基于安全的设计

此条目可参照英语维基百科相应条目来扩充。 (2021年8月17日) 若您熟悉来源语言和主题，请协助参考外语维基百科扩充条目。请勿直接提交机械翻译，也不要翻译不可靠、低品质内容。依版权协议，译文需在编辑摘要注明来源，或于讨论页顶部标记{{Translated page}}标签。

此条目包含指南或教学内容。 (2023年4月13日) 请借由移除或重写指南段落来改善条目，或在讨论页提出讨论。

系列条目
资讯安全
相关安全分类
电脑安全 汽车网络安全 网络犯罪（英语：Cybercrime） 网络性交易（英语：Cybersex trafficking） 电脑诈骗 网络末日战 网络恐怖主义 网络战 电子作战 资讯战 互联网安全（英语：Internet security） 移动安全 网络安全、公开来源情报与反制（OSINT） 复制保护 数码版权管理
威胁
广告软件 高级长期威胁 任意代码执行 软件后门 硬件后门（英语：Hardware backdoors） 代码注入 犯罪软件 跨网站脚本 骑劫挖矿 僵尸网络 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 电脑病毒 资料抓取（英语：Data scraping） 拒绝服务攻击 窃听 邮件诈骗（英语：Email fraud） 邮件混淆（英语：Email spoofing） 漏洞利用 键盘记录 逻辑炸弹 定时炸弹（英语：Time bomb (software)） Fork炸弹 Zip 炸弹 欺诈拨号器（英语：dialer） 恶意软件 负载 钓鱼式攻击 多态引擎 特权提升 勒索软件 Rootkit 恐吓软件 Shellcode 滥发电子消息 社会工程学 屏幕抓取（英语：Screen scrape） 间谍软件 程序错误 特洛伊木马 硬件木马（英语：Hardware Trojan） 远程桌面软件 漏洞 后门壳层 删除器（英语：Wiper (malware)） 电脑蠕虫 SQL注入 流氓软件 僵尸电脑
防御
应用程式安全 安全代码撰写 默认安全 基于安全的设计 误用案例（英语：Misuse case） 电脑存取控制（英语：Computer access control） 身份验证 多重要素验证 授权 电脑安全软件（英语：Computer security software） 杀毒软件 安全操作系统（英语：Security-focused operating system） 以资料为中心的安全（英语：Data-centric security） 代码混淆 数据脱敏 加密 防火墙 安全强化 入侵检测系统 主机入侵检测系统 (HIDS) 异常检测 安全性资讯与事件管理（英语：Security information and event management） (SIEM) 资安协作自动化应变 (SOAR) 安全行动网关（英语：Mobile secure gateway） 应用程式执行期保护（英语：Runtime application self-protection）
查 论 编

基于安全的设计（Security by Design）也称为设计安全，在软件工程中，是指一个软件的设计基础包含了资讯安全的观点。

基于安全的设计必须把针对该软件的恶意行为视为理所当然，并设法在资安漏洞被发现时，尽量减少对该软件的冲击。于软件开发流程中的设计阶段，列出安全需求、识别安全风险及套用控制措施，以作为后续安全功能验证的基础，落实安全的软件生命周期，从设计先期阶段着手整体资讯系统安全^[1]。基于安全的设计与领域驱动设计等所谓“好的软件设计”有相关之处。所谓“好的软件设计”原本可能不是为了符合资讯安全的需求，但它却可以减少开发过程中可能造成资安漏洞的风险。

相关条目[编辑]

• 电脑安全
• 网络安全标准
• 安全强化
• 独立多级安全性（英语：Multiple Independent Levels of Security）
• 默认安全
• 隐晦式安全
• 软件安全保障（英语：Software Security Assurance）

参考资料[编辑]