标签:威胁 web 帽子 原则 风险 笔记 安全 划分 权限
黑客精神:分享,自由,免费
安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。
安全问题:本质是信任问题。
安全过程:安全是一个持续的过程,这个过程中没有银弹。
安全要素:完整性 可用性 机密性(可审计性 不可抵赖性)
安全评估:资产登记划分 威胁分析 风险分析 确认解决方案
资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过数据的重要程度来划分信任域。
威胁分析:我们把造成危害的来源称为威胁,把可能会出现的损失成为风险,风险一点是和损失联系在一起的,分为两个阶段分别是威胁建模和风险分析。
威胁模型:STRIDE(伪装 篡改 抵赖 信息泄露 拒绝服务 提升权限)
风险分析: DREAD(都分高中低三个等级) damage potential 获取完全验证权限执行管理员权限
reproducibility 攻击者可以任意再次攻击
exploitability 初学者短期掌握攻击方法
affected users 所有用户,默认配置,关键用户
discoverability 漏洞很显眼,攻击条件很容易获得)
优秀的安全方案特点:(secure by default)
1.能够有效解决问题
2.用户体验好
3.高性能
4.低耦合
5.易于扩展和升级
原则: 最小权限原则 纵深防御原则 数据代码分离原则 不可预测性原则
总结:安全是一门朴素学问,也是一种平衡的艺术。
标签:威胁,web,帽子,原则,风险,笔记,安全,划分,权限
来源: https://blog.csdn.net/MSB_WLAQ/article/details/121379312
本站声明:
1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。