小白学安全第七篇之安全之心

海洋之心

写下标题之后，想到的却是“海洋之心”，电影《泰坦尼克号》以此钻石为线索，讲述了一段经典的爱情故事。同样，在信息安全中，也有着如此重要的线索。

安全三要素

“保护信息安全就是保护CIA。”

当初老师的话就在耳边，如今在工作中遇到问题，本能就从CIA三性上来分析问题。

安全的核心目标是为关键资产提供CIA三性，即机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。为了方便记忆，可以将其联想到美剧中经常出现的神秘组织CIA（美国中央情报局）。个人对CIA的三性解释如下：

机密性：保证信息只能让该看到的人看到；

完整性：保证信息不被未授权的更改；

可用性：保证可以对信息和资源进行及时和可靠的访问。

虽然之后又发展出如真实性、不可抵赖性等概念，但CIA才是安全基础的三要素。针对信息安全问题，在这三个方面分析就足够了，我们国家的等级保护工作，本质上就是CIA三性的延伸。

CIA三性是平衡的又是矛盾的，传统行业往往访问量较小，更重视机密性与完整性，会在网络出口处串联一些如防火墙、WAF等安全设备。但互联网行业由于其访问量较大，安全设备无法达到可用性要求，所以在网络出口处不能部署防护墙等硬件设备。

什么是风险

除等级保护工作外，我们国家还有一项重要的信息安全评估工作—-风险评估，但什么是风险呢？风险评估方法中给出了一种计算方法（注：*并不代表乘法）：

风险 =资产 * 威胁 * 脆弱性

这样并不好理解，但中国民间有句俗语早已说明了这点，就是“苍蝇不叮无缝的蛋”。

在这张图里，鸡蛋就是资产，苍蝇就是威胁，裂缝就是脆弱性，同时具有三者才构成风险。

所以，当一张白纸（资产价值较小）暴露（脆弱性较大）在众人（威胁较大）面前时，并不能形成高风险；写有银行卡密码的卡片（资金价值较大）藏在（脆弱性中等）课本（威胁较大）里，就可以形成较高的风险。

内功与招式

在金庸的武侠小说里厉害的武功都是内功与招式共同修炼的，张无忌练成《九阳神功》后，不仅攻击力大增，而且学习其他武功也快的出奇。

安全中也是一样，有时内功比招式更加重要。要理解如SQL注入更多的威胁到信息系统的保密性，DDos攻击威胁到的是信息系统的可用性。同样的SQL注入漏洞，个人网站上不一定是高危漏洞，企业网站上更有可能是高危漏洞。

总而言之

信息安全行业是复杂的，但也是从一个个原则上演变而来的。了解了信息安全的本质，很多时候都是可以把复杂的问题简单化，更加便于理解的。

~附第四篇跨站脚本攻击答案~

1.   观察页面源代码：

2.   1处对”<>进行过滤，这个做好了可以防止XSS的；2处显示了浏览器的信息，坑就在这：

3.   抓包并更改：