基于安全的设计

系列条目
资讯安全
相关安全分类
电脑安全 汽车网路安全 网路犯罪 网路性交易 电脑诈骗 网路末日战 网路恐怖主义 网路战 电子作战 资讯战 网际网路安全 移动安全 网路安全 复制保护 数位版权管理
威胁
广告软体 进阶长期威胁 远端代码执行 软体后门 硬体后门 代码注入 犯罪软体 跨网站指令码 挖矿劫持恶意软体 僵尸网路 资料泄露 路过式下载 浏览器辅助物件 电脑犯罪 电脑病毒 资料抓取 阻断服务攻击 窃听 邮件诈骗 邮件混淆 漏洞利用 键盘记录 逻辑炸弹 定时炸弹 Fork炸弹 Zip 炸弹 欺诈拨号器 恶意软体 负载 钓鱼式攻击 多型引擎 特权提升 勒索软体 Rootkit 恐吓软体 Shellcode 滥发电子讯息 社会工程学 萤幕抓取 间谍软体 程式错误 特洛伊木马 硬体木马 远端桌面软体 漏洞 后门壳层 删除器 电脑蠕虫 SQL注入 流氓软体 僵尸电脑
防御
应用程式安全 程式编写安全 预设安全 基于安全的设计 误用案例 电脑存取控制 身分验证 多重要素验证 授权 电脑安全软体 防毒软体 安全作业系统 以资料为中心的安全 代码混淆 资料遮罩 加密 防火墙 入侵检测系统 主机入侵检测系统 (HIDS) 异常检测 安全性资讯与事件管理 (SIEM) 安全行动闸道 应用程式执行期保护

基于安全的设计（Security by Design）也称为设计安全，在软体工程中，是指一个软体的设计基础包含了资讯安全的观点。

基于安全的设计必须把针对该软体的恶意行为视为理所当然，并设法在资安漏洞被发现时，尽量减少对该软体的冲击。于软体开发流程中的设计阶段，列出安全需求、辨识安全风险及套用控制措施，以作为后续安全功能验证的基础，落实安全的软体生命周期，从设计先期阶段着手整体资讯系统安全^[1]。基于安全的设计与领域驱动设计等所谓「好的软体设计」有相关之处。所谓「好的软体设计」原本可能不是为了符合资讯安全的需求，但它却可以减少开发过程中可能造成资安漏洞的风险。

相关条目

• 电脑安全
• 网路安全标准
• 安全固化
• 独立多级安全性
• 预设安全
• 隐晦式安全
• 软体安全保障

参考资料