网络安全基本属性和STRIDE
引用:https://www.secrss.com/articles/3298
安全属性
最常见的安全属性:CIA
机密性(Confidentiality):保证机密信息不被窃取,窃听者不能了解信息的真实含义。
完整性(Integrity):保证数据的一致性,防止数据被非法用户篡改。
可用性(Availability):保证合法用户对信息资源的使用不会被不正当拒绝,如DOS攻击。
额外的三个安全属性
鉴权:身份验证,建立用户身份。
授权:明确允许或拒绝用户是否能访问资源,访问哪些资源。
认可(不可抵赖):用户无法在执行某操作后否认执行了此操作。
STRIDE威胁建模
STRIDE是微软开发的用于威胁建模的工具,或者说是一套方法论,它把威胁分成如下6个维度来考察:
Spoofing(伪装)
Tampering(篡改)
Repudiation(抵赖)
Information Disclosure(信息泄露)
Denial of Service(拒绝服务)
Elevation of Privilege(提升权限)
STRIDE威胁模型几乎可以涵盖目前绝大部分安全问题。并且有着详细的流程和方法。
威胁 | 定义 | 对应的安全属性 |
---|---|---|
spoofing | 冒充他人身份 | 认证 |
Tampering | 修改数据或代码 | 完整性 |
Repudiation | 否认做过的事 | 不可抵赖性 |
Information Disclosure | 机密信息泄露 | 机密性 |
Denial of Service | 拒绝服务 | 可用性 |
Elevation of Privilege | 未经授权许可 | 授权 |