网络安全三大要素CIA
1.Confidentiality保密性
网络传输的时候,信息安全问题 解决方法:加密算法,权限管理,敏感信息保护
2.Integrity完整性
数据是完整的,不被篡改—-signature数字签名校验
3.Availabitity可用性
不能让人家无限的调取你的服务,要有限制
STRIDE
微软提出了STRIDE的威胁分析模型
Spoofing伪装–认证
Tampering篡改–完整性->签名校验
Repudiation抵赖–否认做过的事,具有不可抵赖性–签名校验
Information Disclosure信息泄露
Denial of Service Dos–可用性
Elevation of Privilege提升权限
网络安全的五个实战原则
1.黑名单+白名单(白名单比黑名单安全)
2.最小权限原则(需要什么权限就给什么权限,不能给额外的)不能偷懒
3.纵深防御(Defense in Depth)
不同的层面(web应用,网络,数据库,OS)都要有相应的安全权限配置
4.数据与代码分离,广泛适用于各种注入问题和缓存区溢出的问题
5.不可预测性,用户的id或者交易号id等标识随机变化