威胁与威胁建模.doc

威胁与威胁建模 威胁与威胁建模 在本单元中 威胁建模使得您可以对最可能影响系统的威胁进行系统地识别与评价。 威胁建模具有一种结构化的方法，该方法和随意应用安全特性的方式（这种随意的方式并不确切了解每种安全特性应对付的威胁是什么）相比更经济，也更有效。 阅读完本单元后，将威胁建模方法应用到 Web 应用程序中，您就可以根据您对应用程序缺陷的充分理解来识别与评价现存的威胁。有了这些信息，您就可以按照一定的逻辑顺序，利用适当的对策来处理现存的威胁，并从具有最大风险的威胁开始。 当 Web 应用程序向诸如 Internet、intranet 或 extranet 等非友善环境公开时，没有 100% 安全的系统。唯一可能的解决方案是承认威胁的存在，减少或控制相关的危险。威胁建模使得您可以进行这种分析，并把资源集中到相关问题上，使投资回报最大化。 目标 ? 使用本单元： ? 创建威胁模型。 ? 了解如何评价威胁以及如何使用 DREAD 模型。 ? 分解应用程序体系结构，找到其缺陷。 ? 找出并记录和应用程序相关的威胁。 应用于 Web 应用程序 如何使用本单元 本单元概述了能够找出并记录和应用程序相关的威胁的一般过程。要想充分利用本单元： ? 建立威胁建模的过程。如果没有现成的建模过程，就可以把本单元作为起点，在公司内介绍威胁建模的过程。如果已经有了建模过程，就可以把本单元作为参考用来进行比较。 ? 利用本手册的其他单元，熟悉最常见的威胁。阅读“威胁及对策”单元，它概述了网络、主机与应用程序级出现的常见威胁。 ? 有关网络特有威胁的更多信息，参阅“保护网络”单元中的“威胁和对策”。 ? 有关 Web 服务器、应用程序服务器与数据库服务器特有威胁的更多信息，参阅“保护 Web 服务器”、“保护应用程序服务器”，以及“数据库服务器”等单元中的“威胁和对策”。 ? 有关程序集、ASP.NET、服务组件、远程组件、Web 服务与数据访问的特有威胁的更多信息，参阅“构建安全程序集”、“构建安全的 ASP.NET 页与控件”、“构建安全的服务组件”、“构建安全的 Web 服务”、“构建安全的远程组件”，以及“构建安全的数据访问”等单元中的“威胁和对策”。 ? 开发威胁模型。先构建一个威胁模型，再在需要的时候进行开发。这是一项不断改进的工作。安全威胁在发展，应用程序也是如此。用一个文档来找出已知的威胁是什么，并且是如何处理它们的（或者没有处理），这样，您就可以控制应用程序的安全。 本页内容 开始之前 威胁建模的原则 第 1 步：标识资源 第 2 步：创建总体体系结构 第 3 步：分解应用程序 第 4 步：识别威胁 第 5 步：记录威胁 第 6 步：评价威胁 威胁建模之后该做何工作？ 小结 其他资源 开始之前 开始威胁建模过程之前，理解下面的基本术语非常重要： ? 资源。重要资源，如数据库中或文件系统上的数据。系统资源。 ? 威胁。潜在事件，恶意的或其他性质的，可能会损坏或危及资源的安全。 ? 缺陷。系统在某方面的弱点或特性，它有可能造成威胁的发生。网络、主机或应用程序级都可能存在缺陷。 ? 攻击（或利用）。某人或者某物采取的、危害资源的行为。该行为可能是某人通过跟踪威胁或者利用缺陷而做出的。 ? 对策。应对威胁、减小危险的安全措施。 考虑一个简单的房子类比：房子中的珠宝物品是财产，而窃贼是攻击者。门是房子的一部分，而开着的门则表示一个缺陷。窃贼可以利用开着的门进入房间、偷珠宝。换句话说，攻击者是利用缺陷来获取财产的。在这种情况下，正确的对策就是关上并锁上门。 返回页首 威胁建模的原则 威胁建模不应该是仅一次就万事大吉的过程。它应该是个重复的过程，从应用程序设计的早期阶段开始，持续经过应用程序的整个生命周期。这有两个原因。首先，不可能一次就找出所有可能的威胁。其次，因为应用程序很少为静态的，需要改善并适应变化的业务要求，所以，随着应用程序的发展，威胁建模过程应该是不断重复的。 过程 图 1 表明利用六个阶段过程，可以实现对威胁的建模。 注 下面的概要过程可用于目前正在开发的应用程序以及现有的应用程序。 图 1. 威胁建模过程概观 ? 标识资源。 找出系统必须保护的有价值的资源。 ? 创建总体体系结构。 利用简单的图表来记录应用程序的体系结构，包括子系统、信任边界与数据流。 ? 分解应用程序。 分解应用程序的体系结构，包括基本的网络与主机基础结构的设计，从而为应用程序创建安全配置文件。安全配置文件的目的是发现应用程序的设计、实现或部署配置中的缺陷。 ? 识别威胁。 牢记攻击者的目标，利用对应用程序的体系结构与潜在缺陷的了解，找出可能影响应用程序的威胁。 ? 记录威胁。 利用通