一、安全的要素

信息安全的中心问题是要确保数据的合法运用者能够在任何需求该数据时取得保密的，没有被不合法更改正的数据。主要有以下几要素：

机密性

确保数据内容不能走漏。 用户的暗码用明文保存，就破坏了机密性。

完整性

确保数据内容不被篡改。 运用HTTP提交数据时，数据在传输进程中被篡改后再发往服务器，就破坏了完整性。

可用性

确保数据可被正常拜访和运用。 像拒绝服务进犯（DoS）便是破坏了可用性。

最基本的安全要素就上面三个，下面还有一些其他的。

可审计性

记载对数据发作的操作，用于日后的剖析、检查。

不行狡赖性

首先要确保数据完整性，然后，在传输的数据中有必要带着用于身份辨认的信息，且这部分信息在不同主体间不能发作磕碰。

加密技能的运用

上一篇《Web安全技能(1)-对加密机制的了解》中提到了三类加密算法，能够应用于某些要素的安全确保。如下面的阐明：

对称加密

可确保机密性，对数据加密后存储，能够使没有密钥的人员无法获取数据内容。

非对称加密

能够对数据进行加密解密操作，所以也能像对称加密相同确保机密性； 由于非对称加密能够完成数字签名，所以能够确保数据完整性。别的，由所以运用私钥签名，而私钥只要数据发送刚才有，所以假如公钥能够验签成功，则发送方不行狡赖。

摘要加密

摘要算法可确保数据完整性。

在某些网站的软件下载页面里，有时除了下载地址，周围还会有一个MD5码。这个MD5便是对下载的软件做的摘要加密。在下载完成后，在本机对下载的软件做MD5，然后和网站上显现的MD5做比较，假如相同就表明软件被成功下载，并且下载进程中软件内容没有被篡改。 在做体系时，咱们也常常会对暗码做摘要加密后再保存，由于摘要加密的一个特性是不行逆，这样经过数据库中保存的加密后的暗码不行能还原成用户的实在暗码。而用户登录时，只需将用户提交的暗码再做摘要加密，然后与数据库中保存的暗码比较，就能判别用户有没有输入正确的暗码。

二、危险剖析

关于数据可能会遇到什么要挟，一般是拍脑袋想一想，也能够运用模型帮助，下面是一个叫STRIDE的要挟模型：

怎么评价危险？

[1] [2]  黑客接单网