web安全常识

Posted 2020-12-28 itechstudy

  一个合格的phper，一定是要考虑web的安全的问题的，今天就简单的总结一下web的常识性的知识：

  1.安全问题的本质是信任的问题

   安全问题的三要素：机密性（Confidentiality），完整性（Integrity），可用性（Availablity）

   ①机密性要求保护的内容不能泄露，加密是实现机密性要求的常见手段

   ②完整性要求保护的数据是完整的没有被篡改的，数字签名是保证数据完整性的常见手段

   ③可用性要求保护资源是随手而得，DoS（拒绝服务攻击）破坏的就是可用性

 2.安全评估

   安全评估分为四个阶段，前后有因果关系

  ①资产等级划分

  ②威胁分析

  ③风险分析

  ④确认解决方案

  3.互联网的核心是由用户数据驱动的，用户产生业务，业务产生数据；互联网安全问题的核心是数据安全的问题。

  4.威胁分析----STRIDE模型（由微软提出）

  

   5.风险分析----DREAD模型（由微软提出）

   

    6.影响风险高低的因素，除了造成损失的大小之外，还要考虑发生的可能性

     

   7.安全方案设计原则

    ①secure by default 原则：这是最基本也是最重要的原则，可以理解为黑白名单的思想；如果更多的额使用白名单，会变得更安全。

    ②最小权限原则：这是secure by default的另一层含义，也是安全设计的基本原则之一。最小权限原则要求只赋予主体必要的权限，不要过度授权，这样能有效

       的减少系统，网络，应用，数据库出错的机会。

    ③纵深防御原则：

      Defense in Depth（纵深防御）也是安全设计重要的指导思想

     

     

    ④不可预测性原则

      

      不可预测性能有效对抗基于篡改，伪造的攻击