。
- Denial of Services 就是拒绝服务,比如我的自动发帖使得正常用户无法使用就是这种攻击。
- Elevation of Privileges 就是权限的提升,比如我尝试用管理员的权限去做事情,就是属于这种。
安全设计基本原则
- 使用成熟的安全系统
- 以小人之心度输入数据
- 外部系统是不安全的
- 最小授权
- 减少外部接口
- 缺省使用安全模式
- 安全不是似是而非
- 从STRIDE思考
- 在入口处检查
- 从管理上保护好你的系统
常用安全技术
- 认证
- 授权
- 审计
- 安全通信