ビデオ: LFTR (Liquid Fluoride Thorium Reactor) Defended by Kirk Sorensen @ ThEC2018 2024
設計やセキュリティへの影響を考慮せずに物事を構築するのは自然な人間の傾向です。新しいネットワークを構築しているネットワークエンジニアは、全体的な設計を考えずに、ルータやスイッチにケーブルを差し込むだけで、セキュリティの考慮事項はほとんどありません。同様に、新しいプログラムを書くために割り当てられたソフトウェアエンジニアは、プログラムの設計を計画することなくコーディングを開始することができます。
<!外部の世界と利用可能な消費者製品を観察すると、ときには、人や組織がその設計と開発にどのように参加することが許可されているのか疑問に思う使い易いユーザビリティとセキュリティ上の欠陥が見られることがあります。セキュリティ専門家は、セキュリティ・バイ・デザインの原則がどのシステムの開発においても不可欠な要素であることを組織が理解するのを支援する必要があります。
<! - 2 - >
安全な設計原則を含める必要があるエンジニアリングプロセスには、次のものが含まれます。コンセプト開発。アイデアの段階からは、新しいITエンジニアリングの成功のためにセキュリティの考慮事項が不可欠です。すべてのプロジェクトと製品は、ホワイトボードセッション、カクテルナプキンやピザボックスのスケッチ、または電話会議から始まります。しかし、プロジェクトが始まったにもかかわらず、誰かが重要なデータ、機能、およびコンポーネントがこの新しいことでどのように保護されるかを尋ねるべきです。私たちは詳細な解答を求めているわけではありませんが、最も近い崖に向かって突入している最新の羊群ではないことを知るだけの十分な自信を持っています。
- 要件。 実際の設計が始まる前に、1人または複数の人が新しいシステムまたは機能の要件を定義します。しばしば、いくつかのカテゴリの要件があります。セキュリティ、プライバシー、および規制要件が含まれていることがよくあります。
- デザイン。すべての要件が確立され、合意された後、システムまたはコンポーネントの正式な設計を開始することができる。設計は、前のステップで確立されたすべての要件を組み込む必要があります。 開発。
- システムおよびデバイスの構成の作成を含む多くの形式があります。 データセンター装置のラッキングダイアグラム
- 管理および監視システムのデータフロー <! - 3 - >
- テスト。
- 個々のコンポーネントとシステム全体がテストされ、以前に開発された各要件が達成されたことが確認されます。一般に、ビルダー/デベロッパー以外の誰かがテストを行うべきです。
- 実装。
- データベース管理システム、Webサーバ、アプリケーションなどのオペレーティングシステムまたはサブシステムのインストールと設定 物理的施設、作業領域、またはデータセンターの構築
- メンテナンスとサポート。システムまたは設備が運用された後、その後のすべての変更は、新しいまたは変化するセキュリティリスクが迅速に緩和されるように、同様のエンジニアリング手順を実行する必要があります。 廃止。
- システムまたは設備の耐用年数が終わると、データ、他のシステム、または人員を危険にさらすことなく廃止する必要があります。
