首页 > 其他分享 >02安全原则:我们应该如何上手解决安全问题

02安全原则:我们应该如何上手解决安全问题

时间:2023-09-19 19:46:44浏览次数:32  
标签:02 审计 原则 问责 认证 安全 日志 身份

机密性、完整性、可用性

简单说,以购买极客时间为例,机密性就是未付费用户无法学习这个专栏,完整性就是这个专栏不会变成别的其他方向的内容,可用性就是作为付费用户,能够随时学习这个专栏。

那么该怎么解决安全问题呢

黄金法则

三部分:认证(Authentication)、授权(Authorization)、审计(Audit)

甚至可以再加一个问责(Accounting)组成4A法则;或者再家伙是那个身份识别(Identification),组成IAAAA法则,也就是说围绕识别、认证、授权、审计、问责五个部分展开。

黄金法则描述的其实是用户在使用应用过程中的生命周期:先进行登录、再进行操作、最后留下记录

认证

1、 身份识别和认证

认证,其实包括两个部分:身份识别和认证。身份识别其实就是在问“你是谁”,你会回答“你是你”。身份认证则会问“你是你吗”,那你要证明“你是你”这个回答是合法的。

例如,当你在使用用户名和密码登录的过程中,用户名起到身份识别的作用,而密码起到身份认证的作用;而使用指纹、人脸等进行登入的过程,其实同时包含了身份识别和认证。

依据具体的认证场景,对安全等级、易用性等的综合考量,认证形式可以大致分为三种。按照认证由弱到强排序

1、 你知道什么(密码、密保问题等)

2、 你拥有什么(门禁卡、安全令牌等)

3、 你是什么(生物特征、指纹、人脸、虹膜等)

可信的身份认证是建立安全保障体系的第一步。如果身份认证被破解,则后续的保护或者补救机制都无法起到太多的效果。

授权

在确认完“你是你”之后,下一个需要明确的问题就是“你能做什么”。毫无疑问,在系统应用中,我们的操作都会受到一定的限制。比如,某些文件不可读,某些数据不可修改。这就是授权机制。除了对“您能做什么”进行限制,还会对“你能做多少”进行限制。比如,手机流量授权了你能够使用多少的移动网络数据。

审计和问责

当你在授权下完成操作后,安全需要检查一下“你做了什么”,这个检查的过程就是审计。当你发现你做了某些异常操作时,安全还会提供你做了这些操作的“证据”,让你无法抵赖,这个过程就是问责。

例如用,当你去银行办理业务时,工作人员会让你对一些单据签字。这些单据就是审计的信息来源,而签字则保证了你确实这是你进行的操作,这就是问责的体现。

审计和问责通常也是共同出现的一个过程,因为他们都需要共同的基础:日志。很容易理解,所谓审计,就是去通过日志还原出用户的操作历史,从而判断是否出现违规的操作。而问责则是通过日志的完整性,来确保日志还原出来的操作是可信的。想象一下,如果一份日志可以被人任意篡改,那我们基于这份日志去进行审计,即使发现违规操作,也无法证明违规操作确实发生了,只能是白费功夫。

问责是对审计结果的一个保障,也称为“不可否认性”。一方面,它保证了黑客无法通过篡改日志或者仿造身份,来隐藏自己的行为;另一方面它也保证了,当审计中发现了恶意的行为,需要寻求法律保护时,能够提供充分的证据。

总之。大部分情况下,事前防御属于认证,事中防御属于授权,事后防御属于审计。

企业安全建设管理

安全问题需要自上而下的方式去进行管理和推动。这也是为什么,大部分安全负责人加入企业做的第一件事就是向上教育,只有企业高层理解了安全,才有可能有效推动安全的发展。

正如,在开发一款应用时,需要评估功能的优先级,先以有限的资源实现1.0版本,然后再逐步进行迭代,不断完善,通常来说会根据周期不同,只当三种安全规划,例如,可以制定5年左右的战略计划、1年左右的战术计划、三个月左右的操作计划。

1、 战略计划是一个较长期的安全目标,它和企业的长期发展目标想结合,保证安全的发展能够符合企业的长期发展方向

2、 战术计划会基于长期的安全目标,拆解出详细的任务计划,例如:项目列表、安全预算、人员扩张等

3、 操作计划则是对战术计划的具体实现,包括人员的分配、资源的投入、进度的安排等。

和产品研发一样,当建立好不同的计划后,我们就能够给予企业的安全建设一个明确的方向,大大降低投入的成本,提高效率。因此,挖掘安全问题,明确安全计划,对于企业建立安全体系来说,至关重要。

