###### tags: `專案管理`,`2022` # 網站安全設計原則 1. 最小權限原則 ( Least privilege ) > 給盡量小的權限，能夠完成任務即可，不要拿過多的權限。 2. 責任分離原則 (Separate responsibilities): > 不管是在商業邏輯層級或是系統層級，都應該做到責任分離。例如：付款模組跟訂單模組應該要分開，前端介面跟後端資料庫要分開，各司其職。 > 這樣的原則跟出納跟會計要分開很像，責任分離避免安全性的疑慮。 3. 不輕易相信 ( Trust cautiously ) > 任何未知的連接都應該視為不可被信任的。 4. 採用簡單的做法 ( Simplest solution possible ) > 若是安全設計太複雜，便很難被大家理解，而大家無法理解的話，就會很難正確執行。 5. 記錄敏感的事件 ( Audit sensitive events ) 6. 安全地使用預設值 ( Secure defaults ) 7. 不要依賴「混淆」 ( Never rely on obscurity ) 8. 深層的防禦 ( Defense in depth ) 9. 不要發明自行安全機制 ( Never invent security tech ) 10. 找尋脆弱的環節 ( Secure the weakest link ) #### Reference Hahow-資訊安全 {%hackmd BJrTq20hE %}