老焦专栏 | 如何做一个有说服力的方案?
2019独角兽企业重金招聘Python工程师标准>>> 
转载本文需注明出处:微信公众号EAWorld,违者必究。
经常有技术人员收到这样的反馈:技术精通,但做方案的能力不强。其中一个原因就是:我们的方案通常只是论述了如何做,没有证明做法是正确的。例如,需要应用安全的方案,我们的方案是做安全扫描,而安全扫描只是保证安全的一个做法,并没有证明为什么有了安全扫描就安全了(实际上仅仅做了安全扫描,也不意味着应用安全);再如,需要高可用的方案,我们的方案是做双机热备,并没有证明为什么双机热备就可以实现高可用了。没有自证的方案,不是一个好的方案,这里我通过应用安全的例子,讲一讲在方案中如何证明自己。
首先说一个下图的示例,一个工资管理系统,如何设计这个系统的安全性:
安全的设计要从分解系统、进行威胁建模开始:
由于安全的内容比较多,分级威胁和缓和方案我就不具体介绍了,缓和方案就是具体的做法,这个相信大家都能做出一些,这里主要讲推导过程,即如何论证上图的缓和方案是正确的。
首先是分解系统(应用程序):
下面是上图的图例,主要有交互者(外部实体)、数据流、进程、数据存储、边界这几个部分。
分析了系统,下面分析威胁的各个种类,一般来说,系统的威胁分为六个方面,简称 STRIDE(假冒、篡改、否认、信息泄露、拒绝服务、提升授权):
根据系统的分解,系统的每个部分都有可能发生威胁,系统的各个部分包括外部实体、进程、数据存储、数据流,但不是每个方面都有上述六方面,见下表:
针对威胁,就可以设计解决方案了,例如每个进程都可能因为 SQL 注入漏洞,存在篡改(T)和信息泄露(I)的威胁,利用安全扫描的方式可以消除因为SQL注入产生的篡改和信息泄露威胁。再如:
我们可以用下述方法,解决各种威胁:
用了这种几步分解、系统性描述的论证方式,囊括了系统分解、威胁建模、威胁评估和缓和方案,我认为,就是一个说服力的方案,也就是能够自我证明的解决方案。
关于作者:焦烈焱,普元信息CTO,致力于技术创新和金融创新解决方案研究。专注于企业技术架构领域,对分布式环境的企业计算、 企业信息架构的规划与实践有着丰厚经验,带领普元技术团队相继在云计算、大数据及移动开发领域取得多项突破,并主持中国工商银行、中国建设银行等多家大型企业技术平台的规划与研发。
关于EAWorld:微服务,DevOps,数据治理,移动架构原创技术分享。长按二维码关注!
转载于:https://my.oschina.net/u/3920392/blog/3050665
老焦专栏 | 如何做一个有说服力的方案?相关推荐
- 老焦专栏 | 用 RACI 模式梳理业务流程,提高业务发布的效率
转载本文需注明出处:微信公众号EAWorld,违者必究. 最近经常在不同场合说,技术发展已经进入深水区.IT 技术发展已经越来越成熟了,尤其在金融行业,以前是解决从无到有的问题,现在该有的系统都有了, ...
- 老焦专栏 | 一个典型的知识图谱应用建设案例
转载本文需注明出处:微信公众号EAWorld,违者必究. 1 知识图谱的几种典型应用方式 基于知识图谱的应用可以分为几种典型的类型,这几种应用使用的场景各有不同,在使用技术上也各有侧重,我们希望能够根 ...
- 老罗,认真做一个好产品远比磨嘴皮子重要
8月27日,又是一场世纪撕*大战. 此事要追溯到之前 Zealer 中国发布了一个关于 Smartisan T1 手机的测评视频.视频对于 Smartisan T1 的评价是质量并非属于过关级别.老罗 ...
- 专心技术,拒绝浮躁,静下心来,做一个有创造力的coder
同时期的同学,很多都把你甩在了后面,你现在需要做的就是奋起直追,别无他法. 管理好自己的时间,安排好工作与生活.唯有不断学习才能让自己感到充实! 静下心来,浮躁只会让你学不到精髓.专心做自己的事情! ...
- 尽一份孝心,为家人做一个老人防摔报警系统
摘要:基于STM32+华为云IoT设计的老人防摔倒报警系统. 本文分享自华为云社区<基于STM32+华为云IOT设计的老人防摔倒报警系统[玩转华为云]>,作者: DS小龙哥 . 1. 前言 ...
- python打开交互界面设计_老司机必备——用PyQt做一个有交互界面的妹子图爬虫...
内容简介:老司机必备--用PyQt做一个有交互界面的妹子图爬虫 代码飙车,指日可待.今天的课程教大家结合PyQt和 Python 爬虫技术,做一个带有交互界面的妹子图网站爬虫程序. 一.实验简介 1. ...
- 老滚5初始化python失败_五分钟学会怎么用python做一个简单的贪吃蛇
Pygame 是一组用来开发游戏软件的 Python 程序模块,基于 SDL 库的基础上开发.我们今天将利用它来制作一款大家基本都玩过的小游戏--贪吃蛇. 一.需要导入的包 import pygame ...
- 张勇:做一个透明经济体的CEO
2007年的一天,马云和新进阿里巴巴的一批高管在西湖边的湖畔居喝茶,问大家为什么来阿里.时任淘宝CFO的张勇这样回答:"我已经干过一个30亿美金的CFO了,想干个300亿美金的." ...
- java性能瓶颈分析_Java性能优化技巧整理,做一个深度的程序员
原标题:Java性能优化技巧整理,做一个深度的程序员 在我们身边是一大批的程序员,层次不一,但是放眼观,我们很容易就可以看到那些是业务型程序员,那些是有层次的程序员.注重细节,注重性能,做一个有深度的 ...
最新文章
- 手机芯片谁是AI之王?高通、联发科均超华为
- 周志华等人提出可微XGBoost算法sGBM,速度提升、准确率更胜一筹
- 加快网站访问速度--jquery.js
- windows系统git服务器启动,windowsServer服务器上搭建GIt服务器
- java中stack集合框架
- Java中高维数组或高维矩阵构建及运算
- 今天看到一个热搜,说一个美团会员配送费6元,普通用户2元,导致轩然大波
- “MapReduce: Simplified Data Processing on Large Clusters”
- Linux开发环境搭建之cmake安装
- Android开发语音转文字,在Android上语音转文字
- Window部分软件图标显示不正常
- CSS渐变背景看这一篇就够了
- kali无法ping通baidu.com
- 中文常用停用词表(哈工大停用词表、百度停用词表
- Python 将一个已知的 utc时间字符串 转换为东八区时间
- Unirech:阿里云国际版怎么获得免费试用的机会以及注册流程
- oracle连接读本机DNS,oracle 11gR2 修改 DNS 方式 SCAN IP
- Liferay中的workflow
- Pytorch+PyG实现GraphConv
- Python实现地图轨迹可视化(输入数据:经纬高,且Linux,Window环境通用)