文章目录
信息安全的国家标准共计338个,涵盖了网络、主机、应用、数据等方方面面,希望大家都能认真学习,提高安全认知。如果有想一起学习的 欢迎给我留言
信息安全国标写作格式学习
每个标准基本都有的格式,供写文档的我们参考
定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义
结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让没有时间的人,可以快速了解内容
附件表格: 表格可能是文档必备,制度文档需要落地,都需要对应的检测表
参考文档: 每个标准都是建立在其他标准之上的,将会提高自身的权威性 ,如果把国标的所有参考标准,都关联其他,是否能穷尽所有安全标准?
内容全面: 写的内容基本上符合内容相关独立,完全穷尽的原则,比如XXX和其他XXX
详细样例: 每种代码漏洞都有详细样例,可作为编写材料举例时使用
GB-T 38674-2020 信息安全技术 应用软件安全编程指南 架构图
GB-T 38674-2020 信息安全技术 应用软件安全编程指南 内容学习
安全功能实现
安全功能实现,更偏向于安全要求或安全设计,与安全设计的checklist比较像,具体内容写的还是比较全,是一个综合以往安全开发规则的大一统版本,在实际工作中比较有参考意义。
比如数据加密,提到了密钥管理内容,这个在大部分文档里面都没有提现
比如口令安全,看了两遍没有想起来,可能遗漏的检查点
代码实现安全
主要介绍开发在编码过程中需要注意的事情,比如面向对象安全、线程安全、函数调用安全、异常处理
资源使用安全
这层主要是说开发所依赖的内容,比如文件、数据库、网络、内存、数据库管理
第三方软件使用安全
从官方下载,打全补丁,正确配置
总结
感觉最有价值的是最后的23页开始的错误代码示例,包括解决的问题及样例代码,这个在很多标准中都很难找到
GB-T 38674-2020 信息安全技术 应用软件安全编程指南 下载
GB-T 38674-2020 信息安全技术 应用软件安全编程指南 下载地址