这篇文章只是简单的安全概述,后期问斩会持续发表关于安全的技术
举个例子:
你家没锁的保险柜放在大街上,就丧失了安全,这个和保险柜的做工质量以及保险柜里的钱是真钱都没有关系,而是在于你家保险柜应该锁好放在家里而不是在大街上开放共享。
前言:信息安全是开发的重要步骤,没有安全何谈技术,技术编码再好,也是徒劳。
狭义的安全是IT的安全,即服务器的安全配置,安全运维,网络安全等
广义的安全即安全风控,即物理安全,内部安全,业务连续安全。
控制信息安全的手段有以下三种:1.预防(事前)2.检测(事中)3.恢复(事后)
- 安全的链路为:风险==》漏洞==》威胁==》攻击==》控制,从左至右可推。
风险:存在风险,即面临损坏或丢失文件的可能性,有发生灾难的概率,有一句俗语讲道:一件可能发生的事情,一定会发生,只是时间问题。
漏洞:风险是因为有漏洞,漏洞被发现,将会产生灾难性后果,任何能使得信息遭受损坏的情况均为漏洞,漏洞一般分为两种,1.开发人员不严谨产生的BUG,2运维人员不严谨配置失误
威胁:有了漏洞即存在威胁,存在信息损坏或丢失或泄露的可能。
攻击:威胁即弱点,别抓住了弱点,就会收到攻击,在未经授权的情况下,利用程序或物理计算机漏洞的技术,是对漏洞的利用,就像一般双刃剑
控制:有风险才谈到控制,即控制风险,避免系统遭受安全风险儿必须部署的应对政策。
说一下CIA三位一体,即机密性完整性和可用性
- 还有以下几种性质:
1.不可否认性:就是确定是当事人操作,也叫不可抵赖性
2.可追责性:责任情绪,责任追踪链路
身份识别:
密码和口令,密码是你自己设置的密码,口令是除了密码还有其他登陆者信息的载体,例如JWT
安全的基本就是权限控制,资源控制,步骤为:身份识别==》认证==》授权
5428
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
