如何挖掘安全内生属性
研发各阶段痛点与应对
安全内生,不止于形
没有度量,就没有管理
安全要求
C、D级数据原则上应通过加密通道或数据加然的方式进行传输(确需公开发布的数据无需加密处理)。(查看来源)
不相各阅位的用户的权限需分离(如经办与复赖权限应做不相容控制,一般2种方式:一是经办复核不能为同一人,二是可以为同一人,但在同一个交易流理中,不能同时拥有复脑、经办权限)。(直看来源)
严禁打印、以数据有或其他任何形式面存做道或芯片值,长片验证码,有效明及个人标识代码等敏薄账户信息(查看来理)
对称算法:不得使用DES、RC4等致加密臂法。应使用5M4算法。使用其性清说明理由。(查着来源)
状态
已满足
已满足
已满足
已满足
1、安全人员梳理监管法规、最佳实践等内容,形成安全知识库。联合业务、需求、开发设计业务问卷。问题与知识库联动.
2、需求阶段,业务人员结合当前需求填写问卷,平台推送合规要求,如不相容岗位权限分离等。
3、开发人员在研发时,平台推送该需求下的安全设计要点及建议实践
4、安全人员开展安全检测时,除默认案例外,平台推送该需求的个性化测试案例。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
