u=229769238,849155550&fm=21&gp=0.jpg
好几天没有写过文章了,之前因为很少运动,自己都怀疑有亚健康了,还有晚上经常性失眠,估计是精力太旺盛了,今后还要加强锻炼,再加上昨晚双十一,自己没购物,还陪着某智障舍友睡到了快三点,让我发誓以后不瞌睡不上床,就在下面(宿舍上床下桌)敲代码,写自己的成长。(那种睡不着还要逼着自己睡的感觉再也不想有了)
来,comebaby,进入主题
u=3395943358,2329818977&fm=21&gp=0.jpg
我个人认为安全方面分为系统,web,桌面软件,data等几个方面,当然我们使用的是一个有机整体,他们之间又有密切的联系。
下面我来谈谈关于安全思想方面的,本文不包含工具使用:安全检查是贯穿于软件的整个生命周期的,有三要素(CIA):机密性,完整性,可用性。
安全评估又为:资产等级划分,威胁分析,风险分析,确认解决方案。(层层递进,大家要相对前因后果)
网络逻辑:威胁建模(threat)通过逆向头脑风暴到风险分析(risk):比如STRIDE模型:伪装,篡改,抵赖,信息泄露,拒绝服务,提升权限。(大家要切记模型是死的,人是活的) (risk=probability*damage potatial)
没有不安全的业务,只有不安全的实现方式。
安全的设计应为:高内聚,低耦合,易于扩展(比如nmap就是用户可以根据自己的情况来写插件)
还有一个概念是:安全永远是建立在一个信任的
基础上对另一件事做出判断,所以当你以前的信任基础不存在时,安全方案则化为浮云。
u=3576506506,2903953456&fm=21&gp=0.jpg
对于黑客的三类:白,灰,黑帽,白是要全面宏观的去维护,而黑帽只要微观,选择性的去攻击则可。
网友评论