《白帽子讲web安全》学习笔记——web安全概述

一、安全的三要素        
1、机密性
        机密性要求保护数据内容不被泄露，加密是实现机密性要求的常见方法，比如常见的对称加密算法和非堆成加密算法。

2、完整性
        完整性要求保护数据内容是完整的，没有被篡改，常见的保证一致性的技术手段是数据签名。

3、可用性
        可用性要求保护资源是“随需而得”。安全领域中，拒绝服务攻击破坏得就职安全的可用应。
        安全领域中，除以上要素外，仍然存在一些其他要素，比如不可抵赖性、可审计性，但最重要的要素便是以上三个。在设计安全方案时，也要以以上三个要素未基本出发点，去全面低思考所面对的问题。

二、安全评估过程
        一个安全评估过程可以分为四个阶段：资产等级划分、威胁分析、风险分析、确认解决方案。
1、资产等级划分
        这里所说的“资产”并非指服务器、交换机、路由器等物理设备，而是指“数据”。互联网的核心其实是由用户数据驱动的，用户产生业务，业务产生数据。因此，互联网安全的核心问题，是数据安全的问题。
        一套应用系统会产生大量不同类型的数据，这些数据有些重要程度各不一样，对这些数据进行等级划分，便是要明白哪些数据是我们的重点保护对象。
        完成资产等级划分后，我们需要划分信任域和信任边界。在这个阶段，可以根据数据安全等级的不同，划分不同的信任域，不同信任域之间的数据流动必须经过安全边界的检查。

2、威胁分析
        威胁分析就是把所有的威胁全部找出来，一般可以采用头脑风暴法，或者使用