要全面地認識一個安全問題,我們有很多種辦法,但首先要理解安全問題的組成屬性。前人通過無數實踐,最後将安全的屬性總結為安全三要素,簡稱CIA。

安全三要素是安全的基本組成元素,分别是機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。機密性要求保護數據内容不能洩露,加密是實現機密性要求的常見手段。

舉一個例子，存放一個文件，加入文件不是放在抽屜裡，而是放在一個透明的玻璃盒子裡，那麼雖然外人無法直接取得文件，但因為玻璃盒子是透明的，文件内容可能還是會被人看到，所以不符合機密性要求。但是如果給文件增加一個封面，掩蓋了文件内容，那麼也就起到了隐藏的效果，從而滿足了機密性要求。可見，我們在選擇安全方案時，需要靈活變通，因地制宜，沒有一成不變的方案。

完整性則要求保護數據内容是完整、沒有被複改的。常見的保證一緻性的技術手段是數字簽名。

傳說清朝康熙皇帝的遺诏,寫的是“傳位十四子”,被當時還是四阿哥的胤鎮寡改了遺诏,變成了“傳位于四子”。姑且不論傳說的真實性,在故事中,對這份遺诏的保護顯然沒有達到完整性要求。如果在當時有數字簽名等技術,遺诏就很難被算改。從這個故事中也可以看出數據的完整性、一緻性的重要意義。

可用性要求保護資源是“随需而得”。

假設一個停車場裡有100個車位，在正常情況下，可以停100輛車。但是在某一天，有個壞人搬了100塊大石頭，把每個車位都占用了，停車場無法再提供正常服務。在安全領域中這種攻擊叫做拒絕服務攻擊，簡稱DoS(Denial of Service)。拒絕服務攻擊破壞的是安全的可用性。

一個安全評估的過程，可以簡單地分為4個階段：資産等級劃分、威脅分析、風險分析、确認解決方案。

資産等級劃分是所有工作的基礎，這項工作能夠幫助我們明确目标是什麼，要保護什麼。前面提到安全三要素時，機密性和完整性都是與數據相關的，在可用性的定義裡。“資源”這個概念描述的範圍比數據要更加廣闊，但很多時候，資源的可用性也可以理解為數據的可用性。在互聯網的基礎設施已經比較完善的今天，互聯網的核心其實是由用戶數據驅動的一用戶産生業務，業務産生數據。互聯網公司除了擁有一些固定資産，如服務器等死物外，最核心的價值就是其擁有的用戶數據，所以一互聯網安全的核心問題，是數據安全的問題。所以在對互聯網公司擁有的資産進行等級劃分，就是對數據做等級劃分。有的公司最關心的是客戶數據，有的公司最關心的是員工資料信息，根據各自業務的不同，側重點也不同。做資産等級劃分的過程，需要與各個業務部門的負責人一一溝通，了解公司最重要的資産是什麼，他們最看重的數據是什麼。了解公司的業務，公司所擁有的數據，以及不同數據的重要程度，為後續的安全評估過程指明方向。

在安全領域裡，我們把可能造成危害的來源稱為威脅（Threat），而把可能會出現的損失稱為風險（Risk）。風險一定是和損失聯系在一起的。什麼是威脅分析？威脅分析就是把所有的威脅都找出來。一般是采用頭腦風暴法。當然，也有一些比較科學的方法，比如使用一個模型，幫助我們去想，在哪些方面有可能會存在威脅，這個過程能夠避免遺漏，這就是威脅建模。介紹一種由微軟提出的威脅建模的方法STRIDE模型

