《白帽子讲web安全》学习笔记——web安全概述

一、安全的三要素        
1、机密性
        机密性要求保护数据内容不被泄露,加密是实现机密性要求的常见方法,比如常见的对称加密算法和非堆成加密算法。

2、完整性
        完整性要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数据签名。

3、可用性
        可用性要求保护资源是“随需而得”。安全领域中,拒绝服务攻击破坏得就职安全的可用应。
        安全领域中,除以上要素外,仍然存在一些其他要素,比如不可抵赖性、可审计性,但最重要的要素便是以上三个。在设计安全方案时,也要以以上三个要素未基本出发点,去全面低思考所面对的问题。

二、安全评估过程
        一个安全评估过程可以分为四个阶段:资产等级划分、威胁分析、风险分析、确认解决方案。
1、资产等级划分
        这里所说的“资产”并非指服务器、交换机、路由器等物理设备,而是指“数据”。互联网的核心其实是由用户数据驱动的,用户产生业务,业务产生数据。因此,互联网安全的核心问题,是数据安全的问题。
        一套应用系统会产生大量不同类型的数据,这些数据有些重要程度各不一样,对这些数据进行等级划分,便是要明白哪些数据是我们的重点保护对象。
        完成资产等级划分后,我们需要划分信任域和信任边界。在这个阶段,可以根据数据安全等级的不同,划分不同的信任域,不同信任域之间的数据流动必须经过安全边界的检查。

2、威胁分析
        威胁分析就是把所有的威胁全部找出来,一般可以采用头脑风暴法,或者使用

你可能感兴趣的:(信息安全学习之路,网络安全)