网络安全三大要素CIA

1.Confidentiality保密性

网络传输的时候，信息安全问题 解决方法：加密算法，权限管理，敏感信息保护

2.Integrity完整性

数据是完整的，不被篡改—-signature数字签名校验

3.Availabitity可用性

不能让人家无限的调取你的服务，要有限制

STRIDE

微软提出了STRIDE的威胁分析模型
Spoofing伪装–认证
Tampering篡改–完整性->签名校验
Repudiation抵赖–否认做过的事，具有不可抵赖性–签名校验
Information Disclosure信息泄露
Denial of Service Dos–可用性
Elevation of Privilege提升权限

网络安全的五个实战原则

1.黑名单+白名单(白名单比黑名单安全)
2.最小权限原则(需要什么权限就给什么权限,不能给额外的)不能偷懒
3.纵深防御(Defense in Depth)
不同的层面(web应用，网络，数据库，OS)都要有相应的安全权限配置
4.数据与代码分离，广泛适用于各种注入问题和缓存区溢出的问题
5.不可预测性，用户的id或者交易号id等标识随机变化