黑客精神:分享,自由,免費安全
安全人員:一定是在一個不斷分解問題而且再對分解問題逐個解決。性能
安全問題:本質是信任問題。spa
安全過程:安全是一個持續的過程,這個過程當中沒有銀彈。code
安全要素:完整性 可用性 機密性(可審計性 不可抵賴性)ci
安全評估:資產登記劃分 威脅分析 風險分析 確認解決方案it
資產等級劃分:首先咱們要明白咱們的要保護的目標是什麼,核心的互聯網安全問題就是數據的安全,劃分資產等級也就是劃分數據重要的安全程度,經過數據的重要程度來劃分信任域。class
威脅分析:咱們把形成危害的來源稱爲威脅,把可能會出現的損失成爲風險,風險一點是和損失聯繫在一塊兒的,分爲兩個階段分別是威脅建模和風險分析。用戶體驗
威脅模型:STRIDE(假裝 篡改 抵賴 信息泄露 拒絕服務 提高權限)擴展
風險分析: DREAD(都分高中低三個等級) damage potential 獲取徹底驗證權限執行管理員權限配置
reproducibility 攻擊者能夠任意再次攻擊
exploitability 初學者短時間掌握攻擊方法
affected users 全部用戶,默認配置,關鍵用戶
discoverability 漏洞很顯眼,攻擊條件很容易得到)
優秀的安全方案特色:(secure by default)
1.可以有效解決問題
2.用戶體驗好
3.高性能
4.低耦合
5.易於擴展和升級
複製代碼
原則: 最小權限原則 縱深防護原則 數據代碼分離原則 不可預測性原則
總結:安全是一門樸素學問,也是一種平衡的藝術。