公司的信息安全标准

Question

我正在开发一个基于网络的应用程序。我想要创建它，以便它可以被企业和大型组织内的团队采用，而这些公司和大组织都有严格的IS标准。

最初针对的组织并不是专门管理的行业，而是需要遵守区域数据保护和使用条例。

我需要计划哪些因素？

Answer 1

首先，让你能插上的东西都可以插上。松散耦合，很好的形式，所有的爵士乐都在programmers.stackexchange.com上。这样，如果有人想为域名更改用户名/密码，您可以将其作为一个简单的特性出售。类似地，将日志记录从文本文件更改为syslog到数据库。

• 认证与授权
• 日志记录

..。仅此而已。将未经授权的用户排除在外，并限制授权用户的角色、日志行为和维护完整性(特定于应用程序，但基本上要小心不可逆转的更改)。审计中的每一件事都归结于这些行为。编写代码时，您将记录所有内容，并使用配置关闭您不想要的内容。使用角色创建权限，并将重点放在用户可能做的业务逻辑上。

UserA能看到成本定价吗？他们能设定销售价格吗？像这样问你很多问题。如果您的应用程序在我提到的这些领域是灵活和全面的，那么您将能够满足大多数标准。

Answer 2

我认为这个问题过于笼统，不可能得到具体的答案。所以我会给出一个大致的答案。一般来说，OWASP是web应用程序安全的良好来源，特别是它们的发展指南。

Answer 3

我的建议--不管行业和规则如何--考虑保护你的品牌。不管工业。在数据处理方面使用良好的常识安全性。PCI和FISMA拥有围绕web应用程序的技术控制，当然还有OWASP。一般情况下，您应该在第一次发布web服务之前在您的编码工作台上介绍web应用程序测试，并在任何新的代码推送之前再次测试。此外，Web应用程序防火墙的概念对于生产过程中应用程序的安全体系结构也很重要。WhiteHat安全性为与应用程序防火墙一起工作的应用程序提供了一些实时测试，以便使用虚拟“修补程序”概念更新任何发现。