应用软件开发安全的专业领域 这篇文章主要说明软件开发的安全保障会涉及哪些专业领域? 从Microsoft SDL 定义的安全软件开发流程中主要有安全设计,安全编码, 安全测试等 这篇文章将探讨每个子领域的专业范围与相关的业界实践的参考 安全需求架构与设计 涵盖范围 这部分包含对于产品安全需求, 可分为下列几个方向: 必要基本安全要求: 这个基础性要求表示产品如果违反其中的安全需求, 该产品或服务就不能上线 隐私保护设计: 身份访问控制: 加密与密钥管理 操作系统, Web, 数据库加固:…
雲端資訊安全
软件开发安全流程 SDL (Secure Development LifeCycle)
软件开发安全流程 SDL (Secure Development LifeCycle) 这篇文章主要介绍软件开发流程中必要的安全技术与工具 要让该流程能够有所落实, 还是必须回归安全技术 單單依照流程执行还是不够的, 到底这流程中有执行上有哪些问题与技术要考量? 安全培训 与其说是培训不如说这部分更多的是沟通的过程, 安全的培训内容包含哪些? 一般来说分为下列几大部分 公司整体安全政策 例如资讯安全, 安全流程规范, 数位资产防护, USB/行动电脑使用规范等 这样的培训通常会在新员工入职举办,…
主机威胁入侵检测开源工具与规则
入侵检测开源工具与规则 这篇文章主要介绍入侵检测的基本原理规则与开源工具 入侵检测原理 要侦测是否为有威胁入侵可以从下列几个方向著手, 所谓凡走过必留下痕迹, 因此从黑客可能会走过的痕迹思考 入侵类型 说明 入侵范例 环境侦察 Reconnaissance 黑客在进行攻击之前通常会对于网络与主机环境进行侦察, 取得必要与辅助的相关资讯 这类的环境侦察通常也会留下些存取的轨迹与记录 多次连接不存在的 ports, 端口扫描 网站路径扫描, 存取多个不存在的档案或是路径 认证 取得认证资讯是黑客的宝藏,…