白帽子讲Web安全 -- 第一章 我的安全世界观
2015-12-02 本文已影响447人
cooper_zh
第一章 我的安全世界观
-
黑帽子:利用黑客技术造成破坏,甚至进行网络犯罪的群体
-
白帽子:精通安全技术,工作在反黑客领域的专家
-
安全问题的本质是信任的问题
-
安全是一个持续的过程
-
安全三要素: 机密性(Confidentiality)、完整性(Integrity)、可用性(Availabity)。
机密性:要求保护数据内容不能泄露,加密是实现机密性要求的常见手段
完整性:要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名
可用性:要求保护资源随需可得
-
如何实施安全评估:
资产登记划分:
威胁分析:把所有的威胁都找出来
STRIDE模型:
| 威胁 | 定义 | 对应的安全属性 |
|---|---|---|
| Spoofing(伪装) | 冒充他人身份 | 认证 |
| Tampering(篡改) | 修改数据或代码 | 完整性 |
| Repudiation(抵赖) | 否认做过的事情 | 不可抵赖性 |
| InformationDisclosure(信息泄露) | 机密信息泄露 | 机密性 |
| Denial of Service(拒绝服务) | 拒绝服务 | 可用性 |
| Elevation of Privilege(提升权限) | 未经授权获得许可 | 授权 |
-
风险分析:
-
设计安全方案:一个优秀的安全方案应该具备以下特点:
-
能够有效解决问题
-
用户体验好
-
高性能
-
低耦合
-
易于扩展和升级
-
白帽子兵法
- Secure By Default原则:白名单,黑名单
