ISO21434 产品开发网络安全(七)

news2024/12/25 9:00:54

目录

一、概述

二、目标

三、输入

3.1 先决条件

3.2 进一步支持信息

四、要求和建议

4.1 设计

4.2 集成和验证

五、输出


一、概述

        本条款描述了网络安全要求和架构设计的规范(章节10.4.1)。

        此外,本子句还描述了集成和验证活动(章节10.4.2) 。

        这些网络安全活动被反复执行,直到不需要进一步改进网络安全控制。网络安全规范的定义是通过验证,以确认活动实现网络安全概念。

        图9说明了如何将产品开发活动应用于基于v-模型的工作流程,其中10.4.1对应于V-model的左侧,10.4.2对应于右侧。在本例中,假设在项目级别下进行了两层抽象,即组件级别和子组件级别。这个工作流可以扩展到覆盖任何级别的抽象。

        可以应用不同于v型模型的开发方法或方法(例如,敏捷软件开发)。

        CAL等级可用于衡量本条款中活动的深度和严密性,以及它们所使用的方法。

二、目标

        本条款的目的是:

    1. 定义网络安全规范;
    2. 验证所定义的网络安全规范是否与架构抽象的更高层次的网络安全规范相一致;
    3. 识别组件中的弱点;
    4. 提供了证明组件的实施和集成的结果符合网络安全规范的证据。

三、输入

3.1 先决条件

        应提供以下信息:

    1. 来自更高层次的架构抽象的网络安全规范;
    2. 分配给正在开发的组件的网络安全要求;
    3. 正在开发中的组件的—(外部)接口规范;
    4. 关于正在开发的组件的操作环境的信息。

3.2 进一步支持信息

        可以考虑以下信息:

    1. 项目定义
    2. 网络安全概念
    3. 现有架构设计
    4. 已经建立了网络安全控制系统;
    5. 来自已重用组件的已知弱点和漏洞

四、要求和建议

4.1 设计

【RQ-10-01】网络安全规范的定义应基于:

    1. 来自更高层次的架构抽象的网络安全规范;
    2. 如果适用,则选择了要实施的网络安全控制措施;
    3. 现有的架构设计,如果适用的话。

【RQ-10-02】所定义的网络安全要求应分配给架构设计的各个组成部分。

【RQ-10-03】如适用,应规定在组件开发后确保网络安全的程序。

【RQ-10-04】如果网络安全规范或其实现使用了设计、建模或编程符号或语言,则在选择此类符号或语言时应考虑以下因素:

    1. 一个在语法和语义上的明确和可理解的定义;
    2. 支持模块化、抽象和封装的实现;
    3. 支持使用结构化结构;
    4. 支持使用安全的设计和实现技术;
    5. 集成现有组件的能力;
    6. 该语言能够抵御因其使用不当而产生的弱点。

【RQ-10-05】语言本身未涉及的网络安全的标准(见[RQ-10-0-04])应由设计、建模和编码指南或开发环境涵盖。

【RQ-10-06】应采用已建立的和值得信赖的设计和实施原则,以避免或尽量减少弱点的引入。

【RQ-10-07】应分析[RQ-10-01]中定义的架构设计,以确定其弱点。

【RQ-10-08】对定义的网络安全规范进行验证,以确保与更高层次架构抽象的网络安全规范的一致性。

4.2 集成和验证

【RQ-10-09】集成和验证活动应验证组件的实现和集成是否符合所定义的网络安全规范。

【RQ-10-10】关于[RQ-10-09]的集成和验证活动应考虑以下内容:

    1. 已定义的网络安全规范;
    2. 拟用于系列生产的配置,如果适用;
    3. 有足够的能力来支持所定义的网络安全规范中规定的功能;
    4. 如果适用,应符合[RQ-10-05]的建模、设计和编码指南。

