0x00 前言

網(wǎng)絡(luò)安全的特性包括，機(jī)密性，完整性，可用性，真實(shí)性和不可否認(rèn)性。詳細(xì)的內(nèi)容可以參考如下的內(nèi)容。

Xmind資源請(qǐng)下載~

0x01 機(jī)密性

機(jī)密性（Confidentiality）

意味著阻止未經(jīng)授權(quán)的實(shí)體，無(wú)論是人還是進(jìn)程訪問(wèn)信息資產(chǎn)。
換句話說(shuō)，就是所有的資產(chǎn)都要做權(quán)限校驗(yàn)，避免出現(xiàn)資源被未授權(quán)的防火或者獲取的情況。

機(jī)密性確保在數(shù)據(jù)處理的每個(gè)節(jié)點(diǎn)都實(shí)型必要的保密級(jí)別，并防止未經(jīng)授權(quán)的披露。這一句話的含義是指在允許訪問(wèn)的資源中，也應(yīng)該核實(shí)保密等級(jí)，避免出現(xiàn)未授權(quán)或者訪客訪問(wèn)核心資產(chǎn)的情況。

當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中的系統(tǒng)和設(shè)備上存儲(chǔ)和傳輸時(shí)，以及一旦到達(dá)目的地后，都應(yīng)優(yōu)先滿足保密級(jí)別和要求，通過(guò)加密存儲(chǔ)和傳輸?shù)臄?shù)據(jù)、實(shí)施嚴(yán)格的范文控制和數(shù)據(jù)分類分級(jí)，適當(dāng)?shù)亻_(kāi)展人員數(shù)據(jù)保護(hù)程序培訓(xùn)的方式提供機(jī)密性。

攻擊方可通過(guò)持續(xù)檢測(cè)（Monitoring）系統(tǒng)，實(shí)施肩窺（Shoulder Surfing）攻擊、盜取口令文件、破壞加密系統(tǒng)以及實(shí)施社工來(lái)威脅機(jī)密性。

Shoulder Surfing：指在輸入密碼的時(shí)候，后面的人非要升長(zhǎng)脖子來(lái)看你密碼的行為。在網(wǎng)絡(luò)安全中指，攻擊者通過(guò)從目標(biāo)身后發(fā)現(xiàn)一些可用隱私消息，獲取目標(biāo)信息的過(guò)程，比如工作人員在公共場(chǎng)景下看預(yù)發(fā)布產(chǎn)品的代碼，ppt，或者是一些其他的重要信息。

1.安全措施

• 靜止?fàn)顟B(tài)數(shù)據(jù)加密
• 傳輸狀態(tài)數(shù)據(jù)加密
• 訪問(wèn)控制技術(shù)

0x02 完整性

完整性(Integrity)

只有經(jīng)過(guò)授權(quán)的實(shí)體才能修改資產(chǎn)，并且只能以經(jīng)過(guò)授權(quán)的特定方式來(lái)進(jìn)行修改。商店老板在商品賣出去之前，只要他愿意就可以隨意修改價(jià)格，如果是已經(jīng)賣出去之后，交易已經(jīng)在進(jìn)行中了，并且等待信用卡扣款了，此時(shí)不再允許價(jià)格的修改，不在老板能修改的權(quán)限內(nèi)了。

1.完整性被破壞

1.1 攻擊者入侵

攻擊者可以通過(guò)惡意軟件或者后門，木馬等破壞系統(tǒng)的完整性。通常的防護(hù)方式：

• 嚴(yán)格的訪問(wèn)控制
• 入侵檢測(cè)
• 哈希技術(shù)

1.2 無(wú)意破壞

授權(quán)用戶會(huì)在無(wú)意間的錯(cuò)誤操作影響系統(tǒng)或數(shù)據(jù)的完整性。

• 在磁盤空間已經(jīng)滿的時(shí)候，無(wú)意間刪除了重要的配置文件，或者重要數(shù)據(jù)。
• 操作過(guò)程中，操作失誤

有效防護(hù)措施：

• 精簡(jiǎn)用戶的權(quán)限，盡可能少的提供選擇和操作功能
• 在操作重要文件時(shí)，應(yīng)該對(duì)操作或者文件做相對(duì)應(yīng)保護(hù)
• 數(shù)據(jù)庫(kù)僅允許授權(quán)用戶修改
• 傳輸加密
• 重要內(nèi)容備份，方便做回復(fù)
• 操作在條件允許的情況下可以回退

