iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 6
0
Software Development

安全軟體開發生命週期(SSDLC)學習筆記系列 第 6

政策解析

  1. CIA 要求:

    • C:
      • 瀏覽人員為何
      • 保密機制
      • 業務需求
    • I:
      • 變更人員為何
      • 檢測錯誤並強制執行完整性的機制
      • 業務需求
    • A:
      • 適用於授權用戶
      • 拒絕未經授權的用戶
  2. AAA 要求:

    • 認證方式:
      • 身份證明:
        記錄建立,用戶與系統之間的共享機密
        • 身份識別機制
        • 身份管理
      • 用戶提出已知的共享機密
        • 認證管理方法
        • 認證方法的強度
    • 您知道的、擁有的,存在的東西(know, have, are)
    • 綜合要求:
      • 安全等級
      • 用戶規模和管理
      • 具體用途
    • 雙方:相互認證
    • 授權:
      • 主題物件活動模型
        • 主題:用戶
        • 對象:軟體項(即某些功能)
        • 活動:軟體所需的操作
      • 強制訪問模式:
        • 安全系統控制訪問
        • 所有者或主題無法更改
        • 操作系統決定在每個對象和主題上附加什麼標籤
    • DAC:
      • 對象的所有者決定哪些其他主題可以訪問
      • 強制訪問模型(MAC)與自由訪問模型(DAC)
    • RBAC:
      • 角色
    • Rule-BAC:
      • 使用訪問控制列表(ACL)
      • ACL中的規則
    • 審核:
      • 基於風險的審計問題:
        • 固有風險:與過程固有錯誤率相關,假設沒有內部控制
        • 檢測風險:審核未檢測到問題
        • 控制風險:控制無法檢測或無法防止重大錯誤
      • 組織特徵:
        • 角色和責任
        • 職責分離
        • 培訓和資格
        • 變更與控制管理
  3. 內部和外部要求:

    • 內部:
      • 保護審核日誌
      • 防止資料丟失
      • 監控內部系統流量
      • 監控內部控制
    • 外部:
      • 遵守外部義務
      • 帶有安全控制和身份驗證的外部連接(例如API)
      • 內容過濾和代理

上一篇
軟體開發方法論
下一篇
資料分類
系列文
安全軟體開發生命週期(SSDLC)學習筆記36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言