北邮软件安全性测评安全性威胁建模.pdfVIP

软件安全测评 北京邮电大学计算机学院 信息安全系 张淼 zhangmiao@ 第三讲安全威胁建模  威胁建模的基本概念  威胁模型建立的过程 威胁建模的基本观点  威胁建模的基本观点是: 直到理解了所受的威胁之后才能创建安全的系统 威胁建模  什么是威胁建模? 威胁模型是一种基于安全的分析,有助于人们确定给产 品造成的最高安全级别的安全风险,以及攻击是如何表现 出来的,其目标是确定需要缓和哪些威胁,如何来缓和这些 威胁. 威胁建模的重点是以一种相对正式的方式来考虑应用 程序的安全性,关于威胁有很多信息,但是威胁建模却少有 涉及,创建威胁模型必须认识到产品的什么地方最为危险, 因而会选择合适的技术来缓和威胁,这样就使得系统更加 安全. 威胁建模 进行威胁建模还有其他作用: 威胁模型有助于更好的理解你的应用程序,因为你花时 间以一种相对结构化的方式分析了应用程序的组成 威胁模型可以帮助你测试应用程序查找bug 可能会通过威胁模型发现其他方式不能发现的复杂bug, 它们通常是由几个小故障结合而成的大灾难. 威胁模型可以帮助新的小组成员理解应用程序的细节, 它可能成为加速学习曲线的工具 威胁模型能帮助测试人员进行测试,有助于产生设计良 好的安全测试计划和产品 威胁模型建立过程  1) 成立威胁模型小组  2) 分解应用程序  3) 确定系统所面临的威胁  4) 以风险递减的方式给威胁排序  5) 选择应付威胁的方法  6) 选择缓和威胁的技术  7) 从确定下来的技术中选择适当的技术 威胁模型建立过程 分解应用程序 确定威胁 分级威胁 缓和方案 成立威胁建模小组  第一步是从产品小组中聚集一些人进行初 步的威胁分析过程。 确保每一个开发部门都至少有一个成员参加讨 论，包括设计、编程、测试和文档部门。 会议的目标不是解决问题,而是标识出应用程序 的组成部分,之间如何交互,找到尽可能多的安 全威胁 分解应用程序 分解应用程序 确定威胁 分级威胁 缓和方案 分解应用程序  成功的威胁建模需要一种更结构化的方法，而不 是简单的”想象威胁”。  对应用程序进行形式化分解  DFD (Data Flow Diagram)是威胁分解的一种形式化分 解技术，能将应用程序分解为几个关键部分。  统一建模语言UML，特别是活动图，非常适合记录过 程，其方式和DFD相似。  UML活动图致力于过程之间的控制流，而DFD则是过 程间的数据流。 DFD:Data Flow Diagram 数据流图  数据流图（Data Flow Diagram，DFD）是一种能 全面地描述信息系统逻辑模型的主要工具，它可 以用少数几种符号综合地反映出信息在系统中的 流动、处理和存储情况。  分类  一种是以方框、连线及其变形为基本图例符号来表示 数据流动过程。  一种是以圆圈及连接弧线作