网络安全三要素(CIA)
Confidentiality:保密性
数据过程中的保密信息,比如密码等信息。
解决办法
加密:网络传输和保存的时候使用加密算法
权限管理:对于不同的信息设置不同的访问权限
敏感信息暴露:对于敏感信息:如密码,邮箱,电子签名。整个过程中需要对敏感信息 进行保护
Integrity:完整性
数据内容是完整的,没有被篡改
解决办法:数字签名进行算法校验
Availabitiy:可用性
有限制的调用服务,防止别人一直call你的服务器,从而搞垮你的服务器
威胁分析模型(STRIDE)
Spoofing:伪装
对传来的假信息进行认证
Tampering:篡改
对数据签名进行校验
Repudiation:抵赖
否认发出的信息,可以用于数据签名校验
Information Disclosure:信息暴露
对整个过程中敏感信息容易暴露的环节进行保护
Denial Of Service (DOS):摧毁可用性
网站不断遭受外来攻击,保持可用性
Elevation of privilege:权限优先
针对不同的用户,赋予不一样的权限
网络安全实战解决方案
黑名单,白名单
黑名单:用户不能访问
白名单:不在名单里的用户不能够访问
白名单比黑名单更安全
最小权限原则
和Linux系统比较相似
纵深防御
不同层面考虑不同的问题
数据和代码分离
解决注入攻击和缓存区溢出的问题
ID随机变换,不可预测