数据安全评估方案典型设计.pptx

;

◎

系统工程数据威胁模型分析数据为中心威胁建模简介数据为中心的威胁建模基础;

为什么要威胁建模

√帮助在设计阶段充分了解各种安全威胁，并指导选择适当的应对措施

√对可能的风险进行管理

√可以重新验证其架构和设计√有助于软件的受攻击面降低;;

各阶段威胁建模的作用

需求分析

帮助理解系统中潜在的安全

威胁，提出适当的安全需求

安全设计

明确安全威胁造成的风险的高

低程度

用威胁模型指导安全威胁消减

机制;

你在构建

什么?

哪些地方

可能会出

错;

威胁;;;;;;;;

Top102021

A01:2021-失效的访问控制BrokenAccessControl

A02:2021-加密机制失效CryptographicFailures

A03:2017-敏感信息泄漏

SensitiveDataExposure

A04:2017-XML外部实体

XMLExtemalEntities(XXE)

A05:2017-失效的访问控制

BrokenAccessControl

A06:2017-安全配置错误

SecurityMisconfiguration

A07:2017-跨站脚本

Cross-SiteScripting(XSS)

A08:2017-不安全的反序列化

InsecureDeserialization

A09:2017-使用含有已知漏洞的组件

UsingComponentswithKnown

Vulnerabilities

A10:2017-不足的日志记录和监控;;;;;;

·第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

·网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。;

支持业务运营

业务需要的

据属性

可响应的数

模式及授权

数据属性集

CA①

数据保护政策攻击属性;;;;

攻击和防御基础

AttackandDefenseBasics;;

软件特性是软件提供的功能。

软件功能滥用漏洞是软件中提供了危害系统安全的途径的功能的一种漏洞。这些漏洞是由软件设计者做出允许软件提供有益功能的信任假设引起的，同时也引入了有人违反信任假设以危及安全的可能性。例如，电子邮件客户端软件可能包含在电子邮件消息中呈现HTML内容的功能。攻击者可以制作包含超链接的欺诈性电子邮件，当以HTML呈现时，这些超链接在收件人看来是良性的，但实际上当收件人点击时会将其带到恶意网站。HTML内容呈现功能设计中的信任假设之一是用户不会收到恶意超链接并点击它们。软件功能滥用漏洞的另一个例子是攻击者窃取用户的凭据并重用它们来冒充用户；信任假设是只有合法用户才能使用这些凭据。误用漏洞是软件功能固有的，因为每个功能都基于信任假设——这些假设可能会被打破，尽管在某些情况下会涉及大量成本和工作。;;;

风险一般定义：

“实体受到潜在环境或事件威胁程度的衡量标准，通常具有以下功能：

()如果情况或事件发生，将会产生的不利影响；

(i)发生的可能性和信息安全风险，特别是“由于信息或信息系统的机密性、完整性或可用性的丧失而产生的风险，反映了对组织运营(包括使命、职能、形象或声誉)、组织的潜在不利影响的风险。资产、个人、其他组织和国家”。

风险管理

“管理组织运营信息安全风险的计划和支持流程……”。

风险管理的一部分是风险评估，“识别、优先排序和估计组织运营(包括使命、职能、形象、声誉)、组织资产、个人、其

他组织和国家的风险的过程，由信息系统的运作产生”。

风险评估考虑可能的威胁和漏洞，并确定应使用哪些安全控制来缓解它们，这意味着将它们的风险降低到可接受的水平。;;

组织通常从保护其机密性、完整性和/或可用性的角度考虑数据的安全目标。

在许多情况下，数据实例的安全目标不应该都具有同等重要性，在某些情况下，组织可能希望将其威胁建模工作集中在一个目标上。例如，如果风险评估表明泄露机密性的风险高得无法接受，那么仅针对机密性执行威胁建模可能最有助于将泄露机密性风险降低到可接受的水平。同样，已经向公众发布的信息可能仍需要保护其完整性和可用性，但不需要保护其机密性。

如果风险评估的结果