【RQ-10-11】如果采用测试验证,则应使用定义的测试覆盖率指标来评估测试覆盖率,以确定测试活动的充分性。

【RQ-10-12】应进行测试,以确认组件中剩余的未知弱点和漏洞被最小化。

【RQ-10-13】如果未执行符合[RC-10-12]要求的测试,则应提供相关理由。

五、输出

【WP-10-01】网络安全规范,来自 [RQ-10-01] 和 [RQ-10-02]的要求

【WP-10-02】开发后的网络安全要求, [RQ-10-03]

【WP-10-03】如果适用,由[RQ-10-04]和[RQ-10-05]产生的建模、设计或编程语言和编码指南的文件

【WP-10-04】由[RQ-10-08]得出的网络安全规范的验证报告

【WP-10-05】如果适用的话,在产品开发过程中发现的缺陷,由[RQ-10-07]和 [RQ-10-12]的要求

【WP-10-06】集成和验证规范,源自 [RQ-10-10]

【WP-10-07】集成和验证报告,由[RQ-10-09]和 [RQ-10-11]、[RQ-10-12] 产生的集成和验证报告

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/618208.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Yakit: 集成化单兵安全能力平台使用教程·反连管理篇

Yakit: 集成化单兵安全能力平台使用教程反连管理篇 1.端口监听器2.DNSlog3.反连服务器4.ICMP-Sizelog5.TCP-Portlog6.Yso-Java Hack1.端口监听器 反弹 Shell 的接收工具,利用端口监听器可以在服务器上开启一个端口,进行监听,并进行交互 输入想要监听的端口,点击监听该端口…

直播抽奖功能(互动功能接收端JS-SDK)

功能概述 本模块主要用于处理抽奖相关的逻辑,可以对抽奖开始和抽奖结束等事件进行监听以及提交观众中奖信息,接入方可以根据这些事件流程定制自己的UI界面。 抽奖--效果截图 抽奖--效果截图 初始化及销毁 在实例化该模块并进行使用之前,需要…

Shell脚本:for循环

shell脚本-for循环 一、for循环:1.格式:2.实操:3.类c语言: 一、for循环: 1.格式: (1)for 已知的循环次数场景 for 变量名 in 【 名称范围 】 do 命令序列(执行内容&…

Vue+springboot美发美容化妆品产品商城系统

不同的游客可以注册成为用户,然后可以查看,搜索自己想买的美发产品,加入购物车,下订单,收货,确认付款等购物流程。前台和后台的分析使得该系统结构清晰,即包含管理员和用户两个最基本的实体&…

C++递推基本概念和基础知识

目录 一、递推的概念 什么是递推算法? 解决递推问题的一般形式 二、递推和递归的区别 三、递推的实例 一、递推的概念 什么是递推算法? “递推”是计算机解题的一种常用方法。利用“递推法”解题首先要分析归纳出“递推关系”。如经典的斐波那契数…

MIT 6.824 lab distributed system 分布式系统(1)----lab1 MapReduce

https://youtu.be/cQP8WApzIQQ 概念 为什么需要分布式系统? high performanceparallelism:分布式系统可以实现CPU、内存、硬盘的并行运行fault tolerancephysical:security / isolated 分布式系统的困难 concurrency:各个并行的…

【观察】金融行业决策智能化“换挡提速” 华为全球智慧金融峰会2023值得期待...

当前以数字化、智能化为特征的第四次工业革命正“扑面而来”,数字经济浪潮对各行各业都产生着深刻影响。其中,金融行业作为现代经济的核心,也面临着一系列重大的挑战和机遇。 相比于其他企业,金融行业依靠数据分析和智能决策更好地…

某公司招了一个大专生,候选人要一万月薪,HR给申请一万二,HR领导说:给一万三!...

