安全是什么
所谓的安全,大体可以理解为通过一个安全的检查(过滤或者净化)的过程,梳理出未知的人和物,使其变得可以信任。就像古代的城门检查,现今的机场安检,就是过滤排除一些危险的人和物品;如果按照信任的程度划分等级,那么往往高等级的信任区域流向低等信任区域是不需要经过检查的,而从低等区域流向高等区域,基本就需信任边界的检查( (´▽`)走过那扇门,从此衣服是路人 )。
绝对安全存在吗
这世界没有攻不破的系统,只有付不起的代价。自从互联网有了安全的问题已经,攻击和防御技术就在不断的碰撞,往往一个漏洞才发现,就被堵上,虽然某个时期可能某一方占了上风,但是,开玩笑,大家都这么高傲,虐完了就想跑,美得你。
威胁分析
在安全的领域,我们把可能造成威胁的来源称Thread,而把可能会出现的损失称为Risk。而威胁建模就是为了寻找可能存在的威胁,这种模型比较出名的是微软早期提出的STRIDE模型,分别为Spoofing(伪装:冒充身份),Tampering(篡改:篡改数据或者代码),Repudiation(抵赖:否认行为),InfomationDisclosure(信息泄漏),Denial of Service(拒绝服务),Elevation of Privilege(提升权限:未经允许提升权限)。在进行威胁分析的时候,尽可能地不要遗漏威胁,而威胁的程度就需要风险分析来确认
风险分析
风险由以下组成
Risk= Probability * Damage Protential
风险的程度可以分为5个等级,Damage Protential(破坏潜力:如果漏洞被利用损失有多大?),Reproducibility(再现性:重复被利用的难度有多大?),Exploitability(可利用性:漏洞被利用的难度有多大?),Affected users(受影响的用户:多少用户可能受到影响?),Discoverability(可发现性:漏洞容易被发现吗)。如果我们对每个等级记高(3),中(2),低(1)。如果现在韩国正面打朝鲜,对于韩国来说
Risk=D(3)+R(3)+E(3)+A(3)+D(3)=3+3+3+3+3=15
如果韩国叫来了美国,二打一那么
Risk=D(2)+R(1)+E(1)+A(2)+D(1)=2+1+1+2+1=7(毕竟小金也是有核武的,给个面子 (´▽`))
也就是说高危的范围是12至15分,中危的范围是8至12分,低危的范围是0至7分,那么叫来美国的韩国危险就是低危了
安全设计
安全设计可以分为4大原则:Secure By Default原则,Defense in Depth原则,数据与代码分离原则,不可预测性原则
Secure By Default原则:
说白了就是白名单,黑名单的思想,比如在自定安全策略,只提供了80端口对外服务,屏蔽到其他端口,这就是白名单。至于黑名单,比如将某个IP片段屏蔽,所有这些IP片段的都不能访问,这就是黑名单。同时Secure By Default原则也有另一层含义"最小权限原则",最小权限原则要求系统只授权主体必要的权限,而不要过度授权,这样能减少系统、网络、应用、数据库出错的机会
Defense in Depth原则:
就是从不同层面,不同角度实施安全方案。比如木桶理论,短板就绝对你系统漏洞的威胁程度,就像分析一个人一样,从长相,性格,爱好方方面面入手,你才能更好的了解一个人,纵深防御原则也是一样道理。
数据与代码分离原则:
在安全领域,如XSS,SQL Injection,CRLF Injection,X-Path Injection等的代码注入引发的安全问题也是较为常见,将数据和代码分离可以避免一些用户能控制的变量引发的安全问题
不可预测性原则:
没有系统是没有漏洞的,我们能做的就是让攻击者漏洞的方法实效,比如缓冲区溢出(程序在栈或者堆中将用户数据当作代码执行,混淆了代码与数据的边界,从而导致安全问题的发生),使用DEP来保证堆栈不可执行,使用ASLR让进程的栈地址随机变化,从而使攻击程序无法准确的猜测到内存地址