总结

黄金法则描述的是在用户操作的各个环节中,所需要采取的安全策略。黄金法则的核心内容包括三个部分:认证、授权、审计。大部分情况下,事前防御属于认证,事中防御属于授权,事后防御属于审计

毫不夸张地说,所有的安全保护措施或者工具,都是在黄金法则的一个或者多个模块中进行工作的。安全是严格遵从“木桶原理”的领域,只专注于某一个方向必然无法产出最优的结果。因此,我们一定要积极寻找短板,全面发展。

 

标签:02,审计,原则,问责,认证,安全,日志,身份
From: https://www.cnblogs.com/Adam-Ye/p/17715623.html

相关文章

  • 2023/09/19
    今天主要学习了有关数据结构中两个有序线性表的有序合并。对两个有序线性表的主要方法就是比较两表中元素的大小。其原理是从表头开始两表中的数按表中的序列顺序(从小到大或者从大大小)进行比较,将较小(较大)的数接入新的表中,同时将填入的数的表和新表移向下一个位置。循环重复以......
  • 2023 icpc网络赛1 F
    2023icpc网络赛1F.AliceandBob目录2023icpc网络赛1F.AliceandBobFF一组数,自己选其中3个,问先手胜方案数每次操作使2个数之和不变,差减小根据官方题解的自己的理解......
  • 2023.9.19
    今天数据结构学习了线性表的合并,只需要扩大集合a的范围即可,首先提取集合b中的数据,在判断a中是否有此数据,若没有则插入到集合a中。随后又学习了有序表的合并,主要思想就是利用两个集合中的数据比较,将较小的数存入新的数组中,随后较小的事数的数据下标加一在比较,最终会有一数组未加完,......
  • 2023.09.18
    今天主要对java的方法和类进行了学习,学习了如何定义方法和类。以及当中的作用public/privateclass类名{public/private数据类型变量名;public/private数据类型方法名(参数列表){}}public:存取与访问不受限制;private:除非是属于类自己的方法,外界代码不能存取和访问......
  • KingbaseES 行级安全策略介绍
    本文详细介绍了KingbaseES中通过CREATEPOLICY为一个表定义一条行级安全性策略。注意为了应用已被创建的策略,在表上必须启用行级安全性。策略名称是针对每个表的。因此,一个策略名称可以被用于很多个不同的表并且对于不同的表呈现适合于该表的定义。策略可以被应用于特定的命令或......
  • [IJCAI 2023]Fighting against Organized Fraudsters Using Risk Diffusion-based Par
    [IJCAI2023]FightingagainstOrganizedFraudstersUsingRiskDiffusion-basedParallelGraphNeuralNetwork文章设计了一种基于社区的医疗保险欺诈行为检测。模型为了提高精度,模型设计了一组异构图模型和一组同构图模型。输入的异构图是保险受益人-医疗服务提供者的图,......
  • 什么是DSPM?数据安全状况管理的全面概述
    随着数据量的生成以及保护其关键信息的需求,数据安全状况管理(DSPM)不再是企业的必需品。DSPM是一种数据优先方法,用于在数据高度碎片化的不断变化的环境中保护数据。DSPM使组织能够通过自动执行静态和动态数据分析来增强其安全状况,以提供数据编目、数据流图、风险管理以及事件检测......
  • case02数据结构之列表
    数据结构之列表:全球股票指数【任务1】在Python中使用列表数据结构并向两个列表中分别输入表1-3中的指数名称和收盘价。同时,在包含指数名称的列表中,依次访问"富时100指数""沪深300指数"这两个元素;在包含收盘价的列表中,依次找出"15437.5100""28458.4400"这两个元素的索引值。......
  • 软件安全测试为什么重要?
    在当前数字化时代,软件已经成为我们生活中不可或缺的一部分,无论是在工作中还是生活中,我们都离不开各种各样的软件。然而,随着软件的普及和应用范围的扩大,软件安全问题也逐渐凸显出来,给企业和个人带来了极大的困扰。因此,软件安全测试变得越来越重要。一、软件安全测试为什么很......
  • 20230919_京东良西延动态
    京良路西延近况4京良路西段工程是咱房山居民十分关心的一件大事该工程横跨房山区、丰台区道路全长约3730米近日,京良路西段涉及到的铁匠营村腾退搬迁又有新进展了村中道路两侧安装了施工围挡又新张挂了很多宣传条幅显示项目进入收尾阶段腾退搬迁工作将加快实施青......