漏洞挖掘365天挑战——Day010: 解决安全问题

公司在面临针对机密性,完整性和可用性的攻击的时候,应该怎么去解决安全问题呢?有个黄金法则可以指导工作。

黄金法则

  1. 认证
  2. 授权
  3. 审计

认证-事前防御

认证是为了确保用户身份的。身份识别是问用户,你是谁?身份认证则是问,你是你么?

通常来讲,我们认证最后就会落在身份ID上。 这个身份ID会跟随着会话一直存在。

认证的方式有很多种,包括下面

  1. 你知道什么? 包括密码,密保答案等等
  2. 你拥有什么? 包括门禁卡,安全令牌等等
  3. 你是什么? 包括人脸,指纹,虹膜等生物特征等等

这三个的认证强度是由弱到强。很多网站采用多因子认证来加强认证的强度。比如:密码+手机验证码

授权-事中防御

授权是告诉你,你能做什么?这就存在了授权的机制。这个机制能告诉你,你能做什么?你能做多少。

比如,你可以调用一个API,而且一天只能调用2000次,这就是授权机制来决定的。

审计-事后追责

审计是为了安全,来检查你做了什么。这个检查的过程就是审计,为了这个审计的过程,系统需要记录所有的操作来进行分析,也让你无法抵赖。

漏洞挖掘365天挑战——Day010: 解决安全问题”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s