業(yè)務(wù)安全咨詢服務(wù)
在業(yè)務(wù)系統(tǒng)的開發(fā)過程中,開發(fā)人員和業(yè)務(wù)需求人員一般只關(guān)心業(yè)務(wù)功能的實(shí)現(xiàn)與否,比較少關(guān)心系統(tǒng)的安全性。就算有一些開發(fā)人員具備一定的安全知識(shí),但往往也只能實(shí)現(xiàn)一些基礎(chǔ)的安全措施,對(duì)整體的業(yè)務(wù)安全難以把握。
業(yè)務(wù)安全咨詢服務(wù)是指在業(yè)務(wù)系統(tǒng)開發(fā)的過程中,安全人員基于業(yè)務(wù)安全的角度,通過咨詢、建議、測(cè)試和方案設(shè)計(jì)等方式,把安全工作結(jié)合到開發(fā)的每個(gè)階段,如下:
a) 需求分析階段:分析業(yè)務(wù)需求,提出業(yè)務(wù)安全所需的流程與操作等;
b) 功能設(shè)計(jì)階段:根據(jù)業(yè)務(wù)功能設(shè)計(jì)相應(yīng)的安全功能,使業(yè)務(wù)功能能夠安全地實(shí)現(xiàn);
c) 開發(fā)階段:討論編寫安全代碼規(guī)范,制訂代碼安全開發(fā)計(jì)劃;
d) 測(cè)試階段:對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全測(cè)試,包括業(yè)務(wù)邏輯、應(yīng)用軟件、服務(wù)環(huán)境、主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備等;
e) 上線階段:協(xié)助業(yè)務(wù)人員建立監(jiān)測(cè)規(guī)則,利用業(yè)務(wù)安全監(jiān)控系統(tǒng)進(jìn)行日常監(jiān)控。