无良公司看多了,不禁让人怀疑:这个世界上还有好公司和好hr吗? 来看看这位hr的故事: 最近我们招了一个大专生,5年经验。他的工资是7000,候选人想要10000,我给申请了12000,结果审批不通…

用于分析脉冲类信号的二阶瞬态提取变换研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

【TCP/IP】基于TCP的服务器端/客户端 II - 迭代服务器/客户端的概念与实现

1. 迭代服务器端/客户端 1.1 迭代服务器实现 1.2 迭代回声服务器端/客户端 2 回声客户端存在的缺陷 1. 迭代服务器端/客户端 在此之前,让我们先补充一个“回声服务器/客户端”的概念。回声(echo)服务器/客户端是指服务器端将客户端传输的字…

干货 | 郭晓雷:数智安全监管机制研究与思考

作者:郭晓雷本文约4300字,建议阅读8分钟 本文报告的主要内容关于数据安全,从学术或者技术的角度,更多地认为人工智能是数据处理的新技术,其应用会产生更加丰富的数据处理活动场景。 郭晓雷:今天报告的主要内…

【U8+】用友U8查询出库汇总表没有“计量单位”列

【问题描述】 在用友U8软件中, 查询存货核算模块下的【出库汇总表】后, 没有【计量单位】列, 但是汇总依据中,可以明显看到是包含“计量单位”的。 【解决方法】 首先明确一点,在查询条件中的【汇总依据及排序方式】…

可再生能源的不确定性和储能系统的时间耦合的鲁棒性和非预期性区域微电网的运行可行性研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

4.Python高频函数—数据分割split()

这里是针对dataframe 的数据的列中的字符串进行分割、分列,首先需要先用.str将这一列转换为类似字符串的格式,然后再使用split()方法。 Part.1 split()函数 根据分隔符或正则表达式对字符串进行拆分;返回数据框(DataFrame&#x…

位运算总结

位运算 有符号整数无符号整数位移运算 1计算机中数字的表示 计算机只有0,1两个数字,所以我们常用的10进制计算 所以我们需表示10进制 要使用二进制来表示10进制数 进制表示法 我们假设一个 8 位的数据类型 方案1 2:0000 0010 我们会发现…

FPGA 的数字信号处理:Verilog 实现简单的 FIR 滤波器

该项目介绍了如何使用 Verilog 实现具有预生成系数的简单 FIR 滤波器。 绪论 不起眼的 FIR 滤波器是 FPGA 数字信号处理中最基本的模块之一,因此了解如何将具有给定抽头数及其相应系数值的基本模块组合在一起非常重要。因此,在这个关于 FPGA 上 DSP 基础…

FPGA驱动FT601实现USB3.0通信测速试验 提供工程源码和QT上位机源码

目录 1、前言2、FT601芯片解读和时序分析FT601功能和硬件电路FT601读时序解读FT601写时序解读 3、我这儿的 FT601 USB3.0通信方案4、vivado工程详解5、上板调试验证6、福利:工程代码的获取 1、前言 目前USB3.0的实现方案很多,但就简单好用的角度而言&am…

【见微知著】Android Jetpack - Navigation的架构设计

前言:人总是理所当然的忘记,是谁风里雨里,一直默默的守护在原地。 前言 Navigation 作为 Android Jetpack 组件库中的一员,是一个通用的页面导航框架。为单 Activity 架构而生的端内路由导航,用来管理 Fragment 的切换…

使用IDEA使用Git:Git使用指北——实际操作篇

Git使用指北——实际操作 🤖:使用IDEA Git插件实际工作流程 💡 本文从实际使用的角度出发,以IDEA Git插件为基座讲述了如果使用IDEA的Git插件来解决实际开发中的协作开发问题。本文从 远程仓库中拉取项目,在本地分支进行开发&…

数据结构-Redis(一)

Redis除了性能强外,还有数据结构丰富多彩。 一、String 单值缓存 SET key value GET key 存对象 相信大家都存过,我们一般都是把对象value转json,获取的时候,再json转对象 SET user:1 value(json值) 但当我们需要对对象某…