计算机安全是保护系统和数据的,完整,保密,可用 保密:有权限的人才能读取数据;泄露信息就是攻击保密性(看不看得到)---窃取信息 完整性:能够修改数据,知道密码进入操作-----------------------------------获取权限 可用性:有权限的人应该能随时访问,黑客发大量请求到服务器,让网站很慢或挂掉-----攻击服务器 |
安全专家从抽象层面假想敌“威胁模型分析”、模型会对攻击者有个描述,为可能情况做出预案。 安全问题可以总结成两个问题:你是谁?你能访问什么? 为了区分身份,使用身份认证让计算机知道使用者是谁 1你知道什么:账号密码。黑客可以穷尽,甚至有一个僵尸网络群逐个账号尝试。 2你有什么:基于拥有特定物体 这两种验证是确定性的 组织给不同层级不同的权限:读取,修改,运行等等 访问控制列表的正确设置:公开,机密,绝密。 首先用户不能读上,不能读等级更高的信息。其次,用户不能写下,高等级不能修改低等级文件,确保绝密不泄密。 身份验证与访问控制帮助计算机知道你是谁与你可以访问神魔, 但是 前提是软硬件必须可靠,没有恶意软件 隔离,系统给程序隔离的内存,避免攻克后损失巨大 独立安全检查 |