前言:构建新系统与更新老系统,设计与实施要考虑防御入侵的手段,威胁建模是种手段.
威胁的分类:来自网络,来自主机,来自应用。
威胁建模的定义:结构化标识、定量、定位威胁的方法,是开发过程的一部分。
设计安全软件的其中一个问题在于,不同的团体考虑安全性的方式不一样。软件开发人员认为安全性好坏主要取决于代码质量,而网络管理员考虑的是防火墙、事件响应和系统管理。学术界大多数人可能按经典的
Saltzer
和
Schroeder
设计原则、安全性模型或其他抽象概念来看待安全性。当然,所有这些对于构建安全的系统都是非常重要的
威胁建模的本质:1.至今还没有任何已确定有效的方法来衡量威胁模型的质量,2.我们无法证明给定的设计是安全的,但我们可以从自己的错误中汲取教训并避免重复犯同样的错误
二、用STRIDE进行威胁建模,保证系统的5大安全属性。