海洋之心
写下标题之后,想到的却是“海洋之心”,电影《泰坦尼克号》以此钻石为线索,讲述了一段经典的爱情故事。同样,在信息安全中,也有着如此重要的线索。
安全三要素
“保护信息安全就是保护CIA。”
当初老师的话就在耳边,如今在工作中遇到问题,本能就从CIA三性上来分析问题。
安全的核心目标是为关键资产提供CIA三性,即机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。为了方便记忆,可以将其联想到美剧中经常出现的神秘组织CIA(美国中央情报局)。个人对CIA的三性解释如下:
机密性:保证信息只能让该看到的人看到;
完整性:保证信息不被未授权的更改;
可用性:保证可以对信息和资源进行及时和可靠的访问。
虽然之后又发展出如真实性、不可抵赖性等概念,但CIA才是安全基础的三要素。针对信息安全问题,在这三个方面分析就足够了,我们国家的等级保护工作,本质上就是CIA三性的延伸。
CIA三性是平衡的又是矛盾的,传统行业往往访问量较小,更重视机密性与完整性,会在网络出口处串联一些如防火墙、WAF等安全设备。但互联网行业由于其访问量较大,安全设备无法达到可用性要求,所以在网络出口处不能部署防护墙等硬件设备。
什么是风险
除等级保护工作外,我们国家还有一项重要的信息安全评估工作—-风险评估,但什么是风险呢?风险评估方法中给出了一种计算方法(注:*并不代表乘法):
风险 =资产 * 威胁 * 脆弱性
这样并不好理解,但中国民间有句俗语早已说明了这点,就是“苍蝇不叮无缝的蛋”。
在这张图里,鸡蛋就是资产,苍蝇就是威胁,裂缝就是脆弱性,同时具有三者才构成风险。
所以,当一张白纸(资产价值较小)暴露(脆弱性较大)在众人(威胁较大)面前时,并不能形成高风险;写有银行卡密码的卡片(资金价值较大)藏在(脆弱性中等)课本(威胁较大)里,就可以形成较高的风险。
内功与招式
在金庸的武侠小说里厉害的武功都是内功与招式共同修炼的,张无忌练成《九阳神功》后,不仅攻击力大增,而且学习其他武功也快的出奇。
安全中也是一样,有时内功比招式更加重要。要理解如SQL注入更多的威胁到信息系统的保密性,DDos攻击威胁到的是信息系统的可用性。同样的SQL注入漏洞,个人网站上不一定是高危漏洞,企业网站上更有可能是高危漏洞。
总而言之
信息安全行业是复杂的,但也是从一个个原则上演变而来的。了解了信息安全的本质,很多时候都是可以把复杂的问题简单化,更加便于理解的。
~附第四篇跨站脚本攻击答案~
1. 观察页面源代码:
2. 1处对”<>进行过滤,这个做好了可以防止XSS的;2处显示了浏览器的信息,坑就在这:
3. 抓包并更改:
来源:freebuf.com 2018-06-04 18:53:06 by: 360网络安全学院
请登录后发表评论
注册