避免打開對外port
後台對外的通訊只允許開啟服務器的80和443 port,然後全部關閉所有其他的port 以避免增加攻擊的機會,但是實際情況,很多工程師為了方便工作會把一下子通訊port 打開然後增加被攻擊的危險性。所以說只打開所需要的。
資訊安全
安全又分成三個基本要素來達成,分別是
- 機密性
- 完整性
- 可用性。
完成性是要求保護的資料內容完整,沒有被竄改,一致性的技術,最常見的方法就是因為就是使用數位簽章。
在正確的攻擊之中有一種公斤方法叫做拒絕服務,也就是說讓伺服器忙於工作,就沒有時間來處理客戶的要求和,日常的動作。
我們可以開始評估的分析
- 資產等機劃分
- 威脅分析
- 風險分析
- 確認方案
分析威脅,可以用下的六個方法來建立模組,也就是微軟所提出的STRID
| 威脅 | 定義 | 對應的安全屬性 |
| Spoofing (偽裝) | 冒充他人身分 | 認證 |
| Tampering 竄改 | 修改資料和程式語言 | 完整性 |
| Repudiation 否認 | 否人手做過的事情 | 不可否認性 |
| Information Disclosure 資訊泄密 |
機密的資訊和資料洩密 | 機密性 |
| Denial of Service 拒絕服務 |
拒絕服務 | 可用性 |
| Elevation of Privilege 提升許可權 |
未經授權獲得許可 | 授權 |