儿童摄影作品网站,多元网络兰州网站建设,外卖网站建设费用,上海企业模板建站目录
一#xff0c;STRIDE 威胁建模
1#xff0c;STRIDE
2#xff0c;总体流程#xff08;关键步骤#xff09;
3#xff0c;数据流图的4类元素
二#xff0c;安全设计原则
三#xff0c;安全属性 一#xff0c;STRIDE 威胁建模
1#xff0c;STRIDE
STRIDE 是…目录
一STRIDE 威胁建模
1STRIDE
2总体流程关键步骤
3数据流图的4类元素
二安全设计原则
三安全属性 一STRIDE 威胁建模
1STRIDE
STRIDE 是由Microsoft安全研究人员于 1999 年创建是一种以开发人员为中心的威胁建模方法通过此方法可识别可能影响应用程序的威胁、攻击、漏洞进而设计对应的缓解对策以降低安全风险并满足公司的安全目标。
STRIDE为每一种威胁英文的首写字母Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。
2总体流程关键步骤
绘制数据流图
分析威胁
评估风险
制定消减措施
落实消减措施
3数据流图的4类元素
外部实体、处理过程进程、数据存储、数据流 数据存储中Repudiation抵赖是红色表示只有存储的数据是审计类日志才会有抵赖的风险存储其他数据的时候无抵赖。 二安全设计原则
设计安全原则开放设计假设攻击者具有源代码和规格。故障安全预设值出故障时自动关闭无单点故障。最低权限只分配所需的权限。机制经济性保持简单、易懂的特性。分离权限不允许根据单一条件执行操作。总体调节每次检查所有内容。最低公用机制注意保护共享资源。心理可接受性他们将使用它吗 三安全属性
安全属性详细机密性数据只应限具有权限的人员访问。完整性数据和系统资源只限适当的人员以适当的方式进行更改。可用性系统在需要时一切就绪可以正常操作。身份验证建立用户身份或者接受匿名用户。授权明确允许或拒绝用户访问资源。认可用户无法在执行某操作后否认执行了此操作。
例子
