文摘,原文地址:https://msdn.microsoft.com/zh-cn/magazine/cc163519.aspx
威胁建模的本质:尽管通常我们无法证明给定的设计是安全的,但我们可以从自己的错误中汲取教训并避免犯同样的错误。
首先需要知道什么样的设计是“安全的”,安全设计原则:
开放设计——假设攻击者具有源代码和规格。
故障安全预设值——出故障时自动关闭,无单点故障。
最低权限——只分配所需的权限。
机制经济性——保持简单、易懂的特性。
分离权限——不允许根据单一条件执行操作。
总体调节——每次检查所有内容。
最低公用机制——注意保护共享资源。
心理可接受性——他们将使用它吗?
更进一步,设计完的系统应具有哪些安全相关的属性?
机密性——数据只应限具有权限的人员访问。
完整性——数据和系统资源只限适当的人员以适当的方式进行更改。
可用性——系统在需要时一切就绪,可以正常操作。
身份验证——建立用户身份(或者接受匿名用户)。
授权——明确允许或拒绝用户访问资源。
认可——用户无法在执行某操作后否认执行了此操作。
使用STRIDE方法来进行威胁建模,确保应用具有