【原】英国技术保障指南之原则：产品设计和功能-产品的可用性

1. 产品的可用性

让安全操作成为自然之选。

任何必须能够抵抗网络攻击的产品都应设计为自然促进安全可靠的使用。安全功能应尽可能不干扰日常操作，保持易于访问但不引人注目。

安全功能和界面对于使用它们的人来说应该是直观的。应提供支持，以帮助确保以预期的方式配置和使用产品。

通过使安全操作成为用户的首选，这些设计目标将有助于确保产品在其整个生命周期内尽可能保持安全。

很多时候，如果安全性对人们不起作用，它根本不起作用。例如，如果一个产品使用起来很笨拙，人们会找到一种摩擦力较低的方法来完成他们的任务。如果产品难以配置，那么其设置中的错误可能会导致进一步缺乏安全功能。

这些可用性挑战可能会绕过为保持它们以及它们工作的系统安全而实施的控制。

防御措施示例

·产品应侧重于以人为本的设计品质，即效率、有效性、用户满意度、包容性和可访问性。安装和使用该产品的人员应获得教育、培训和配置支持。

·产品的可用性测试应由具有代表性的人员样本进行，涵盖潜在的角色、任务、约束和情境环境。产品设计师应该花时间了解他们的潜在用户是谁。

·产品性能应该是用户可预测的。如果性能不够好，人们将面临压力，要求他们寻找其他方法来完成任务，可能会绕过安全控制。

·应制定记录使用模式和报告痛点的流程，以识别潜在的漏洞来源并实现持续改进。

·当产品配置不安全时，应让用户知道，并且恢复到安全的默认状态应该很容易。如果用户出错，产品应提供支持和明确的恢复方法。产品对用户的任何反馈都应该清晰而有意义。

·在可能的情况下，采取措施防止或降低助长恶意使用或导致安全事件的场景的可能性或危险性。这些可能包括识别和控制与产品的意外交互，或将危险操作从常用功能中移开。

>>>等级保护<<<

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：是网络安全工作的基本方法
3. 回看等级保护：重要政策规范性文件43号文（上）

4. 网络安全等级保护实施指南培训PPT
   

5. 网络安全等级保护安全物理环境测评培训PPT
   

6. 网络安全等级保护：等级保护测评过程要求PPT

7. 网络安全等级保护：安全管理中心测评PPT
   

8. 网络安全等级保护：安全管理制度测评PPT
   

9. 网络安全等级保护：定级指南与定级工作PPT
   

10. 网络安全等级保护：云计算安全扩展测评PPT
    

11. 网络安全等级保护：工业控制安全扩展测评PPT
    

12. 网络安全等级保护：移动互联安全扩展测评PPT

13. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
14. 网络安全等级保护：等级测评中的渗透测试应该如何做
15. 网络安全等级保护：等级保护测评过程及各方责任
16. 网络安全等级保护：政务计算机终端核心配置规范思维导图
17. 网络安全等级保护：什么是等级保护？
    
18. 网络安全等级保护：信息技术服务过程一般要求

19. 网络安全等级保护：浅谈物理位置选择测评项

20. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
21. 闲话等级保护：什么是网络安全等级保护工作的内涵？
22. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
23. 闲话等级保护：测评师能力要求思维导图
    
24. 闲话等级保护：应急响应计划规范思维导图
    
25. 闲话等级保护：浅谈应急响应与保障
    
26. 闲话等级保护：如何做好网络总体安全规划
    
27. 闲话等级保护：如何做好网络安全设计与实施
    
28. 闲话等级保护：要做好网络安全运行与维护
    
29. 闲话等级保护：人员离岗管理的参考实践

30. 信息安全服务与信息系统生命周期的对应关系

32. >>>工控安全<<<
33. 
    
34. 工业控制系统安全：信息安全防护指南
35. 工业控制系统安全：工控系统信息安全分级规范思维导图
36. 工业控制系统安全：DCS防护要求思维导图
37. 工业控制系统安全：DCS管理要求思维导图
38. 工业控制系统安全：DCS评估指南思维导图
39. 工业控制安全：工业控制系统风险评估实施指南思维导图
40. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
41. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
42. 工业控制系统安全：工业控制系统安全控制应用指南思维导图
43. 工控系统未来方向与克服IT与OT融合障碍的五种方法
45. 
    
46. >>>数据安全<<<
47. 数据治理和数据安全
48. 数据安全风险评估清单
49. 成功执行数据安全风险评估的3个步骤
50. 美国关键信息基础设施数据泄露的成本
51. 备份：网络和数据安全的最后一道防线
52. 数据安全：数据安全能力成熟度模型
53. 数据安全知识：什么是数据保护以及数据保护为何重要？
54. 信息安全技术：健康医疗数据安全指南思维导图
55. 金融数据安全：数据安全分级指南思维导图
56. 金融数据安全：数据生命周期安全规范思维导图

58. >>>供应链安全<<<

59. 美国政府为客户发布软件供应链安全指南
    

60. OpenSSF 采用微软内置的供应链安全框架
    

61. 供应链安全指南：了解组织为何应关注供应链网络安全
    

62. 供应链安全指南：确定组织中的关键参与者和评估风险
    

63. 供应链安全指南：了解关心的内容并确定其优先级

64. 供应链安全指南：为方法创建关键组件

65. 供应链安全指南：将方法整合到现有供应商合同中

66. 供应链安全指南：将方法应用于新的供应商关系

67. 供应链安全指南：建立基础，持续改进。

68. 思维导图：ICT供应链安全风险管理指南思维导图

69. 英国的供应链网络安全评估

71. >>>其他<<<

73. 网络安全十大安全漏洞

74. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

75. 网络安全等级保护：应急响应计划规范思维导图

76. 安全从组织内部人员开始

77. VMware 发布9.8分高危漏洞补丁

78. 影响2022 年网络安全的五个故事

79. 2023年的4大网络风险以及如何应对

80. 网络安全知识：物流业的网络安全

81. 网络安全知识：什么是AAA（认证、授权和记账）？

82. 美国白宫发布国家网络安全战略

83. 开源代码带来的 10 大安全和运营风险

84. 不能放松警惕的勒索软件攻击

85. 美国行业专家分析美国国家网络安全战略