15 Questions
Ứng dụng cần được công khai thông qua internet hay sử dụng nội bộ qua intranet?
Công khai qua internet
Ứng dụng có thực hiện các tác vụ nhạy cảm hay quan trọng không?
Có, ứng dụng thực hiện các tác vụ nhạy cảm
Hệ thống cần đảm bảo tính sẵn sàng ở mức độ nào?
99.999% up time
Hệ thống lưu trữ hoặc truyền dữ liệu cần áp dụng phương pháp nào?
Mã hóa (Encryption)
Hệ thống an ninh cần tránh tin tưởng vào nguồn dữ liệu từ đâu?
Không bao giờ tin tưởng nguồn dữ liệu từ bất kỳ nguồn nào
Hệ thống an ninh cần tránh tin tưởng vào nguồn dữ liệu từ đâu?
Upload từ người dùng
Ứng dụng có thực hiện các tác vụ nhạy cảm hay quan trọng không?
Lưu trữ hoặc truyền dữ liệu
Hệ thống cần đảm bảo tính sẵn sàng ở mức độ nào?
99.999% up time
Hệ thống lưu trữ hoặc truyền dữ liệu cần áp dụng phương pháp nào?
Mã hóa
Ứng dụng cần được công khai thông qua internet hay sử dụng nội bộ qua intranet?
Sử dụng nội bộ qua intranet
Để đảm bảo tính bảo mật, hệ thống cần mã hóa khi lưu trữ hoặc truyền dữ liệu?
False
Hệ thống an ninh cần luôn nghi ngờ nguồn dữ liệu từ người dùng?
False
Ứng dụng cần phải thực hiện tác vụ rủi ro như cho phép người dùng upload các file?
False
Cần 99.999% up time để đảm bảo tính sẵn sàng cho hệ thống?
False
Hệ thống an ninh cần tránh tin tưởng vào nguồn dữ liệu từ nguồn nào?
False
Study Notes
Quy trình phát triển phần mềm an toàn (Secure SDLC - SSDLC)
- Là một quy trình phát triển phần mềm với mục tiêu đảm bảo an toàn và bảo mật
- Bao gồm các giai đoạn:
- Định nghĩa Quy trình phát triển phần mềm an toàn (Secure SDLC – SSDLC)
- Đặc tả yêu cầu an toàn (Security Requirement)
- Thiết kế an toàn (Secure Design)
- Lập trình An toàn (Secure Code)
- Khung phát triển phần mềm an toàn (Security Software Development Framework – SSDF)
- Các lỗi thường gặp (Common Pitfalls)
- Kiểm thử và triển khai an toàn (Secure Testing and Deployment)
An toàn thông tin (Security)
- Bộ ba CIA (Bảo mật – Toàn vẹn – Sẵn sàng) – Lý do team IT Security tồn tại
- Bảo mật (Confidentiality): bảo vệ dữ liệu khỏi truy cập trái phép
- Toàn vẹn (Integrity): bảo vệ dữ liệu khỏi bị thay đổi trái phép
- Sẵn sàng (Availability): bảo vệ dữ liệu khỏi bị mất hoặc hư hỏng
Yêu cầu an toàn (Security Requirement)
- Hệ thống có chứa hoặc tiếp cận với các loại dữ liệu bí mật, nhạy cảm, hay dữ liệu định danh cá nhân (PII)
Defense in Depth (Phòng thủ theo chiều sâu)
- Ví dụ: Web Application Server gồm 3 layer bảo mật – 1 ví dụ của cơ chế phòng thủ theo chiều sâu (defense in depth)
Secure SDLC (Quy trình phát triển phần mềm an toàn)
- Là một phiên bản của quy trình phát triển phần mềm SDLC với tập trung vào an toàn và bảo mật
Thông tin về quy trình phát triển phần mềm an toàn trong lĩnh vực CNTT, xác định yêu cầu, thiết kế và lập trình an toàn, khung phát triển phần mềm an toàn, cũng như các lỗi thường gặp trong quá trình phát triển.
Make Your Own Quizzes and Flashcards
Convert your notes into interactive study material.
Get started for free
