SoTower平台与ISO17799：构建安全应用的基石

"ISO17799的选择-SoTower平台基础架构与应用开发地图" 本文主要探讨了在SoTower平台基础架构与应用开发过程中，如何根据ISO17799标准进行安全策略的选择，以及软件项目管理中面对的挑战和应对方法。 ISO17799，现已被更新为ISO/IEC 27001，是信息安全领域的国际标准，提供了一套全面的信息安全管理最佳实践。在描述中提到的"除非得到明白的许可，否则一般必须禁止此类行为"，这是ISO17799中关于访问控制的一个基本原则，强调了默认拒绝的立场，即默认情况下不授予任何访问权限，只有经过明确授权的行为才被允许。这样的原则有助于增强系统的安全性，避免未经授权的活动造成潜在风险。 SoTower平台基础架构与应用开发地图V0.9中，可能涵盖了从需求分析、系统设计、编码实现到测试与维护的全过程，并结合ISO17799等标准，确保在整个软件开发生命周期中遵循最佳安全实践。在应用开发中，实施这样的访问控制策略能有效防止未授权访问、数据泄露和恶意攻击。 文件还引用了一些软件项目失败的常见原因，包括时间估计不足、人员增加反而延长项目周期（布鲁克斯定律）、外部压力导致的决策失误、功能蔓延（feature creep）等。Steve McConnell指出早期项目估算的困难性，以及在软件工程中，压力往往会导致40%的错误。波佩克PLATINUM的CTO则以建筑比喻，强调了软件开发中不能轻易改变基础架构。 为了应对这些挑战，文件提出了几点建议，如对不确定性做好准备、追求灵活性、重视初期的设计和优化，因为后期修改的成本可能会大幅增加。投入更多的人力，特别是高素质的开发者，也是关键因素。构建高效团队结构，投资于能够提高生产力的流程，并保持组织的秩序和清晰度，这些都是成功完成看似不可能任务的重要策略。 ISO17799的选择在SoTower平台的开发中扮演了关键角色，它指导了安全措施的实施，而面对软件项目的复杂性和不确定性，合理的项目管理和团队建设成为了确保成功的重要手段。