安全需求

安全性是一個複雜的主題，與部署系統的所有層級相關。開發安全性需求會以識別安全性威脅和開發對抗策略為中心。此安全性分析包括下列步驟：

1. 識別重要資產

2. 識別那些資產的威脅

3. 識別會造成這些威脅的漏洞，這些威脅會對組織形成風險。

4. 開發可減輕組織風險的安全性規劃

安全性需求的分析應該要包含組織內各種利益關係人，包括經理、業務分析師和資訊技術專業人員。通常，組織會指定安全性架構師領導安全性措施的設計和實作。

下列章節描述安全性規劃所涵蓋的區域。

安全性規劃的元素

系統的安全性規劃是部署設計的一部份，是成功實作不可或缺的要素。規劃安全性時，請考慮下列項目：

• 實體安全性。實體安全性是指對路由器、伺服器、伺服器機房、資料中心和基礎架構其他部份的實體存取。如果未經授權的人可以進入伺服器機房和拔除路由器，則其他的安全性措施就會遭到危害。

• 網路安全性。網路安全性是指透過防火牆、安全存取區域、存取控制清單和連接埠存取來存取網路。為求網路安全性，需要開發針對未經授權存取、篡改和拒絕服務 (DoS) 攻擊的策略。

• 應用程式和應用程式資料安全性。應用程式和應用程式資料安全性涵蓋透過認證及授權程序與策略對使用者帳戶、公司資料和企業應用程式的存取。此區域包括定義下列策略：

  • 密碼策略

  • 存取權限，例如相對於管理員存取的使用者委託管理

  • 帳戶關閉

  • 存取控制

  • 加密策略，包含資料的安全傳輸以及使用認證簽定資料

• 個人安全性措施。整體組織的安全性策略定義作業環境以及所有使用者都須遵守的措施，以確定其他安全性措施將如同所設計般運作。通常，您會開發關於安全性指南或手冊，並為使用者提供安全性措施的訓練。為了取得有效的整體安全性策略，良好的安全性措施必須成為組織文化的一部份。