漏洞挖掘365天挑战——Day009: 安全的本质

安全的本质,其实是保护数据。

用户使用产品的过程就是和企业进行数据交换的过程,保护数据被合法的使用,这才是安全的本质。

安全原则

  • 机密性
  • 完整性
  • 可用性

机密性——不可见

机密性就是确保数据只被授权的主体访问,不被任何未授权的主体访问。

针对机密性的攻击主要是对保护技术进行破解。保护技术包括:加密,隔离,混淆,隐藏等等。

攻击方法是破解加解密算法,逆向混淆代码等等。

完整性——不可改

完整性是保证数据只能被授权的主体进行授权后的修改。

针对完整性的保护技术包括,授权机制,访问控制,日志记录,审计,还有就是加密,签名等,让数据完整性可以被验证。

针对完整性的攻击包括:对数据的恶意篡改,已经授权的主体对数据的破坏,误删数据等等。

可用性——可读

可用性是指保证数据能够被授权的主体访问。

这是最基本的服务,我们在运营过程中,讲的高可用服务就是这样。怎么做机房运维,怎么做多地的冗余,怎么做备份,都是为了可用性。

在研发层面上,怎么做到高并发,低延迟,处理海量的数据,怎么进行扩容,都是高可用的一些东西。

从攻击角度来讲,Dos攻击就是为了让数据不可用。

可用性是大部分公司都很重视的基础功能,而前面两个机密性和完整性还没有受到重视。

漏洞挖掘365天挑战——Day009: 安全的本质”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s