访问控制Access Control
程序设计者所犯的最大错误就是忽略了访问控制作为功能中必要的一部分。每个用户或系统与程序交互时使用相同的权限来访问程序的情况是很少见的。有些用户需要访问数据的特定部分而不是其他的;有些系统可以或不可以访问程序。在一个程序中访问特定的模块,功能或者单元都需要控制。访问控制对评估和法规的遵从也是十分重要的。管理访问控制的一些常见方法:
1. Read, write and execute privileges: A file
2. Role-based access control: administrators, users
3. Host based access: IP 地址, 机器名称
4. Object-level access control: code object, multiple reader/single writer
保密/隐私Confidentiality/Privacy
许多应用程序使用,处理和消耗敏感数据。错误就是同等对待所有的数据而且对一些数据类型的敏感特征缺乏认识。敏感数据的常见例子包括:
1. 用户个人信息Personal information about users: 包括姓名,地址,电话号码,身份证号码,社保,护照和执照号码。
2. 安全信息Security information: 包括关键字,密码,口令。
3. 应用程序的配置信息Configuration information for the application。
4. 金融信息(与电子商务有关)Financial information (e-commerce related): 信用卡和账户号码。
在一个程序中敏感数据可以与其他数据分隔(见以下),所用操作数据的方法就是访问控制(如上所述)。当开发应用程序时,特别是这一天增加的规则和条例,甚至更重要的是研究任何可以控制程序或是它的使用的规则或是程序。特别是在金融,医疗保健,能源和其他重要的基础设施建设上是常见的。
加密Encryption
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!