网络安全是一门平衡的艺术

u=229769238,849155550&fm=21&gp=0.jpg

好几天没有写过文章了，之前因为很少运动，自己都怀疑有亚健康了，还有晚上经常性失眠，估计是精力太旺盛了，今后还要加强锻炼，再加上昨晚双十一，自己没购物，还陪着某智障舍友睡到了快三点，让我发誓以后不瞌睡不上床，就在下面（宿舍上床下桌）敲代码，写自己的成长。（那种睡不着还要逼着自己睡的感觉再也不想有了）

来，comebaby，进入主题



u=3395943358,2329818977&fm=21&gp=0.jpg

我个人认为安全方面分为系统，web，桌面软件，data等几个方面，当然我们使用的是一个有机整体，他们之间又有密切的联系。

下面我来谈谈关于安全思想方面的，本文不包含工具使用：安全检查是贯穿于软件的整个生命周期的，有三要素（CIA）:机密性，完整性，可用性。

安全评估又为：资产等级划分，威胁分析，风险分析，确认解决方案。（层层递进，大家要相对前因后果）

网络逻辑：威胁建模（threat）通过逆向头脑风暴到风险分析（risk）：比如STRIDE模型：伪装，篡改，抵赖，信息泄露，拒绝服务，提升权限。（大家要切记模型是死的，人是活的） （risk=probability*damage potatial）

没有不安全的业务，只有不安全的实现方式。

安全的设计应为：高内聚，低耦合，易于扩展（比如nmap就是用户可以根据自己的情况来写插件）

还有一个概念是：安全永远是建立在一个信任的

基础上对另一件事做出判断，所以当你以前的信任基础不存在时，安全方案则化为浮云。



u=3576506506,2903953456&fm=21&gp=0.jpg

对于黑客的三类：白，灰，黑帽，白是要全面宏观的去维护，而黑帽只要微观，选择性的去攻击则可。