安全世界观

  • 安全问题的本质是信任问题

  • 安全是一个持续的过程

  • 信息安全三要素CIA

    • 机密性(Confidentiality)
    • 完整性 (Integrity)
    • 可用性 (Availability)

  • 实施安全评估

    1. 资产等级划分
      • 互联网安全的核心问题,是数据安全的问题。根据数据的重要性划分资产。
    2. 威胁(threat)分析
      • 我们把可能造成危害的来源称为威胁,而把可能会出现的损失称为风险,要区分开来
      • STRIDE 模型
    3. 风险分析
      • DREAD模型
    4. 设计安全方案

  • Secure By Default 原则

    • 黑名单、白名单
    • 最小权限原则,这个权限不要理解为软件和系统权限,而是所有的行为,满足要求的最少行为。

  • 纵深防御原则

    • 要在不同层面,不同方面实施安全方案。
    • 要在正确的地方做正确的防御,否则会效率低或无效.

  • 数据与代码分离原则

  • 不可预测原则

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容