要点
- CIA原则
- 黄金法则
- 密码学基础
- 安全知识图
一、安全基本原则(CIA)
- 机密性(Confidentiality):确保数据只被授权的主体访问,不被任何未授权的主体访问; 简单用一个词总结就是“不可见”
- 完整性(Integrity):确保数据只被授权的主体进行授权的修改,简单来说,就是“不可改”
- 可用性(Availability):保数据能够被授权的主体访问到, 简单来说,就是“可读”
我们可以简称为 CIA 三元组,是安全的基本原则。理论上来说,一个完整的安全保障体系,应该充分考虑到所有的 CIA 原则
二、黄金法则
黄金法则主要包含三部分:认证(Authentication)、授权(Authorization)、审计(Audit)。
- 认证:可信的身份认证是建立安全保障体系的第一步
- 授权:当用户被认证后,确定该用户有那些操作的权限
- 审计与问责:当在授权完成后,安全需要检查一下“你做了什么”,记录行为日志,这个检查的过程就是审计;当发现做了某些异常操作时,安全还会提供你做了这些操作的“证据”,让你无法抵赖,这个过程就是问责
三、密码学基础
密码学算法有:对称加密算法、非对称加密算法和散列算法等
- 对称加密:加密和解密使用同一个密钥,常见的算法有:DES、IDEA、AES、国密 SM1 和 SM4等。
- 非对称加密:加密和解密使用不同的密钥。具体的加解密过程就是,发送方使用公钥对信息进行加密,接收方收到密文后,使用私钥进行解密。常见等算法有:RSA、ECC 和国密 SM2等
- 散列算法:散列算法应该是最常见到的密码学算法;大量的应用都在使用 MD5 或者 SHA 算法计算一个唯一的 id,具有不可逆性、鲁棒性(同样的消息生成同样的摘要)、唯一性(不存在两个不同的消息,能生成同样的摘要)。常见等算法有:MD5、SHA、国密 SM3等
四、安全攻防知识体系图
image.png
网友评论