《白帽子讲web安全》第一篇 世界观安全

第1章 引言

1.1 安全

安全问题的本质是信任的问题

安全是一个持续的过程

安全的三要素:机密性、完整性、可用性

1.2 安全评估

安全评估过程:

  1. 资产等级划分(资产等级划分——>划分信任域和信任边界)
  2. 威胁分析
  • 威胁:可能造成危害的来源;风险:可能会出现的损失
  • 找威胁的方法:①头脑风暴(确定攻击面);②模型(eg.STRIDE模型)

(配图)

  1. 风险分析
  • risk = probability * damage potential
  • 衡量风险的模型DREAD:

(配图)

  1. 设计安全方案
  • 原则:①secure by default(最小权限原则);②defense in depth(纵深防御);③数据与代码分离原则;④不可预测原则

你可能感兴趣的:(安全,web安全)