2.安全措施

• 哈希運(yùn)算保證數(shù)據(jù)完整性
• 配置管理保證系統(tǒng)完整性
• 變更控制保證流程完整性
• 訪問(wèn)控制物理性以及技術(shù)性
• 軟件數(shù)字簽名
• 傳輸循環(huán)冗余校驗(yàn) CRC

0x03 可用性

可用性（Availability）

用于確保授權(quán)用戶能夠可靠，及時(shí)地訪問(wèn)數(shù)據(jù)和資源。實(shí)際上就是保證業(yè)務(wù)可用
網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)和應(yīng)用程序都應(yīng)該當(dāng)提供充足的功能，并且能夠按照預(yù)期的方式在可接受的性能水平上運(yùn)行。并且這些設(shè)備都可以從奔潰中進(jìn)行恢復(fù)

1.保障可用性

應(yīng)該考慮到各種可能發(fā)生的事情，并且有相對(duì)應(yīng)的應(yīng)急方案

• 自然災(zāi)害（火災(zāi)，洪水，龍卷風(fēng)）
• 硬件環(huán)境（硬件老化，停電）
• 人為操作（勿刪，違規(guī)操作）
• 服務(wù)過(guò)載

2. 安全措施

• 獨(dú)立磁盤冗余陣列（RAID）
  • 磁盤陣列是由很多塊獨(dú)立的磁盤，組合成一個(gè)容量巨大的磁盤組，利用個(gè)別磁盤提供數(shù)據(jù)所產(chǎn)生加成效果提升整個(gè)磁盤系統(tǒng)效能。利用這項(xiàng)技術(shù)，將數(shù)據(jù)切割成許多區(qū)段，分別存放在各個(gè)硬盤上
  • 簡(jiǎn)單的說(shuō)就是可備份磁盤
• 集群技術(shù)
  • 多節(jié)點(diǎn)技術(shù)，可以通過(guò)切換節(jié)點(diǎn)來(lái)容錯(cuò)
• 負(fù)載均衡
  • 通過(guò)負(fù)載均衡來(lái)調(diào)節(jié)后臺(tái)接口或者服務(wù)器的壓力
• 冗余數(shù)據(jù)
• 冗余電源供給
• 軟件和數(shù)據(jù)備份
• 磁盤映像
• 主機(jī)代管和異地備用基礎(chǔ)設(shè)施
• 回滾功能
• 容災(zāi)切換配置

0x04 真實(shí)性

真實(shí)性（Authenticity）

信息系統(tǒng)的真實(shí)性是通過(guò)加密技術(shù)提供的。最真實(shí)性最深刻的就是區(qū)塊鏈，區(qū)塊鏈為了能夠保障真實(shí)性，通過(guò)Hash的方式來(lái)確保數(shù)據(jù)的唯一性和不可修改。在網(wǎng)絡(luò)上通常采用TLS也就是https來(lái)保證數(shù)據(jù)的真實(shí)性。

在一些app上會(huì)通過(guò)一些自用的加密手段，將每一個(gè)字段的數(shù)據(jù)都進(jìn)行簽名和加密，防止針對(duì)參數(shù)內(nèi)容進(jìn)行修改。

0x05 不可否認(rèn)性

不可否認(rèn)性（Nonrepudiation）

某人不能否認(rèn)自己是特定行為的發(fā)起方。比如在一些操作中采用二次密碼的方式，或者多因子校驗(yàn)，確保這個(gè)操作就是你本人發(fā)起的，后續(xù)操作發(fā)起人無(wú)法進(jìn)行否認(rèn)。

1.不可否認(rèn)和真實(shí)性之間的區(qū)別

• 真實(shí)性確保的是你發(fā)送信息的內(nèi)容不會(huì)被惡意串改，確保發(fā)起者就是發(fā)起者
• 不可否認(rèn)性確保的是操作是你本人做的操作，但是個(gè)人認(rèn)為不可否認(rèn)性也是要依賴真實(shí)性存在的，比如說(shuō)應(yīng)對(duì)重放問(wèn)題，中途內(nèi)容被篡改問(wèn)題。