高完整性系统工程(二): Security Engineering: Threat Modelling

已于 2023-06-09 20:12:29 修改
阅读量399 收藏
点赞数
分类专栏: 高完整性系统工程 文章标签: 安全 学习 威胁模型
于 2023-03-11 22:23:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Abner98414/article/details/129469175
版权

目录

1. Basic Security Properties 基本安全属性

2. Threat Modelling

2.1 STRIDE 

2.2 电子欺骗 Spooding  

2.3 篡改 Tampering

2.4 否认 Repudiation

2.5 信息披露 Information Disclosure

2.6 拒绝服务 Denial of Service

2.7 特权的提升 Elevation of Privilege 

1. Basic Security Properties 基本安全属性

  • Confidentiality 保密性
  • Integrity 完整性
  • Availability 可用性
  • Authentication 验证性
  • Non-Repudiation 不可抵赖性
  • Access Control 访问控制

2. Threat Modelling

2.1 STRIDE 

  • 欺骗 Spoofing: pretending to be something or someone you are not
  • 篡改 Tampering: modifying something you are not supposed to
  • 否认 Repudiation: claiming you didn’t do something
  • 信息披露 Information Disclosure: revealing information to people who are not supposed to see it
  • 拒绝服务 Denial of Service: crashing a system, making it too slow, exhausting its storage
  • 特权的提升:Elevation of Privilege: being able to do something that, technically, you are not allowed to do

2.2 电子欺骗 Spooding  

1. 假装成另外一个顾客

2. 冒充你的网站(网络钓鱼攻击)

3. 另一个站点伪造一个链接到你的一个页面 (CSRF 攻击)

2.3 篡改 Tampering

1. 网站修改

2. 通过异地管理员篡改数据库内容

2.4 否认 Repudiation

1. 是否有系统记录?

2. 他们记录的信息正确吗?

3. 它们是否受到保护,不被篡改?

2.5 信息披露 Information Disclosure

1. 如果有人偷了你的 TLS 私钥怎么办?

2. 如果有人偷了你的密码文件怎么办? (是加密的吗?)

2.6 拒绝服务 Denial of Service

1. 如果你的网站被slashdot了怎么办?(流量大幅增加)

2. 如果异地数据库提供程序出现故障怎么办?

2.7 特权的提升 Elevation of Privilege 

1. 客户能否直接连接到业务逻辑服务器?

2. 其他人可以连接到异地数据库吗?

小羊和小何
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Security Engineering, 2nd Edition
11-26
Security Engineering, 2nd Edition Security Engineering, 2nd Edition
security engineering
06-05
安全工程 by ross anderson
Security engineering
01-28
公认的全球最重要安全权威之一 前五个章节英文原著 剑桥大学教授Ross Anderson
安全工程-构建可靠的分布式系统指南Security Engineering - A Guide to Building Dependable Distributed Systems
11-15
本书对安全工程,其基础技术(加密,访问控制,推理控制,防篡改,密封)及其在军事,医疗和金融领域的重要应用进行了扎实的介绍。
Security Engineering — The Book V2
04-09
Security Engineering — The Book V2
security engineering -second edition
11-16
剑桥大学的计算机安全学教授Ross Anderson写了一本特别的教科书。它被称为安全工程,尽管有1000多页长,但它是十年来最易读的流行科学难题之一。
学习之路指南:GitHub 教程与指南精选手册一
milan-xiao-tiejiang的博客
11-17 1342
tutorials
论文翻译——Artificial Intellligence:miracle or mirage?
Blackoutdragon的博客
02-02 1486
Artificial intelligence: miracle or mirage?
ai的智能发展不会超越人类_人工智能:超越炒作
cumian8165的博客
07-25 2425
ai的智能发展不会超越人类by George Krasadakis 通过乔治·克拉萨达基斯(George Krasadakis) 人工智能,超越炒作 (Artificial Intelligence, beyond the hype) 人工智能正在改变我们的世界,而随之而来的影响是巨大的:在我们的工作方式中,我们生活,协作,决定并充当一个社会。 但是有什么风险,我们如何做好准备? (AI i...
Core Software Security: Security at the Source
02-01
Threat Modeling/Architecture Security Analysis Threat Modeling Data Flow Diagrams Architectural Threat Analysis and Ranking of Threats Risk Mitigation Open-Source Selection Privacy Information...
threat-dragon-core:OWASP Threat Dragon核心文件
05-04
Threat Dragon是一款免费的开源跨平台威胁建模应用程序,包括系统图表和自动生成威胁/缓解措施的规则引擎。 这是一个,遵循的价值和原则。 该项目的路线图是出色的UX,强大的规则引擎以及与其他开发生命周期工具的...
Cyber-All-Intel:An AI for Security related Threat Intelligence.pdf
08-09
In this paper we present, Cyber-All-Intel an artificial intelligence system to aid a security analyst. It is a system for knowledge extraction, representation and analytics in an end-toend pipeline ...
gau:从AlienVault的Open Threat Exchange,Wayback Machine和Common Crawl中获取已知的URL
02-02
getallurls(gau) getallurls(gau)从AlienVault的 ,Wayback Machine和Common Crawl中获取任何给定域的已知URL。 受到Tomnomnom的启发。资源资源用法: 例子: $ printf example.com | gau$ cat domains.txt | ...
security-response-automation:对威胁和漏洞采取自动措施
05-15
安全响应自动化对“安全性命令中心”的发现采取自动操作: 自动创建磁盘快照以启用司法调查。 撤销违反您所需政策的IAM补助金。 通知其他系统,例如PagerDuty,Slack或电子邮件。 有关更多信息,请参见的完整列表。 ...
强化学习与网络安全资源
最新发布
学-> 思->用
05-21 116
【代码】强化学习与网络安全资源。
2021年 软件工程 顶级会议 截稿时间
CS_Conferences的博客
02-16 2674
更多会议截稿信息,期刊Special Issue,以及盛会的讨论qun,请移步gzh查看。 ​以上为未来三个月已公布截稿日期的CCF推荐,软件工程领域会议,按照时间排序。 个别会议因为没有公布截稿信息而不在所列时间线内。 录取率信息为网络上可获得的最近年份数据,不一定是上一年的,文中尽量选择同时带有投稿量的数据年份供大家参考. Core Ranking会排除Not primarily CS,regional或者是national的会议,个别未上榜会议不代表会议水平差。 具体列表如下: ..
Apache Metron Meetup May 4, 2016 - Big data cybersecurity
wang_zhenwei的博客
11-25 2010
原文来自: http://slideshare.neatcn.com/hortonworks/apache-metron-meetup-may-4-2016-big-data-cybersecurity 需要了解更多信息,请访问: http://hortonworks.com/apache/metron/   Apache Metron Meetup May 4, 2016
《Cloud Native》云原生技术汇总
静静是我女朋友
03-23 7234
An awesome & curated list of best applications and tools for Cloud Native. This Awesome Repository is highly inspired from cncf’s landscape & Awesome. Items marked with ![Op...
Write a 5,000-word thesis on "Application of Sandbox Technology in Cybersecurity Engineering."
05-17
Additionally, the chapter will discuss the benefits of using sandbox technology in cybersecurity engineering, including improved threat detection, faster incident response, and reduced risk of data ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值