Quá trình mô hình hóa dữ liệu mức Logic

Một phần của tài liệu đề cương ôn thi phân tích và thiết kế phần mềm (Trang 55)

- Là bước tiếp theo của mô hình hóa dữ liệu mức khái niệm nên các bước trước giống mô hình hóa mức khái niệm.

- Sau khi có mô hình hóa dữ liệu mức khái niệm thì tiếp theo là lựa chọn hệ quản trị cơ sở dữ liệu

- Chuyển đổi tương ứng giữa mô hình hóa dữ liệu mức khai niệm thành mô hình hóa dữ liệu mức logic.

33.Nêu các kỹ thuật thiết kế bảo mật cho ứng dụng

Để thiết kế một ứng dụng có tính bảo mật, bạn phải đảm bảo các kỹ thuật sau trong khi thiết kế:

1. Phải tin tưởng vào các hệ thống đã được kiểm tra và qua thử thách: Bất kì khi nào có thể,

bạn phải tin tưởng vào các hệ thống đã được kiểm tra và qua thử thách hơn là đề ra các giải pháp của riêng bạn. Dùng các giải thuật đã được qua thử thách trong công nghiệp, đảm bảo tính kỹ thuật, và được hỗ trợ ở nền tảng tốt. Đặc biệt những hệ thống kiểu vậy đã được nhà cung cấp kiểm thử và có hỗ trợ về mặt kỹ thuật. Nếu bạn quyết định phát triển 1 hệ thống của riêng bạn, thì nên xác nhận rằng các kế hoạch và kỹ thuật của bạn đã được các chuyên gia kiểm tra và hãy đánh giá lại về mức độ bảo mật của tổ chức của bạn trước và sau khi thực thi các giải pháp.

2. Không bao giờ tin tưởng vào các đầu vào từ bên ngoài: Bạn phải xác thực về tất cả các dữ

liệu đã được đưa vào bởi người dùng hoặc các thiết bị.

3. Giả định rằng các hệ thống bên ngoài là không an toàn: Nếu ứng dụng của bạn nhận được các

dữ liệu không được mã hóa, dễ tổn thương từ các hệ thống bên ngoài, phải xem như các thông tin ấy đã bị xâm phạm.

4. Đảm bảo nguyên lý về việc ít quyền nhất: Với một tài khoản, đừng cho phép nhiều quyền hạn

quá mức cần thiết. Việc truy xuất các tài nguyên ở một tài khoản nên có các quyền hạn ít nhất.

5. Giảm các thành phần và dữ liệu hiện có: Hãy cố giảm bớt các thành phần và dữ liệu mà bạn

hiện có trên ứng dụng của mình. Để bạn có thể tập trung vào các chức năng mà bạn cho rằng phải sử dụng đến.

6. Mặc định ở chế độ bảo mật: Không cho phép các dịch vụ, các tài khoản, và các kỹ thuật mà bạn

thấy rõ ràng là không cần thiết. Khi bạn triển khai ứng dụng trên client và server, thì các cấu hình mặc định của ứng dụng phải được bảo mật.

7. Không tin tưởng vào các biện pháp bảo mật mà ít tiếng tăm. Mã hóa dữ liệu phải có các khóa

và giải thuật đã qua thử thách. Các dữ liệu mật phải được lưu trữ với các biện pháp ngăn ngừa truy xuất ở mọi tình huống. Các biện pháp đơn giản, thì không được coi là bảo mật.

8. Nguyên lý theo dõi STRIDE: STRIDE là viết tắt của Nhận diện sự giả mạo (spoofing identity) ,

Sự lục lọi (tampering), Sự từ chối tuân theo các luật định (repudiation), sự phơi bày thông tin (information disclosure), từ chối dịch vụ (denial of service), tìm cách tăng quyền hạn (elevation of privilege). Đó là tập hợp các mối nguy hiểm về bảo mật mà hệ thống cần bảo vệ nó chống lại chúng.

Một phần của tài liệu đề cương ôn thi phân tích và thiết kế phần mềm (Trang 55)

Tải bản đầy đủ (PDF)

(66 trang)