需求(及设计)安全评审
针对一些项目需求评估安全性
给出基于业务需求场景的安全建议
操作流程:
1、根据需求文档,分析项目需求,了解背景及场景 (需求背景、业务流程、涉及数据类型密级),方式可以文档结合访谈询问沟通
2、根据设计文档(逻辑架构图、应用场景数据流图),分析设计(功能、架构、数据流、业务流)
3、安全评估:可用评估维度有:安全设计原则、安全架构要素(5A)、数据安全需求、合规要求、威胁建模(攻击面、威胁风险)
4、根据评估.对流程、功能、架构、数据保护等提出安全需求及建议;(要能落地>复用>满足业务发展预期)
5、建立文档,记录上述相关
6、存档
有不对的地方欢迎大家指正,谢谢