“白帽子讲Web安全”读书笔记(一)我的安全世界观

第一章:我的安全世界观

     1. 安全的本质是信任的问题

一切的安全方案设计的基础,都建立在信任关系上,我们必须相信一些东西,有基本的假设,安全方案才能成立。

举例:

  • 机场安检的例子   -信任域的划分

2.没有银弹,安全是一个持续的过程

3.安全三要素

机密性 :加密

完整性:保护数据内容完整,无篡改---数字签名

             康熙遗照-“传位十四子”被改为“传位于四子”

可用性:拒绝服务DOS

外加两条:可审计性,不可抵赖性

4.如何实施安全评估

资产等级划分   ;威胁分析;风险分析;设计安全方案

信任域的划分

互联网安全的核心问题,是数据安全问题

威胁分析

威胁 对应的安全属性  
Spoofing伪装 认证  
Tampering 篡改 完整性  
抵赖 不可抵赖性  
信息泄露 机密性  
拒绝服务 可用性  
提升权限 授权  

风险分析

多个维度,高,中,低

设计安全方案

安全是产品的固有属性,未考虑安全的产品,是不完整的。

安全防护原则-白帽子兵法

1、Secure By Default

       白名单,黑名单

       最小权限原则

2、纵深防御原则

      Web应用安全,OS系统安全,数据库安全,网络环境安全,多个维度进行防护

3、数据与代码分离原则

     各种注入引入的安全问题

4、不可预测性原则

     机密算法,随机数算法,哈希算法

    





你可能感兴趣的:(白帽子讲Web安全)