《白帽子講web安全》讀後感之一

 本周的技術讀物是《白帽子講web安全》。

 這本書讓我認識了吳翰清，一個年輕的技術大牛。安全寶的負責人之一。關於安全方面是個小白的我，覺得攻擊防禦真的很神奇，希望多少瞭解一些，於是選擇了這本紅皮書。

 好了，轉入正題。今天看了第一部分--世界安全觀。是大概念上講解安全的意識，還算比較簡單。總結一下：

1.安全問題的本質是信任的問題。一切安全設計的方案的基礎建立在信任的關係上。

2.安全是一個持續的過程。沒有永久有效安全方案。

3.安全的三要素：機密性，完整性，可用性。

  機密性：要求資料內容不能泄露，加密是常用手段

  完整性：資料內容完整且沒有被篡改

  可用性：保護資源隨需所得，反面例子是ddos攻擊，使資源不可用

4.實現安全評估的四個階段：

  資產等級劃分：按照具體的業務進行資料安全的等級劃分信任域

  威脅分析：把可能照成危害的來源稱為威脅；頭腦風暴或者建模

  風險分析：把可能照成損失的來源稱為風險

  設計安全方案：好的方案對使用者透明，是業務的一部分。不能犧牲使用者體驗去成全安全

5.白帽子兵法

  Secure by default原則：一則，黑名單，白名單。盡量使用白名單，杜絕安全隱患；二則，最小許可權，比如linux都是普通使用者權限，需要擷取高許可權時才sudo

  縱深防禦原則：立體層次感的安全方案。並不是同一方案做多遍而是從不同角度不同層面設計。在正確的地方做正確的事情。

  資料與代碼分離原則：防注入的最佳途徑。

  不可預測性原則：能有效對抗篡改，偽造的攻擊。比如說一個內容管理系統，文章的id如果是整數遞增，攻擊者擷取其中一篇文章的id就能刪除所有的文章。但是如果id隨機，不可預測，那麼攻擊者需要通過爬蟲得到所有文章的id才能刪除，提高了攻擊的難度。

 

下面是他的個人空間：

   http://hi.baidu.com/aullik5

   http://taosay.net/