前言

1. 关于近期学习，为了更好强化知识巩固。

2. 全面概括知识重点。

3. 做好笔记，以便后续查找。

安全信息概括特性

1. 完整性
2. 保密性
3. 可用性
4. 不可否认性
5. 可控性

信息安全防护维度

1. 物理安全：各种设备/主机、机房环境
2. 系统安全：主机或设备的操作系统
3. 应用安全：各种网络服务、应用程序
4. 网络安全：对网络访问的控制、防火墙规则
5. 数据安全：信息的备份与恢复、加密解密
6. 管理安全：各种保障性的规范、流程、方法

安全威胁分类（STRIDE）代表6种威胁

1. Spoofing 就是伪装，比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing.
2. Tampering 就是篡改，比如我用别人ID发言的手段就是篡改了合法包，而他们的server端没有相应的检查措施。
3. Repudiation 就是拒绝承认，比如我进行了这些攻击，他们并不知道是我做的，也没有证据是我做的，我就可以不承认。
4. Information Disclosure 就是信息的泄漏，比如他们的那串数字图片就没有任何保护，图片上的信息轻易的就被别人得到了。
5. Denial of Services 就是拒绝服务，比如我的自动发帖使得正常用户无法使用就是这种攻击。
6. Elevation of Privileges 就是权限的提升，比如我尝试用管理员的权限去做事情，就是属于这种。

安全设计基本原则

1. 使用成熟的安全系统
2. 以小人之心度输入数据
3. 外部系统是不安全的
4. 最小授权
5. 减少外部接口
6. 缺省使用安全模式
7. 安全不是似是而非
8. 从STRIDE思考
9. 在入口处检查
10. 从管理上保护好你的系统

常用安全技术

1. 认证
2. 授权
3. 审计
4. 安全通信

标签：STRIDE,哪些,IP,信息安全,安全,Spoofing,机制,比如,就是
来源： https://www.cnblogs.com/zxl1024320609/p/16631921.html