随笔分类 -  网络安全 / 网络安全基础理论

摘要：三大原则： Secure By Default原则 （1）黑名单、白名单思想 白名单解析 ·只对需求进行放行 ·即只对某一部分要使用的接口进行放行，其他端口封闭 ·如，网站只提供web服务，那么正确的做法是只允许网站服务器的80和443端口对外提供服务，屏蔽除此之外的其他端口 黑名单解析 ·只对威胁 阅读全文

摘要：·安全方案的设计思路与方法 组成属性： CIA: 机密性(Confidentiality): 要求保护的数据内容不能泄露，加密是实现机密性要求的常见手段 完整性(Integrity)： 要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名 可用性(Availability)： 阅读全文

摘要：安全评估的实施被分为4个阶段： 资产等级划分 威胁分析 风险分析 确认解决方案 ·当面临的是一个尚未实施过安全评估的方案时，应该按顺序依次进行 而如果是一个由安全团队长期维护的系统，那么有些阶段可以只实施一次。 在上一个阶段将决定下一个阶段的目标，需要实施到什么程度。 ·互联网安全的核心问题，是数据 阅读全文

摘要：·在解决安全的问题的过程中，不可能一劳永逸。 ·安全是一个持续的过程 ·攻击与防御技术的对立，从网络诞生的那一刻就不可避免； 攻击与防御技术的发展，同样从网络诞生的那一刻就开始，至今还未结束，在未来也将一直持续下去，直到宇宙的尽头 在一个时代，注定有一项技术会占优势地位，但某一时期的攻击或防御技术， 阅读全文

摘要：·安全问题的本质是信任的问题 ·一切安全方案的基础，都是建立在信任关系上的。我们必须相信一些东西，必须有一些最基本的假设，安全方案才会得以成立 如果我们否定一切，且对一切都不信任，安全方案就会成为无源之水，无根之木，无法设计，也无法完成。 ·在现实生活中我们一般很少设想最极端的前提条件。因为极端的条 阅读全文

摘要：·对于骇客来说，只要能找到系统的一个弱点，就可以达到入侵系统的目的； ·对于从事安全的白帽子而言，必须找到系统的所有弱点，不能有遗漏，并且将所有弱点全部消除，才能保证系统不会出现安全问 题； ·这种差异是由于工作环境与工作目的导致的： 白帽子一般为企业或安全公司服务，工作的出发点就是要解决所有安全问 阅读全文

摘要：·在互联网早期，Web并非给了我的主流应用，基于SMTP、POP3、FTP、IRC等协议的服务拥有绝大部分客户。所以这个时候，黑客的主要目标为网络、操作系统以及软件等领域,web安全处于初始阶段。因为相对于exploit攻击，web攻击只能让一个黑客取得一个 较低权限的账户，对黑客的吸引力远远不够 阅读全文