最近在读吴翰清写的《白帽子讲WEB安全》,相信对大家来说吴翰清这个名字很熟悉。对的就是俗称道哥。原阿里巴巴的安全工程师,现就职于安全宝。写下这个既是为了留下点东西来填补博客的文章,也同样是为了今后的巩固, 玩了web安全这么久了,很多东西还是停留在表面,基础不扎实,这本书简洁的语言,却把网络安全的基础概念整理的清清楚楚。再来一次学习!人生就是不停地学习,没有谁能做到一来就懂(好了,你不好说这些所谓的心灵鸡汤了,还是鸡丁+白开水的那种。
)
------------------分割线, 好吧扯远了-----------------------------
First:
安全的三要素是安全的基本组成元素,分别是
- 可用性
可用性要求保护资源是“”随需而得“。
- 完整性
完整性则是要求保护数据内容是完整的、没有被篡改的。
常见的的保护一致性的技术手段是数字证书。
- 机密性
机密性要求保护数据内容不被泄漏,加密是实现机密性的幼小手段。
Second:
如何实施安全评估?
实施安全评估可以简单的分为4个阶段。
| ① 资产等级划分 |
| ② 威胁分析 |
| ③ 风险分析 |
| ④ 确认解决方案 |
一般来说,按照这个过程实施安全评估。不会出现较大的问题。这个过程是层层递进的。
资产等级的划分是所有工作的基础,这项工作能够帮组我们明确目的是什么,要保护什么。
互联网安全的核心问题是数据安全的问题。
资产等级划分后,对要保护的目标已经有了一个大概的了解,接下来就是要划分信任域和信任边界了。
什么是信任域?
概念:信任域是PKI原理中,与信任模型有关的一个概念。 指的是一个组织内的个体在一组公共安全策略控制下所能信任的个体集合。
规则:个体可以是人,服务器以及具体的应用程序等。公共安全策略是指系统颁发,管理和验证证书所依据的一系列规定、规则的集合。
这里有一篇《实战详解域信任关系,Active Directory系列之十七》
通常我们从网咯逻辑上来划分,比如重要的数据放在数据库里,那么把数据库圈起来;web应用可以在数据库中读写数据并且对外提供服务,那么再把WEB服务器圈起来;最外面的是不可以信任的Internet.
今天暂时到这里,明天在继续。