治理和管理的区别,治理倾向法治,管理倾向人治。治理是董事会决策,形成全企业需要遵循的战略政策,包括管理。
SDL及其检查点,
一是需求阶段,纳入安全需求。
二是方案阶段,进行方案自检、方案评审。
三是开发阶段,安全自检、代码审计。
四是测试阶段,安全扫描、安全测试。
五是运行阶段,安全配置与验收、安全防御、安全检测与应急响应。
数据安全架构设计规范:
一是产品架构,至少具备接口层、业务逻辑层、数据访问层。
二是身份认证与敏感业务超时管理,实现SSO超时管理主要通过在接入网关上设置超时参数实现。
三是最小授权,首选是在应用内建立授权模块,实现精细化授权。
四是访问控制,执行以身份为中心的访问控制。
五是审计,保证操作日志的完整可用。
六是资产保护,包括存储和传输等。
七是部署架构,尽量使用应用网关,避免各应用直接对外提供服务。
标签:安全,五是,数据安全,超时,四是,治理 From: https://www.cnblogs.com/dretrtg/p/18026298