cia

Web信息安全

血红的双手。 提交于 2020-04-15 18:25:36
【推荐阅读】微服务还能火多久?>>> Web信息安全 在当今的互联网时代,信息安全问题经常发生,如何保证信息的安全成为开发者不得不面对的问题。 CIA 信息安全的CIA原则,大致阐述了实践信息安全的几个基本原则: 保密性(Confidentiality) :确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 完整性(Integrity) :确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性(Availability) :确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。 套路 在Web时代,信息安全通常需要考虑如下几个方面: 传输过程 :被窃听,被篡改,被重放等( 中间人攻击 等) 接入过程 :双方身份认证,操作数据(参数)认证,流量控制等( 越权攻击 , SQL注入 , DDos攻击 等) 存储/服务过程 :数据和应用需要多地灾容,避免天灾人祸。 防护 身份验证 当访问一个具有权限的接口的时候,服务器需要验证访问者的身份,而如何鉴定访问者的身份呢? 通常的情况下,我们会使用密码,指纹,证书,验证码,TOKEN 等手段来验证一个用户的真实身份。在这个背后,隐藏着一个问题:为什么密码,指纹,TOKEN,可以验证访问者的身份?为了回答这个问题