-
安全问题的本质是信任问题
-
安全是一个持续的过程
-
信息安全三要素CIA
- 机密性(Confidentiality)
- 完整性 (Integrity)
- 可用性 (Availability)
-
实施安全评估
- 资产等级划分
- 互联网安全的核心问题,是数据安全的问题。根据数据的重要性划分资产。
- 威胁(threat)分析
- 我们把可能造成危害的来源称为威胁,而把可能会出现的损失称为风险,要区分开来
- STRIDE 模型
- 风险分析
- DREAD模型
- 设计安全方案
- 资产等级划分
-
Secure By Default 原则
- 黑名单、白名单
- 最小权限原则,这个权限不要理解为软件和系统权限,而是所有的行为,满足要求的最少行为。
-
纵深防御原则
- 要在不同层面,不同方面实施安全方案。
- 要在正确的地方做正确的防御,否则会效率低或无效.
-
数据与代码分离原则
-
不可预测原则
转载于:https://www.jianshu.com/p/57d0d8f287f7