信息安全本质

### 安全问题的本质就是信任问题

- 安全是一个持续的过程
- 一门朴素的学问，一种平衡的艺术

### 安全三要素

- 机密性（confidentiality）
- 完整性（integrity）
- 可用性（availability）

## 如何实施安全评估

### 资产等级划分

- 互联网安全的核心问题，就是数据安全问题

威胁分析

- [威胁建模：STRIDE模型](https://blog.csdn.net/qq_29277155/article/details/89947058)

### 风险分析

- [威胁风险分析：DEEAD模型](https://blog.csdn.net/qq_29277155/article/details/89948772)

### 设计安全方案

- 有效解决问题、用户体验好、高性能、低耦合、易扩展升级

信息安全方案原则

### Security By Default 原则【总则】

- 最小权限原则

 - 根据业务所需来授予主体必要权限，不过度授权

- 黑名单，白名单

 - 白名单基于信任原则而来

### 纵深防御原则【全面看待问题】

- 1.各个不同层面不同，不同方面安全方案，避免出现疏漏，不同安全方案之间需要互相配合，构成一个整体；
- 2.在解决根本问题的地方实施针对性的安全方案

### 数据与代码分离原则【漏洞成因看问题】

- 对用户数据片段$var进行安全处理

 - 重写代码部分将标签成为代码片段部分。
 - 可使用过滤、编码等手段，把造成代码混淆的用户数据清理掉
 - 具体到案例就是将特殊符号处理<、>、

### 不可预测性原则【克服攻击方法的角度】

- 不可预测性有效地对抗基于篡改，伪造的攻击
- 加密算法，随机算法，哈希算法运用到设计安全方案中将事半功倍

以下是信息安全的相关拓扑图：