Video: Microsoft on Trust, Privacy and the GDPR 2024
Ia adalah kecenderungan manusia semulajadi untuk membina sesuatu tanpa terlebih dahulu mempertimbangkan reka bentuk atau implikasi keselamatan mereka. Seorang jurutera rangkaian yang sedang membina rangkaian baru hanya boleh mula memasang kabel ke penghala dan suis tanpa berfikir terlebih dahulu mengenai reka bentuk keseluruhan - apalagi pertimbangan keselamatan. Begitu juga, seorang jurutera perisian yang ditugaskan untuk menulis program baru adalah tepat untuk hanya memulakan pengekodan tanpa merancang reka bentuk program.
Jika anda melihat dunia luar dan produk pengguna yang ada, kadang kala anda melihat kebolehgunaan dan kelemahan keselamatan yang membuat anda tertanya-tanya bagaimana orang atau organisasi itu pernah dibenarkan menyertai reka bentuk dan pembangunannya.
Profesional keselamatan perlu membantu organisasi memahami bahawa prinsip keselamatan oleh reka bentuk adalah komponen penting dalam pembangunan mana-mana sistem.
Proses kejuruteraan yang memerlukan kemasukan prinsip reka bentuk yang selamat termasuk:
- Pembangunan konsep. Dari peringkat idea, pertimbangan keselamatan adalah penting untuk kejayaan mana-mana usaha kejuruteraan IT baru. Setiap projek dan produk bermula dengan sesuatu - sesi papan tulis, lakaran pada tuala koktel atau kotak pizza, atau panggilan persidangan. Walau bagaimanapun projek itu bermula, seseorang harus bertanya bagaimana data penting, fungsi, dan komponen akan dilindungi dalam perkara baru ini. Kami tidak mencari jawapan yang terperinci, tetapi cukup keyakinan untuk mengetahui bahawa kami bukan kumpulan ternama yang paling bergegas ke tebing terdekat.
- Keperluan. Sebelum reka bentuk sebenar bermula, satu atau lebih orang akan menentukan keperluan untuk sistem atau ciri baru. Selalunya, terdapat beberapa kategori keperluan. Keperluan keselamatan, privasi, dan kawal selia perlu disertakan.
- Reka bentuk. Selepas semua keperluan telah ditubuhkan dan dipersetujui, reka bentuk formal sistem atau komponen boleh bermula. Reka bentuk mesti menggabungkan semua keperluan yang ditetapkan dalam langkah sebelumnya.
- Pembangunan. Bergantung kepada apa yang sedang dibina, pembangunan boleh mengambil banyak bentuk, termasuk membuat
- Konfigurasi sistem dan peranti
- Rangkaian peralatan data pusat yang dikendalikan
- Aliran data untuk sistem pengurusan dan pemantauan
- Ujian. Komponen individu dan seluruh sistem diuji untuk mengesahkan bahawa setiap keperluan yang telah dibangunkan sebelum ini telah dicapai. Umumnya, seseorang yang lain daripada pembina / pemaju harus melakukan ujian.
- Pelaksanaan. Apabila sistem atau komponen dimasukkan ke dalam perkhidmatan, pertimbangan keselamatan membantu memastikan ini tidak meletakkan sistem / komponen baru atau perkara yang berkaitan dengan risiko. Aktiviti pelaksanaan termasuk
- Konfigurasi dan peranti rangkaian kabel
- Memasang dan mengkonfigurasi sistem operasi atau subsistem, seperti sistem pengurusan pangkalan data, pelayan web atau aplikasi
- Pembinaan kemudahan fizikal, kawasan kerja atau pusat data
- Penyelenggaraan dan sokongan. Selepas sistem atau kemudahan dimasukkan ke dalam perkhidmatan, semua perubahan berikutnya perlu menjalani langkah kejuruteraan yang serupa untuk memastikan bahawa risiko keselamatan yang baru atau berubah dengan cepat dapat dikurangkan.
- Penghapusan keputusan. Apabila sistem atau kemudahan mencapai hujung hayat perkhidmatannya, ia mesti dipecat tanpa meletakkan data, sistem lain, atau kakitangan yang berisiko.
