最近在写一份关于应用安全的文档,想明白了一些东西,写下来和大家分享一下。
安全需求这个词对于国人来说实在是太前卫了,基本上没怎么能在网上找到中文资料。经过最近写PPT的思考,因为要写给老板看,强调他的作用又要写些明白的东西就显得很重要,经过两天的思索,终于有了些眉目。以下纯个人意见,仅供参考:
首先,我认为安全需求应该是随着用户需求而生。为什么这样说呢?好比我们去菜市场买菜,我们的基础需求是买能吃的菜,但是其实里面却潜藏着一个安全需求——买不会吃坏人的菜。这个安全需求是随着第一个需求而来的。而且必须要先满足前一个需求,我们才会开始去考虑这一个安全需求。
无独有偶,前天找基础架构图的时候,找回了以前学心理学的时候看过的人的需求层次图:
安全需求就在生理需求之上。
对比回我们做应用,紧随着应用需求的,应该就是安全需求了。比如说,带权限认证的应用系统,每个功能需求都会带有特定权限访问控制的需求。
而且,我们还能发现两点:
1)安全需求可以再继续分化为两类:一类是紧随着每个需求而诞生的安全需求,是每个需求自身特定的安全需求;另一类是由于已知的规章制度(包括公司的,国家的)和系统的特性产生的约束着每一个需求的安全需求。
2)同类产品的安全需求大部分都相同的,特别是第二类安全需求。所以,我们做安全需求的时候,可以去参考网上已有的安全需求(不过现在就只有英文的相关安全需求)。
因此,对于安全需求的度量,我们可以通过需求覆盖度来评价安全需求的工作效率。个人想象出来的覆盖率指标如下:
1)
特定法规遵循率 = 遵循该法规的需求总数 / 实际应该遵循此法规的需求的总数
2)
安全需求覆盖率 = 有做安全需求的需求总数 / 用户需求总数
3)
特定安全需求率 = 需求特有安全需求总数 /
第1,2个是衡量指标,第三个是优化指标。因为第三个指标一般不应该太高,如果太高就意味着两样事情:要么是已有的安全需求规范不完善,有优化空间;要么该种应用没有已知的安全需求列表,需要创建一个。
准备把这个理论放到工作中试行以下,日后再和大家分享结果。
- 大小: 54.5 KB
分享到:
相关推荐
#### 一、网络安全需求分析概览 **网络安全需求分析**是一项旨在识别、评估并解决组织在网络环境中所面临的安全威胁的过程。它不仅涉及技术层面的考量,还包括组织策略、法规遵从性和风险管理等多个方面。本文档...
2020年5月12日,IMT-2020(5G)推进组安全工作组发布了《5G智慧城市安全需求与架构白皮书》,白皮书聚焦5G智慧城市的安全需求、安全参考架构及安全解决方案建议,旨在为垂直行业开展5G应用提供安全指引和最佳实践参考...
本次报告主要围绕**XX公司**的安全运维需求进行深入分析,包括但不限于业务应用层面、网络安全层面、物理安全层面等多个维度的需求。 #### 二、业务应用需求 1. **巡检与监控**:定期对业务应用及相关软件进行巡检...
局域网应用的安全需求.docx
本指南详细描述了商用密码应用安全性评估的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析和报告编制活动,适用于规范商用密码应用安全性测评机构(以下简称“测评机构”)在商用密码应用安全...
在构建WEB应用系统的安全方案时,应综合考虑这些需求,并结合数字证书技术来增强身份验证的可靠性,特别是在网上交易安全中,数字证书可以作为信任的基石,确保交易双方的身份真实,同时通过SSL/TLS协议加密数据传输...
企业零信任能力构建指南(企业零信任需求评估、遵循的基本原则、架构设计的建议、旧系统迁移的架构、新系统建设的建议),行业应用实践(银行远程办公的零信任应用、制造企业权限管控的零信任应用、流动数据管控的零...
本资源是一个关于物联网安全需求分析的课件,主要涵盖了物联网安全需求、物联网安全技术分析、感知识别层的安全需求、网络构建层的安全需求、管理服务层的安全需求、综合应用层的安全需求等内容。 物联网安全需求...
《中国移动SIM卡多安全域多应用管理技术规范》是一份重要的技术文档,它详细阐述了中国移动在SIM卡中实现多安全域和多应用管理的技术细节和标准。SIM卡,全称为Subscriber Identity Module(用户身份模块),是移动...
安全运维需求调研报告主要关注的是信息技术领域中对安全运维服务的具体要求和标准,这份报告涵盖了多个方面的内容,包括工作范围、规范标准、运维服务需求、检修运维服务需求、业务应用分析要求以及进度和服务质量...
为了研究安全需求的经济规律,基于经济学供需理论,分析了消费者需求与企业安全需求的联系与...论文诠释和论证了安全需求曲线向右上方倾斜的经济学意义,研究了安全需求规律的扭曲原因,提出了对其进行矫正与应用的思路。
本文档主要作用:为提高应用系统安全需求分析、设计的全面性、标准化,满足质量管理体系开发安全生命周期要求,针对产品安全方面需求,特制定本应用安全开规范供参考。 应用系统开发过程中针对基础信息分析,需求...
此外,还讨论了智能电视领域和IoT领域的TEE实现,强调了这些领域的安全需求和挑战,以及TEE如何满足这些需求。 TrustZone是ARM公司提供的一种硬件级别的安全技术,通过硬件划分安全世界和普通世界,确保安全世界的...
软件系统安全保障方案,包括目录结构和一些通用性的...6、 系统应用安全 7 6.1 身份认证系统 7 6.2 用户权限管理 7 6.3 信息访问控制 8 6.4 系统日志与审计 8 6.5 数据完整性 8 7、 安全管理体系 8 8、 其他 9
AP32221 安全看门狗具有高可靠性和高安全性的特点,能够满足高可靠性和高安全性的应用需求。 应用方面,TriCore(TM) 微处理器和安全看门狗 AP32221 广泛应用于汽车电子、工业控制、医疗设备、消费电子等领域,为...
应用系统安全防护项目需求书.doc
按照国家标准和行业...区块链应用的安全需求、 区块链安全体系参考架构和指标体系、 区块链安 全测评技术要求等内容, 技术要求又包括加密安全、 共识安全、 合约安全、 数据安全、 网络安全、 应用安全等六个方面。
在应用系统开发阶段,需要了解相关的安全规定和软件运行的环境要求,并对此产生的安全需求做出定义。 5. 接口安全性 接口安全性是应用系统安全的第四个重要方面。接口安全性可以分为接口安全性要求职责分隔、明确...