影響風險高低的因素，除了造成損失的大小外，還需要考慮到發生的可能性。

如何更科學地衡量風險呢？再介紹一個DREAD模型，它也是由微軟提出的。DREAD 也是幾個單詞的首字母縮寫，它指導我們應該從哪些方面去判斷一個威脅的風險程度。

高危：12~15分中危：8一11分低危：0一7分

安全評估的産出物，就是安全解決方案。解決方案一定要有針對性，這種針對性是由資産等級劃分、威脅分析、風險分析等階段的結果給出的。

作為安全工程師，要想的就是如何通過簡單而有效的方案，解決遇到的安全問題。安全方案必須能夠有效抵抗威脅，但同時不能過多幹涉正常的業務流程，在性能上也不能拖後腿。

呢麼一份好的安全方案對用戶應該是透明的，盡可能地不要改變用戶的使用習慣。

回到頂部

AppScan是IBM公司出品的一個領先的 Web 應用安全測試工具，曾以 Watchfire AppScan 的名稱享譽業界。AppScan 可自動化Web應用的安全漏洞評估工作，能掃描和檢測所有常見的Web 應用安全漏洞，例如，SQL注入（SQL injection）、跨站點腳本攻擊（cross-site scripting）、緩沖區溢出（buffer overflow）及最新的Flash／Flex 應用和Web 2.0應用暴露等方面的安全漏洞掃描。

第一步：打開AppScan中文版，新建掃描，擁有web應用程序、web服務、外部客戶機等三種基礎掃描方式；

第二步：掃描配置向導，輸入項目入口訪問鍊接；

第三步：登錄方式記錄，可通過自動方式，預先設置正确的用戶名密碼；

第四步：設置掃描策略，提供缺省值、侵入式、基礎結構、應用程序、第三方等選擇，默認為缺省值；

配置測試和優化，建議默認快速即可；

第五步：完成掃描引導配置，軟件提供全自動、半自動、手動等幾種選項，默認全自動就好；

點擊完成後，選擇自動保存掃描過程後進行自動掃面；

第六步：最後等待AppScan10掃描完成，查看掃描結果即可。

Acunetix 是一個自動化的 Web 應用程序安全測試工具，是通過檢查 SQL 注入，跨站點腳本（XSS）和其他可利用漏洞等來審核您的 Web 應用程序。一般來說，Acunetix 能夠掃描任何通過網絡浏覽器訪問并使用 HTTP/HTTPS 協議的網站或 web 應用程序。

第一步：添加 需要檢測的網站（漏洞掃描.）

然後點擊是的，進行漏洞掃描

這裡可以選擇：掃描類型

第二步：查看掃描的結果（包含：漏洞信息，網站結構，活動.）

第三步：查看漏洞的信息.（漏洞類型，鍊接的位置，修複方案等.）

第四步：生成報告

第五步：點擊報告.

回到頂部

• 信息搜集社會學信息網絡資産&架構端口......
• 漏洞掃描
• 各類的爆破器
• 設備識别器
• 網絡分析器
• .....

漏洞掃描器可以快速幫助我們發現漏洞，例如，SQL注入漏洞（SQLinjection)、跨站點腳本攻擊（cross-site scripting)、緩沖區溢出（buffer overflow)。一款優秀的漏洞掃描器會使滲透測試變得很輕松，但對于一些漏洞，自動化軟件是無法識别的。所以，在進行漏掃（漏洞掃描的簡稱）時，必須要與人工滲透相結合。

結論是：漏洞掃描也屬于信息探測的一種，掃描器可以幫助我們發現非常多的問題，但是整個測試的執行過程不是交由工具去完成。

在解決安全問題的過程中，不可能一勞永逸，也就是說“沒有銀彈”。安全是一個持續的過程。自從互聯網有了安全問題以來，攻擊和防禦技術就在不斷碰撞和對抗的過程中得到發展。從微觀上來說，在某一時期可能某一方占了上風：但是從宏觀上來看，某一時期的攻擊或防禦技術，都不可能永遠有效，永遠用下去。這是因為防禦技術在發展的同時，攻擊技術也在不斷發展，兩者是互相促進的辯證關系。以不變的防禦手段對抗不斷發展的攻擊技術，就犯了刻舟求劍的錯誤。在安全的領域中，沒有銀彈。

加強原理學習，對常見的漏洞原理以及複現的學習掌握。雖說網絡上有很多的國内外大神們開發的各類小工具，但是不清楚原理的人就好比一個沒有武功但是得到了一把絕世神兵。對于這把武器的使用與掌握就處于一種能用但不好用的境界。而且也隻能去處理一些簡單易發現的問題。