概述
实施安全准则:
- 可用,可访问
- 可靠,可在特定条件下实现功能
- 机密,隔绝非授权
- 完整,未经授权不可篡改
- 不可抵赖,对通信不可抵赖
- 可控,可以控制信息流通
tip:平时我们在杀毒软件上报的安全漏洞是什么东西?其实就是软件、协议、系统等的安全策略或者人为因素上存在的缺陷,从而使攻击者有机可乘。
漏洞类型
- 操作系统漏洞:
(1)操作系统陷门
操作系统为了安装捆绑软件包,如果保留了一些能调用特权的入口,就会形成陷门。
(2)输入输出的非法访问
如果一旦I/O操作被检查通过,就会一直执行下去,如果后续操作有非法访问也会执行。
如果使用公共缓存区,也有可能在被访问时泄露机密。
(3)访问控制的混乱
安全访问和资源共享之间的矛盾逻辑。
(4)不完全中介
每次访问请求没有适当的审批 - 网络协议漏洞
例如TCP/IP,依然可以修改传输路由,篡改鉴别过程。 - 数据库漏洞
数据库权限分级 - 网络服务漏洞
(1)匿名FTP,要确保用户不访问重要部分。
(2)电子邮件,电子邮件服务器本身就存在安全漏洞。
(3)域名服务,DNS欺骗(假的用户机器信息)。
(4)Web服务,Web服务器本身漏洞。