基於安全的設計

此條目可參照英語維基百科相應條目來擴充。 (2021年8月17日) 若您熟悉來源語言和主題，請協助參考外語維基百科擴充條目。請勿直接提交機械翻譯，也不要翻譯不可靠、低品質內容。依版權協議，譯文需在編輯摘要註明來源，或於討論頁頂部標記{{Translated page}}標籤。

此條目包含指南或教學內容。 (2023年4月13日) 請藉由移除或重寫指南段落來改善條目，或在討論頁提出討論。

系列條目
資訊保安
相關安全分類
電腦安全 汽車網絡安全 網絡犯罪（英語：Cybercrime） 網絡性交易（英語：Cybersex trafficking） 電腦詐騙 網絡末日戰 網絡恐怖主義 網絡戰 電子作戰 資訊戰 互聯網安全（英語：Internet security） 移動安全 網絡安全、公開來源情報與反制（OSINT） 複製保護 數碼版權管理
威脅
廣告軟件 進階長期威脅 任意代碼執行 軟件後門 硬件後門（英語：Hardware backdoors） 代碼注入 犯罪軟件 跨網站指令碼 騎劫挖礦 殭屍網絡 數據泄露 路過式下載 瀏覽器輔助對象 電腦犯罪 電腦病毒 資料抓取（英語：Data scraping） 阻斷服務攻擊 竊聽 郵件詐騙（英語：Email fraud） 郵件混淆（英語：Email spoofing） 漏洞利用 鍵盤記錄 邏輯炸彈 定時炸彈（英語：Time bomb (software)） Fork炸彈 Zip 炸彈 欺詐撥號器（英語：dialer） 惡意軟件 負載 釣魚式攻擊 多型引擎 特權提升 勒索軟件 Rootkit 恐嚇軟件 Shellcode 濫發電子訊息 社會工程學 熒幕抓取（英語：Screen scrape） 間諜軟件 程式錯誤 特洛伊木馬 硬件木馬（英語：Hardware Trojan） 遠端桌面軟件 漏洞 後門殼層 刪除器（英語：Wiper (malware)） 電腦蠕蟲 SQL注入 流氓軟件 殭屍電腦
防禦
應用程式安全 安全程式碼撰寫 預設安全 基於安全的設計 誤用案例（英語：Misuse case） 電腦存取控制（英語：Computer access control） 身份驗證 多重要素驗證 授權 電腦保安軟件（英語：Computer security software） 防毒軟件 安全作業系統（英語：Security-focused operating system） 以資料為中心的安全（英語：Data-centric security） 代碼混淆 數據脫敏 加密 防火牆 安全強化 入侵檢測系統 主機入侵檢測系統 (HIDS) 異常檢測 安全性資訊與事件管理（英語：Security information and event management） (SIEM) 資安協作自動化應變 (SOAR) 安全行動閘道（英語：Mobile secure gateway） 應用程式執行期保護（英語：Runtime application self-protection）
閱 論 編

基於安全的設計（Security by Design）也稱為設計安全，在軟件工程中，是指一個軟件的設計基礎包含了資訊保安的觀點。

基於安全的設計必須把針對該軟件的惡意行為視為理所當然，並設法在資安漏洞被發現時，盡量減少對該軟件的衝擊。於軟件開發流程中的設計階段，列出安全需求、辨識安全風險及套用控制措施，以作為後續安全功能驗證的基礎，落實安全的軟件生命週期，從設計先期階段着手整體資訊系統安全^[1]。基於安全的設計與領域驅動設計等所謂「好的軟件設計」有相關之處。所謂「好的軟件設計」原本可能不是為了符合資訊保安的需求，但它卻可以減少開發過程中可能造成資安漏洞的風險。

相關條目[編輯]

• 電腦安全
• 網絡安全標準
• 安全強化
• 獨立多級安全性（英語：Multiple Independent Levels of Security）
• 預設安全
• 隱晦式安全
• 軟件安全保障（英語：Software Security Assurance）

參考資料[編輯]