5**、脱离背景的组件**
通常是基于一个假设环境的供应商开发的通用组件,
1)要求对预期的用途、环境假设和外部接口进行记录;
2)基于以上的假设定义网络安全需求和开发;
3)在集成应用时要对假设和网络安全声明进行验证。
6**、现成组件**
指不修改设计和实现情况下进行集成,通常指标准的第三方软件、开源软件库,一般不认为是按照本标准开发的。
1)集成时应收集相关的网络安全文档,确定是是否满足分配的网络安全需求,并适用于具体应用环境,否足以支持网络安全活动。
2)如果现有文档不足以支持集成,应确定必要的网络安全活动,即裁剪。
7**、网络安全档案**
网络安全档案为相关项或组件的网络安全提供论据,并由工作产品支撑,在分布式开发中,包括客户和供应商的档案组合,由各方论证共同支持。网络安全档案须考虑后开发的网络安全需求。
8**、网络安全评估**
1)应基于风险,决定是否对相关项或组件进行网络安全评估,理由可包括TARA结果、相关项复杂性和组织制定的规则。如不进行网络安全评估,应记录理由在网络安全档案中。
2)是否评估的理由应独立审查,独立性参考ISO26262。
3)网络安全评估的证据由网络安全活动的工作产品提供,网络安全评估可以分步骤进行、也可重复或补充。
4)应指定一个负责计划和独立进行网络安全评估的人员,独立性参考ISO26262,如组织内不同团队的人。
5)进行网络安全评估的人应具备:获得相关信息和工具、执行网络安全活动人员的配合。
6)网络安全评估可基于是否实现本标准的目标。
7)网络安全评估的范围包括:
a、网络安全计划和网络安全计划确定的所有工作产品;
b、对网络安全风险的处理;
c、实施的网络安全控制和网络安全活动的合理性和有效性,可通过之前的审查验证来判断。
d、证明已达到本标准相关目标的理由,即满足所有相应的要求或裁剪的依据。
8)网络安全评估报告结论包括接收、带条件接收或拒绝,也可以包括持续改进的建议。
9)如果是带条件接受,报告应包括接受条件。
9**、后开发的发布**
1)开发阶段完成后,应在发布前提供以下信息给后开发的人:
a、网络安全档案;
b、网络安全评估报告(如果适用);
c、后开发的网络安全要求。
2)后开发的发布应满足以下条件,后续的变更也可能导致重新进行评估:
a、网络安全档案提供了充分的论据;
b、网络安全评估证实了网络安全档案(如果适用);
c、后开发的网络安全要求已被接受。
总结:项目级的网络安全管理,首先是职责的分配和网络安全计划的制定,在计划中可进行裁剪,之后依据网络安全计划进行开发和输出工作产物,最后整合成网络安全档案作为论证依据,一起进行网络安全评估后,完成后开发的发布。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**